使用 Active Directory 同盟服務控制組織資料的存取

本檔提供跨內部部署、混合式和雲端案例的 AD FS 存取控制概觀。

AD FS 和內部部署資源的條件式存取

自 Active Directory 同盟服務引進以來，授權原則已可供根據要求和資源的屬性來限制或允許使用者存取資源。 當 AD FS 從版本移至版本時，這些原則的實作方式已變更。 如需依版本存取控制功能的詳細資訊，請參閱：

• Windows Server 2016 的 AD FS 中的存取控制原則
• Windows Server 2012 R2 中 AD FS 中的存取控制

混合式組織中的 AD FS 和條件式存取

AD FS 在混合式案例中提供條件式存取原則的內部部署元件。 AD FS 式授權規則應該用於非 Microsoft Entra 資源，例如直接讓內部部署的應用程式與 AD FS 聯盟。 雲端組成元件由 Microsoft Entra 條件式存取提供。 Microsoft Entra Connect 提供連接兩者的控制平面。

例如，當您以 Microsoft Entra ID 註冊裝置，以便條件式存取雲端資源時，Microsoft Entra Connect 裝置的回寫功能可以內部部署裝置註冊資訊，供 AD FS 原則使用和強制執行。 如此一來，您即可針對內部部署和雲端資源使用一致的存取控制原則。

Office 365 的用戶端存取原則演進

您中的許多人使用用戶端存取原則搭配 AD FS，根據用戶端的位置和所使用用戶端應用程式類型等因素，限制對 Office 365 和其他 Microsoft Online 服務的存取。

• Windows Server 2012 R2 AD FS 中的用戶端存取原則
• AD FS 2.0 中的用戶端存取原則

這些原則的一些範例包括：

• 封鎖 Office 365 的所有外部網路用戶端存取
• 封鎖 Office 365 的所有外部網路用戶端存取，但存取 Exchange Active Sync Exchange Online 的裝置除外

這些原則背後的基礎需求通常是確保只有授權的用戶端、不快取資料的應用程式，或可以從遠端停用的裝置，來降低資料外泄的風險。

雖然上述記載的 AD FS 原則可在記載的特定案例中運作，但它們有限制，因為它們相依於未一致可用的用戶端資料。 例如，用戶端應用程式的身分識別僅適用於 Exchange Online 服務，不適用於 SharePoint Online 等資源，其中相同的資料可能透過瀏覽器或 Word 或 Excel 等「厚用戶端」來存取。 此外，AD FS 也不知道正在存取 Office 365 內的資源，例如 SharePoint Online 或 Exchange Online。

為了因應這些限制和提供一種更健全的使用政策管理對 Office 365 或其他 Microsoft Entra ID 式資源的商業資料存取，Microsoft 已經引進 Microsoft Entra 條件式存取機制。 Microsoft Entra 條件式存取政策可以針對特定資源或 Office 365、SaaS 裡的任何所有資源或 Microsoft Entra ID 裡的自訂應用程式配置。 這些原則會樞紐處理裝置信任、位置和其他因素。

若要更詳細了解關於 Microsoft Entra 條件式存取的資訊，請參閱 Microsoft Entra ID 的條件式存取

啟用這些案例的關鍵變更是新式驗證，這是驗證使用者和裝置的新方式，可跨 Office 用戶端、Skype、Outlook 和瀏覽器運作。

後續步驟

如需控制跨雲端和內部部署存取的詳細資訊，請參閱：

• Microsoft Entra ID 的條件式存取
• AD FS 2016 2.0 中的存取控制原則