分享方式:


Windows Server 2016 AD FS 中的存取控制原則

AD FS 中的存取控制原則範本

fActive Directory 同盟服務現在支援使用存取控制原則範本。 藉由使用存取控制原則範本,系統管理員可以強制執行原則設定,方法是將原則範本指派給信賴憑證者 (RP) 的群組。 如果不需要使用者互動,系統管理員也可以對原則範本進行更新,而且變更將會自動套用至信賴憑證者。

什麼是存取控制原則範本?

用於原則處理的 AD FS 核心管線有三個階段:驗證、授權和宣告發行。 目前,AD FS 系統管理員必須個別設定其中每個階段的原則。 這也涉及了解這些原則的影響,以及這些原則是否具有相互相依性。 此外,系統管理員也必須了解宣告規則語言和撰寫自訂規則,才能啟用一些簡單/通用原則 (例如封鎖外部存取)。

存取控制原則範本的作用是取代這個舊模型,其中系統管理員必須使用宣告語言來設定發行授權規則。 發行授權規則的舊 PowerShell Cmdlet 仍適用,但與新模型互斥。 系統管理員可以選擇使用新模型或舊模型。 新模型可讓系統管理員控制何時授與存取權,包括強制執行多重要素驗證。

存取控制原則範本會使用允許模型。 這表示根據預設,沒有人具有存取權,而且必須明確授與該存取權。 不過,這不只是「全有或全無」允許。 系統管理員可以將例外狀況新增至允許規則。 例如,系統管理員可能想要根據特定網路授與存取權,方法是選取此選項,並指定 IP 位址範圍。 但系統管理員可能會新增例外狀況,例如,系統管理員可能會從特定網路新增例外狀況,並指定該 IP 位址範圍。

Screenshot that shows where to view the Access Control Policies.

內建存取控制原則範本與自訂存取控制原則範本

AD FS 包含數個內建的存取控制原則範本。 這些範本會以一些具有相同原則需求集的常見案例為目標,例如 Office 365 的用戶端存取原則。 無法修改這些範本。

Screenshot that shows the built-in Access Control Policies.

為了提供更大的彈性來因應您的商務需求,系統管理員可以建立自己的存取原則範本。 這些範本可以在建立之後進行修改,而且對自訂原則範本的變更將會套用至這些原則範本所控制的所有 RP。 若要新增自訂原則範本,只要從 AD FS 管理內按一下 [新增存取控制原則] 即可。

若要建立原則範本,系統管理員必須先指定要求將在哪些條件下獲授權進行權杖發行及/或委派。 下表中顯示條件和動作選項。 系統管理員可以使用不同的值或新值進一步設定粗體表示的條件。 系統管理員也可以指定例外狀況 (若有的話)。 符合條件時,若指定了例外狀況,且傳入要求符合例外狀況中指定的條件,則不會觸發允許動作。

允許使用者 Except
來自特定網路 來自特定網路

來自特定群組

來自具有特定信任層級的裝置

要求中具有特定宣告

來自特定群組 來自特定網路

來自特定群組

來自具有特定信任層級的裝置

要求中具有特定宣告

來自具有特定信任層級的裝置 來自特定網路

來自特定群組

來自具有特定信任層級的裝置

要求中具有特定宣告

要求中具有特定宣告 來自特定網路

來自特定群組

來自具有特定信任層級的裝置

要求中具有特定宣告

和需要多重要素驗證 來自特定網路

來自特定群組

來自具有特定信任層級的裝置

要求中具有特定宣告

如果系統管理員選取多個條件,這些條件屬於 AND 關聯性。 動作是互斥的,而且針對一個原則規則,您只能選擇一個動作。 如果系統管理員選取多個例外狀況,這些例外狀況屬性 OR 關聯性。 以下顯示幾個原則規則範例:

原則 原則規則
外部網路存取需要 MFA

允許所有使用者

規則 #1

來自外部網路

搭配 MFA

執照

規則 #2

來自內部網路

執照

除了非 FTE 以外,不允許外部存取

允許加入工作場所網路的裝置上 FTE 的內部網路存取

規則 #1

來自外部網路

和來自 非 FTE 群組

執照

規則 #2

來自內部網路

和來自加入工作場所網路的裝置

和來自 FTE 群組

執照

外部網路存取需要 MFA,但「服務系統管理員」除外

允許所有使用者存取

規則 #1

來自外部網路

搭配 MFA

執照

服務系統管理員群組除外

規則 #2

always

執照

從外部網路存取未加入工作場所網路的裝置需要 MFA

允許 AD 網狀架構進行內部網路和外部網路存取

規則 #1

來自內部網路

和來自 AD 網狀架構群組

執照

規則 #2

來自外部網路

和來自未加入工作場所網路的裝置

和來自 AD 網狀架構群組

搭配 MFA

執照

規則 #3

來自外部網路

和來自加入工作場所網路的裝置

和來自 AD 網狀架構群組

執照

參數化原則範本與非參數化原則範本

參數化原則範本是具有參數的原則範本。 系統管理員必須在將這個範本指派給 RP 時輸入這些參數的值。在建立了參數化原則範本之後,系統管理員無法對此範本進行變更。 參數化原則的範例是內建原則 [允許特定群組]。 每當將此原則套用至 RP,就必須指定此參數。

Screenshot that shows an example of a parameterized policy template.

