Настройка политик проверки подлинности

В AD FS в Windows Server 2012 R2 управление доступом и механизм проверки подлинности улучшены с помощью нескольких факторов, которые включают данные пользователя, устройства, расположения и проверки подлинности. Эти улучшения позволяют с помощью пользовательского интерфейса или через Windows PowerShell управлять риском предоставления разрешений на доступ к приложениям, защищенным AD FS, с помощью многофакторной проверки подлинности и многофакторной проверки подлинности, основанной на удостоверениях пользователей или членстве в группах, сетевом расположении, данных устройства, присоединенных к рабочему месту, и состоянии проверки подлинности при выполнении многофакторной проверки подлинности (MFA).

Дополнительные сведения о MFA и многофакторном управлении доступом в службы федерации Active Directory (AD FS) (AD FS) в Windows Server 2012 R2 см. в следующих разделах:

Настройка политик проверки подлинности с помощью оснастки "Управление AD FS"

Минимальным требованием для выполнения этих процедур является членство в группе Администраторы на локальном компьютере либо наличие эквивалентных прав. Просмотрите сведения об использовании соответствующих учетных записей и членства в группах по умолчанию в локальных и доменных группах.

В AD FS в Windows Server 2012 R2 можно указать политику проверки подлинности в глобальной области, применимой ко всем приложениям и службам, защищенным AD FS. Вы также можете задать политики проверки подлинности для определенных приложений и служб, которые используют отношения доверия сторон и защищены службой AD FS. Указание политики проверки подлинности для конкретного приложения на отношение доверия проверяющей стороны не переопределяет глобальную политику проверки подлинности. Если для глобальной или каждой политики проверки подлинности доверия проверяющей стороны требуется многофакторная проверка подлинности, MFA активируется, когда пользователь пытается пройти проверку подлинности в этом доверии проверяющей стороны. Глобальная политика проверки подлинности является резервным вариантом доверия проверяющей стороны для приложений и служб, у которых нет определенной настроенной политики проверки подлинности.

Настройка первичной проверки подлинности глобально в Windows Server 2012 R2

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В оснастке AD FS щелкните "Политики проверки подлинности".

  3. В разделе "Основная проверка подлинности" щелкните "Изменить" рядом с глобальным Параметры. Вы также можете щелкнуть правой кнопкой мыши политики проверки подлинности и выбрать "Изменить глобальную первичную проверку подлинности" или в области "Действия " выберите "Изменить глобальную первичную проверку подлинности". Screenshot that highlights Edit Global Primary Authentication option.

  4. В окне "Изменение глобальной политики проверки подлинности " на первичной вкладке можно настроить следующие параметры в рамках глобальной политики проверки подлинности:

    • Методы проверки подлинности, используемые для первичной проверки подлинности. Доступные методы проверки подлинности можно выбрать в экстрасети и интрасети.

    • Проверка подлинности устройства с помощью флажка "Включить проверку подлинности устройства ". Дополнительные сведения см. в разделе Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications. Screenshot that shows how to configure settings as part of the global authentication policy.

Настройка основной проверки подлинности на отношение доверия проверяющей стороны

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В оснастке AD FS щелкните authentication PoliciesPer\Relying Party Trust и щелкните доверие проверяющей стороны, для которого требуется настроить политики проверки подлинности.

  3. Щелкните правой кнопкой мыши доверие проверяющей стороны, для которого требуется настроить политики проверки подлинности, а затем выберите "Изменить пользовательскую первичную проверку подлинности" или в области "Действия " выберите "Изменить пользовательскую первичную проверку подлинности". Screenshot that highlights the Edit Custom Primary Authentication menu option.

  4. В окне "Изменить политику проверки подлинности для <relying_party_trust_name> " на первичной вкладке можно настроить следующий параметр в рамках политики проверки подлинности доверия с проверяющей стороной :

    • Указывает, обязаны ли пользователи предоставлять свои учетные данные каждый раз при входе с помощью пользователей, чтобы предоставлять свои учетные данные каждый раз при входе . Screenshot that shows how to configure settings as part of the Per Relying Party Trust authentication policy.

Глобальная настройка многофакторной проверки подлинности

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В оснастке AD FS щелкните "Политики проверки подлинности".

