Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
No AD FS, no Windows Server 2012 R2, o controle de acesso e o mecanismo de autenticação são aprimorados com vários fatores que incluem dados de usuário, dispositivo, local e autenticação. Esses aprimoramentos permitem que você, por meio da interface do usuário ou do Windows PowerShell, gerencie o risco de conceder permissões de acesso a aplicativos protegidos pelo AD FS por meio do controle de acesso multifator e da autenticação multifator baseados na identidade do usuário ou na associação ao grupo, no local de rede, nos dados do dispositivo que ingressaram no local de trabalho e no estado de autenticação quando a autenticação multifator (MFA) foi executada.
Para obter mais informações sobre MFA e controle de acesso multifator nos Serviços de Federação do Ative Directory (AD FS) no Windows Server 2012 R2, consulte os seguintes tópicos:
Configurar políticas de autenticação via snap-in de Gestão do AD FS
A associação a Administradores, ou equivalente, no computador local é o requisito mínimo para concluir estes procedimentos. Revise os detalhes sobre como usar as contas e associações de grupo apropriadas em Grupos Padrão Locais e de Domínio.
No AD FS, no Windows Server 2012 R2, você pode especificar uma política de autenticação em um escopo global aplicável a todos os aplicativos e serviços protegidos pelo AD FS. Você também pode definir políticas de autenticação para aplicativos e serviços específicos que dependem de confianças de terceiros e são protegidos pelo AD FS. A especificação de uma política de autenticação para uma aplicação específica para uma entidade de confiança não substitui a política de autenticação global. Se a política de autenticação global ou por terceira parte confiável exigir autenticação multifator (MFA), a MFA será acionada quando o utilizador tentar autenticar-se nessa terceira parte confiável. A política de autenticação global é uma alternativa para confianças de terceira parte para aplicações e serviços que não têm uma política de autenticação especificamente configurada.
Para configurar a autenticação primária globalmente no Windows Server 2012 R2
No Gerenciador do Servidor, clique em Ferramentas e selecione Gerenciamento do AD FS.
No snap-in do AD FS, clique em Políticas de Autenticação.
Na seção Autenticação Primária , clique em Editar ao lado de Configurações Globais. Você também pode clicar com o botão direito do mouse em Políticas de Autenticação e selecionar Editar Autenticação Principal Global ou, no painel Ações , selecionar Editar Autenticação Primária Global.
Na janela Editar Política de Autenticação Global, no separador Principal, pode definir as seguintes configurações em conformidade com a política de autenticação global:
Métodos de autenticação a serem usados para autenticação primária. Você pode selecionar os métodos de autenticação disponíveis na Extranet e na Intranet.
Autenticação de dispositivo através da caixa de verificação Ativar autenticação de dispositivo. Para obter mais informações, consulte como aceder ao Workplace de qualquer dispositivo para Início de Sessão Único (SSO) e Autenticação de Segundo Fator Transparente por Aplicações da Empresa.
Para configurar a autenticação primária por relação de confiança de terceira parte confiável
No Gerenciador do Servidor, clique em Ferramentas e selecione Gerenciamento do AD FS.
No snap-in do AD FS, clique em Políticasde Autenticação \Por Confiança de Terceira Parte Confiável e clique na relação de confiança de terceira parte confiável para a qual você deseja configurar políticas de autenticação.
Clique com o botão direito do rato na relação de confiança da entidade confiadora para a qual pretende configurar políticas de autenticação e selecione Editar Autenticação Primária Personalizadaou, no Painel de Ações, selecione Editar Autenticação Primária Personalizada.
Na janela Editar Política de Autenticação para <relying_party_trust_name>, na guia Principal, pode configurar as seguintes definições como parte da política de autenticação Por Confiança na Parte Confiável:
- Caso os utilizadores sejam obrigados a fornecer as suas credenciais cada vez que iniciam sessão através da caixa de verificação os utilizadores são obrigados a fornecer as suas credenciais cada vez na caixa de verificação para iniciar sessão.
- Caso os utilizadores sejam obrigados a fornecer as suas credenciais cada vez que iniciam sessão através da caixa de verificação os utilizadores são obrigados a fornecer as suas credenciais cada vez na caixa de verificação para iniciar sessão.
Para configurar a autenticação multifator globalmente
No Gerenciador do Servidor, clique em Ferramentas e selecione Gerenciamento do AD FS.
No snap-in do AD FS, clique em Políticas de Autenticação.
Na seção Multi-factor Authentication , clique em Editar ao lado de Configurações Globais. Também pode clicar com o botão direito do rato em Políticas de Autenticação e selecionar Editar Autenticação Global Multifator ou, no painel Ações , selecionar Editar Autenticação Global Multifator.
