Dela via

Skydda molnresurser med Microsoft Entra multifaktorautentisering och AD FS

  • Artikel

Om din organisation är federerad med Microsoft Entra-ID använder du Microsoft Entra multifaktorautentisering eller Active Directory Federation Services (AD FS) (AD FS) för att skydda resurser som nås av Microsoft Entra-ID. Använd följande procedurer för att skydda Microsoft Entra-resurser med antingen Microsoft Entra multifaktorautentisering eller Active Directory Federation Services (AD FS).

Kommentar

Ange domäninställningen federatedIdpMfaBehavior till enforceMfaByFederatedIdp (rekommenderas) eller SupportsMFA till $True. Inställningen federatedIdpMfaBehavior åsidosätter SupportsMFA när båda anges.

Skydda Microsoft Entra-resurser med HJÄLP av AD FS

Ställ in en anspråksregel så att Active Directory Federation Services genererar multipleauthn-kravet när en användare utför tvåstegsverifiering om du vill skydda din molnresurs. Det här anspråket skickas vidare till Microsoft Entra-ID. Följ dessa steg:

  1. Öppna AD FS Management.

  2. Välj Förlitande partsförtroenden till vänster.

  3. Högerklicka på Microsoft Office 365 Identity Platform och välj Redigera anspråksregler.

    ADFS Console - Relying Party Trusts

  4. För Utfärdande av transformeringsregler klickar du på Lägg till regel.

    Editing Issuance Transform Rules

  5. I guiden Lägg till anspråksregel för transformering väljer du Släpp igenom eller Filtrera ett inkommande anspråk i listrutan och klickar sedan på Nästa.

    Screenshot shows Add Transform Claim Rule Wizard where you select a Claim rule template.

  6. Namnge din regel.

  7. Välj Autentiseringsmetodreferenser som den inkommande anspråkstypen.

  8. Välj Passera alla anspråksvärden.

    Screenshot shows Add Transform Claim Rule Wizard where you select Pass through all claim values.

  9. Klicka på Finish. Stäng AD FS-hanteringskonsolen.

Tillförlitliga IP-adresser för federerade användare

Betrodda IP-adresser gör det möjligt för administratörer att kringgå tvåstegsverifiering för specifika IP-adresser eller för federerade användare som har begäranden från sitt eget intranät. I följande avsnitt beskrivs hur du konfigurerar förbikopplingen med hjälp av betrodda IP-adresser. Du gör detta genom att konfigurera AD FS att släppa igenom eller filtrera en mall för inkommande anspråk med anspråkstypen I företagsnätverket.

I det här exemplet används Microsoft 365 för våra förtroenden för förlitande part.

Konfigurera anspråksreglerna för AD FS

Det första vi måste göra är att konfigurera AD FS-anspråken. Skapa två anspråksregler, en för anspråkstypen inom företagsnätverket och ytterligare en som gör att våra användare förblir inloggade.

  1. Öppna AD FS Management.

  2. Välj Förlitande partsförtroenden till vänster.

  3. Högerklicka på Microsoft Office 365 Identity Platform och välj Redigera anspråksregler...

    ADFS Console - Edit Claim Rules

  4. För Utfärdande av transformeringsregler klickar du på Lägg till regel.

    Adding a Claim Rule

  5. I guiden Lägg till anspråksregel för transformering väljer du Släpp igenom eller Filtrera ett inkommande anspråk i listrutan och klickar sedan på Nästa.

    Screenshot shows Add Transform Claim Rule Wizard where you select Pass Through or Filter an Incoming Claim.

  6. I rutan bredvid Anspråksregelns namn ger du regeln ett namn. Exempel: InsideCorpNet.

  7. Välj Inom företagsnätverket i listrutan bredvid Typ av inkommande anspråk.

    Adding Inside Corporate Network claim

  8. Klicka på Finish.

  9. För Utfärdande av transformeringsregler klickar du på Lägg till regel.

  10. I guiden Lägg till anspråksregel för transformering väljer du Skicka anspråk med hjälp av en anpassad regel i listrutan och klickar sedan på Nästa.

  11. I rutan under Anspråksregelns namn skriver du Håll användarna inloggade.

  12. I rutan Anpassad regel anger du:

        c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

    Create custom claim to keep users signed in

  13. Klicka på Finish.

  14. Klicka på Använd.

  15. Klicka på OK.

  16. Stäng AD FS-hantering.

Konfigurera Betrodda IP-adresser för Microsoft Entra-multifaktorautentisering med federerade användare

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

När nu anspråken är på plats kan vi konfigurera tillförlitliga IP-adresser.

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.

  2. Bläddra till Namngivna platser för villkorlig åtkomst>.

  3. På bladet Villkorlig åtkomst – Namngivna platser väljer du Konfigurera betrodda IP-adresser för MFA

    Microsoft Entra Conditional Access named locations Configure MFA trusted IPs

  4. På sidan Tjänst Inställningar går du till betrodda IP-adresser och väljer Hoppa över multifaktorautentisering för begäranden från federerade användare i mitt intranät.

  5. Klicka på Spara.

Det var allt! I det här läget bör federerade Microsoft 365-användare bara behöva använda MFA när ett anspråk kommer från utanför företagets intranät.