Hantera AD FS-förtroende med Microsoft Entra-ID med Microsoft Entra Anslut
Översikt
När du federerar din lokala miljö med Microsoft Entra-ID upprättar du en förtroenderelation mellan den lokala identitetsprovidern och Microsoft Entra-ID:t. Microsoft Entra Anslut kan hantera federation mellan lokal Active Directory Federation Service (AD FS) och Microsoft Entra ID. Den här artikeln innehåller en översikt över:
- De olika inställningar som konfigurerats för förtroendet av Microsoft Entra Anslut.
- Utfärdandetransformeringsregler (anspråksregler) som angetts av Microsoft Entra Anslut.
- Säkerhetskopiera och återställa dina anspråksregler mellan uppgraderingar och konfigurationsuppdateringar.
- Bästa praxis för att skydda och övervaka AD FS-förtroendet med Microsoft Entra-ID.
Inställningar styrs av Microsoft Entra Anslut
Microsoft Entra Anslut hanterar endast inställningar som rör Microsoft Entra ID-förtroende. Microsoft Entra Anslut ändrar inte några inställningar för andra förlitande partförtroenden i AD FS. Följande tabell anger inställningar som styrs av Microsoft Entra Anslut.
Inställning | beskrivning |
---|---|
Certifikat för tokensignering | Microsoft Entra Anslut kan användas för att återställa och återskapa förtroendet med Microsoft Entra-ID. Microsoft Entra Anslut gör en engångsövergång av tokensigneringscertifikat för AD FS och uppdaterar inställningarna för Microsoft Entra-domänfederation. |
Algoritm för tokensignering | Microsoft rekommenderar att du använder SHA-256 som tokensigneringsalgoritm. Microsoft Entra Anslut kan identifiera om tokensigneringsalgoritmen är inställd på ett värde som är mindre säkert än SHA-256. Inställningen uppdateras till SHA-256 i nästa möjliga konfigurationsåtgärd. Andra förlitande parters förtroende måste uppdateras för att kunna använda det nya tokensigneringscertifikatet. |
Microsoft Entra ID-förtroendeidentifierare | Microsoft Entra Anslut anger rätt identifierarvärde för Microsoft Entra-ID-förtroendet. AD FS identifierar unikt Microsoft Entra-ID-förtroendet med hjälp av identifierarvärdet. |
Microsoft Entra-slutpunkter | Microsoft Entra Anslut ser till att slutpunkterna som konfigurerats för Microsoft Entra ID-förtroendet alltid är enligt de senaste rekommenderade värdena för återhämtning och prestanda. |
Regler för utfärdandetransformering | Det finns ett antal anspråksregler som behövs för optimala prestanda för funktioner i Microsoft Entra-ID i en federerad inställning. Microsoft Entra Anslut ser till att Microsoft Entra ID-förtroendet alltid har konfigurerats med rätt uppsättning rekommenderade anspråksregler. |
Alternativ-ID | Om synkronisering har konfigurerats för att använda alternativa ID:n konfigurerar Microsoft Entra Anslut AD FS för att utföra autentisering med hjälp av alternativa ID:n. |
Automatisk metadatauppdatering | Förtroende med Microsoft Entra-ID har konfigurerats för automatisk metadatauppdatering. AD FS kontrollerar regelbundet metadata för Microsoft Entra ID-förtroende och håller det uppdaterat om det ändras på Microsoft Entra-ID-sidan. |
Integrerad Windows-autentisering (IWA) | Under hybridanslutningsåtgärden i Microsoft Entra är IWA aktiverat för enhetsregistrering för att underlätta Microsoft Entra-hybridanslutning för enheter med låg nivå |
Körningsflöden och federationsinställningar som konfigurerats av Microsoft Entra Anslut
Microsoft Entra Anslut uppdaterar inte alla inställningar för Microsoft Entra ID-förtroende under konfigurationsflöden. Vilka inställningar som ändras beror på vilken uppgift eller vilket körningsflöde som körs. I följande tabell visas de inställningar som påverkas i olika körningsflöden.
