Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Когда вы федерализуете свою локальную среду с помощью Microsoft Entra ID, вы устанавливаете отношения доверия между локальным поставщиком удостоверений и Microsoft Entra ID. Microsoft Entra Connect может управлять федерацией между локальной службой федерации Active Directory (AD FS) и Microsoft Entra ID. В этой статье представлен обзор:
- Различные параметры, настроенные для доверительных отношений с Microsoft Entra Connect.
- Правила трансформации выдачи претензий, заданные Microsoft Entra Connect.
- Резервное копирование и восстановление правил утверждения между обновлениями и обновлениями конфигурации.
- Рекомендации по защите и мониторингу доверия AD FS с помощью идентификатора Microsoft Entra.
Параметры, контролируемые Microsoft Entra Connect
Microsoft Entra Connect управляет только параметрами, связанными с доверием идентификатора Microsoft Entra. Microsoft Entra Connect не изменяет параметры доверия других проверяющих сторон в AD FS. Параметры элементов управления Microsoft Entra Connect указаны в следующей таблице:
| Настройка | Описание |
|---|---|
| Сертификат подписи токена | Microsoft Entra Connect можно использовать для сброса и повторного создания доверия с помощью идентификатора Microsoft Entra. Microsoft Entra Connect выполняет однократное переключение сертификатов подписи токенов для AD FS и обновляет параметры федерации домена Microsoft Entra. |
| Алгоритм подписывания токенов | Корпорация Майкрософт рекомендует использовать SHA-256 в качестве алгоритма для подписания токенов. Microsoft Entra Connect может обнаружить, если для алгоритма подписи маркера установлено значение, менее безопасное, чем SHA-256. Он обновляет параметр SHA-256 в следующей возможной операции конфигурации. Чтобы использовать новый сертификат подписи маркера, необходимо обновить доверие другой проверяющей стороны. |
| Идентификатор доверия Microsoft Entra | Microsoft Entra Connect задает правильное значение идентификатора для доверия Microsoft Entra ID. AD FS однозначно идентифицирует доверие Microsoft Entra ID с помощью значения идентификатора. |
| Конечные точки Microsoft Entra | Microsoft Entra Connect гарантирует, что конечные точки, настроенные для доверия идентификатора Microsoft Entra, всегда совпадают с последними рекомендуемыми значениями устойчивости и производительности. |
| Правила преобразования выдачи данных | Существует ряд правил утверждений, необходимых для оптимальной производительности функций Microsoft Entra ID в федеративной среде. Microsoft Entra Connect гарантирует, что доверие Microsoft Entra ID всегда настраивается с использованием правильного набора рекомендуемых правил утверждений. |
| Альтернативный идентификатор | Если синхронизация настроена для использования альтернативного идентификатора, Microsoft Entra Connect настраивает AD FS для проверки подлинности с помощью альтернативного идентификатора. |
| Автоматическое обновление метаданных | Доверие с Microsoft Entra ID сконфигурировано для автоматического обновления метаданных. AD FS периодически проверяет метаданные доверительных отношений с Microsoft Entra ID и сохраняет их в актуальном состоянии в случае изменения со стороны Microsoft Entra ID. |
| Встроенная проверка подлинности Windows (IWA) | Во время операции гибридного соединения Microsoft Entra IWA включена для регистрации устройств, чтобы упростить гибридное присоединение Microsoft Entra для устройств нижнего уровня |
Потоки выполнения процессов и параметры федерации, настроенные с помощью Microsoft Entra Connect
Microsoft Entra Connect не обновляет все параметры доверительных отношений Microsoft Entra ID в ходе процессов конфигурации. Измененные параметры зависят от выполнения задачи или потока выполнения. В следующей таблице перечислены параметры, затронутые различными потоками выполнения.
