建立規則傳送 AD FS 1.x 相容宣告

發行項
02/13/2024

在您使用 Active Directory 同盟服務 (AD FS) 發出由執行 AD FS 1.0 (Windows Server 2003 R2) 或 AD FS 1.1 (Windows Server 2008 或 Windows Server 2008 R2) 的同盟伺服器收到的宣告時，您必須執行下列動作：

建立規則，以 UPN、電子郵件或一般名稱的格式傳送名稱識別碼宣告類型。
傳送的所有其他宣告都必須具有下列其中一個宣告類型：
- AD FS 1.x 電子郵件地址
- AD FS 1.x UPN
- 一般名稱
- 群組
- 以 https://schemas.xmlsoap.org/claims/ 開頭的任何其他宣告類型，例如 https://schemas.xmlsoap.org/claims/EmployeeID

根據貴組織的需求，使用下列其中一個程序來建立 AD FS 1.x 相容 NameID 宣告：

使用傳遞或篩選連入宣告規則範本建立此規則來發出 AD FS 1.x 名稱識別碼宣告
使用轉換傳入宣告規則範本建立此規則來發出 AD FS 1.x 名稱識別碼宣告。如果您想要將現有的宣告類型變更為搭配 AD FS 1 使用的新宣告類型，您可以使用此規則範本。 x 宣告。

注意

若要讓此規則如預期般運作，請確定建立此規則所在的信賴憑證者信任或宣告提供者信任已設定為使用 AD FS 1.0 和 1.1 設定檔。

使用 Windows Server 2016 中信賴憑證者信任上的傳遞或篩選連入宣告規則範本建立規則來發出 AD FS 1.x 名稱識別碼宣告

在 [伺服器管理員] 中，按一下 [工具]，然後選取 [AD FS 管理]。
在主控台樹狀目錄的 [AD FS] 下，按一下 [信賴憑證者信任]。
以滑鼠右鍵按一下選取的信任，然後按一下 [編輯宣告發行原則]。
在 [編輯宣告發行原則] 對話方塊的 [發行轉換規則] 底下，按一下 [新增規則] 以啟動規則精靈。
在 [選取規則範本] 頁面上，在 [宣告規則範本] 底下，從清單中選取 [傳遞或篩選傳入宣告]，然後按一下 [下一步]。
在 [設定規則] 頁面上，輸入宣告規則名稱。
在 [傳入宣告類型] 中，選取清單中的 [名稱識別碼]。
在 [傳入名稱識別碼格式] 中，從清單中選取下列其中一個 AD FS 1.x 相容宣告：
- UPN
- 電子郵件
- 一般名稱
請根據貴組織的需求，選取下列其中一個選項：
- 傳遞所有宣告值
- 僅傳遞特定宣告值
- 僅傳遞符合特定電子郵件尾碼值的宣告值
- 僅傳遞以特定值開頭的宣告值
按一下 [完成]，然後按一下 [確定] 儲存規則。

使用 Windows Server 2016 中宣告提供者信任上的傳遞或篩選連入宣告規則範本建立規則來發出 AD FS 1.x 名稱識別碼宣告

在 [伺服器管理員] 中，按一下 [工具]，然後選取 [AD FS 管理]。
在主控台樹狀目錄的 [AD FS] 下，按一下 [宣告提供者信任]。
以滑鼠右鍵按一下選取的信任，然後按一下 [編輯宣告規則]。
在 [編輯宣告規則] 對話方塊的 [接受轉換規則] 底下，按一下 [新增規則] 以啟動規則精靈。
在 [選取規則範本] 頁面上，在 [宣告規則範本] 底下，從清單中選取 [傳遞或篩選傳入宣告]，然後按一下 [下一步]。
在 [設定規則] 頁面上，輸入宣告規則名稱。
在 [傳入宣告類型] 中，選取清單中的 [名稱識別碼]。
在 [傳入名稱識別碼格式] 中，從清單中選取下列其中一個 AD FS 1.x 相容宣告：
- UPN
- 電子郵件
- 一般名稱
請根據貴組織的需求，選取下列其中一個選項：
- 傳遞所有宣告值
- 僅傳遞特定宣告值
- 僅傳遞符合特定電子郵件尾碼值的宣告值
- 僅傳遞以特定值開頭的宣告值
按一下 [完成]，然後按一下 [確定] 儲存規則。

建立一個規則以在 Windows Server 2016 中轉換信賴憑證者信任上的傳入宣告

在 [伺服器管理員] 中，按一下 [工具]，然後選取 [AD FS 管理]。
在主控台樹狀目錄的 [AD FS] 下，按一下 [信賴憑證者信任]。
以滑鼠右鍵按一下選取的信任，然後按一下 [編輯宣告發行原則]。
在 [編輯宣告發行原則] 對話方塊的 [發行轉換規則] 底下，按一下 [新增規則] 以啟動規則精靈。
在 [選取規則範本] 頁面的 [宣告規則範本] 下，從清單中選取 [轉換傳入宣告]，然後按 [下一步]。
在 [設定規則] 頁面上，輸入宣告規則名稱。
在 [傳入宣告類型] 中，在清單中選取您要轉換的傳入宣告類型。
在 [傳出宣告類型] 中，選取清單中的 [名稱識別碼]。
在 [傳出名稱識別碼格式] 中，從清單中選取下列其中一個 AD FS 1.x 相容宣告：
- UPN
- 電子郵件
- 一般名稱
請根據貴組織的需求，選取下列其中一個選項：
- 傳遞所有宣告值
- 以不同的傳出宣告值取代傳入宣告值
- 以新的電子郵件尾碼取代傳入的電子郵件尾碼
按一下 [完成]，然後按一下 [確定] 儲存規則。

建立一個規則以在 Windows Server 2016 中轉換宣告提供者信任上的傳入宣告

在 [伺服器管理員] 中，按一下 [工具]，然後選取 [AD FS 管理]。
在主控台樹狀目錄的 [AD FS] 下，按一下 [宣告提供者信任]。
以滑鼠右鍵按一下選取的信任，然後按一下 [編輯宣告規則]。
在 [編輯宣告規則] 對話方塊的 [接受轉換規則] 底下，按一下 [新增規則] 以啟動規則精靈。
在 [選取規則範本] 頁面的 [宣告規則範本] 下，從清單中選取 [轉換傳入宣告]，然後按 [下一步]。
在 [設定規則] 頁面上，輸入宣告規則名稱。
在 [傳入宣告類型] 中，在清單中選取您要轉換的傳入宣告類型。
在 [傳出宣告類型] 中，選取清單中的 [名稱識別碼]。
在 [傳出名稱識別碼格式] 中，從清單中選取下列其中一個 AD FS 1.x 相容宣告：
- UPN
- 電子郵件
- 一般名稱
請根據貴組織的需求，選取下列其中一個選項：
- 傳遞所有宣告值
- 以不同的傳出宣告值取代傳入宣告值
- 以新的電子郵件尾碼取代傳入的電子郵件尾碼
按一下 [完成]，然後按一下 [確定] 儲存規則。

使用 Windows Server 2012 R2 上的傳遞或篩選連入宣告規則範本建立規則來發出 AD FS 1.x 名稱識別碼宣告

在 [伺服器管理員] 中，按一下 [工具]，然後按一下 [AD FS 管理]。
在主控台樹狀目錄的 [AD FS\信任關係] 下，按一下 [宣告提供者信任] 或 [信賴憑證者信任]，然後按一下清單中您要在其中建立此規則的特定信任。
以滑鼠右鍵按一下選取的信任，然後按一下 [編輯宣告規則]。
在 [編輯宣告規則] 對話方塊中，根據您要編輯的信任，以及您要在其中建立此規則的規則集，選取下列其中一個索引標籤，然後按一下 [新增規則] 以啟動與該規則集相關聯的規則精靈：
- 接受轉換規則
- 發行轉換規則
- 發行授權規則
- 委派授權規則
在 [選取規則範本] 頁面上，在 [宣告規則範本] 底下，從清單中選取 [傳遞或篩選傳入宣告]，然後按一下 [下一步]。
在 [設定規則] 頁面上，輸入宣告規則名稱。
在 [傳入宣告類型] 中，選取清單中的 [名稱識別碼]。
在 [傳入名稱識別碼格式] 中，從清單中選取下列其中一個 AD FS 1.x 相容宣告：
- UPN
- 電子郵件
- 一般名稱
請根據貴組織的需求，選取下列其中一個選項：
- 傳遞所有宣告值
- 僅傳遞特定宣告值
- 僅傳遞符合特定電子郵件尾碼值的宣告值
- 僅傳遞以特定值開頭的宣告值
按一下 [完成]，然後按一下 [確定] 儲存規則。

使用 Windows Server 2012 R2 上的轉換傳入宣告規則範本建立規則來發出 AD FS 1.x 名稱識別碼宣告

在 [伺服器管理員] 中，按一下 [工具]，然後按一下 [AD FS 管理]。
在主控台樹狀目錄的 [AD FS\信任關係] 下，按一下 [宣告提供者信任] 或 [信賴憑證者信任]，然後按一下清單中您要在其中建立此規則的特定信任。
以滑鼠右鍵按一下選取的信任，然後按一下 [編輯宣告規則]。
在 [編輯宣告規則] 對話方塊中，根據您要編輯的信任，以及您要在其中建立此規則的規則集，選取下列其中一個索引標籤，然後按一下 [新增規則] 以啟動與該規則集相關聯的規則精靈：
- 接受轉換規則
- 發行轉換規則
- 發行授權規則
- 委派授權規則
在 [選取規則範本] 頁面的 [宣告規則範本] 下，從清單中選取 [轉換傳入宣告]，然後按 [下一步]。
在 [設定規則] 頁面上，輸入宣告規則名稱。
在 [傳入宣告類型] 中，在清單中選取您要轉換的傳入宣告類型。
在 [傳出宣告類型] 中，選取清單中的 [名稱識別碼]。
在 [傳出名稱識別碼格式] 中，從清單中選取下列其中一個 AD FS 1.x 相容宣告：
- UPN
- 電子郵件
- 一般名稱
請根據貴組織的需求，選取下列其中一個選項：
- 傳遞所有宣告值
- 以不同的傳出宣告值取代傳入宣告值
- 以新的電子郵件尾碼取代傳入的電子郵件尾碼
按一下 [完成]，然後按一下 [確定] 儲存規則。