Körningsflöde | Inställningar påverkad |
---|---|
Installation av första passet (express) | Ingen |
Första passinstallationen (ny AD FS-servergrupp) | En ny AD FS-servergrupp skapas och ett förtroende med Microsoft Entra-ID skapas från grunden. |
Första passinstallationen (befintlig AD FS-servergrupp, befintligt Microsoft Entra-ID-förtroende) | Microsoft Entra ID-förtroendeidentifierare, utfärdande transformeringsregler, Microsoft Entra-slutpunkter, Alternativ-ID (om det behövs), automatisk uppdatering av metadata |
Återställa Microsoft Entra ID-förtroende | Certifikat för tokensignering, algoritm för tokensignering, Microsoft Entra ID-förtroendeidentifierare, regler för utfärdandetransformering, Microsoft Entra-slutpunkter, alternativ-id (om det behövs), automatisk uppdatering av metadata |
Lägga till federationsserver | Ingen |
Lägg till WAP-server | Ingen |
Enhetsalternativ | Regler för utfärdandetransformering, IWA för enhetsregistrering |
Lägga till federerad domän | Om domänen läggs till för första gången ändras konfigurationen från federation med en enda domän till federation med flera domäner – Microsoft Entra Anslut återskapar förtroendet från grunden. Om förtroendet med Microsoft Entra-ID redan har konfigurerats för flera domäner ändras endast regler för utfärdandetransformering |
Uppdatera TLS | Ingen |
Under alla åtgärder, där alla inställningar ändras, gör Microsoft Entra Anslut en säkerhetskopia av de aktuella förtroendeinställningarna på %ProgramData%\AAD Anslut\ADFS
Kommentar
Före version 1.1.873.0 bestod säkerhetskopian av endast utfärdandetransformeringsregler och de säkerhetskopierades i guidens spårningsloggfil.
Regler för utfärdandetransformering som angetts av Microsoft Entra Anslut
Microsoft Entra Anslut ser till att Microsoft Entra ID-förtroendet alltid har konfigurerats med rätt uppsättning rekommenderade anspråksregler. Microsoft rekommenderar att du använder Microsoft Entra Anslut för att hantera ditt Microsoft Entra-ID-förtroende. I det här avsnittet visas regeluppsättningen för utfärdandetransformering och deras beskrivning.
Regelnamn | beskrivning |
---|---|
Problem med UPN | Den här regeln frågar värdet för userprincipalname från attributet som konfigurerats i synkroniseringsinställningar för userprincipalname. |
Fråga objectguid och msdsconsistencyguid för anpassat ImmutableId-anspråk | Den här regeln lägger till ett tillfälligt värde i pipelinen för objectguid- och msdsconsistencyguid-värde om den finns |
Kontrollera om msdsconsistencyguid finns | Baserat på om värdet för msdsconsistencyguid finns eller inte anger vi en tillfällig flagga för att styra vad som ska användas som ImmutableId |
Utfärda msdsconsistencyguid som oföränderligt ID om det finns | Utfärda msdsconsistencyguid som ImmutableId om värdet finns |
Utfärda objectGuidRule om msdsConsistencyGuid-regeln inte finns | Om värdet för msdsconsistencyguid inte finns, utfärdas värdet för objectguid som ImmutableId |
Problemnamnidentifierare | Den här regeln utfärdar värdet för nameidentifier-anspråket. |
Problem med kontotyp för domänanslutna datorer | Om entiteten som autentiseras är en domänansluten enhet utfärdar den här regeln kontotypen som DJ som betecknar en domänansluten enhet |
Utfärda AccountType med värdet ANVÄNDARE när det inte är ett datorkonto | Om entiteten som autentiseras är en användare utfärdar den här regeln kontotypen som användare |
Problemfel när det inte är ett datorkonto | Den här regeln utfärdar issuerId-värdet när den autentiserande entiteten inte är en enhet. Värdet skapas via en regex, som konfigureras av Microsoft Entra Anslut. Regex skapas efter att ha tagit hänsyn till alla domäner federerade med Hjälp av Microsoft Entra Anslut. |
Problem med problem för DJ-datorautentisering | Den här regeln utfärdar issuerId-värdet när den autentiserande entiteten är en enhet |