| Поток выполнения | Затронутые параметры |
|---|---|
| Первичная установка (упрощенная) | Никакой |
| Первичная установка (новая серверная ферма AD FS) | Создается новая ферма AD FS, и заново устанавливается доверительное отношение с Microsoft Entra ID. |
| Первоначальная установка (существующая ферма AD FS, существующее доверие Microsoft Entra ID) | Идентификатор доверия Microsoft Entra ID, правила преобразования выдачи, конечные точки Microsoft Entra, альтернативный идентификатор (при необходимости), автоматическое обновление метаданных |
| Сброс доверия Microsoft Entra ID | Сертификат подписи маркера, алгоритм подписи маркеров, идентификатор доверия Microsoft Entra ID, правила трансформации выпуска, конечные точки Microsoft Entra, альтернативный идентификатор (при необходимости), автоматическое обновление метаданных |
| Добавьте сервер федерации | Никакой |
| Добавление сервера WAP | Никакой |
| Параметры устройства | Правила преобразования выпуска, IWA для регистрации устройств |
| Добавление федеративного домена | Если домен добавляется впервые, то есть настройка изменяется с одной федерации домена на федерацию с несколькими доменами. Microsoft Entra Connect повторно создает доверие с нуля. Если доверие с идентификатором Microsoft Entra уже настроено для нескольких доменов, изменяются только правила преобразования выдачи. |
| Обновление TLS | Никакой |
Во время всех операций, в которых изменяется любой параметр, Microsoft Entra Connect создает резервную копию текущих параметров доверия в %ProgramData%\AADConnect\ADFS
Заметка
До версии 1.1.873.0 резервная копия состояла только из правил преобразования выдачи, и они сохранялись в файле журнала трассировки мастера.
Правила преобразования выпуска, заданные Microsoft Entra Connect
Microsoft Entra Connect гарантирует, что доверие Microsoft Entra ID всегда настраивается с использованием правильного набора рекомендуемых правил утверждений. Корпорация Майкрософт рекомендует использовать Microsoft Entra Connect для управления доверием идентификатора Microsoft Entra ID. В этом разделе перечислены наборы правил преобразования для выдачи и их описание.
| Имя правила | Описание |
|---|---|
| Проблема с UPN | Это правило запрашивает значение userprincipalname из атрибута, настроенного в параметрах синхронизации для userprincipalname. |
| Выполните запрос objectguid и msdsconsistencyguid для пользовательского параметра ImmutableId. | Это правило добавляет временное значение в конвейер для objectguid и msdsconsistencyguid, если оно существует. |
| Проверка наличия msdsconsistencyguid | Исходя из того, существует значение msdsconsistencyguid или нет, мы устанавливаем временный флаг, чтобы указать, что использовать в качестве ImmutableId. |
| Выдача msdsconsistencyguid в качестве неизменяемого идентификатора, если он существует | Выдать msdsconsistencyguid как ImmutableId, если значение существует. |
| Использовать objectGuidRule, если правило msdsConsistencyGuid не существует | Если значение msdsconsistencyguid не существует, значение objectguid будет выдано как ImmutableId |
| Проблема идентификатора имени | Это правило выдает значение для запроса "nameidentifier". |
| Выдача типа учетной записи для компьютеров, присоединенных к домену | Если сущность, прошедшая проверку подлинности, является устройством, присоединенным к домену, это правило назначает тип учетной записи как DJ, что означает устройство, присоединенное к домену. |
| Назначьте AccountType значение USER, если это не учётная запись компьютера. | Если сущность, прошедшая проверку подлинности, является пользователем, это правило выдает тип учетной записи как Пользователь. |
| Выдайте идентификатор, если это не учетная запись компьютера. | Это правило выдает значение "issuerId", если проверяющая сущность — не устройство. Значение создается с помощью регулярного выражения, которое настраивается программой Microsoft Entra Connect. Регекс создается с учетом всех доменов, федерализованных с помощью Microsoft Entra Connect. |
| Выдача идентификатора issuerid для аутентификации компьютера DJ | Это правило выдает значение issuerId, если проверяемая сущность является устройством. |
| Проблема onpremobjectguid для доменных компьютеров | Если удостоверяемая сущность является устройством, присоединенным к домену, это правило выдает объектGUID в локальной сети для устройства. |
| Передача через первичный идентификатор безопасности | Это правило выдает основной идентификатор безопасности аутентифицирующей сущности. |
| Проход через запрос — внутри корпоративной сети | Это правило выдает утверждение, которое помогает идентификатору Microsoft Entra ID понимать, происходит ли аутентификация из корпоративной сети или извне. |
| Претензия на проход — Psso | |
| Выдача утверждений срока действия пароля | Это правило выдает три утверждения: для времени истечения срока действия пароля, количества дней до истечения срока действия пароля сущности, проходящей проверку подлинности, и для URL-адреса, куда следует направлять для изменения пароля. |
| Проведение требования — authnmethodsreferences | Значение в утверждении, выданном в соответствии с этим правилом, указывает, какой тип аутентификации был выполнен для сущности. |
| Прохождение через утверждение — момент многофакторной аутентификации | Значение этого утверждения указывает время в формате UTC, когда пользователь последний раз выполнял многофакторную проверку подлинности. |
| Сквозная авторизация — «AlternateLoginID» | Это правило выдает утверждение AlternateLoginID, если проверка подлинности была выполнена с помощью альтернативного идентификатора входа. |
Заметка
Правила утверждений для выпуска UPN и неизменяемого идентификатора отличаются, если во время настройки Microsoft Entra Connect не используется настройка по умолчанию.
Восстановление правил трансформации выпуска
Microsoft Entra Connect версии 1.1.873.0 или более поздней версии создает резервную копию параметров доверия идентификатора Microsoft Entra ID при каждом обновлении параметров доверия идентификатора Microsoft Entra. Параметры доверия идентификатора Microsoft Entra резервируются в %ProgramData%\AADConnect\ADFS. Имя файла имеет следующий формат AadTrust-<дата>—<время>.txt, например - AadTrust-20180710-150216.txt
Правила преобразования выдачи можно восстановить, выполнив описанные ниже действия.
- Открытие пользовательского интерфейса управления AD FS в диспетчере серверов
- Откройте свойства доверия ID Microsoft Entra, AD FS > Доверяющие стороны > Платформа удостоверений Microsoft Office 365 > Измените политику выдачи утверждений
- Щелкните Добавить правило
- В шаблоне правила утверждений выберите "Отправить утверждения с помощью настраиваемого правила" и выберите Далее
- Скопируйте имя правила утверждения из файла резервной копии и вставьте его в поле имя правила утверждения
- Скопируйте правило утверждения из файла резервной копии в текстовое поле для настраиваемых правил и выберите Готово
Заметка
Убедитесь, что дополнительные правила не конфликтуют с правилами, настроенными Microsoft Entra Connect.
Рекомендации по защите и мониторингу доверия AD FS с помощью идентификатора Microsoft Entra
При федерации AD FS с Microsoft Entra ID важно, чтобы конфигурация федерации (отношения доверия, настроенные между AD FS и Microsoft Entra ID) тщательно отслеживалась, а любые необычные или подозрительные действия фиксировались. Для этого рекомендуется настраивать оповещения и получать уведомления при внесении изменений в конфигурацию федерации. Сведения о настройке оповещений см. в статье Мониторинг изменений в конфигурации федерации.
Если вы используете облачную многофакторную проверку подлинности Microsoft Entra для многофакторной проверки подлинности с федеративными пользователями, настоятельно рекомендуем включить дополнительную защиту безопасности. Эта защита безопасности предотвращает обход облачной многофакторной проверки подлинности Microsoft Entra при федеративном подключении с идентификатором Microsoft Entra. Если включен федеративный домен в клиенте Microsoft Entra, он гарантирует, что недопустимый субъект не может обойти многофакторную проверку подлинности Microsoft Entra. Это достигается путем предотвращения имитации плохим субъектом того, что многофакторная проверка подлинности уже была выполнена поставщиком удостоверений. Защиту можно включить с помощью нового параметра безопасности federatedIdpMfaBehavior. Дополнительные сведения см. в рекомендации по защите служб федерации Active Directory