Freigeben über


Verwalten von Risiken mit der bedingten Zugriffssteuerung

Wichtige Konzepte – Bedingte Zugriffssteuerung in AD FS

Die allgemeine Funktion von AD FS besteht in der Ausstellung eines Zugriffstokens, das eine Gruppe von Ansprüchen enthält. Die Entscheidung, welche Ansprüche von AD FS akzeptiert und anschließend ausgegeben werden, unterliegt Anspruchsregeln.

Die Zugriffssteuerung in AD FS wird mit Anspruchsregeln für die Ausstellungsautorisierung implementiert, mit denen Zulassungs- oder Verweigerungsansprüche ausgegeben werden. Diese Ansprüche bestimmen, ob ein Benutzer oder eine Benutzergruppe auf mit AD FS gesicherte Ressourcen zugreifen können. Autorisierungsregeln können nur für Vertrauensstellungen der vertrauenden Seite festgelegt werden.

Regeloption Regellogik
Alle Benutzer zulassen Wenn der Typ des eingehenden Anspruchs einem beliebigen Anspruchstyp und der Wert einem beliebigen Wert entspricht, wird der Ausstellungsanspruch mit Wert auf Zulassen festgelegt.
Benutzern mit diesem eingehenden Anspruch Zugriff gewähren Wenn der Typ des eingehenden Anspruchs einem angegebenen Anspruchstyp und der Wert einem angegebenen Anspruchswert entspricht, wird der Ausstellungsanspruch mit Wert auf Zulassen festgelegt.
Benutzern mit diesem eingehenden Anspruch Zugriff verweigern Wenn der Typ des eingehenden Anspruchs einem angegebenen Anspruchstyp und der Wert einem angegebenen Anspruchswert entspricht, wird der Ausstellungsanspruch mit Wert auf Verweigern festgelegt.

Weitere Informationen zu diesen Regeloptionen und der entsprechenden Logik finden Sie unter Verwendung einer Autorisierungsanspruchsregel.

In AD FS unter Windows Server 2012 R2 wurde die Zugriffssteuerung durch mehrere Faktoren, einschließlich Benutzer, Gerät, Standort und Authentifizierungsdaten, verbessert. Dies wird durch eine größere Vielfalt an für die Autorisierungsanspruchsregeln verfügbaren Anspruchstypen ermöglicht. Mit anderen Worten: In AD FS unter Windows Server 2012 R2 können Sie bedingte Zugriffssteuerung auf der Grundlage von Benutzeridentität oder Gruppenmitgliedschaft, Netzwerkadresse, Gerät und Authentifizierungsstatus erzwingen. Bei Verwendung der Geräteoption muss das Gerät mit dem Arbeitsplatz verbunden sein. (Weitere Informationen finden Sie unter Verbinden mit einem Arbeitsplatz von einem beliebigen Gerät für SSO und nahtlose zweistufige Authentifizierung bei allen Unternehmensanwendungen.) Die Verwendung der Authentifizierungsstatusoption setzt voraus, dass die Multi-Faktor-Authentifizierung (Multi-Factor Authentication, MFA) ausgeführt wurde.

Die bedingte Zugriffssteuerung in AD FS unter Windows Server 2012 R2 bietet die folgenden Vorteile:

  • Flexible und deutliche Autorisierungsrichtlinien pro Anwendung, wodurch der Zugriff basierend auf Benutzer, Gerät, Netzwerkadresse und Authentifizierungsstatus zugelassen oder verweigert werden kann

  • Erstellen von Ausstellungsautorisierungsregeln für Anwendungen der vertrauenden Seite

  • Komfortable Benutzeroberfläche für die allgemeinen Szenarien der bedingten Zugriffssteuerung

  • Umfassende Unterstützung von Anspruchssprachen und Windows PowerShell für erweiterte Szenarien der bedingten Zugriffssteuerung

  • Benutzerdefinierte Meldungen (pro Anwendung der vertrauenden Seite) des Typs „Zugriff verweigert“. Weitere Informationen finden Sie unter Anpassen der AD FS-Anmeldeseiten. Da diese Meldungen angepasst werden können, können Sie erläutern, warum einem Benutzer der Zugriff verweigert wird und außerdem die eigenständige Wartung dort vereinfachen, wo es möglich ist. Fordern Sie beispielsweise Benutzer dazu auf, eine Verbindung zwischen ihren Geräten und dem Arbeitsplatz herzustellen. Weitere Informationen finden Sie unter Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications.

Die folgende Tabelle enthält Anspruchstypen, die in AD FS unter Windows Server 2012 R2 verfügbar sind und für die Implementierung der bedingten Zugriffssteuerung verwendet werden sollen.

