透過其他多重要素驗證管理機密應用程式的風險

• 在 Windows Server 2012 R2 設定 AD FS 實驗室環境

• 逐步解說指南：透過其他多重要素驗證管理機密應用程式的風險

• 設定 AD FS 的其他驗證方法

此指南內容

本指南提供下列資訊：

• AD FS 中的驗證機制–描述 Windows Server 2012 R2 中 Active Directory 同盟服務 (AD FS) 中可用的驗證機制描述

• 案例概觀–使用 Active Directory 同盟服務 (AD FS) 根據使用者群組成員資格啟用多重要素驗證 (MFA) 案例的說明。

  注意

  在 Windows Server 2012 R2 的 AD FS 中，您可以根據網路位置、裝置身分識別，以及使用者身分識別或群組成員資格來啟用 MFA。

  如需設定和驗證此案例的詳細逐步指示，請參閱逐步解說指南：透過其他多重要素驗證管理機密應用程式的風險。

重要概念 - AD FS 中的驗證機制

AD FS 驗證機制的好處

Windows Server 2012 Ｒ2 中的 Active Directory 同盟服務 (AD FS) 提供 IT 系統管理員更豐富且更有彈性的一組工具，以用於驗證想要存取公司資源的使用者。 它可讓系統管理員更有彈性地控制主要和其他驗證方法、為設定驗證原則 (無論透過使用者介面或 Windows PowerShell) 提供豐富的管理體驗，以及提升存取受 AD FS 保護之應用程式和服務的使用者體驗。 下列為使用 Windows Server 2012 R2 中的 AD FS 來保護應用程式和服務的一些好處：

• 通用驗證原則–這是一種中央管理功能，IT 系統管理員可藉此選擇要使用的驗證方法，以根據使用者存取受保護資源的網路位置來進行驗證。 這種做法可讓系統管理員執行下列工作：

  • 強制來自外部網路的存取要求使用更安全的驗證方法。

  • 針對無縫式次要因素驗證啟用裝置驗證。 這可以將使用者身分識別與用來存取資源的已註冊裝置緊密結合，以在存取受保護資源前，提供更安全的複合式身分識別驗證。

    注意

    如需裝置物件、裝置註冊服務、加入工作場所網路，以及執行無縫式的次要因素驗證和 SSO 之裝置的詳細資訊，請參閱從任何裝置加入工作場所網路，並在公司的各個應用程式提供 SSO 和無縫式的次要要素驗證。

  • 針對所有外部網路存取，或條件式基於使用者的身分識別、網路位置或用來存取受保護資源的裝置來設定 MFA 需求。

• 在設定驗證原則取得更大的彈性：您可以針對具有不同商業價值的 AD FS 受保護資源，設定各種自訂驗證原則。 例如，您可以在對業務影響較大的應用測試要求使用 MFA。

• 容易使用：簡單且直覺式的管理工具 (例如，GUI 式的 AD FS 管理 MMC 嵌入式管理單元和 Windows PowerShell Cmdlet) 可讓 IT 系統管理員使用相對簡單的方法設定驗證原則。 您可以使用 Windows PowerShell，編寫較大規模的解決方案，並自動化一般管理工作。

• 更有效控制公司資產：身為系統管理員，您可以使用 AD FS 設定會套用到特定資源的驗證原則，因此您更能控制保護公司資源的方法。 應用程式不可以覆寫 IT 系統管理員指定的驗證原則。 針對機密應用程式和服務，您可以啟用 MFA 需求、裝置驗證，以及在每次存取資源後選擇性的更新驗證。

• 支援自訂 MFA 提供者：針對使用協力廠商 MFA 方法的組織，AD FS 可合併並無縫地使用這些驗證方法。

驗證範圍

在 Windows Server 2012 R2 的 AD FS 中，您可以指定全域範圍的驗證原則，也就是適用於受 AD FS 保護的所有應用程式和服務的原則。 您也可以針對受 AD FS 保護的特定應用程式和服務 (信賴憑證者信任) 設定驗證原則。 指定特定應用程式 (每個信賴憑證者信任) 的驗證原則不會覆寫通用驗證原則。 如果通用或每個信賴憑證者信任驗證原則需要 MFA，每當使用者嘗試驗證此信賴憑證者信任就會觸發 MFA。 通用驗證原則是未設定特定驗證原則之信賴憑證者信任 (應用程式和服務) 的後援。

通用驗證原則會套用到所有受 AD FS 保護的信賴憑證者。 您可以在通用驗證原則中設定下列設定：

• 用於主要驗證的驗證方法

• MFA 的設定和方法

• 是否已啟用裝置驗證。 如需詳細資訊，請參閱 Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications。

每個信賴憑證者信任驗證原則會特別套用以嘗試存取該特定信賴憑證者信任 (應用程式或服務)。 您可以在每個信賴憑證者信任驗證原則中設定下列設定：

• 使用者是否需要在每次登入時提供憑證

• 基於使用者/群組、裝置註冊和存取要求位置資料的 MFA 設定

主要和其他驗證方法

搭配 Windows Server 2012 R2 中的 AD FS，除了主要驗證機制之外，系統管理員可以設定其他驗證方法。 主要驗證方法是內建的功能，用於驗證使用者身分識別。 您可以設定其他驗證因素，要求提供更多有關使用者身分識別的相關資訊，進而確保更強大的驗證功能。