Na janela Editar Política de Autenticação Global, no separador Multifator, pode configurar as seguintes definições no âmbito da política global de autenticação multifator:
Configurações ou condições para MFA por meio de opções disponíveis nas seções Usuários/Grupos, Dispositivos e Locais .
Para habilitar a MFA para qualquer uma dessas configurações, você deve selecionar pelo menos um método de autenticação adicional. A Autenticação de Certificado é a opção padrão disponível. Você também pode configurar outros métodos de autenticação adicionais personalizados, por exemplo, a Autenticação Ativa do Windows Azure. Para obter mais informações, consulte Guia passo a passo: Gerenciar riscos com autenticação multifator adicional para aplicativos confidenciais.
Warning
Você só pode configurar métodos de autenticação adicionais globalmente.
Para configurar a autenticação multi-fator por confiança da parte confiável
No Gerenciador do Servidor, clique em Ferramentas e selecione Gerenciamento do AD FS.
No snap-in do AD FS, clique em Políticas de Autenticação\por Confiança de Terceira Parte Confiável e clique na relação de confiança da terceira parte confiável para a qual você deseja configurar a MFA.
Clique com o botão direito do rato na relação de confiança da entidade confiadora para a qual pretende configurar a autenticação multifator e, em seguida, selecione Editar Autenticação Multifator Personalizada ou, no painel Ações, selecione Editar Autenticação Multifator Personalizada.
Na janela Editar Política de Autenticação para <relying_party_trust_name>, no separador Multifator, pode definir as seguintes configurações como parte da política de autenticação de confiança de terceira parte confiável:
- Configurações ou condições para MFA por meio de opções disponíveis nas seções Usuários/Grupos, Dispositivos e Locais .
Configurar políticas de autenticação por meio do Windows PowerShell
O Windows PowerShell permite maior flexibilidade no uso de vários fatores de controle de acesso e do mecanismo de autenticação disponíveis no AD FS no Windows Server 2012 R2 para configurar políticas de autenticação e regras de autorização necessárias para implementar o acesso condicional verdadeiro para seus recursos de -secured do AD FS.
A associação a Administradores, ou equivalente, no computador local é o requisito mínimo para concluir estes procedimentos. Reveja os detalhes sobre como utilizar as contas e associações de grupo apropriadas em Grupos Padrão Locais e de Domínio (http://go.microsoft.com/fwlink/?LinkId=83477).
Para configurar um método de autenticação adicional por meio do Windows PowerShell
- No servidor de federação, abra a janela de comando do Windows PowerShell e execute o seguinte comando.
`Set-AdfsGlobalAuthenticationPolicy –AdditionalAuthenticationProvider CertificateAuthentication `
Warning
Para verificar se esse comando foi executado com êxito, você pode executar o comando Get-AdfsGlobalAuthenticationPolicy.
Para configurar o MFA por confiança de parte confiável baseada nos dados de associação de grupo de um utilizador
- No servidor de federação, abra a janela de comando do Windows PowerShell e execute o seguinte comando:
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`
Warning
Certifique-se de substituir <relying_party_trust> pelo nome da sua relying party trust.
- Na mesma janela de comando do Windows PowerShell, execute o seguinte comando.
$MfaClaimRule = "c:[Type == '"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value =~ '"^(?i) <group_SID>$'"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value '"https://schemas.microsoft.com/claims/multipleauthn'");"
Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –AdditionalAuthenticationRules $MfaClaimRule
Note
Certifique-se de substituir <group_SID> pelo valor do identificador de segurança (SID) do seu grupo do Ative Directory (AD).
Para configurar a MFA globalmente com base nos dados de associação de grupo dos usuários
- No servidor de federação, abra a janela de comando do Windows PowerShell e execute o seguinte comando.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value == '"group_SID'"]
=> issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"
Set-AdfsAdditionalAuthenticationRule $MfaClaimRule
Note
Certifique-se de substituir <group_SID> pelo valor do SID do seu grupo do AD.
Para configurar a MFA globalmente com base na localização do usuário
- No servidor de federação, abra a janela de comando do Windows PowerShell e execute o seguinte comando.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '"true_or_false'"]
=> issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"
Set-AdfsAdditionalAuthenticationRule $MfaClaimRule
Note
Certifique-se de substituir <verdadeiro_ou_falso> por true ou false. O valor depende da sua condição de regra específica que se baseia em se a solicitação de acesso vem da extranet ou da intranet.
