AD FS 中的訪問控制原則範本
Active Directory 同盟服務現在支援使用訪問控制原則範本。 藉由使用訪問控制原則範本,系統管理員可以將原則範本指派給信賴憑證者群組來強制執行原則設定。 如果不需要使用者互動,系統管理員也可以對原則範本進行更新,並將變更自動套用至信賴憑證者。
什麼是訪問控制原則範本?
用於原則處理的 AD FS 核心管線有三個階段:驗證、授權和宣告發行。 目前,AD FS 系統管理員必須個別設定每個階段的原則。 這也牽涉到了解這些原則的影響,以及這些原則是否具有相依性。 此外,系統管理員必須瞭解宣告規則語言和撰寫自定義規則,才能啟用一些簡單/通用原則(例如封鎖外部存取)。
訪問控制原則範本的功能是取代這個舊模型,系統管理員必須使用宣告語言來設定發行授權規則。 發行授權規則的舊 PowerShell Cmdlet 仍適用,但它與新模型彼此互不相容。 系統管理員可以選擇使用新模型或舊模型。 新的模型可讓系統管理員控制何時授與存取權,包括強制執行多重要素驗證。
訪問控制原則範本會使用允許模型。 這表示根據預設,沒有人具有存取權,而且必須明確授與該存取權。 然而,這不僅僅是一個完全性許可。 系統管理員可以將例外狀況新增至允許規則。 例如,系統管理員可能想要藉由選取此選項並指定IP位址範圍,根據特定網路授與存取權。 但系統管理員可能會新增和 例外狀況,例如,系統管理員可能會從特定網路新增例外狀況,並指定該IP位址範圍。
內建訪問控制原則範本與自定義訪問控制原則範本
AD FS 包含數個內建訪問控制原則範本。 這些目標為一些具有相同原則需求的常見案例,例如 Office 365 的用戶端存取原則。 無法修改這些範本。
為了提高彈性以因應業務需求,系統管理員可以建立自己的存取原則範本。 這些在建立之後可以修改,自定義原則範本的變更將會套用至所有由這些原則範本控制的 RP。 若要新增自定義原則範本,只要從AD FS管理中按兩下 [新增存取控制原則]。
若要建立原則範本,系統管理員必須先指定要求將在哪些條件下獲得令牌發行和/或委派的授權。 下表顯示條件和動作選項。 系統管理員可以使用不同或新的值進一步設定粗體的條件。 如果有任何例外狀況,系統管理員可以指定例外狀況。 當符合條件時,如果指定了例外狀況,且傳入請求符合例外狀況中指定的條件,則不會觸發允許動作。
| 允許使用者 | Except |
|---|---|
| 來自 特定 網絡 | 來自 特定 網絡 來自 特定 群體 來自 具有特定 信任層級的裝置 在請求中具有 特定 聲明 |
| 來自 特定 群體 | 來自 特定 網絡 來自 特定 群體 來自 具有特定 信任層級的裝置 在請求中具有 特定 聲明 |
| 來自 具有特定 信任層級的裝置 | 來自 特定 網絡 來自 特定 群體 來自 具有特定 信任層級的裝置 在請求中具有 特定 聲明 |
| 在請求中具有 特定 聲明 | 來自 特定 網絡 來自 特定 群體 來自 具有特定 信任層級的裝置 在請求中具有 特定 聲明 |
| 而且需要多重要素驗證 | 來自 特定 網絡 來自 特定 群體 來自 具有特定 信任層級的裝置 在請求中具有 特定 聲明 |
如果管理員選取多個條件,則它們具有 AND 關係。 動作是互斥的,而且針對一個政策規則,您只能選擇一個動作。 如果管理員選取多個例外狀況,則它們屬於 OR 關係。 以下顯示幾個原則規則範例:
| Policy | 政策規則 |
|---|---|
| 外部網路存取需要多重身份驗證 (MFA) 所有使用者皆被允許 |
規則 #1 來自 酒店後台 並使用 MFA Permit Rule#2 從 內部網 Permit |
| 除了非全職員工以外,不允許外部存取 允許全職員工在加入工作場所的裝置上進行內部網路存取 |
規則 #1 來自 酒店後台 以及 來自非 FTE 群體 Permit 規則 #2 從 內部網 以及從 工作場所加入 的裝置 和來自 FTE 集團 Permit |
| 外部網路存取需要 MFA,但「服務管理員」除外 所有使用者都可以存取 |
規則 #1 來自 酒店後台 並使用 MFA Permit 服務管理員群組除外 規則 #2 always Permit |
| 非工作網絡加入的裝置從外部網絡存取需要多重身份驗證 (MFA) 允許AD網狀架構進行內部網路和外部網路存取 |
規則 #1 從 內部網 並從 AD Fabric 群組 Permit 規則 #2 來自 酒店後台 以及從 非工作場所加入 的裝置 和從 AD Fabric 群組 並使用 MFA Permit 規則 #3 來自 酒店後台 以及從 工作場所加入 的裝置 和從 AD Fabric 群組 Permit |
參數化原則範本與非參數化原則範本
參數化原則範本是具有參數的原則範本。 系統管理員必須在將這個範本指派給 RPs 時輸入這些參數的值。系統管理員在建立參數化原則範本之後,無法對參數化原則範本進行變更。 參數化原則的範例是內建原則 [允許特定群組]。 只要將此原則套用至 RP,就必須指定此參數。
非參數化原則範本是沒有參數的原則範本。 系統管理員可以在不需要任何輸入的情況下將此範本指派給 RPs,並在建立非參數化原則範本之後對範本進行變更。 其中一個範例是內建原則:允許所有人,並要求多因素驗證。
如何建立非參數化的訪問控制原則
若要建立非參數化的訪問控制原則,請使用下列程式
建立非參數化訪問控制原則
從左側的 AD FS 管理中選擇 [存取控制原則],然後在右側按一下 [新增存取控制原則]。
輸入名稱和描述。 例如:允許具有已驗證裝置的使用者。
在 如果符合下列任何規則則允許存取 下,按一下 新增。
在許可之下,在具有特定信任等級的裝置旁的方框中打勾
在底部,選取有下劃線的特定
從彈出的視窗中,從下拉式清單中選取已 驗證 。 按一下 確定。
按一下 確定。 按一下 確定。
如何建立參數化訪問控制原則
若要建立參數化訪問控制原則,請使用下列程式
建立參數化訪問控制原則
從左側的 AD FS 管理中選擇 [存取控制原則],然後在右側按一下 [新增存取控制原則]。
輸入名稱和描述。 例如:允許具有特定聲明的使用者。
在 如果符合下列任何規則則允許存取 下,按一下 新增。
在允許的情況下,在要求中具有特定宣告的方框旁勾選。
在底部,選取有下劃線的特定
從快顯的視窗中,選取 指派訪問控制原則時指定的參數。 按一下 確定。
按一下 確定。 按一下 確定。
如何建立具有例外的自定義訪問控制政策
若要建立具有例外狀況的訪問控制原則,請使用下列程式。
若要建立具有例外狀況的自訂存取控制原則
從左側的 AD FS 管理中選擇 [存取控制原則],然後在右側按一下 [新增存取控制原則]。
輸入名稱和描述。 例如:允許具有已驗證裝置但不受管理的使用者。
在 如果符合下列任何規則則允許存取 下,按一下 新增。
在許可之下,在具有特定信任等級的裝置旁的方框中打勾
在底部,選取有下劃線的特定
從彈出的視窗中,從下拉式清單中選取已 驗證 。 按一下 確定。
在 [例外] 項下,把複選框放置在具有特定信任層級的裝置旁邊
在底部的 except,選取有底線的特定
在彈出的視窗中,從下拉式清單中選取 [ 受管理 ]。 按一下 確定。
按一下 確定。 按一下 確定。
![顯示 [螢幕編輯器] 對話框的螢幕快照。](media/access-control-policies-in-ad-fs/adfsacp10.png)
如何建立具有多個允許條件的自定義訪問控制原則
若要建立具有多個允許條件的訪問控制原則,請使用下列程式
建立參數化訪問控制原則
從左側的 AD FS 管理中選擇 [存取控制原則],然後在右側按一下 [新增存取控制原則]。
輸入名稱和描述。 例如:允許具有特定聲明並來自特定組別的使用者。
在 如果符合下列任何規則則允許存取 下,按一下 新增。
在 [允許] 下,在 特定群組 旁邊的方框中打勾,並在 具體的要求 中選擇特定宣告。
在底部,選取第一個條件的 底 線特定,在群組旁邊
從快顯的視窗中,選取指派政策時指定的參數。 按一下 確定。
在底部,選取第二個條件的 底 線特定,在聲明旁邊
從快顯的視窗中,選取 指派訪問控制原則時指定的參數。 按一下 確定。
按一下 確定。 按一下 確定。
如何將訪問控制原則指派給新的應用程式
將訪問控制原則指派給新的應用程式相當簡單,現在已整合到精靈來新增 RP。 從信賴方信任精靈中,您可以選取您想要指派的存取控制原則。 建立新信賴方信任關係時的需求。
![顯示 [選擇存取控制原則] 畫面的螢幕快照。](media/access-control-policies-in-ad-fs/adfsacp13.png)
如何將訪問控制原則指派給現有的應用程式
將存取控制政策指派給現有的應用程式,只需從信任方信任中選取應用程式,然後在右邊點選滑鼠右鍵<編輯存取控制政策>。
您可以從這裡選取訪問控制原則,並將其套用至應用程式。