Problem med onpremobjectguid för domänanslutna datorer | Om entiteten som autentiseras är en domänansluten enhet utfärdar den här regeln den lokala objectguid för enheten |
Skicka genom primärt SID | Den här regeln utfärdar det primära SID:et för den autentiserande entiteten |
Skicka igenom anspråk – insideCorporateNetwork | Den här regeln utfärdar ett anspråk som hjälper Microsoft Entra-ID att veta om autentiseringen kommer inifrån företagsnätverket eller externt |
Skicka igenom anspråk – Psso | |
Utfärda anspråk för lösenords upphör att gälla | Den här regeln utfärdar tre anspråk för förfallotid för lösenord, antal dagar då lösenordet upphör att gälla för den entitet som autentiseras och URL:en där lösenordet ska ändras. |
Skicka igenom anspråk – authnmethodsreferences | Värdet i anspråket som utfärdas enligt den här regeln anger vilken typ av autentisering som utfördes för entiteten |
Skicka igenom anspråk – multifactorauthenticationinstant | Värdet för det här anspråket anger tiden, i UTC, när användaren senast utförde multifaktorautentisering. |
Skicka igenom anspråk – AlternateLoginID | Den här regeln utfärdar AlternateLoginID-anspråket om autentiseringen utfördes med hjälp av alternativt inloggnings-ID. |
Kommentar
Anspråksreglerna för Ärende-UPN och ImmutableId skiljer sig åt om du använder icke-standardalternativ under Microsoft Entra-Anslut konfiguration
Återställ regler för utfärdandetransformering
Microsoft Entra Anslut version 1.1.873.0 eller senare gör en säkerhetskopia av inställningarna för Microsoft Entra ID-förtroende när en uppdatering görs av inställningarna för Microsoft Entra ID-förtroende. Inställningarna för Microsoft Entra-ID-förtroende säkerhetskopieras på %ProgramData%\AAD Anslut\ADFS. Filnamnet är i följande format AadTrust-date-time.txt<><>, till exempel - AadTrust-20180710-150216.txt
Du kan återställa reglerna för utfärdandetransformering med hjälp av de föreslagna stegen nedan
- Öppna användargränssnittet för AD FS-hantering i Serverhanteraren
- Öppna egenskaperna för Microsoft Entra ID-förtroende genom att gå till AD FS > Relying Party Trusts > Microsoft Office 365 Identity Platform > Edit Claims Issuance Policy
- Klicka på Lägg till regel
- I anspråksregelmallen väljer du Skicka anspråk med hjälp av en anpassad regel och klickar på Nästa
- Kopiera namnet på anspråksregeln från säkerhetskopian och klistra in den i fältet Anspråksregelnamn
- Kopiera anspråksregeln från säkerhetskopian till textfältet för anpassad regel och klicka på Slutför
Kommentar
Kontrollera att dina ytterligare regler inte är i konflikt med de regler som konfigurerats av Microsoft Entra Anslut.
Bästa praxis för att skydda och övervaka AD FS-förtroendet med Microsoft Entra-ID
När du federerar din AD FS med Microsoft Entra-ID är det viktigt att federationskonfigurationen (förtroenderelationen som konfigurerats mellan AD FS och Microsoft Entra ID) övervakas noggrant och att ovanlig eller misstänkt aktivitet registreras. För att göra det rekommenderar vi att du konfigurerar aviseringar och får aviseringar när eventuella ändringar görs i federationskonfigurationen. Information om hur du konfigurerar aviseringar finns i Övervaka ändringar i federationskonfigurationen.
Om du använder Azure MFA i molnet för multifaktorautentisering med federerade användare rekommenderar vi starkt att du aktiverar ytterligare säkerhetsskydd. Det här säkerhetsskyddet förhindrar att Azure MFA kringgås när det federeras med Microsoft Entra-ID. När det är aktiverat för en federerad domän i din Microsoft Entra-klientorganisation säkerställer det att en felaktig aktör inte kan kringgå Azure MFA genom att imitera att en multifaktorautentisering redan har utförts av identitetsprovidern. Skyddet kan aktiveras via den nya säkerhetsinställningen . federatedIdpMfaBehavior
Mer information finns i Metodtips för att skydda Active Directory Federation Services (AD FS)
Nästa steg
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för