在 AD FS 2019 中將協力廠商驗證提供者設定為主要驗證

發行項
2024/03/11
適用於:

✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

組織遇到嘗試暴力密碼破解、入侵或其他藉由傳送密碼型驗證要求來鎖定使用者帳戶的攻擊。為了協助保護組織免於入侵，AD FS 引進了外部網路「智慧型」鎖定和 IP 位址型封鎖等功能。

不過，這些風險降低措施為反應性措施。為了提供主動的方式以減少這些攻擊的嚴重性，AD FS 能夠在收集密碼之前提示其他因素。

例如，AD FS 2016 引進 Microsoft Entra 多重因子身份驗證，當作主要身份驗證方式，來自身份驗證應用程式的 OTP 碼即可當成第一因子使用。從 AD FS 2019 開始，您可以將外部驗證提供者設定為主要驗證因素。

有兩個主要案例可啟用:

案例 1: 保護密碼

先提示輸入額外的外部因素，以保護基於密碼的登入免於暴力密碼破解攻擊和鎖定。只有在外部驗證成功完成時，才會看到密碼提示。這可消除攻擊者嘗試入侵或停用帳戶的便利方式。

此案例包含兩個元件:

提示將 Microsoft Entra 多重因子身份驗證 (AD FS 2016 及更高版本已開放使用) 或外部身份驗證因子當作主要身份驗證方式
以使用者名稱和密碼作為 AD FS 中的其他驗證

案例 2: 無密碼

完全消除密碼，但在 AD FS 使用全密碼方法完成功能強大的多重因子身份驗證

使用 Authenticator 應用程式的 Microsoft Entra 多重因子身份驗證
Windows 10 Hello 企業版
憑證驗證
外部驗證提供者

概念

主要驗證的真正含義是，它是在其他因素之前先向用戶提示的方法。 AD FS 之前唯一的主要方法是用於 Active Directory 或 Microsoft Entra 多重因子身份驗證，或其他 LDAP 身份驗證存放。外部方法可以設定為「額外」的驗證，在主要驗證成功完成之後進行。

在 AD FS 2019 中，外部驗證作為主要驗證功能表示任何在 AD FS 伺服器陣列上註冊的外部驗證提供者 (使用 Register-AdfsAuthenticationProvider) 都可供主要驗證和「其他」驗證使用。針對內部網路和/或外部網路使用，其啟用的方式與內建提供者的方式相同，例如表單驗證和憑證驗證。

authentication

一旦外部提供者啟用外部網路、內部網路或兩者皆啟用，就可供使用者使用。如果啟用多個方法，使用者會看到選擇頁面，而且能夠選擇主要方法，就像他們為其他驗證所做的一樣。

必要條件

將外部驗證提供者設定為主要驗證之前，請確定您已具備下列必要條件。

AD FS 伺服器陣列行為層級 (FBL) 已提升為「4」(此值會轉譯為 AD FS 2019。)
- 這是新 AD FS 2019 伺服器陣列的預設 FBL 值。
- 針對以 Windows Server 2012 R2 或 2016 為基礎的 AD FS 伺服器陣列，可以使用 PowerShell 命令程式 Invoke-AdfsFarmBehaviorLevelRaise 來引發 FBL。如需升級 AD FS 伺服器陣列的詳細資訊，請參閱 SQL 伺服器陣列或 WID 伺服器陣列的伺服器陣列升級文章
- 您可以使用 Cmdlet Get-AdfsFarmInformation 來檢查 FBL 值。
AD FS 2019 伺服器陣列已設定為使用新的 2019 「分頁」使用者面向頁面。
- 這是新 AD FS 2019 伺服器陣列的預設行爲。
- 針對從 Windows Server 2012 R2 或 2016 升級的 AD FS 伺服器陣列，當外部身份驗證啟用為主要驗證 (本文件中所述的功能) 時，分頁流將自動啟用，如本文下一節所述。

將外部驗證方法啟用為主要驗證

驗證必要條件之後，有兩種方式可將 AD FS 其他驗證提供者設定為主要驗證: PowerShell 或 AD FS 管理主控台。

使用 PowerShell

PowerShell

PS C:\> Set-AdfsGlobalAuthenticationPolicy -AllowAdditionalAuthenticationAsPrimary $true

啟用或停用其他驗證作為主要驗證之後，必須重新開機 AD FS 服務。

使用 AD FS 管理主控台

在 AD FS 管理主控台的 [服務] - >[驗證方法] 下，在 [主要驗證方法] 下，選取 [編輯]

選取 [允許其他驗證提供者作為主要驗證] 的核取方塊。

啟用或停用其他驗證作為主要驗證之後，必須重新開機 AD FS 服務。

啟用使用者名稱和密碼作為其他驗證

若要完成「保護密碼」案例，請使用 PowerShell 或 AD FS 管理主控台來啟用使用者名稱和密碼作為其他驗證。這兩種方法都提供了範例。

使用 PowerShell 來啟用使用者名稱和密碼作為其他驗證

PowerShell

PS C:\> $providers = (Get-AdfsGlobalAuthenticationPolicy).AdditionalAuthenticationProvider

PS C:\>$providers = $providers + "FormsAuthentication"

PS C:\>Set-AdfsGlobalAuthenticationPolicy -AdditionalAuthenticationProvider $providers

使用 AD FS 管理主控台來啟用使用者名稱和密碼作為其他驗證

在 AD FS 管理主控台的 [服務] - >[驗證方法] 下，在 [其他驗證方法] 下，選取 [編輯]

選取 [表單驗證] 的核取方塊，以啟用使用者名稱和密碼作為其他驗證。

其他資源

文件

AD FS Windows Server 2016 中的存取控制原則

深入了解：Windows Server 2016 AD FS 中的存取控制原則
Configure Additional Authentication Methods for AD FS

深入了解：設定 AD FS 的其他驗證方法
AD FS 中的用戶端存取控制原則

深入了解：使用 Active Directory 同盟服務控制組織資料的存取
使用驗證原則

深入了解：設定驗證原則
AD FS 中的裝置驗證控制項

本文件說明如何在適用於 Windows Server 2016 和 2012 R2 的 AD FS 中啟用裝置驗證
Windows Server 2012 中建立 AD FS 的自訂驗證方法

此案例說明如何在 Windows Server 中建立 AD FS 的自訂驗證方法。
AD FS 2016 單一登入設定

深入了解：AD FS 單一登入設定
針對AD FS問題進行疑難解答 - Windows Server

描述如何針對Microsoft Entra ID 或 Office 365 中同盟使用者可能發生的驗證問題進行疑難解答。提供徵兆及其解決方案的完整清單。

訓練

模組

管理使用者驗證 - Training

Azure AD 中有多個驗證選項。了解如何根據商務需求，為使用者實作及管理正確的驗證。

認證

Microsoft Certified: Identity and Access Administrator Associate - Certifications

示範 Microsoft Entra ID 的功能，以現代化身分識別解決方案、實作混合式解決方案，以及實作身分識別治理。

事件

Windows Server Summit

4月29日下午2時 - 4月30日下午7時

加入最終的 Windows Server 虛擬活動 4 月 29-30 日，以取得深入探討的技術研討會，並與Microsoft工程師實時問答。

立即註冊

共用方式為