非參數化原則範本是沒有參數的原則範本。 系統管理員可在不需要任何輸入的情況下將此範本指派給 RP,並在建立了非參數化原則範本之後,對此範本進行變更。 此範本的範例是內建原則:允許所有人並需要 MFA。

Screenshot that shows an example of a non-parameterized policy template.

如何建立非參數化的存取控制原則

若要建立非參數化的存取控制原則,請使用下列程序

建立非參數化的存取控制原則

  1. 從左邊的 [AD FS 管理] 選取 [存取控制原則],然後在右邊按一下 [新增存取控制原則]。

  2. 輸入名稱和描述。 例如:允許具有已驗證裝置的使用者。

  3. 在 [若符合下列任一規則,則允許存取] 底下,按一下 [新增]

  4. 在 [允許] 底下,於 [來自具有特定信任層級的裝置] 旁邊的方塊中放置核取方塊

  5. 在底部,選取帶底線的 [特定]

  6. 從快顯視窗中,從下拉式清單中選取 [已驗證]。 按一下 [確定] 。

    Screenshot that shows how to select the device trust level.

  7. 按一下 [確定] 。 按一下 [確定] 。

    Screenshot that shows how to accept the policy change.

如何建立參數化的存取控制原則

若要建立參數化的存取控制原則,請使用下列程序

建立參數化的存取控制原則

  1. 從左邊的 [AD FS 管理] 選取 [存取控制原則],然後在右邊按一下 [新增存取控制原則]。

  2. 輸入名稱和描述。 例如:允許具有特定宣告的使用者。

  3. 在 [若符合下列任一規則,則允許存取] 底下,按一下 [新增]

  4. 在 [允許] 底下,於 [要求中具有特定宣告] 旁邊的方塊中放置核取方塊

  5. 在底部,選取帶底線的 [特定]

  6. 從快顯的視窗中,選取 [指派存取控制原則時指定的參數]。 按一下 [確定] 。

    Screenshot that shows the Parameter specified when the access control policy is assigned option.

  7. 按一下 [確定] 。 按一下 [確定] 。

    Screenshot that shows how to accept the selected option.

如何建立具有例外狀況的自訂存取控制原則

若要建立具有例外狀況的存取控制原則,請使用下列程序。

建立具有例外狀況的自訂存取控制原則

  1. 從左邊的 [AD FS 管理] 選取 [存取控制原則],然後在右邊按一下 [新增存取控制原則]。

  2. 輸入名稱和描述。 例如:允許具有已驗證裝置但不受管理的使用者。

  3. 在 [若符合下列任一規則,則允許存取] 底下,按一下 [新增]

  4. 在 [允許] 底下,於 [來自具有特定信任層級的裝置] 旁邊的方塊中放置核取方塊

  5. 在底部,選取帶底線的 [特定]

  6. 從快顯視窗中,從下拉式清單中選取 [已驗證]。 按一下 [確定] 。

  7. 在 [例外狀況] 底下,於 [來自具有特定信任層級的裝置] 旁邊的方塊中放置核取方塊

  8. 在底部的 [例外狀況] 底下,選取帶底線的 [特定]

  9. 從快顯的視窗中,從下拉式清單中選取 [受管理]。 按一下 [確定] 。

  10. 按一下 [確定] 。 按一下 [確定] 。

    Screenshot that shows the Screen Editor dialog box.

如何建立具有多個允許條件的自訂存取控制原則

若要建立具有多個允許條件的存取控制原則,請使用下列程序

建立參數化的存取控制原則

  1. 從左邊的 [AD FS 管理] 選取 [存取控制原則],然後在右邊按一下 [新增存取控制原則]。

  2. 輸入名稱和描述。 例如:允許具有特定宣告和來自特定群組的使用者。

  3. 在 [若符合下列任一規則,則允許存取] 底下,按一下 [新增]

  4. 在 [允許] 底下,於 [來自特定群組] 和 [要求中具有特定宣告] 旁邊的方塊中放置核取方塊

  5. 在底部,選取群組旁邊帶底線的 [特定] 作為第一個條件

  6. 從快顯的視窗中,選取 [指派原則時指定的參數]。 按一下 [確定] 。

  7. 在底部,選取宣告旁邊帶底線的 [特定] 作為第二個條件

  8. 從快顯的視窗中,選取 [指派存取控制原則時指定的參數]。 按一下 [確定] 。

  9. 按一下 [確定] 。 按一下 [確定] 。

access control policies

如何將存取控制原則指派給新的應用程式

將存取控制原則指派給新的應用程式非常直接了當,且現在已整合至精靈,用於新增 RP。 從信賴憑證者信任精靈中,您可以選取您想要指派的存取控制原則。 這是建立新的信賴憑證者信任時的需求。

Screenshot that shows the Choose Access Control Policy screen.

如何將存取控制原則指派給現有的應用程式

將存取控制原則指派給現有的應用程式,只需從信賴憑證者信任中選取應用程式,然後以滑鼠右鍵按一下 [編輯存取控制原則]

Screenshot that shows the Retrying Party Trusts application.

您可以從這裡選取存取控制原則,並將其套用至應用程式。

Screenshot that shows how to edit the Access Control Policy.

另請參閱

AD FS 操作