使用 Microsoft Entra 多重要素驗證與 AD FS 保護雲端資源

發行項
06/21/2024

如果您的組織與 Microsoft Entra 多重要素驗證或 Active Directory Federation Services (AD FS) 同盟，來保護 Microsoft Entra ID 存取的資源。使用下列程序可利用 Microsoft Entra 多重要素驗證或 Active Directory 同盟服務來保護 Microsoft Entra 資源。

注意

將網域設定 federatedIdpMfaBehavior 設定為 enforceMfaByFederatedIdp (建議) 或將 SupportsMFA 設定為 $True。如果兩者都設定，federatedIdpMfaBehavior 設定會覆寫 SupportsMFA。

使用 AD FS 保護 Microsoft Entra 資源

若要保護雲端資源，請設定宣告規則，以便在使用者成功執行雙步驟驗證時，Active Directory Federation Services 會發出 multipleauthn 宣告。此宣告會傳遞至 Microsoft Entra ID。遵循此程序來逐步執行各個步驟︰

開啟 AD FS 管理。
在左側選取 [信賴憑證者信任]。
以滑鼠右鍵按一下 [Microsoft Office 365 身分識別平台]，然後選取 [編輯宣告規則]。
在 [發佈轉換規則] 上，按一下 [新增規則]。
在 [新增轉換宣告規則精靈] 上，從下拉式清單選取 [通過或篩選傳入宣告]，然後按 [下一步]。
為您的規則命名。
選取 [驗證方法參考] 做為傳入宣告類型。
選擇傳遞所有宣告值。
按一下完成。關閉 AD FS 管理主控台。

同盟使用者的可信任 IP

信任的 IP 可讓系統管理員針對特定的 IP 位址，或針對從他們自己的內部網路發出要求的同盟使用者，略過雙步驟驗證。下列各節說明如何使用受信任的 IP 來設定略過。這是藉由設定 AD FS 使用「通過或篩選傳入宣告」範本與「位於公司網路之內」宣告類別來達成。

此範例使用 Microsoft 365 做為信賴憑證者信任。

設定 AD FS 宣告規則

我們要做的第一件事是設定 AD FS 宣告。建立兩個宣告規則，一個用於「位於公司網路之內」宣告類型，另一個用於保持使用者登入。

開啟 AD FS 管理。
在左側選取 [信賴憑證者信任]。
以滑鼠右鍵按一下 [Microsoft Office 365 身分識別平台]，然後選取 [編輯宣告規則...]
在 [發佈轉換規則] 上，按一下 [新增規則]
在 [新增轉換宣告規則精靈] 上，從下拉式清單選取 [通過或篩選傳入宣告]，然後按 [下一步]。
在 [宣告規則名稱] 旁邊的方塊中，命名您的規則。例如：InsideCorpNet。
從 [連入宣告類型] 旁邊的下拉式清單中，選取 [位於公司網路之內]。
按一下完成。
在 [發佈轉換規則] 上，按一下 [新增規則]。
在 [新增轉換宣告規則精靈] 上，從下拉式清單選取 [使用自訂規則傳送宣告]，然後按 [下一步]。
在 [宣告規則名稱] 下的方塊中：輸入「保持使用者登入」。

在 [自訂規則] 方塊中輸入：

    c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

建立自訂宣告以讓使用者保持登入

按一下完成。
按一下套用。
按一下 [確定] 。
關閉 [AD FS 管理]。

搭配同盟使用者設定 Microsoft Entra 多重要素驗證信任的 IP

提示

根據您開始的入口網站不同，適用本文中的步驟可能會略有不同。

既然已經有宣告，我們可以開始設定信任的 IP。

以至少驗證原則管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [條件式存取]>[具名位置]。
從 [條件式存取 - 具名位置] 刀鋒視窗，選取 [設定 MFA 信任的 IP]
在 [服務設定] 頁面的 [信任的 IP] 下，選取 [對於來自內部網路之同盟使用者的要求略過多重要素驗證]。
按一下 [儲存]。

介紹完畢此時，當宣告源自公司內部網路之外時，Microsoft 365 使用者同盟應該只須使用 MFA。

共用方式為