Anspruchstyp BESCHREIBUNG
E-Mail-Adresse Die E-Mail-Adresse des Benutzers.
Vorname Angegebener Name des Benutzers
Name Eindeutiger Name des Benutzers
UPN Der Benutzerprinzipalname (User Principal Name, UPN) des Benutzers.
Allgemeiner Name Allgemeiner Name des Benutzers
AD FS 1.x-E-Mail-Adresse Die E-Mail-Adresse des Benutzers bei der Interaktion mit AD FS 1.1 oder AD FS 1.0
Group Eine Gruppe, in der der Benutzer Mitglied ist
AD FS 1.x UPN UPN des Benutzers bei der Interaktion mit AD FS 1.1 oder AD FS 1.0
Rolle Eine Rolle, über die der Benutzer verfügt.
Surname Nachname des Benutzers
PPID Private ID des Benutzers
Namens-ID SAML-Namensbezeichner des Benutzers
Zeitstempel der Authentifizierung Wird zum Anzeigen der Uhrzeit und des Datums der Benutzerauthentifizierung verwendet
Authentifizierungsmethode Zur Authentifizierung des Benutzers verwendete Methode
Nur Gruppen-SID verweigern Die Gruppen-SID %%amp;quot;Nur verweigern%%amp;quot; des Benutzers
Nur primäre SID verweigern Die primäre SID %%amp;quot;Nur verweigern%%amp;quot; des Benutzers
Nur primäre Gruppen-SID verweigern Die primäre Gruppen-SID %%amp;quot;Nur verweigern%%amp;quot; des Benutzers
Gruppen-SID Die Gruppen-SID des Benutzers
Primäre Gruppen-SID Primäre Gruppen-SID des Benutzers
Primäre SID Primäre SID des Benutzers
Windows-Kontoname Domänenkontenname des Benutzers in der Form %%amp;quot;Domäne\Benutzer%%amp;quot;.
Ist registrierter Benutzer Benutzer ist für die Verwendung dieses Geräts registriert
Gerätebezeichner Bezeichner des Geräts
Geräteregistrierungsbezeichner Bezeichner für die Geräteregistrierung
Geräteregistrierungs-Anzeigename Anzeigename der Geräteregistrierung
Geräte-BS-Typ BS-Typ des Geräts
Device OS Version Die Betriebssystemversion des Geräts.
Ist verwaltetes Gerät Gerät wird von einem Verwaltungsdienst verwaltet
Weitergeleitete Client-IP IP-Adresse des Benutzers
Clientanwendung Typ der Clientanwendung
Client-Benutzer-Agent Gerätetyp, mit dem vom Client auf die Anwendung zugegriffen wird
Client-IP IP-Adresse des Clients.
Endpunktpfad Absoluter Endpunktpfad, der zum Bestimmen von aktiven bzw. passiven Clients verwendet werden kann
Proxy DNS-Name des Verbundserverproxys, von dem die Anforderung übergeben wurde
Anwendungsbezeichner Bezeichner für die vertrauende Seite
Anwendungsrichtlinien Anwendungsrichtlinien des Zertifikats
Zertifizierungsstellenschlüssel-ID Erweiterung der Zertifizierungsstellenschlüssel-ID des Zertifikats, von dem ein ausgestelltes Zertifikat signiert wurde
Basiseinschränkung Eine der Basiseinschränkungen des Zertifikats
Erweiterte Schlüsselverwendung Beschreibt eine der erweiterten Schlüsselverwendungen des Zertifikats
Issuer (Aussteller) Der Name der Zertifizierungsstelle, die das X.509-Zertifikat ausgestellt hat.
Ausstellername Definierter Name des Zertifikatausstellers
Schlüsselverwendung Eine der Schlüsselverwendungen des Zertifikats
Nicht nach Datum (lokale Zeit), nach dem ein Zertifikat nicht mehr gültig ist
Nicht vor Datum (lokale Zeit), ab dem ein Zertifikat gültig ist
Zertifikatrichtlinien Die bei der Zertifikatausstellung gültigen Richtlinien
Öffentlicher Schlüssel Öffentlicher Schlüssel des Zertifikats
Zertifikatrohdaten Rohdaten des Zertifikats
Alternativer Antragstellername Einer der alternativen Namen des Zertifikats
Seriennummer Seriennummer des Zertifikats
Signaturalgorithmus Zum Erstellen der Signatur eines Zertifikats verwendeter Algorithmus
Subject Antragsteller des Zertifikats
Schlüsselkennung des Antragstellers Schlüsselkennung des Antragstellers des Zertifikats
Antragstellername Definierter Antragstellername aus einem Zertifikat
V2-Vorlagenname Name der Zertifikatvorlage Version 2, die beim Ausstellen oder Erneuern eines Zertifikats verwendet wird. Dies ist ein Microsoft-spezifischer Wert.
V1-Vorlagenname Name der Zertifikatvorlage Version 1, die beim Ausstellen oder Erneuern eines Zertifikats verwendet wird. Dies ist ein Microsoft-spezifischer Wert.
Fingerabdruck Fingerabdruck des Zertifikats
X.509-Version X.509-Formatversion des Zertifikats
Innerhalb des Unternehmensnetzwerks Wird verwendet, um anzuzeigen, ob eine Anforderung aus dem Unternehmensnetzwerk stammt
Kennwortablaufzeit Zeigt den Zeitpunkt an, zu dem das Kennwort abläuft
Tage bis zum Kennwortablauf Zeigt die Anzahl der Tage bis zum Ablauf des Kennworts an
Kennwortaktualisierungs-URL Zeigt die Webadresse des Kennwortaktualisierungsdiensts an
Authentifizierungsmethodenreferenzen Gibt alle Authentifizierungsmethoden an, die zum Authentifizieren des Benutzers verwendet werden

