本文档概述了在本地、混合云和云方案中使用 AD FS 进行访问控制。
AD FS 和对本地资源的条件访问
由于引入了 Active Directory 联合身份验证服务,授权策略已可用于根据请求属性和资源限制或允许用户访问资源。 随着 AD FS 从版本迁移到版本,这些策略的实现方式发生了变化。 有关按版本显示的访问控制功能的详细信息,请参阅:
混合组织中的 AD FS 和条件访问
AD FS 在混合方案中提供条件访问策略的本地组件。 应将基于 AD FS 的授权规则用于非 Microsoft Entra 资源,例如直接联合到 AD FS 的本地应用程序。 云组件由 Microsoft Entra 条件访问提供。 Microsoft Entra Connect 提供连接两者的控制平面。
例如,使用 Microsoft Entra ID 注册设备以条件访问云资源时,Microsoft Entra Connect 设备写回功能使设备注册信息在本地可供 AD FS 策略使用和强制执行。 这样,您在本地资源和云资源的访问控制策略上采用了一致的方法。
Office 365 客户端访问策略的演变
许多用户使用客户端访问策略和 AD FS 来限制对 Office 365 和其他 Microsoft Online 服务的访问权限,具体取决于客户端的位置和正在使用的客户端应用程序类型等因素。
这些策略的一些示例包括:
- 阻止对 Office 365 的所有 Extranet 客户端访问
- 阻止对 Office 365 的所有 Extranet 客户端访问,但访问 Exchange Online for Exchange Active Sync 的设备除外
通常,这些策略背后的基本需求是通过确保只有经过授权的客户端、不缓存数据的应用程序或可以远程禁用的设备才能访问资源来缓解数据泄露的风险。
虽然上述 AD FS 策略适用于记录的特定方案,但它们有限制,因为它们依赖于不一致可用的客户端数据。 例如,客户端应用程序的标识仅适用于基于 Exchange Online 的服务,而不适用于 SharePoint Online 等资源,在这些资源中,可以通过浏览器或 Word 或 Excel 等“厚客户端”访问相同的数据。 此外,AD FS 还不知道正在访问的 Office 365 中的资源,例如 SharePoint Online 或 Exchange Online。
为了解决这些限制并提供一种更可靠的方法来使用策略管理对 Office 365 或其他基于 Microsoft Entra 的资源中的业务数据的访问,Microsoft 引入了 Microsoft Entra 条件访问。 Microsoft Entra 条件访问策略可以配置为特定资源,也可以为Microsoft Entra ID 中的 Office 365、SaaS 或自定义应用程序中的任何或所有资源配置。 这些策略依赖于设备信任、位置和其他因素。
若要了解有关 Microsoft Entra 条件访问的详细信息,请参阅 Microsoft Entra ID 中的条件访问
启用这些方案的关键更改是 新式身份验证,这是在 Office 客户端、Skype、Outlook 和浏览器之间以相同方式对用户和设备进行身份验证的新方法。
后续步骤
有关控制跨云和本地的访问的详细信息,请参阅: