Назад | Перейти на главную страницу

Пользовательское правило AD FS для исключения Office 365 MFA ActiveSync

Мы настраиваем Office 365 с нашими ключами RSA, и пока мы стремимся освободить наши мобильные устройства и Outlook от MFA. Насколько я понимаю, мы должны сформировать настраиваемое правило утверждения AD FS для преобразования выдачи. Я попытался создать его, но безуспешно:

c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"]
 && [Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ "(/adfs/ls)|(/adfs/oauth2)"]
 => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");

Есть ли у кого-нибудь идеи, как это правильно сделать?

Догадаться. На самом деле довольно прямолинейно. Итак, вот сделка:

Вы должны сначала отключить свои глобальные настройки или, по крайней мере, те, которые влияют на их установку. Убедитесь, что вы по-прежнему выбираете поставщика MFA (например, RSA или Cert), но не заполняйте больше ничего.

Затем перейдите в PowerShell для запуска от имени администратора.

Введите эту команду:

Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ "(/adfs/ls)|(/adfs/oauth2)"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");'

Wbat это говорит ему, что если он находится в конечной точке, которая запрашивает adfs или oauth2, тогда продолжайте и включите MFA. Поскольку MFA больше нигде не активирован глобально, он по существу завершает то, что я просил в этой теме. Мне пришлось перезапустить AD FS, чтобы он вступил в силу. Хотя это не самое чистое решение в мире, оно работает.

Прочтите эту статью для получения других инструкций и полезных команд: http://blogs.msdn.com/b/ramical/archive/2014/01/30/under-the-hood-tour-on-multi-factor-authentication-in-ad-fs-part-1-policy. aspx

Вам нужно ввести команду вручную в Powershell. Я также получаю всевозможные сообщения об ошибках, когда копирую / вставляю его в Powershell. Вручную идет хорошо.

c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"]
 && [Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ "(/adfs/ls)|(/adfs/oauth2)"]
 => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");