在 Windows Server 2012 R2 的 AD FS 主要驗證中，您有下列選項：

• 對於要從公司網路外部存取的已發行資源，預設會選取表單驗證。 此外，您也可以啟用憑證驗證 (也就是，智慧卡驗證或 AD DS 可用的使用者用戶端憑證驗證)。

• 對於內部網路資源，預設會選取 Windows 驗證。 此外，您也可以啟用表單和 (或) 憑證驗證。

您可以選擇一種以上的驗證方法，讓使用者在應用程式或服務的登入頁面選擇驗證方法。

您也可以針對無縫式次要因素驗證啟用裝置驗證。 這可以將使用者身分識別與用來存取資源的已註冊裝置緊密結合，以在存取受保護資源前，提供更安全的複合式身分識別驗證。

注意

如需裝置物件、裝置註冊服務、加入工作場所網路，以及執行無縫式的次要因素驗證和 SSO 之裝置的詳細資訊，請參閱從任何裝置加入工作場所網路，並在公司的各個應用程式提供 SSO 和無縫式的次要要素驗證。

如果您指定在內部網路資源使用 Windows 驗證方法 (預設選項)，驗證要求可在支援 Windows 驗證的瀏覽器上無縫地使用這個方法。

注意

並非所有瀏覽器都支援 Windows 驗證。 Windows Server 2012 R2 的 AD FS 中驗證機制會偵測使用者的瀏覽器使用者代理程式，並使用可設定的設定來判斷使用者代理程式是否支援 Windows 驗證。 系統管理員可在此清單新增使用者代理程式 (透過 Windows PowerShell Set-AdfsProperties -WIASupportedUserAgents 命令)，為支援 Windows 驗證的瀏覽器指定替代使用者代理程式字串。 如果用戶端的使用者代理程式不支援 Windows 驗證，預設的後援方法就是表單驗證。

設定 MFA

在 Windows Server 2012 R2 的 AD FS 中有兩個部分可設定 MFA：一是指定需要 MFA 的條件，二是選取其他驗證方法。 如需有關其他驗證方法的詳細資訊，請參閱設定 AD FS 的其他驗證方法。

MFA 設定

MFA 設定 (需要 MFA 的條件) 有下列可用選項：

• 您可以針對同盟伺服器加入的 AD 網域中的特定使用者和群組要求 MFA。

• 您可以為已註冊 (已加入工作地點) 或未註冊 (未加入工作地點) 裝置要求 MFA。

  Windows Server 2012 R2 對現代裝置採用以使用者為中心的方法，其中裝置物件代表使用者在裝置和公司之間的關係。 裝置物件是 Windows Server 2012 R2 中 AD 的新類別，可在提供應用程式和服務存取權時負責提供複合身分識別。 AD FS 的新元件 - 裝置註冊服務 (DRS) - 在 Active Directory 中佈建裝置身分識別，並在可用來代表裝置身分識別的消費裝置上設定憑證。 接著，您可以使用此裝置身分識別將裝置加入到工作地點，也就是將您的個人裝置連線到工作地點的 Active Directory。 當您將個人裝置加入工作地點就會變成已知裝置，並可提供無縫式的次要因素驗證來保護資源和應用程式。 換句話說，裝置加入工作場所網路後，使用者身分識別就會與此裝置繫結，並可在存取受保護的資源之前，進行無縫式的複合身分識別驗證。

  如需有關加入和離開工作場所網路的詳細資訊，請參閱從任何裝置加入工作地點網路，並在公司的各個應用程式提供 SSO 和無縫式的次要因素驗證。

• 如果受保護資源的存取要求來自外部網路或內部網路，您可以要求 MFA。

案例概觀

在這個案例中，您根據特定應用程式的使用者群組成員資格資料啟用 MFA。 換句話說，您將在同盟伺服器上設定驗證原則，在屬於特定群組的使用者要求存取裝載在網頁伺服器上的特定應用程式時要求 MFA。

更具體來說，在這個案例中，您針對名為 claimapp 的宣告測試應用程式啟用驗證原則，因此 AD 使用者 Robert Hatley 將需要使用 MFA，因為他屬於 AD 群組 Finance。

如需設定和驗證此案例的逐步指示，請參閱逐步解說指南：透過其他多重要素驗證管理機密應用程式的風險。 若要完成本逐步解說中的步驟，您必須設定實驗室環境，並遵循在 Windows Server 2012 R2 中設定 AD FS 的實驗室環境中的步驟。

在 AD FS 啟用 MFA 的其他案例包含下列各項：

• 如果存取要求來自外部網路，則啟用 MFA。 您可以使用下列程式碼修改逐步解說指南：透過其他多重要素驗證管理機密應用程式的風險中〈設定 MFA 原則〉一節的程式碼：

  'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'
  

• 如果存取要求來自未加入工作地點的裝置，則啟用 MFA。 您可以使用下列程式碼修改逐步解說指南：透過其他多重要素驗證管理機密應用程式的風險中〈設定 MFA 原則〉一節的程式碼：

  'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
  
  

• 如果使用者以加入工作地點的裝置傳送存取要求，但該裝置不是以該使用者的身分註冊，則啟用 MFA。 您可以使用下列程式碼修改逐步解說指南：透過其他多重要素驗證管理機密應用程式的風險中〈設定 MFA 原則〉一節的程式碼：

  'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
  
  

另請參閱

逐步解說指南：透過其他多重要素驗證管理機密應用程式的風險在 Windows Server 2012 R2 設定 AD FS 實驗室環境