  3. В разделе "Многофакторная идентификация" щелкните "Изменить" рядом с глобальным Параметры. Вы также можете щелкнуть правой кнопкой мыши политики проверки подлинности и выбрать команду "Изменить глобальную многофакторную идентификацию" или в области "Действия " выберите "Изменить глобальную многофакторную проверку подлинности". Screenshot that highlights the Edit Global Multi-factor Authentication option.

  4. В окне "Изменение глобальной политики проверки подлинности " на вкладке "Многофакторная идентификация" можно настроить следующие параметры в рамках глобальной политики многофакторной идентификации:

Предупреждение

Вы можете настроить только дополнительные методы проверки подлинности глобально. auth policies

Настройка многофакторной проверки подлинности на отношение доверия проверяющей стороны

  1. В диспетчере сервера щелкните Средства и выберите Управление AD FS.

  2. В оснастке AD FS щелкните authentication PoliciesPer\Relying Party Trust и щелкните доверие проверяющей стороны, для которого требуется настроить MFA.

  3. Щелкните правой кнопкой мыши доверие проверяющей стороны, для которого требуется настроить MFA, а затем выберите "Изменить настраиваемую многофакторную проверку подлинности" или в области "Действия " выберите "Изменить настраиваемую многофакторную проверку подлинности".

  4. В окне "Изменение политики проверки подлинности для <relying_party_trust_name> " на вкладке "Многофакторная идентификация" можно настроить следующие параметры в рамках политики проверки подлинности доверия с проверяющей стороной:

    • Параметры или условия многофакторной проверки подлинности с помощью доступных вариантов в разделах "Пользователи/группы", "Устройства" и "Расположения".

Настройка политик проверки подлинности с помощью Windows PowerShell

Windows PowerShell обеспечивает большую гибкость при использовании различных факторов контроля доступа и механизма проверки подлинности, доступных в AD FS в Windows Server 2012 R2, для настройки политик проверки подлинности и правил авторизации, необходимых для реализации истинного условного доступа для ресурсов, защищенных AD FS.

Минимальным требованием для выполнения этих процедур является членство в группе Администраторы на локальном компьютере либо наличие эквивалентных прав. Просмотрите сведения об использовании соответствующих учетных записей и членства в группах по умолчанию в локальных и доменных группах (http://go.microsoft.com/fwlink/?LinkId=83477).

Настройка дополнительного метода проверки подлинности с помощью Windows PowerShell

  1. На сервере федерации откройте командное окно Windows PowerShell и выполните следующую команду.
`Set-AdfsGlobalAuthenticationPolicy –AdditionalAuthenticationProvider CertificateAuthentication  `

Предупреждение

Чтобы убедиться в успешном выполнении этой команды, можно выполнить команду Get-AdfsGlobalAuthenticationPolicy .

Настройка доверия MFA для проверяющей стороны, основанной на данных членства пользователя в группах

  1. На сервере федерации откройте окно команд Windows PowerShell и выполните следующую команду:
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`

Предупреждение

Обязательно замените <relying_party_trust> именем доверия проверяющей стороны.

  1. В том же Windows PowerShell командном окне выполните следующую команду.
$MfaClaimRule = "c:[Type == '"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value =~ '"^(?i) <group_SID>$'"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –AdditionalAuthenticationRules $MfaClaimRule

Примечание

Обязательно замените <group_SID> значением идентификатора безопасности (SID) группы Active Directory (AD).

Настройка MFA глобально на основе данных о членстве пользователей в группах

  1. На сервере федерации откройте командное окно Windows PowerShell и выполните следующую команду.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value == '"group_SID'"]
 => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule

Примечание

Обязательно замените <group_SID> значением sid группы AD.

Настройка MFA глобально на основе расположения пользователя

  1. На сервере федерации откройте командное окно Windows PowerShell и выполните следующую команду.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '"true_or_false'"]
 => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule

Примечание

Обязательно замените <true_or_false> на либоtrue.false Значение зависит от конкретного условия правила, основанного на том, поступает ли запрос на доступ из экстрасети или интрасети.

Глобальное настройка MFA на основе данных устройства пользователя

  1. На сервере федерации откройте командное окно Windows PowerShell и выполните следующую команду.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false"']
 => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"

Set-AdfsAdditionalAuthenticationRule $MfaClaimRule

Примечание

Обязательно замените <true_or_false> на либоtrue.false Значение зависит от конкретного условия правила, которое зависит от того, присоединено ли устройство к рабочему месту.

