web-dev-qa-db-ja.com

カスタムAD FS Office 365 MFAActiveSync免除のルール

RSAキーを使用してOffice365をセットアップし、今のところモバイルデバイスとOutlookをMFAから免除することを検討しています。私が理解していることから、カスタム発行変換AD FSクレームルールを作成する必要があります。作成しようとしましたが、成功しませんでした。

c:[Type == "http://schemas.Microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"]
 && [Type == "http://schemas.Microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ "(/adfs/ls)|(/adfs/oauth2)"]
 => issue(Type = "http://schemas.Microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.Microsoft.com/claims/multipleauthn");

誰かがこれを行う正しい方法について何かアイデアがありますか?

3
David Eisen

理解した。実際にはかなり簡単です。だからここに取引があります:

最初に、グローバル設定、または少なくとも設定方法に影響を与える設定を無効にする必要があります。 MFAプロバイダー(RSAやCertなど)を選択していることを確認してください。ただし、他に何も入力しないでください。

次に、管理者として実行PowerShellに移動します。

次のコマンドを入力します。

Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[Type == "http://schemas.Microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ "(/adfs/ls)|(/adfs/oauth2)"] => issue(Type = "http://schemas.Microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.Microsoft.com/claims/multipleauthn");'

これが行うWbatは、adfsまたはoauth2のプロンプトを表示しているエンドポイントにある場合は、先に進んでMFAを有効にすることを伝えています。 MFAは他の場所ではグローバルに有効になっていないため、このスレッドで要求した内容は基本的に完了しています。 AD FSを再起動して有効にする必要がありました。これは世界で最もクリーンなソリューションではありませんが、機能します。

その他の手順と便利なコマンドについては、この記事を確認してください: http://blogs.msdn.com/b/ramical/archive/2014/01/30/under-the-hood-tour-on-multi-factor -authentication-in-ad-fs-part-1-policy.aspx

4
David Eisen