Skydda molnresurser med Microsoft Entra multifaktorautentisering och AD FS
Om din organisation är federerad med Microsoft Entra-ID använder du Microsoft Entra multifaktorautentisering eller Active Directory Federation Services (AD FS) (AD FS) för att skydda resurser som nås av Microsoft Entra-ID. Använd följande procedurer för att skydda Microsoft Entra-resurser med antingen Microsoft Entra multifaktorautentisering eller Active Directory Federation Services (AD FS).
Kommentar
Ange domäninställningen federatedIdpMfaBehavior till enforceMfaByFederatedIdp
(rekommenderas) eller SupportsMFA till $True
. Inställningen federatedIdpMfaBehavior åsidosätter SupportsMFA när båda anges.
Skydda Microsoft Entra-resurser med HJÄLP av AD FS
Ställ in en anspråksregel så att Active Directory Federation Services genererar multipleauthn-kravet när en användare utför tvåstegsverifiering om du vill skydda din molnresurs. Det här anspråket skickas vidare till Microsoft Entra-ID. Följ dessa steg:
Öppna AD FS Management.
Välj Förlitande partsförtroenden till vänster.
Högerklicka på Microsoft Office 365 Identity Platform och välj Redigera anspråksregler.
För Utfärdande av transformeringsregler klickar du på Lägg till regel.
I guiden Lägg till anspråksregel för transformering väljer du Släpp igenom eller Filtrera ett inkommande anspråk i listrutan och klickar sedan på Nästa.
Namnge din regel.
Välj Autentiseringsmetodreferenser som den inkommande anspråkstypen.
Välj Passera alla anspråksvärden.
Klicka på Finish. Stäng AD FS-hanteringskonsolen.
Tillförlitliga IP-adresser för federerade användare
Betrodda IP-adresser gör det möjligt för administratörer att kringgå tvåstegsverifiering för specifika IP-adresser eller för federerade användare som har begäranden från sitt eget intranät. I följande avsnitt beskrivs hur du konfigurerar förbikopplingen med hjälp av betrodda IP-adresser. Du gör detta genom att konfigurera AD FS att släppa igenom eller filtrera en mall för inkommande anspråk med anspråkstypen I företagsnätverket.
I det här exemplet används Microsoft 365 för våra förtroenden för förlitande part.
Konfigurera anspråksreglerna för AD FS
Det första vi måste göra är att konfigurera AD FS-anspråken. Skapa två anspråksregler, en för anspråkstypen inom företagsnätverket och ytterligare en som gör att våra användare förblir inloggade.
Öppna AD FS Management.
Välj Förlitande partsförtroenden till vänster.
Högerklicka på Microsoft Office 365 Identity Platform och välj Redigera anspråksregler...
För Utfärdande av transformeringsregler klickar du på Lägg till regel.
I guiden Lägg till anspråksregel för transformering väljer du Släpp igenom eller Filtrera ett inkommande anspråk i listrutan och klickar sedan på Nästa.
I rutan bredvid Anspråksregelns namn ger du regeln ett namn. Exempel: InsideCorpNet.
Välj Inom företagsnätverket i listrutan bredvid Typ av inkommande anspråk.
Klicka på Finish.
För Utfärdande av transformeringsregler klickar du på Lägg till regel.
I guiden Lägg till anspråksregel för transformering väljer du Skicka anspråk med hjälp av en anpassad regel i listrutan och klickar sedan på Nästa.
I rutan under Anspråksregelns namn skriver du Håll användarna inloggade.
I rutan Anpassad regel anger du:
c:[Type == "https://schemas.microsoft.com/2014/03/psso"] => issue(claim = c);
Klicka på Finish.
Klicka på Använd.
Klicka på OK.
Stäng AD FS-hantering.
Konfigurera Betrodda IP-adresser för Microsoft Entra-multifaktorautentisering med federerade användare
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
När nu anspråken är på plats kan vi konfigurera tillförlitliga IP-adresser.
Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
Bläddra till Namngivna platser för villkorlig åtkomst>.
På bladet Villkorlig åtkomst – Namngivna platser väljer du Konfigurera betrodda IP-adresser för MFA
På sidan Tjänst Inställningar går du till betrodda IP-adresser och väljer Hoppa över multifaktorautentisering för begäranden från federerade användare i mitt intranät.
Klicka på Spara.
Det var allt! I det här läget bör federerade Microsoft 365-användare bara behöva använda MFA när ett anspråk kommer från utanför företagets intranät.