规划基于设备的条件性访问本地

本文档介绍混合方案中基于设备的条件访问策略,其中会使用 Microsoft Entra Connect 将本地目录连接到 Microsoft Entra ID。

AD FS 和混合条件访问

AD FS 在混合方案中提供条件访问策略的本地组件。 使用 Microsoft Entra ID 注册设备以实现对云资源的条件访问时,Microsoft Entra Connect 设备写回功能使设备注册信息在本地可用,以供 AD FS 策略使用和强制执行。 这样就可以使用一致的方法来访问本地和云资源的访问控制策略。

conditional access

已注册设备的类型

有三种类型的已注册设备,所有这些设备都表示为 Microsoft Entra ID 中的设备对象,也可用于本地使用 AD FS 的条件访问。

说明 添加工作或学校帐户 Microsoft Entra 联接 Windows 10 域加入
说明 用户以交互方式将其工作或学校帐户添加到其 BYOD 设备。 注意:“添加工作或学校帐户”的是 Windows 8/8.1 中“工作区加入”的替代途径 用户将自己的 Windows 10 工作设备加入 Microsoft Entra ID。 已加入域的 Windows 10 设备会自动注册到 Microsoft Entra ID。
用户如何登录到设备 不以工作或学校帐户登录到 Windows。 使用 Microsoft 帐户进行登录。 以注册设备的帐户(工作或学校帐户)身份登录到 Windows。 使用 AD 帐户登录。
如何管理设备 MDM 策略(另有 Intune 注册) MDM 策略(另有 Intune 注册) 组策略、配置管理器
Microsoft Entra ID 信任类型 已通过工作区加入 已建立 Microsoft Entra 联接 加入域
W10 设置位置 “设置”>“帐户”>“你的帐户”>“添加工作或学校帐户” “设置”>“系统”>“关于”>“加入 Microsoft Entra ID” “设置”>“系统”>“关于”>“加入域”
也可用于 iOS 和 Android 设备?

若要详细了解注册设备的不同方式,另请参阅:

Windows 10 中用户和设备的登录方式与以前版本的不同

对于 Windows 10 和 AD FS 2016,你应该了解关于设备注册和身份验证的一些新内容(尤其是当你熟悉以前版本中的设备注册和“工作区加入”时)。

首先,在 Windows Server 2016 中的 Windows 10 和 AD FS 中,设备注册和身份验证不再仅基于 X509 用户证书。 有一个新的、更可靠的协议,可提供更高的安全性以及更顺畅的用户体验。 对于 Windows 10 域加入和 Microsoft Entra 加入,主要区别在于有一个 X509 计算机证书和一个名为 PRT 的新凭据。 可在此处此处阅读全面的相关信息。

其次,Windows 10 和 AD FS 2016 支持使用 Windows Hello 企业版进行用户身份验证,可在此处此处阅读相关信息。

AD FS 2016 基于 PRT 和 Passport 凭据提供无缝的设备和用户 SSO。 使用本文档中的步骤,可以启用这些功能并查看其效果。

设备访问控制策略

设备可用于简单的 AD FS 访问控制规则,例如:

  • 仅允许从已注册的设备进行访问
  • 针对未注册的设备,要求进行多重身份验证

然后可将这些规则与其他因素(如网络访问位置和多重身份验证)相结合,创建丰富的条件访问策略,例如:

  • 要求对从公司网络外部访问的未注册设备(特定组的成员除外)进行多重身份验证

使用 AD FS 2016,还可对这些策略进行专门的配置以要求特定的设备信任级别:“已通过身份验证”、“托管”或“合规”。

有关配置 AD FS 控制策略的详细信息,请参阅 AD FS 中的访问控制策略

经过身份验证的设备

经过身份验证的设备是未在 MDM(适用于 Windows 10 的 Intune 和第三方 MDM、仅适用于 iOS 和 Android 的 Intune)中注册的已注册设备。

经过身份验证的设备将具有值为 FALSE 的 isManaged AD FS 声明。 (而完全未注册的设备会缺少此声明。)经过身份验证的设备(以及所有已注册设备)将具有值为 TRUE 的 isKnown AD FS 声明。

托管设备:

托管设备是已注册到 MDM 的已注册设备。

托管设备将具有值为 TRUE 的 isManaged AD FS 声明。

合规设备(符合 MDM 或组策略)

合规设备是注册到 MDM 且符合 MDM 策略的已注册设备。 (合规性信息来源于 MDM,并写入 Microsoft Entra ID。)

合规设备将具有值为 TRUE 的 isCompliant AD FS 声明。

有关 AD FS 2016 设备和条件访问声明的完整列表,请参阅参考

参考

更新和中断性变更 - Microsoft 标识平台 | Microsoft Docs

新 AD FS 2016 和设备声明的完整列表

  • https://schemas.microsoft.com/ws/2014/01/identity/claims/anchorclaimtype
  • https://schemas.xmlsoap.org/ws/2005/05/identity/Identity_Selector_Interoperability_Profile_V1.5.pdf
  • https://schemas.microsoft.com/2014/03/psso
  • https://schemas.microsoft.com/2015/09/prt
  • http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
  • https://schemas.xmlsoap.org/ws/2005/05/identity/Identity_Selector_Interoperability_Profile_V1.5_Web_Guide.pdf
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
  • https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid
  • /dotnet/api/system.security.claims.claimtypes.windowsdeviceclaim
  • https://schemas.microsoft.com/2012/01/devicecontext/claims/identifier
  • https://schemas.microsoft.com/2012/01/devicecontext/claims/ostype
  • https://schemas.microsoft.com/2012/01/devicecontext/claims/osversion
  • https://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged
  • https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser
  • /dotnet/api/system.security.claims.claimtypes.windowsdeviceclaim
  • https://schemas.microsoft.com/2014/02/deviceusagetime
  • https://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
  • https://schemas.microsoft.com/2014/09/devicecontext/claims/trusttype
  • https://schemas.microsoft.com/claims/authnmethodsreferences
  • https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent
  • https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path
  • https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork
  • https://schemas.microsoft.com/2012/01/requestcontext/claims/client-request-id
  • https://schemas.microsoft.com/2012/01/requestcontext/claims/relyingpartytrustid
  • https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-ip
  • https://schemas.microsoft.com/2014/09/requestcontext/claims/userip
  • https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod