使用條件式存取控制管理風險
重要概念 - AD FS 中的條件式存取控制
AD FS 的主要功能是發行包含一組宣告的存取權杖。 AD FS 要接受並發行哪些宣告的決定是由宣告規則負責控管。
AD FS 中的存取控制透過發行授權宣告規則加以實作,該規則可用來發行允許或拒絕宣告,以決定使用者或使用者群組是否可存取受 AD FS 保護的資源。 只可以在信賴憑證者信任上設定授權規則。
| 規則選項 | 規則邏輯 |
|---|---|
| 允許所有使用者 | 如果傳入宣告類型等於「任何宣告類型」且值等於「任何值」,則會發行值等於「允許」的宣告 |
| 允許具有這個傳入宣告的使用者存取 | 如果傳入宣告類型等於「指定的宣告類型」且值等於「指定的宣告值」,則會發行值等於「允許」的宣告 |
| 拒絕具有這個傳入宣告的使用者的存取 | 如果傳入宣告類型等於「指定的宣告類型」且值等於「指定的宣告值」,則會發行值等於「拒絕」的宣告 |
如需有關這些規則選項和邏輯的詳細資訊,請參閱 When to Use an Authorization Claim Rule。
在 Windows Server 2012 R2 中的 AD FS 中,存取控制具有多種因素,包括使用者、裝置、位置和驗證資料。 這種方法之所以可行是因為授權宣告規則有多種不同的宣告類型。 換句話說,在 Windows Server 2012 R2 的 AD FS 中,您可以根據使用者身分識別或群組成員資格、網路位置、裝置 (無論是否加入工作地點,如需詳細資訊,請參閱從任何裝置加入工作地點,並在公司的各個應用程式提供 SSO 和無縫式的次要因素驗證),以及驗證狀態 (無論是否已執行多因素驗證 (MFA)) 來強制執行多因素存取控制。
Windows Server 2012 R2 中 AD FS 的條件式存取控制提供下列優點:
根據每個應用程式提供彈性且易懂的授權原則,據此您可以依使用者、裝置、網路位置和驗證狀態來允許或拒絕存取
建立信賴憑證者應用程式的發行授權規則
為一般條件式存取控制案例提供豐富的 UI 使用經驗
為進階條件式存取控制案例提供豐富的宣告語言和 Windows PowerShell 支援
自訂的 (每個信賴憑證者應用程式)「拒絕存取」訊息。 如需詳細資訊,請參閱 Customizing the AD FS Sign-in Pages。 透過自訂這些訊息,您可以解釋拒絕使用者存取的原因,同時視需要提供自助補救,例如,提示使用者將裝置加入工作地點。 如需詳細資訊,請參閱 Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications。
下表包含 Windows Server 2012 R2 中 AD FS 可用來實作條件式存取控制的所有宣告類型。
| 宣告類型 | 描述 |
|---|---|
| 電子郵件地址 | 使用者的電子郵件地址。 |
| 名字 | 使用者的名字。 |
| 名稱 | 使用者的唯一名稱。 |
| UPN | 使用者的使用者主要名稱 (UPN)。 |
| 一般名稱 | 使用者的一般名稱。 |
| AD FS 1 x 電子郵件地址 | 與 AD FS 1.1 或 AD FS 1.0 交互作業時的使用者電子郵件地址。 |
| 群組 | 使用者所屬的群組。 |
| AD FS 1 x UPN | 與 AD FS 1.1 或 AD FS 1.0 交互作業時的使用者 UPN。 |
| 角色 | 使用者擁有的角色。 |
| Surname | 使用者的姓氏。 |
| PPID | 使用者的私人識別碼。 |
| 名稱 ID | 使用者的 SAML 名稱識別碼。 |
| 驗證時間戳記 | 用來顯示使用者通過驗證的時間和日期。 |
| 驗證方法 | 用來驗證使用者的方法。 |
| 僅拒絕群組 SID | 使用者的僅拒絕群組 SID。 |
| 僅拒絕主要 SID | 使用者的僅拒絕主要 SID。 |
| 僅拒絕主要群組 SID | 使用者的僅拒絕主要群組 SID。 |
| 群組 SID | 使用者的群組 SID。 |
| 主要群組 SID | 使用者的主要群組 SID。 |
| 主要 SID | 使用者的主要 SID。 |
| Windows 帳戶名稱 | 使用者的網域帳戶名稱,形式為網域\使用者。 |
| 是註冊的使用者 | 使用者已註冊使用此裝置。 |
| 裝置識別碼 | 裝置的識別碼。 |
| 裝置註冊識別碼 | 裝置註冊的識別碼。 |
| 裝置註冊顯示名稱 | 裝置註冊的顯示名稱。 |
| 裝置 OS 類型 | 裝置的作業系統類別。 |
| 裝置 OS 版本 | 裝置的作業系統版本。 |
| 是受管理的裝置 | 裝置是由管理服務負責管理。 |
| 轉寄的用戶端 IP | 使用者的 IP 位址。 |
| 用戶端應用程式 | 用戶端應用程式的類型。 |
| 用戶端使用者代理程式 | 用戶端用來存取應用程式的裝置類型。 |
| 用戶端 IP | 用戶端的 IP 位址。 |
| 端點路徑 | 用來判斷主動或被動用戶端的絕對端點路徑。 |
| Proxy | 傳送要求的同盟伺服器 Proxy DNS 名稱。 |
| 應用程式識別碼 | 信賴憑證者的識別碼。 |
| 應用程式原則 | 憑證的應用程式原則。 |
