AD FS 操作

• 适用于:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

重要

Microsoft 强烈建议迁移到 Microsoft Entra ID，而不是升级到最新版本的 AD FS。 有关详细信息，请参阅关于停用 AD FS 的资源

本文档包含 AD FS 的所有文档操作的列表。

服务配置

• 更新 AD FS 和 WAP 2016 中的 SSL 证书
• AD FS 快速还原工具
• 在 AD FS 中为证书身份验证配置备用主机名绑定
• 添加属性存储
• 使用 AD FS 2019 自定义 HTTP 安全响应标头
• 向非管理员用户委派 AD FS Powershell Commandlet 访问权限
• 调优 SQL 和地址延迟
• AlwaysOn 可用性组
• 什么是 KDFv2？

身份验证配置

强身份验证 (MFA) 和无密码

• 在 AD FS（2019 或更高版本）中将外部身份验证提供程序配置为主要提供程序
• 配置 AD FS（2016 或更高版本）和 Azure MFA
• 为 AD FS 配置额外的身份验证方法

锁定保护

• 配置 AD FS Extranet 软锁定保护
• 配置 AD FS Extranet 智能锁定保护
• 配置 AD FS Extranet 禁止 IP

策略配置

• 配置身份验证策略
• 配置备用登录 ID
• 配置 Microsoft Entra 提示登录行为以使用 AD FS 策略

Kerberos 和证书身份验证

• 在 AD FS 中启用 AD DS 声明和 kerberos 复合身份验证
• 配置 AD FS 以执行用户证书身份验证
• 在 AD FS 中为证书身份验证配置备用主机名绑定

设备

• AD FS 中的设备身份验证控件

授权配置

• 配置 AD FS 中的访问控制策略
• 配置基于设备的本地条件访问

RPT 和 CPT 配置

• 配置 AD FS 以对存储在 LDAP 目录中的用户进行身份验证
• 配置声明规则
• 创建声明提供方信任
• 创建非声明感知信赖方信任
• 创建信赖方信任
• 配置 AD FS 以使用聚合联合提供程序（例如 InCommon）

登录体验配置

• 配置 AD FS 2016 单一登录设置
• 配置 AD FS 分页登录
• 配置 AD FS 用户登录自定义
• 配置 AD FS 以发送密码过期声明
• 为不支持 WIA 的设备配置基于 Intranet 表单的身份验证

其他

• 跨公司应用程序从任一设备加入工作区以实现 SSO 和无缝第二重身份验证
• 使用适用于敏感应用程序的附加多重身份验证管理风险
• 使用条件访问控制管理风险
• 设置 AD FS 实验室环境
• 演练指南：使用适用于敏感应用程序的附加多重身份验证管理风险
• 操作实例指南：使用条件访问控制管理风险
• 演练：使用 Windows 设备加入工作区
• 演练：使用 iOS 设备加入工作区