藉由在 Active Directory 同盟服務 (AD FS) 中使用 轉換傳入宣告 規則範本,您可以選取傳入宣告、變更其宣告類型,以及變更其宣告值。 例如,您可以使用此規則範本來建立一個用於傳送角色宣告的規則,該角色宣告的宣告值與傳入群組宣告的值相同。 當傳入的群組宣告值為 Admins 時,您也可以使用此規則來傳送具有「購買者」宣告的群組宣告,或者您只能傳送以 結尾 @fabrikam的用戶主體名稱 (UPN) 宣告。
您可以使用下列程序來透過 AD FS 管理單元建立宣告規則。
本機電腦上的 Administrators或對等的成員資格是完成此程序的最低需求。 請檢閱本機與網域預設群組中關於使用適當帳戶和群組成員資格的詳細資料。
若要在 Windows Server 2016 中的信賴方信任建立規則以轉換來自外部的宣告
在 [伺服器管理員] 中,按兩下 [工具],然後選取 [AD FS 管理]。
在主控台樹的 [AD FS] 下,點擊 [信賴方信任]。
在選取的信任上按一下滑鼠右鍵,然後按一下 編輯宣告發行原則。
![此螢幕快照顯示當您建立規則以轉換 Windows Server 2016 中信賴憑證者信任的傳入宣告時,選取 [編輯宣告發行原則] 的位置。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule10.png)
在 [編輯宣告發行原則] 對話方塊的 [發行轉換 規則] 底下,按兩下 [新增規則],以啟動規則精靈。
![此螢幕快照顯示當您建立規則以轉換 Windows Server 2016 中信賴憑證者信任的傳入宣告時,要選取 [新增規則的位置]。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule11.png)
在 [選取規則範本] 頁面的 [宣告規則範本] 底下,從清單中選取 [轉換傳入宣告],然後按一下 [下一步]。
在 設定規則 頁面上,在 宣告規則名稱 下,輸入此規則的顯示名稱。 在 [傳入宣告類型] 中,選取清單中的宣告類型。 在 [傳出宣告類型] 中,選取清單中的宣告類型,然後選取下列其中一個選項,視組織的需求而定:
傳遞所有索賠值
以不同的傳出宣告值取代傳入宣告值
將內送電子郵件後綴宣告取代為新的電子郵件後綴
單擊 [完成] 按鈕
。 在 [編輯宣告規則] 對話框中,按一下 [確定] 儲存規則。
備註
如果您要設定使用 AD FS 核發宣告的動態存取控制案例,請先在宣告提供者信任上建立轉換規則,然後在 傳入宣告類型中輸入傳入宣告的名稱,或者,如果先前已建立宣告描述,請從清單中選取它。 其次,在 傳出宣告類型 中,選取您想要的宣告網址,然後在信賴憑證者信任中建立轉換規則以發出裝置宣告。
如需動態訪問控制案例的詳細資訊,請參閱 動態訪問控制內容藍圖 或 使用 AD DS 宣告搭配 AD FS。
若要建立規則,以在 Windows Server 2016 的宣告提供者信任上轉換傳入宣告
在 [伺服器管理員] 中,按兩下 [工具],然後選取 [AD FS 管理]。
在主控台樹的 [AD FS] 下,按一下 [宣告提供者信任]。
在選取的信任上按滑鼠右鍵,然後點擊 [編輯宣告規則]
。 ![此螢幕擷取畫面顯示如何在 Windows Server 2016 的宣告提供者信任中建立規則以轉換傳入宣告時,選取 [編輯宣告規則]。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule2.png)
在 編輯宣告規則 對話方塊的 接受轉換規則 底下,按一下 新增規則 以啟動規則精靈。
![此螢幕快照顯示當您建立規則以轉換 Windows Server 2016 中在宣告提供者信任上傳入的宣告時,可選取 [新增規則] 的位置。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule3.png)
在 [選取規則範本] 頁面的 [宣告規則範本] 底下,選取 [從列表中轉換傳入宣告],然後按一下 [下一步]。
在 設定規則 頁面上,在 宣告規則名稱 下,輸入此規則的顯示名稱。 在 [傳入宣告類型] 中,選取清單中的宣告類型。 在 [傳出宣告類型] 中,選取清單中的宣告類型,然後選取下列其中一個選項,視組織的需求而定:
傳遞所有索賠值
以不同的傳出宣告值取代傳入宣告值
將內送的電子郵件後綴宣告更換成新的電子郵件後綴
單擊 [完成] 按鈕
。 在 [編輯宣告規則] 對話框中,按一下 [確定] 儲存規則。
備註
如果您要設定使用 AD FS 核發宣告的動態存取控制案例,請先在宣告提供者信任上建立轉換規則,然後在 傳入宣告類型中輸入傳入宣告的名稱,或者,如果先前已建立宣告描述,請從清單中選取它。 其次,在 [傳出宣告類型] 中,選取您想要的宣告 URL,然後在信賴憑證者信任上建立轉換規則以發出裝置宣告。
如需動態訪問控制案例的詳細資訊,請參閱 動態訪問控制內容藍圖 或使用 AD DS 宣告搭配 AD FS。
若要在 Windows Server 2012 R2 中建立轉換傳入宣告的規則
在 [伺服器管理員] 中,按兩下 [工具],然後按兩下 [AD FS 管理]。
在主控台樹的 AD FS\Trust Relationships底下,按一下 [宣告提供者信任] 或 [信賴憑證者信任],然後在清單中點選您想要建立此規則的特定信任。
在選取的信任上按滑鼠右鍵,然後點擊 [編輯宣告規則]
。 ![顯示如何在 Windows Server 2012 R2 中建立規則時,選取 [編輯宣告規則] 的螢幕快照。](media/create-a-rule-to-pass-through-or-filter-an-incoming-claim/claimrule6.png)
在 [編輯宣告規則] 對話框中,選取以下索引標籤之一,這取決於您正在編輯的信任以及要建立此規則的規則集,然後按一下 [新增規則] 以啟動與該規則集相關聯的規則精靈:
接受度轉換規則
發行變換規則
發行授權規則
委派授權規則
在 [選取規則範本] 頁面的 [宣告規則範本] 底下,從列表中選取 [轉換傳入宣告],然後按一下 [下一步]。
在 設定規則 頁面上,在 宣告規則名稱 下,輸入此規則的顯示名稱。 在 [傳入宣告類型] 中,選取清單中的宣告類型。 在 [傳出宣告類型] 中,選取清單中的宣告類型,然後選取下列其中一個選項,視組織的需求而定:
傳遞所有索賠值
以不同的傳出宣告值取代傳入宣告值
將收到的電子郵件後綴聲明以新的電子郵件後綴取代,建立規則
備註
如果您要設定使用 AD FS 核發宣告的動態存取控制案例,請先在宣告提供者信任上建立轉換規則,然後在 傳入宣告類型中輸入傳入宣告的名稱,或者,如果先前已建立宣告描述,請從清單中選取它。 其次,在 [傳出宣告類型] 中,選取您想要的宣告 URL,然後在信賴方信任上建立轉換規則以發出裝置宣告。
如需了解更多有關動態訪問控制案例的資訊,請參閱 動態訪問控制內容藍圖 或 使用 AD DS 宣告搭配 AD FS。
按一下完成。
在 [編輯宣告規則] 對話框中,按一下 [確定] 儲存規則。