| 授權單位金鑰識別元 | 簽署已發行憑證的憑證授權單位金鑰識別元延伸。 |
| 基本限制 | 憑證的其中一個基本限制。 |
| 增強金鑰使用方法 | 說明憑證的其中一個增強金鑰使用方法。 |
| Issuer | 發行 X.509 憑證的憑證授權單位名稱。 |
| 簽發者名稱 | 憑證簽發者的辨別名稱。 |
| 金鑰使用方法 | 說明憑證的其中一個增強金鑰使用方法。 |
| 不能晚於 | 憑證不再有效的當地時間日期。 |
| 不能早於 | 憑證生效的當地時間日期。 |
| 憑證原則 | 發行憑證所遵循的原則。 |
| 公開金鑰 | 憑證的公開金鑰。 |
| 憑證原始資料 | 憑證的原始資料。 |
| 主體別名 | 憑證的其中一個替代名稱。 |
| 序號 | 憑證的序號。 |
| 簽章演算法 | 建立憑證簽章所用的演算法。 |
| 主旨 | 來自憑證的主體。 |
| 主體金鑰識別碼 | 憑證的主體金鑰識別碼。 |
| 主體名稱 | 來自憑證的主體辨別名稱。 |
| V2 範本名稱 | 發行或續約憑證時所用的版本 2 憑證範本名稱。 這是 Microsoft 特定的值。 |
| V1 範本名稱 | 發行或續約憑證時所用的版本 1 憑證範本名稱。 這是 Microsoft 特定的值。 |
| 指紋 | 憑證的指紋。 |
| X 509 版本 | 憑證的 X.509 格式版本。 |
| 公司網路內部 | 用來指出要求是否從公司網路內部產生。 |
| 密碼到期時間 | 用來顯示密碼到期的時間。 |
| 密碼到期天數 | 用來顯示密碼到期的天數。 |
| 更新密碼 URL | 用來顯示更新密碼服務的網址。 |
| 驗證方法參考 | 用來指出驗證使用者所用的所有驗證方法。 |
使用條件式存取控制管理風險
使用可用的設定,實作條件式存取控制來管理風險的方法有很多種。
常見案例
例如,想像一個簡單的案例,根據特定應用程式 (信賴憑證者信任) 的使用者群組成員資格資料來實作條件式存取控制。 換句話說,您可以在同盟伺服器上設定發行授權規則,讓屬於您 AD 網域中某個群組的使用者存取受 AD FS 保護的特定應用程式。 如需實作此案例的詳細逐步指示 (使用 UI 和 Windows PowerShell),請參閱 Walkthrough Guide: Manage Risk with Conditional Access Control。 若要完成本逐步解說中的步驟,您必須設定實驗室環境,並遵循在 Windows Server 2012 R2 中設定 AD FS 的實驗室環境中的步驟。
進階案例
在 Windows Server 2012 R2 的 AD FS 中實作條件式存取控制的其他範例包括:
只有在此使用者的身分識別通過 MFA 驗證後,才能允許存取受 AD FS 保護的應用程式
您可以使用下列程式碼:
@RuleTemplate = "Authorization" @RuleName = "PermitAccessWithMFA" c:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");如果存取要求來自使用者註冊的裝置,且該裝置已經加入工作地點,則允許存取受 AD FS 保護的應用程式
您可以使用下列程式碼:
@RuleTemplate = "Authorization" @RuleName = "PermitAccessFromRegisteredWorkplaceJoinedDevice" c:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");如果存取要求來自身分識別已通過 MFA 驗證的使用者註冊的裝置,且該裝置已經加入工作地點,則允許存取受 AD FS 保護的應用程式
您可以使用下列程式碼
@RuleTemplate = "Authorization" @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice" c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] && c2:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");只在存取要求是來自身分識別已通過 MFA 驗證的使用者,才允許外部網路存取受 AD FS 保護的應用程式。
您可以使用下列程式碼:
@RuleTemplate = "Authorization" @RuleName = "RequireMFAForExtranetAccess" c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] && c2:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value =~ "^(?i)false$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
另請參閱
逐步解說指南:使用條件式存取控制管理風險在 Windows Server 2012 R2 中設定 AD FS 的實驗室環境