Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Organisaties ondervinden aanvallen die proberen gebruikersaccounts brute forceren, in gevaar te krijgen of anderszins te vergrendelen door verificatieaanvragen op basis van wachtwoorden te verzenden. Om organisaties te beschermen tegen inbreuk, heeft AD FS mogelijkheden geïntroduceerd, zoals extranet 'slimme' vergrendeling en op IP-adres gebaseerde blokkeren.
Deze oplossingen zijn echter reactief. Om een proactieve manier te bieden, om de ernst van deze aanvallen te verminderen, heeft AD FS de mogelijkheid om andere factoren te vragen voordat het wachtwoord wordt verzameld.
Ad FS 2016 heeft bijvoorbeeld Microsoft Entra-meervoudige verificatie geïntroduceerd als primaire verificatie, zodat OTP-codes van de Authenticator-app als eerste factor kunnen worden gebruikt. Vanaf AD FS 2019 kunt u externe verificatieproviders configureren als primaire verificatiefactoren.
Er zijn twee belangrijke scenario's waarmee u het volgende kunt doen:
Scenario 1: het wachtwoord beveiligen
Beveilig aanmelding op basis van een wachtwoord tegen beveiligingsaanvallen en vergrendelingen door eerst een extra, externe factor te vragen. Er wordt alleen een wachtwoordprompt weergegeven wanneer de externe verificatie is voltooid. Dit elimineert een handige manier waarop aanvallers proberen accounts te compromitten of uit te schakelen.
Dit scenario bestaat uit twee onderdelen:
- Prompt voor Microsoft Entra multi-factor authenticatie (beschikbaar in AD FS 2016 en hoger) of een externe authenticatiefactor als primaire authenticatie
- Gebruikersnaam en wachtwoord als aanvullende verificatie in AD FS
Scenario 2: wachtwoordvrij
Wachtwoorden volledig elimineren, maar een sterke, meervoudige verificatie voltooien met volledig niet-op wachtwoorden gebaseerde methoden in AD FS
- Meervoudige verificatie van Microsoft Entra met Authenticator-app
- Windows 10 Hello voor Bedrijven
- Verificatie via certificaat
- Externe authenticatieproviders
Concepts
Wat primaire verificatie echt betekent, is dat het de methode is waarvoor de gebruiker eerst wordt gevraagd, voorafgaand aan aanvullende factoren. Voorheen waren de enige primaire methoden die beschikbaar waren in AD FS ingebouwde methoden voor Active Directory of Microsoft Entra multifactor authenticatie, of andere LDAP-verificatiearchieven. Externe methoden kunnen worden geconfigureerd als 'aanvullende' verificatie, die plaatsvindt nadat de primaire verificatie is voltooid.
In AD FS 2019 betekent de externe verificatie als primaire mogelijkheid dat alle externe verificatieproviders die zijn geregistreerd op de AD FS-farm (met behulp van Register-AdfsAuthenticationProvider) beschikbaar komen voor primaire verificatie en 'aanvullende' verificatie. Ze kunnen op dezelfde manier worden ingeschakeld als de ingebouwde providers, zoals formulierverificatie en certificaatverificatie, voor intranet- en/of extranetgebruik.
Zodra een externe provider is ingeschakeld voor extranet, intranet of beide, is het beschikbaar voor gebruikers om te gebruiken. Als meer dan één methode is ingeschakeld, zien gebruikers een keuzepagina en kunnen ze een primaire methode kiezen, net als voor aanvullende verificatie.
Prerequisites
Voordat u externe verificatieproviders configureert als primair, moet u ervoor zorgen dat u aan de volgende vereisten voldoet.
- Het gedragsniveau van de AD FS-farm (FBL) is verhoogd tot '4' (deze waarde wordt omgezet in AD FS 2019.)
- Dit is de standaard FBL-waarde voor nieuwe AD FS 2019-farms.
- Voor AD FS-farms op basis van Windows Server 2012 R2 of 2016 kan de FBL worden verhoogd met behulp van de PowerShell commandlet Invoke-AdfsFarmBehaviorLevelRaise. Voor meer informatie over het upgraden van een AD FS-farm, raadpleeg het artikel over de upgrade van de farm voor SQL-farms of WID-farms.
- U kunt de FBL-waarde controleren met behulp van de cmdlet Get-AdfsFarmInformation.
- De AD FS 2019-farm is geconfigureerd voor het gebruik van de nieuwe 'gepagineerde' pagina's voor gebruikers.
- Dit is het standaardgedrag voor nieuwe AD FS 2019-farms.
- Voor AD FS-farms die zijn bijgewerkt van Windows Server 2012 R2 of 2016, worden de gepagineerde stromen automatisch ingeschakeld wanneer externe verificatie als primair (de functie die in dit document wordt beschreven) is ingeschakeld, zoals beschreven in de volgende sectie van dit artikel.
Externe verificatiemethoden als primair inschakelen
Nadat u de vereisten hebt geverifieerd, zijn er twee manieren om AD FS extra verificatieproviders te configureren als primair: PowerShell of de AD FS-beheerconsole.
PowerShell gebruiken
PS C:\> Set-AdfsGlobalAuthenticationPolicy -AllowAdditionalAuthenticationAsPrimary $true
De AD FS-service moet opnieuw worden opgestart na het in- of uitschakelen van aanvullende verificatie als primair.
De AD FS-beheerconsole gebruiken
Selecteer Bewerken in de AD FS-beheerconsole, onder Service-verificatiemethoden>, onder Primaire verificatiemethoden
Selecteer het selectievakje voor Aanvullende verificatieproviders toestaan als primair.
De AD FS-service moet opnieuw worden opgestart na het in- of uitschakelen van aanvullende verificatie als primair.
Gebruikersnaam en wachtwoord inschakelen als aanvullende verificatie
Als u het scenario 'het wachtwoord beveiligen' wilt voltooien, schakelt u gebruikersnaam en wachtwoord in als extra verificatie met behulp van PowerShell of de AD FS-beheerconsole. Er worden voorbeelden gegeven voor beide methoden.
Gebruikersnaam en wachtwoord inschakelen als extra verificatie met behulp van PowerShell
PS C:\> $providers = (Get-AdfsGlobalAuthenticationPolicy).AdditionalAuthenticationProvider
PS C:\>$providers = $providers + "FormsAuthentication"
PS C:\>Set-AdfsGlobalAuthenticationPolicy -AdditionalAuthenticationProvider $providers
Gebruikersnaam en wachtwoord inschakelen als aanvullende verificatie met ad FS-beheerconsole
Selecteer Bewerken in de AD FS-beheerconsole onder Service ->Authentication Methods, onder Aanvullende verificatiemethoden
Schakel het selectievakje voor Formulierverificatie in om gebruikersnaam en wachtwoord in te schakelen als extra verificatie.