Настройка MFA глобально, если запрос на доступ поступает из экстрасети и с устройства, не присоединенного к рабочему месту

  1. На сервере федерации откройте командное окно Windows PowerShell и выполните следующую команду.
`Set-AdfsAdditionalAuthenticationRule "c:[Type == '"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false'"] && c2:[Type == '"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '" true_or_false '"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value ='"https://schemas.microsoft.com/claims/multipleauthn'");" `

Примечание

Обязательно замените оба экземпляра <true_or_false>true на один или false, что зависит от конкретных условий правила. Условия правила основаны на том, присоединено ли устройство к рабочему месту или нет, а также от того, поступает ли запрос на доступ из экстрасети или интрасети.

Настройка MFA глобально, если доступ поступает от пользователя экстрасети, принадлежащее определенной группе

  1. На сервере федерации откройте командное окно Windows PowerShell и выполните следующую команду.
Set-AdfsAdditionalAuthenticationRule "c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value == `"group_SID`"] && c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value== `"true_or_false`"] => issue(Type = `"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod`", Value =`"https://schemas.microsoft.com/claims/

Примечание

Обязательно замените <group_SID> значением идентификатора безопасности группы и <true_or_false>true на одно или false, в зависимости от конкретного условия правила, основанного на том, поступает ли запрос на доступ из экстрасети или интрасети.

Предоставление доступа к приложению на основе пользовательских данных с помощью Windows PowerShell

  1. На сервере федерации откройте командное окно Windows PowerShell и выполните следующую команду.

    $rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
    
    

Примечание

Обязательно замените <relying_party_trust> значением доверия проверяющей стороны.

  1. В том же Windows PowerShell командном окне выполните следующую команду.

    
      $GroupAuthzRule = "@RuleTemplate = `"Authorization`" @RuleName = `"Foo`" c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value =~ `"^(?i)<group_SID>$`"] =>issue(Type = `"https://schemas.microsoft.com/authorization/claims/deny`", Value = `"DenyUsersWithClaim`");"
    Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –IssuanceAuthorizationRules $GroupAuthzRule
    

Примечание

Обязательно замените <group_SID> значением идентификатора безопасности группы AD.

Предоставление доступа к приложению, защищенному AD FS, только если удостоверение этого пользователя проверено с помощью MFA

  1. На сервере федерации откройте командное окно Windows PowerShell и выполните следующую команду.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `

Примечание

Обязательно замените <relying_party_trust> значением доверия проверяющей стороны.

  1. В том же Windows PowerShell командном окне выполните следующую команду.

    $GroupAuthzRule = "@RuleTemplate = `"Authorization`"
    @RuleName = `"PermitAccessWithMFA`"
    c:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = '"PermitUsersWithClaim'");"
    
    

Предоставление доступа к приложению, защищенному AD FS, только если запрос на доступ поступает с устройства, присоединенного к рабочему месту, зарегистрированного для пользователя

  1. На сервере федерации откройте командное окно Windows PowerShell и выполните следующую команду.

    $rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
    
    

Примечание

Обязательно замените <relying_party_trust> значением доверия проверяющей стороны.

  1. В том же Windows PowerShell командном окне выполните следующую команду.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"PermitAccessFromRegisteredWorkplaceJoinedDevice`"
c:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");

Предоставление доступа к приложению, защищенному AD FS, только если запрос на доступ поступает с устройства, присоединенного к рабочему месту, зарегистрированного для пользователя, удостоверение которого проверено с помощью MFA

  1. На сервере федерации откройте командное окно Windows PowerShell и выполните следующую команду.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `

Примечание

Обязательно замените <relying_party_trust> значением доверия проверяющей стороны.

  1. В том же Windows PowerShell командном окне выполните следующую команду.

    $GroupAuthzRule = '@RuleTemplate = "Authorization"
    @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice"
    c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] &&
    c2:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"
    
    

Предоставление экстрасети доступа к приложению, защищенному AD FS, только если запрос на доступ поступает от пользователя, удостоверение которого проверено с помощью MFA

  1. На сервере федерации откройте командное окно Windows PowerShell и выполните следующую команду.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`

Примечание

Обязательно замените <relying_party_trust> значением доверия проверяющей стороны.

  1. В том же Windows PowerShell командном окне выполните следующую команду.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"RequireMFAForExtranetAccess`"
c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] &&
c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value =~ `"^(?i)false$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"

Дополнительная справка

Операции AD FS