Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In AD FS werden in Windows Server 2012 R2 sowohl die Zugriffssteuerung als auch der Authentifizierungsmechanismus mit mehreren Faktoren erweitert, die Benutzer-, Geräte-, Standort- und Authentifizierungsdaten umfassen. Diese Verbesserungen ermöglichen es Ihnen, entweder über die Benutzeroberfläche oder Windows PowerShell, das Risiko der Vergabe von Zugriffsberechtigungen für AD FS-gesicherte Anwendungen mittels mehrfaktorieller Zugriffssteuerung und Authentifizierung zu verwalten. Diese basieren auf Benutzeridentität oder Gruppenmitgliedschaft, Netzwerkstandort, Gerätedaten von mit dem Arbeitsplatz verbundenen Geräten und dem Authentifizierungsstatus, wenn die mehrfaktorielle Authentifizierung (Multi-Factor Authentication, MFA) durchgeführt wurde.
Weitere Informationen zu MFA und mehrstufiger Zugriffssteuerung in Active Directory-Verbunddiensten (AD FS) in Windows Server 2012 R2 finden Sie in den folgenden Themen:
Konfigurieren von Authentifizierungsrichtlinien über das AD FS-Verwaltungs-Snap-In
Die Mitgliedschaft in Administratoren oder gleichwertig auf dem lokalen Computer ist die Mindestanforderung, um diese Verfahren abzuschließen. Informationen zu den entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter Local and Domain Default Groups (Lokale und Domänenstandardgruppen).
In AD FS können Sie in Windows Server 2012 R2 eine Authentifizierungsrichtlinie auf globaler Ebene angeben, die für alle Anwendungen und Dienste gilt, die durch AD FS gesichert sind. Sie können auch Authentifizierungsrichtlinien für bestimmte Anwendungen und Dienste festlegen, die auf Vertrauensstellungen von Seiten basieren und von AD FS gesichert werden. Wenn Sie eine Authentifizierungsrichtlinie für eine bestimmte Anwendung pro Vertrauensstellung angeben, setzt dies die globale Authentifizierungsrichtlinie nicht außer Kraft. Wenn die globale Authentifizierungsrichtlinie oder die pro Vertrauensstellung der vertrauenden Seite geltende Authentifizierungsrichtlinie MFA erfordert, wird die MFA ausgelöst, wenn die benutzende Person versucht, sich bei dieser Vertrauensstellung der vertrauenden Seite zu authentifizieren. Die globale Authentifizierungsrichtlinie dient als Fallback für Vertrauensstellungen der vertrauenden Seite (Anwendungen und Dienste), für die keine spezielle Authentifizierungsrichtlinie konfiguriert wurde.
So konfigurieren Sie die primäre Authentifizierung global in Windows Server 2012 R2
Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.
Klicken Sie im AD FS-Snap-In auf "Authentifizierungsrichtlinien".
Klicken Sie im Abschnitt "Primäre Authentifizierung" auf "Bearbeiten" neben den globalen Einstellungen. Sie können auch mit der rechten Maustaste auf Authentifizierungsrichtlinien klicken und die Option "Globale primäre Authentifizierung bearbeiten" auswählen, oder wählen Sie im Bereich "Aktionen " die Option "Globale primäre Authentifizierung bearbeiten" aus.
Im Fenster "Globale Authentifizierungsrichtlinie bearbeiten " auf der Registerkarte "Primär " können Sie die folgenden Einstellungen als Teil der globalen Authentifizierungsrichtlinie konfigurieren:
Authentifizierungsmethoden, die für die primäre Authentifizierung verwendet werden sollen. Sie können verfügbare Authentifizierungsmethoden unter Extranet und Intranet auswählen.
Geräteauthentifizierung über das Kontrollkästchen Geräteauthentifizierung aktivieren . Weitere Informationen finden Sie unter „Verbinden Sie sich mit Workplace von jedem Gerät aus für SSO und nahtlose Zwei-Faktor-Authentifizierung in Unternehmensanwendungen“.
So konfigurieren Sie die primäre Authentifizierung pro Vertrauensstellung der vertrauenden Seite
Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.
Klicken Sie im AD FS-Snap-In auf "Authentifizierungsrichtlinien\pro vertrauender Partei", und klicken Sie dann auf die Vertrauensstellung der vertrauenden Partei, für die Sie Authentifizierungsrichtlinien konfigurieren möchten.
Klicken Sie mit der rechten Maustaste auf die Vertrauensstellung der vertrauenden Seite, für die Sie Authentifizierungsrichtlinien konfigurieren möchten, und wählen Sie dann " Benutzerdefinierte primäre Authentifizierung bearbeiten" aus, oder wählen Sie im Bereich "Aktionen " die Option "Benutzerdefinierte primäre Authentifizierung bearbeiten" aus.
Im Fenster Authentifizierungsrichtlinie für <relying_party_trust_name> bearbeiten können Sie auf der Registerkarte Primär die folgende Einstellung als Teil der Authentifizierungsrichtlinie pro Vertrauensstellung der vertrauenden Seite konfigurieren:
- Gibt an, ob Benutzer bei der Anmeldung jedes Mal ihre Anmeldeinformationen angeben müssen, wenn das Kontrollkästchen Benutzer sind verpflichtet, jedes Mal bei der Anmeldung ihre Anmeldeinformationen anzugeben aktiviert ist.
- Gibt an, ob Benutzer bei der Anmeldung jedes Mal ihre Anmeldeinformationen angeben müssen, wenn das Kontrollkästchen Benutzer sind verpflichtet, jedes Mal bei der Anmeldung ihre Anmeldeinformationen anzugeben aktiviert ist.
So konfigurieren Sie die mehrstufige Authentifizierung global
Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.
Klicken Sie im AD FS-Snap-In auf "Authentifizierungsrichtlinien".
Klicken Sie im Abschnitt "Mehrstufige Authentifizierung" neben "Globale Einstellungen" auf "Bearbeiten". Sie können auch mit der rechten Maustaste auf Authentifizierungsrichtlinien klicken und die Option "Globale mehrstufige Authentifizierung bearbeiten" auswählen, oder wählen Sie im Bereich "Aktionen " die Option "Globale mehrstufige Authentifizierung bearbeiten" aus.
Im Fenster " Globale Authentifizierungsrichtlinie bearbeiten " können Sie auf der Registerkarte " Mehrstufige authentifizierung" die folgenden Einstellungen als Teil der globalen mehrstufigen Authentifizierungsrichtlinie konfigurieren:
Einstellungen oder Bedingungen für MFA über verfügbare Optionen unter den Abschnitten "Benutzer/Gruppen", " Geräte" und "Orte ".
Um MFA für eine dieser Einstellungen zu aktivieren, müssen Sie mindestens eine zusätzliche Authentifizierungsmethode auswählen. Die Zertifikatauthentifizierung ist die standard verfügbare Option. Sie können auch andere benutzerdefinierte zusätzliche Authentifizierungsmethoden konfigurieren, z. B. die Windows Azure Active-Authentifizierung. Weitere Informationen finden Sie in der exemplarischen Vorgehensweise: Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für vertrauliche Anwendungen.
Warnung
Sie können nur global zusätzliche Authentifizierungsmethoden konfigurieren.
So konfigurieren Sie die Multi-Faktor-Authentifizierung für jede Vertrauensstellung
Klicken Sie im Server-Manager auf Tools, und wählen Sie AD FS-Verwaltung aus.
Klicken Sie im AD FS-Snap-In auf Authentifizierungsrichtlinien\Pro Vertrauensstellung der vertrauenden Seite, und klicken Sie dann auf die Vertrauensstellung der vertrauenden Seite, für die Sie die MFA konfigurieren möchten.
Klicken Sie entweder mit der rechten Maustaste auf die Vertrauensstellung der vertrauenden Seite, für die Sie MFA konfigurieren möchten, und wählen Sie dann " Benutzerdefinierte mehrstufige Authentifizierung bearbeiten" aus, oder wählen Sie im Bereich "Aktionen " die Option "Benutzerdefinierte mehrstufige Authentifizierung bearbeiten" aus.
Im Fenster Authentifizierungsrichtlinie für <relying_party_trust_name> bearbeiten können Sie auf der Registerkarte Mehrstufig die folgenden Einstellungen als Teil der Authentifizierungsrichtlinie pro Vertrauensstellung der vertrauenden Seite konfigurieren:
- Einstellungen oder Bedingungen für MFA über verfügbare Optionen unter den Abschnitten "Benutzer/Gruppen", " Geräte" und "Orte ".
Konfigurieren von Authentifizierungsrichtlinien über Windows PowerShell
Windows PowerShell ermöglicht eine höhere Flexibilität bei der Verwendung verschiedener Faktoren der Zugriffssteuerung und des Authentifizierungsmechanismus, der in AD FS in Windows Server 2012 R2 verfügbar ist, um Authentifizierungsrichtlinien und Autorisierungsregeln zu konfigurieren, die erforderlich sind, um echten bedingten Zugriff für Ihre AD FS--secured-Ressourcen zu implementieren.
Die Mitgliedschaft in der Gruppe der Administratoren oder einer gleichwertigen Gruppe auf dem lokalen Computer ist die Mindestanforderung, um diese Vorgänge abzuschließen. Überprüfen Sie Details zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften bei lokalen und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477).
So konfigurieren Sie eine zusätzliche Authentifizierungsmethode über Windows PowerShell
- Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.
`Set-AdfsGlobalAuthenticationPolicy –AdditionalAuthenticationProvider CertificateAuthentication `
Warnung
Um zu überprüfen, ob dieser Befehl erfolgreich ausgeführt wurde, können Sie den Get-AdfsGlobalAuthenticationPolicy Befehl ausführen.
So konfigurieren Sie die MFA pro Vertrauensstellung der vertrauenden Seite basierend auf den Gruppenmitgliedschaftsdaten von Benutzenden
- Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus:
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`
Warnung
Achten Sie darauf, <relying_party_trust> durch den Namen Ihrer Vertrauensstellung der vertrauenden Seite zu ersetzen.
- Führen Sie im gleichen Windows PowerShell-Befehlsfenster den folgenden Befehl aus.
$MfaClaimRule = "c:[Type == '"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value =~ '"^(?i) <group_SID>$'"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value '"https://schemas.microsoft.com/claims/multipleauthn'");"
Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –AdditionalAuthenticationRules $MfaClaimRule
Hinweis
Stellen Sie sicher, group_SID< durch den Wert der Sicherheits-ID (SID) Ihrer Active Directory (AD)-Gruppe zu ersetzen>.
So konfigurieren Sie MFA global basierend auf den Gruppenmitgliedschaftsdaten der Benutzer
- Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value == '"group_SID'"]
=> issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"
Set-AdfsAdditionalAuthenticationRule $MfaClaimRule
Hinweis
Stellen Sie sicher, dass Sie <group_SID> durch den Wert der SID Ihrer AD-Gruppe ersetzen.
So konfigurieren Sie MFA global basierend auf dem Standort des Benutzers
- Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '"true_or_false'"]
=> issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"
Set-AdfsAdditionalAuthenticationRule $MfaClaimRule
Hinweis
Ersetzen Sie <true_or_false> durch true oder false. Der Wert hängt von Ihrer spezifischen Regelbedingung ab, die darauf basiert, ob die Zugriffsanforderung aus dem Extranet oder dem Intranet stammt.
So konfigurieren Sie MFA global basierend auf den Gerätedaten des Benutzers
- Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false"']
=> issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"
Set-AdfsAdditionalAuthenticationRule $MfaClaimRule
Hinweis
Ersetzen Sie <true_or_false> durch true oder false. Der Wert hängt von Ihrer spezifischen Regelbedingung ab, die darauf basiert, ob das Gerät am Arbeitsplatz eingebunden ist oder nicht.
So konfigurieren Sie MFA global, wenn die Zugriffsanforderung vom Extranet und von einem nicht am Arbeitsplatz verbundenen Gerät stammt
- Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.
`Set-AdfsAdditionalAuthenticationRule "c:[Type == '"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false'"] && c2:[Type == '"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '" true_or_false '"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value ='"https://schemas.microsoft.com/claims/multipleauthn'");" `
Hinweis
Stellen Sie sicher, dass beide Instanzen von <true_or_false> durch eine true oder false, die von Ihren spezifischen Regelbedingungen abhängt, ersetzt werden. Die Regelbedingungen basieren darauf, ob das Gerät am Arbeitsplatz eingebunden ist oder nicht und ob die Zugriffsanforderung aus dem Extranet oder Intranet stammt.
So konfigurieren Sie MFA global, wenn der Zugriff von einem Extranetbenutzer stammt, der zu einer bestimmten Gruppe gehört
- Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.
Set-AdfsAdditionalAuthenticationRule "c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value == `"group_SID`"] && c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value== `"true_or_false`"] => issue(Type = `"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod`", Value =`"https://schemas.microsoft.com/claims/
Hinweis
Stellen Sie sicher, dass Sie <group_SID> durch den Wert der Gruppen-SID und <true_or_false> durch entweder true oder false ersetzen, je nach Ihrer spezifischen Regelbedingung, die darauf basiert, ob die Zugriffsanforderung aus dem Extranet oder Intranet stammt.
So gewähren Sie zugriff auf eine Anwendung basierend auf Benutzerdaten über Windows PowerShell
Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.
$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
Hinweis
Achten Sie darauf, <relying_party_trust> durch den Wert Ihrer Vertrauensstellung der vertrauenden Seite zu ersetzen.
Führen Sie im gleichen Windows PowerShell-Befehlsfenster den folgenden Befehl aus.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`" @RuleName = `"Foo`" c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value =~ `"^(?i)<group_SID>$`"] =>issue(Type = `"https://schemas.microsoft.com/authorization/claims/deny`", Value = `"DenyUsersWithClaim`");" Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –IssuanceAuthorizationRules $GroupAuthzRule
Hinweis
Stellen Sie sicher, dass Sie <group_SID> durch den Wert der SID Ihrer AD-Gruppe ersetzen.
So gewähren Sie Zugriff auf eine Anwendung, die von AD FS gesichert ist, nur, wenn die Identität dieses Benutzers mit MFA überprüft wurde
- Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `
Hinweis
Achten Sie darauf, <relying_party_trust> durch den Wert Ihrer Vertrauensstellung der vertrauenden Seite zu ersetzen.
Führen Sie im gleichen Windows PowerShell-Befehlsfenster den folgenden Befehl aus.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`" @RuleName = `"PermitAccessWithMFA`" c:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = '"PermitUsersWithClaim'");"
So gewähren Sie Zugriff auf eine Anwendung, die von AD FS gesichert ist, nur, wenn die Zugriffsanforderung von einem arbeitsplatzgefügten Gerät stammt, das für den Benutzer registriert ist
Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.
$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
Hinweis
Achten Sie darauf, <relying_party_trust> durch den Wert Ihrer Vertrauensstellung der vertrauenden Seite zu ersetzen.
- Führen Sie im gleichen Windows PowerShell-Befehlsfenster den folgenden Befehl aus.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"PermitAccessFromRegisteredWorkplaceJoinedDevice`"
c:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");
So gewähren Sie zugriff auf eine Anwendung, die von AD FS gesichert ist, nur, wenn die Zugriffsanforderung von einem arbeitsplatzgefügten Gerät stammt, das für einen Benutzer registriert ist, dessen Identität mit MFA überprüft wurde
- Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `
Hinweis
Achten Sie darauf, <relying_party_trust> durch den Wert Ihrer Vertrauensstellung der vertrauenden Seite zu ersetzen.
Führen Sie im gleichen Windows PowerShell-Befehlsfenster den folgenden Befehl aus.
$GroupAuthzRule = '@RuleTemplate = "Authorization" @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice" c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] && c2:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"
So gewähren Sie Extranetzugriff auf eine von AD FS gesicherte Anwendung nur, wenn die Zugriffsanforderung von einem Benutzer stammt, dessen Identität mit MFA überprüft wurde
- Öffnen Sie auf Ihrem Verbundserver das Windows PowerShell-Befehlsfenster, und führen Sie den folgenden Befehl aus.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`
Hinweis
Achten Sie darauf, <relying_party_trust> durch den Wert Ihrer Vertrauensstellung der vertrauenden Seite zu ersetzen.
- Führen Sie im gleichen Windows PowerShell-Befehlsfenster den folgenden Befehl aus.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"RequireMFAForExtranetAccess`"
c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] &&
c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value =~ `"^(?i)false$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"