共用方式為

在 Microsoft Entra ID 中聲明 AD FS 安全策略:對應和範例

  • 發行項

在本文中,您將瞭解如何在移動應用程式驗證時,將授權和多重要素驗證規則從 AD FS 對應至Microsoft Entra ID。 瞭解如何滿足應用程式擁有者的安全性需求,同時讓應用程式移轉程序更容易對應每個規則。

將應用程式驗證移至 Microsoft Entra ID 時,請從現有的安全性原則建立對應至 Microsoft entra ID 中可用的對等項目或替代變體。 確保這些對應可以完成,同時滿足應用程式擁有者所需的安全性標準,讓其餘的應用程式移轉更容易。

對於每個規則範例,我們會在 AD FS 中顯示規則的外觀、AD FS 規則語言的對等程式碼,以及此程式碼如何對應至 Microsoft Entra ID。

對應授權規則

以下是 AD FS 中各種類型的授權規則範例,以及如何將它們對應至 Microsoft Entra ID。

範例 1:允許存取所有使用者

允許存取 AD FS 中的所有使用者:

此螢幕擷取畫面顯示如何編輯所有使用者的存取權。

這會以下列其中一種方式對應至 Microsoft Entra ID:

  1. 將 [需要指派] 設定為 [否]

    注意

    [需要指派] 設定為 [是] 需要將使用者指派給應用程式以取得存取權。 當設定為 [否] 時,所有使用者都有存取權。 此參數不會控制使用者在我的應用程式體驗中看到的內容。

  2. 在 [使用者和群組]索引標籤中,將您的應用程式指派給所有使用者自動群組。 您必須在 Microsoft Entra 租用戶中 啟用動態群組,才能使用預設的 所有使用者 群組。

    此螢幕擷取畫面顯示 Microsoft Entra ID 中 [我的 SaaS 應用程式]。

範例 2:明確允許群組

AD FS 中的明確群組授權:

此螢幕擷取畫面顯示 [允許網域管理員宣告規則] 的 [編輯規則] 對話方塊。

若要將此規則對應至 Microsoft Entra ID:

  1. Microsoft Entra 系統管理中心 中, 建立對應於 AD FS 使用者群組的使用者群組

  2. 將應用程式權限指派給群組:

    此螢幕擷取畫面顯示如何將指派新增至應用程式。

範例 3:授權特定使用者

AD FS 中的明確使用者授權:

此螢幕擷取畫面顯示 [允許特定使用者宣告規則] 的 [編輯規則] 對話方塊,其中包含主要 S I D 的傳入宣告類型。

若要將此規則對應至 Microsoft Entra ID:

對應多重要素驗證規則

多重要素驗證 (MFA) 和 AD FS 的內部部署仍會在移轉後運作,因為您與 AD FS 同盟。 不過,請考慮移轉至已繫結 Microsoft Entra 條件式存取原則的 Azure 內建 MFA 功能。

以下是 AD FS 中 MFA 規則類型的範例,以及如何根據不同的條件,將其對應至 Microsoft Entra ID。

AD FS 中的 MFA 規則設定:

此螢幕擷取畫面顯示 Microsoft Entra 系統管理中心中 Microsoft Entra ID 的條件。

範例 1:根據使用者/群組強制執行 MFA

使用者/群組選取器是一項規則,可讓您在每個群組的 (群組 SID) 或個別使用者 (主要 SID) 基礎上強制執行 MFA。 除了使用者/群組指派之外,AD FS MFA 組態 UI 中的所有其他核取方塊都會作為在強制執行使用者/群組規則之後評估的額外規則。

一般條件式存取原則:所有使用者都需要 MFA

範例 2:針對未註冊的裝置強制執行 MFA

在 Microsoft Entra 中指定未註冊裝置的 MFA 規則:

一般條件式存取原則:需要符合規範的裝置、Microsoft Entra 混合式聯結裝置,或所有使用者的多重要素驗證

對應發出屬性作為宣告規則

將屬性發出為 AD FS 中的宣告規則:

此螢幕擷取畫面顯示 [發出屬性作為宣告] 的 [編輯規則] 對話方塊。

若要將規則對應至 Microsoft Entra ID:

  1. Microsoft Entra 系統管理中心 中,選取 [企業應用程式],然後選取 [單一登入] 來檢視 SAML 型登入組態:

    此螢幕擷取畫面顯示企業應用程式的 [單一登入] 頁面。

  2. 選取 [編輯] (反白顯示) 修改屬性:

    此螢幕擷取畫面顯示編輯使用者屬性和宣告的頁面。

對應內建存取控制原則

AD FS 2016 中的內建存取控制原則:

此螢幕擷取畫面顯示 Microsoft Entra ID 內建的存取控制。

若要在 Microsoft Entra ID 中實作內建原則,請使用 新的條件式存取原則 並設定存取控制,或使用 AD FS 2016 中的自訂原則設計工具來設定存取控制原則。 「規則編輯器」有一份完整的「允許」和「例外」選項,可協助您排列所有種類。

此螢幕擷取畫面顯示 Microsoft Entra ID 內建的存取控制原則。

在此表格中,我們列出一些實用的 Permit 和 Except 選項,以及它們如何對應至 Microsoft Entra ID。

選項 如何在 Microsoft Entra ID 中設定 [允許] 選項? 如何在 Microsoft Entra ID 中設定 Except 選項?
來自特定網路 對應至 Microsoft Entra 中的 具名位置 針對信任的位置使用 [排除] 選項
來自特定群組 設定使用者/群組指派 在使用者和群組中使用 [排除] 選項
從具有特定信任層級的裝置 裝置狀態控制項的 [指派- > 條件] 底下進行設定 使用 [裝置狀態條件] 下的 [排除] 選項,並包含 所有裝置
使用要求中的特定宣告 此設定無法移轉 此設定無法移轉

以下範例說明如何在 Microsoft Entra 系統管理中心中設定受信任位置的 Exclude 選項:

對應存取控制原則的螢幕擷取畫面。

將使用者從 AD FS 轉換至 Microsoft Entra ID

同步處理 Microsoft Entra ID 中的 AD FS 群組

當您對應授權規則時,使用 AD FS 進行驗證的應用程式可能會使用 Active Directory 群組來取得權限。 在這種情況下,在移轉應用程式之前,請先使用 Microsoft Entra Connect,將這些群組與 Microsoft Entra ID 同步處理。 在遷移之前,請務必先驗證這些群組和成員資格,讓您可以在應用程式遷移時授與相同使用者的存取權。

如需詳細資訊,請參閱使用從 Active Directory 同步的群組屬性的必要條件

設定使用者自我佈建

有些 SaaS 應用程式支援在使用者第一次登入應用程式時,能夠佈建 Just-In-Time (JIT) 使用者。 在 Microsoft Entra ID 中,應用程式佈建是指在使用者需要存取的雲端 (SaaS) 應用程式中自動建立使用者身分識別和角色。 已遷移的使用者在 SaaS 應用程式中已經有一個帳戶。 必須佈建在遷移後新增的任何新使用者。 在應用程式遷移之後,測試 SaaS 應用 程式佈建。

同步處理 Microsoft Entra ID 中的外部使用者

您可以透過下列兩種方式,在 AD FS 中設定您現有的外部使用者:

  • 在您的組織內使用本機帳戶的外部使用者,您可以繼續使用這些帳戶,與您的內部使用者帳戶運作方式相同。 這些外部使用者帳戶在您的組織內有一個主體名稱,雖然帳戶的電子郵件可能指向外部。

隨著移轉的進行,您可以藉由移轉這些使用者,在這類身分識別可用時,利用 Microsoft Entra B2B 提供的優點。 這樣可以簡化這些使用者登入的程式,因為他們經常使用自己的公司登入進行登入。 您組織的管理也比較簡單,而不需要管理外部使用者的帳戶。

無論您現有的外部使用者的設定方式為何,他們可能會有與其帳戶相關聯的權限,不論是群組成員資格或特定權限。 評估是否需要遷移或清除這些權限。

您組織內代表外部使用者的帳戶必須在使用者遷移至外部身分識別之後停用。 應與您的商務合作夥伴討論遷移流程,因為流程可能會中斷連線到您資源的功能。

下一步