Para configurar a MFA globalmente com base nos dados do dispositivo do usuário
- No servidor de federação, abra a janela de comando do Windows PowerShell e execute o seguinte comando.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false"']
=> issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"
Set-AdfsAdditionalAuthenticationRule $MfaClaimRule
Note
Certifique-se de substituir <verdadeiro_ou_falso> por true ou false. O valor depende da sua condição de regra específica que se baseia em se o dispositivo está associado ao local de trabalho ou não.
Para configurar a MFA globalmente se a solicitação de acesso vier da extranet e de um dispositivo não associado ao local de trabalho
- No servidor de federação, abra a janela de comando do Windows PowerShell e execute o seguinte comando.
`Set-AdfsAdditionalAuthenticationRule "c:[Type == '"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false'"] && c2:[Type == '"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '" true_or_false '"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value ='"https://schemas.microsoft.com/claims/multipleauthn'");" `
Note
Certifique-se de substituir ambas as instâncias de <verdadeiro_ou_falso> por true ou false, o que depende das condições específicas da regra. As condições da regra baseiam-se no facto de o dispositivo estar associado ou não ao local de trabalho e se o pedido de acesso provém da extranet ou intranet.
Para configurar o MFA globalmente se o acesso vier de um usuário da extranet que pertença a um determinado grupo
- No servidor de federação, abra a janela de comando do Windows PowerShell e execute o seguinte comando.
Set-AdfsAdditionalAuthenticationRule "c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value == `"group_SID`"] && c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value== `"true_or_false`"] => issue(Type = `"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod`", Value =`"https://schemas.microsoft.com/claims/
Note
Certifique-se de substituir <group_SID> pelo valor do SID do grupo e <true_or_false> por true ou false, o que depende da sua condição de regra específica que se baseia em se a solicitação de acesso vem da extranet ou intranet.
Para conceder acesso a um aplicativo com base nos dados do usuário por meio do Windows PowerShell
No servidor de federação, abra a janela de comando do Windows PowerShell e execute o seguinte comando.
$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
Note
Certifique-se de substituir <relying_party_trust> pelo valor da sua confiança de terceira parte confiável.
Na mesma janela de comando do Windows PowerShell, execute o seguinte comando.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`" @RuleName = `"Foo`" c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value =~ `"^(?i)<group_SID>$`"] =>issue(Type = `"https://schemas.microsoft.com/authorization/claims/deny`", Value = `"DenyUsersWithClaim`");" Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –IssuanceAuthorizationRules $GroupAuthzRule
Note
Certifique-se de substituir <group_SID> pelo valor do SID do seu grupo do AD.
Para conceder acesso a um aplicativo protegido pelo AD FS somente se a identidade desse usuário tiver sido validada com MFA
- No servidor de federação, abra a janela de comando do Windows PowerShell e execute o seguinte comando.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `
Note
Certifique-se de substituir <relying_party_trust> pelo valor da sua confiança de terceira parte confiável.
Na mesma janela de comando do Windows PowerShell, execute o seguinte comando.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`" @RuleName = `"PermitAccessWithMFA`" c:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = '"PermitUsersWithClaim'");"
Para conceder acesso a uma aplicação protegida pelo AD FS, desde que o pedido de acesso seja de um dispositivo associado ao ambiente de trabalho registado para o utilizador
No servidor de federação, abra a janela de comando do Windows PowerShell e execute o seguinte comando.
$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
Note
Certifique-se de substituir <relying_party_trust> pelo valor da sua confiança de terceira parte confiável.
- Na mesma janela de comando do Windows PowerShell, execute o seguinte comando.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"PermitAccessFromRegisteredWorkplaceJoinedDevice`"
c:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");
Para conceder acesso a um aplicativo protegido pelo AD FS somente se a solicitação de acesso vier de um dispositivo associado ao local de trabalho registrado para um usuário cuja identidade tenha sido validada com MFA
- No servidor de federação, abra a janela de comando do Windows PowerShell e execute o seguinte comando.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `
Note
Certifique-se de substituir <relying_party_trust> pelo valor da sua confiança de terceira parte confiável.
Na mesma janela de comando do Windows PowerShell, execute o seguinte comando.
$GroupAuthzRule = '@RuleTemplate = "Authorization" @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice" c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] && c2:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"
Para conceder acesso à extranet a uma aplicação protegida pelo AD FS apenas se o pedido de acesso vier de um utilizador cuja identidade tenha sido validada com MFA
- No servidor de federação, abra a janela de comando do Windows PowerShell e execute o seguinte comando.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`
Note
Certifique-se de substituir <relying_party_trust> pelo valor da sua confiança de terceira parte confiável.
- Na mesma janela de comando do Windows PowerShell, execute o seguinte comando.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"RequireMFAForExtranetAccess`"
c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] &&
c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value =~ `"^(?i)false$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"