Verwalten von Risiken mit der bedingten Zugriffssteuerung

Mithilfe der verfügbaren Einstellungen können Risiken durch Implementierung der bedingten Zugriffssteuerung verwaltet werden.

Häufige Szenarios

Ein einfaches Szenario ist beispielsweise die Implementierung der bedingten Zugriffssteuerung auf Grundlage der Gruppenmitgliedschaftsdaten eines Benutzers für eine bestimmte Anwendung (Vertrauensstellung der vertrauenden Seite). Anders ausgedrückt: Sie können eine Ausstellungsautorisierungsregel auf Ihrem Verbundserver einrichten, um Benutzern aus einer bestimmten Gruppe in Ihrer AD-Domäne Zugriff auf eine bestimmte Anwendung zu gewähren, die durch AD FS geschützt ist. Die ausführlichen Schritte (auf der Benutzeroberfläche und mit Windows PowerShell) zum Implementieren dieses Szenarios werden unter Walkthrough Guide: Manage Risk with Conditional Access Controlbehandelt. Damit die Schritte in dieser exemplarischen Vorgehensweise ausgeführt werden können, müssen Sie eine Testumgebung einrichten und den Anweisungen unter Einrichten der Labumgebung für AD FS unter Windows Server 2012 R2.

Erweiterte Szenarien

Weitere Beispiele für das Implementieren der bedingten Zugriffssteuerung in AD FS unter Windows Server 2012 R2:

  • Lassen Sie den Zugriff auf eine durch AD FS geschützte Anwendung nur zu, wenn die Identität des Benutzers mit MFA bestätigt wurde.

    Sie können den folgenden Code verwenden:

    @RuleTemplate = "Authorization"
    @RuleName = "PermitAccessWithMFA"
    c:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
    
    
  • Lassen Sie den Zugriff auf eine durch AD FS gesicherte Anwendung nur zu, wenn die Zugriffsanforderung von einem mit dem Arbeitsplatz verbundenen Gerät stammt, das für den Benutzer registriert ist.

    Sie können den folgenden Code verwenden:

    @RuleTemplate = "Authorization"
    @RuleName = "PermitAccessFromRegisteredWorkplaceJoinedDevice"
    c:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
    
    
  • Lassen Sie den Zugriff auf eine durch AD FS gesicherte Anwendung nur zu, wenn die Zugriffsanforderung von einem mit dem Arbeitsplatz verbundenen Gerät stammt, das für einen Benutzer registriert ist, dessen Identität mit der MFA bestätigt wurde.

    Sie können den folgenden Code verwenden:

    @RuleTemplate = "Authorization"
    @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice"
    c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] &&
    c2:[Type == "https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", Value =~ "^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
    
    
  • Lassen Sie den Extranetzugriff auf eine durch AD FS gesicherte Anwendung nur zu, wenn die Zugriffsanforderung von einem Benutzer stammt, dessen Identität mit der MFA bestätigt wurde.

    Sie können den folgenden Code verwenden:

    @RuleTemplate = "Authorization"
    @RuleName = "RequireMFAForExtranetAccess"
    c1:[Type == "https://schemas.microsoft.com/claims/authnmethodsreferences", Value =~ "^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$"] &&
    c2:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value =~ "^(?i)false$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "PermitUsersWithClaim");
    
    

Weitere Informationen

Exemplarische Vorgehensweise: Bewältigen von Risiken mithilfe der bedingten ZugriffssteuerungEinrichten der Labumgebung für AD FS unter Windows Server 2012 R2