逐步解說指南：使用條件式存取控制管理風險

關於本指南

本逐步解說提供的指示可透過 Windows Server 2012 R2 的 Active Directory 同盟服務 (AD FS) 中條件式存取控制機制的其中一個因素 (使用者資料) 管理風險。 如需 Windows Server 2012 R2 中 AD FS 中條件式存取控制和授權機制的詳細資訊，請參閱使用條件式存取控制管理風險。

本逐步解說包含下列各節：

• 步驟 1：設定實驗室環境

• 步驟 2：驗證預設的 AD FS 存取控制機制

• 步驟 3：根據使用者資料設定條件式存取控制原則

• 步驟 4：驗證條件式存取控制機制

步驟 1：設定實驗室環境

若要完成本逐步解說，您的環境必須包含下列元件：

• 含有測試使用者和群組帳戶的 Active Directory 網域，該網域要在 Windows Server 2008、Windows Server 2008 R2 或 Windows Server 2012 上執行，且結構描述要升級到 Windows Server 2012 R2，或者在 Windows Server 2012 R2 執行的 Active Directory 網域

• 在 Windows Server 2012 R2 上執行的同盟伺服器

• 裝載範例應用程式的網頁伺服器

• 用來存取範例應用程式的用戶端電腦

警告

強烈建議 (在生產或測試環境中) 您不要使用相同的電腦作為同盟伺服器和網頁伺服器。

在這個環境中，同盟伺服器會發行所需的宣告，讓使用者能夠存取範例應用程式。 裝載範例應用程式的網頁伺服器會信任出示同盟伺服器發行之宣告的使用者。

如需如何設定這個環境的指示，請參閱在 Windows Server 2012 R2 設定 AD FS 實驗室環境。

步驟 2：驗證預設的 AD FS 存取控制機制

在這個步驟您要驗證預設的 AD FS 存取控制機制，使用者會被重新導向到 AD FS 登入頁面、提供有效的認證，然後授與應用程式的存取權。 您可以使用 Robert Hatley AD 帳戶，以及您在 Windows Server 2012 R2 設定 AD FS 實驗室環境設定的 claimapp 範例應用程式。

驗證預設的 AD FS 存取控制機制

1. 在您的用戶端電腦上，開啟瀏覽器視窗，然後瀏覽到您的範例應用程式：https://webserv1.contoso.com/claimapp。

   這個動作會將要求自動重新導向到同盟伺服器，且會提示您以使用者名稱和密碼登入。

2. 輸入您在 Windows Server 2012 R2 設定 AD FS 實驗室環境中建立的 Robert Hatley AD 帳戶認證。

   您將會獲得應用程式的存取權。

步驟 3：根據使用者資料設定條件式存取控制原則

在這個步驟中，您將根據使用者群組成員資格資料設定存取控制原則。 換句話說，您將為代表範例應用程式 ( claimapp ) 的信賴憑證者信任，在同盟伺服器上設定 [發行授權規則] 。 根據這個規則邏輯，Robert Hatley AD 使用者將被發給存取此應用程式所需的宣告，因為該使用者屬於 Finance 群組。 您已在 Windows Server 2012 R2 設定 AD FS 實驗室環境中，將 Robert Hatley 帳戶新增到 Finance 群組。

您可以使用 AD FS 管理主控台或透過 Windows PowerShell 完成此工作。

透過 AD FS 管理主控台根據使用者資料來設定條件式存取控制原則

1. 在 AD FS 管理主控台中，瀏覽到 [信任關係] ，然後到 [信賴憑證者信任] 。

2. 選取代表您範例應用程式 (claimapp) 的信賴憑證者信任，然後在 [執行] 窗格或在此信賴憑證者信任按一下滑鼠右鍵，選取 [編輯宣告規則] 。

3. 在 [編輯 claimapp 宣告規則] 視窗中，選取 [發行授權規則] 索引標籤，然後按一下 [新增規則] 。

4. 在 [新增發行授權宣告規則精靈] 中，選取 [選取規則範本] 頁面上的 [根據連入宣告允許或拒絕使用者] 宣告規則範本，然後按 [下一步] 。

5. 在 [設定規則] 頁面上，執行下列所有動作，然後按一下 [完成] ：

   1. 輸入宣告規則的名稱，例如 TestRule。

   2. 選取 [群組 SID] 作為 [連入宣告類型] 。

   3. 按一下 [瀏覽] ，輸入 Finance 作為 AD 測試群組的名稱，然後針對 [連入宣告值] 欄位加以解析。

   4. 選取 [拒絕具有這個傳入宣告的使用者的存取] 選項。

6. 在 [編輯 claimapp 宣告規則] 視窗中，請務必刪除建立此信賴憑證者信任時，預設建立的 [允許所有使用者存取] 規則。

根據使用者資料透過 Windows PowerShell 設定條件式存取控制原則

1. 在您的同盟伺服器上，開啟 Windows PowerShell 命令視窗，並執行下列命令：

$rp = Get-AdfsRelyingPartyTrust -Name claimapp

2. 在相同的 Windows PowerShell 命令視窗中，執行下列命令：

$GroupAuthzRule = '@RuleTemplate = "Authorization" @RuleName = "Foo" c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "^(?i)<group_SID>$"] =>issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");'
Set-AdfsRelyingPartyTrust -TargetRelyingParty $rp -IssuanceAuthorizationRules $GroupAuthzRule

注意

請務必將 group_SID<> 取代為 AD Finance 群組的 SID 值。

步驟 4：驗證條件式存取控制機制

在這個步驟中，您將驗證上一個步驟中設定的條件式存取控制原則。 您可以使用下列程序來驗證 Robert Hatley AD 使用者可以存取您的範例應用程式，因為他屬於 Finance 群組，而不屬於 Finance 群組的 AD 使用者無法存取範例應用程式。

1. 在您的用戶端電腦上，開啟瀏覽器視窗，然後瀏覽到您的範例應用程式：https://webserv1.contoso.com/claimapp

   這個動作會將要求自動重新導向到同盟伺服器，且會提示您以使用者名稱和密碼登入。

2. 輸入您在 Windows Server 2012 R2 設定 AD FS 實驗室環境中建立的 Robert Hatley AD 帳戶認證。

   您將會獲得應用程式的存取權。

3. 輸入另一個不屬於 Finance 群組的 AD 使用者認證 (如需如何在 AD 建立使用者帳戶的詳細資訊，請參閱 https://technet.microsoft.com/library/cc7833232.aspx)。

   此時，因為您在之前步驟設定的存取控制原則，所以會針對不屬於 Finance 群組的這個使用者顯示「拒絕存取」訊息。 預設訊息文字是「您未被授權存取此網站。按一下這裡登出並再次登入，或連絡您的系統管理員以取得權限。」。不過，您可以完全自訂這段文字內容。 如需如何自訂登入體驗的詳細資訊，請參閱＜ Customizing the AD FS Sign-in Pages＞。

另請參閱

使用條件式存取控制管理風險在 Windows Server 2012 R2 設定 AD FS 實驗室環境