Regra personalizada do AD FS para a isenção do Active 365 do Office 365 MFA

3

Nós configuramos o Office 365 com nossas chaves RSA e, por enquanto, estamos procurando isentar nossos dispositivos móveis e perspectivas do MFA. Pelo que entendi, temos que formar uma regra de declaração do AD FS de transformação de emissão personalizada. Eu tentei criar um, sem sucesso:

c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"]
 && [Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ "(/adfs/ls)|(/adfs/oauth2)"]
 => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");

Alguém tem alguma idéia sobre a maneira correta de fazer isso?

    
por David Eisen 23.10.2015 / 04:01

2 respostas

4

Descobri isso. Bem direto na verdade. Então aqui está o acordo:

Primeiramente, você deve desativar suas configurações globais ou, pelo menos, as que afetam como elas são definidas. Certifique-se de ainda selecionar seu provedor de MFA (como RSA ou Cert), mas não preencha qualquer outra coisa.

Em seguida, vá para o PowerShell Administrador Executar como.

Digite este comando:

Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ "(/adfs/ls)|(/adfs/oauth2)"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");'

Se isso acontecer, se estiver em um endpoint que está solicitando adfs ou oauth2, vá em frente e ative o MFA. Como o MFA não é ativado globalmente em nenhum outro lugar, ele essencialmente conclui o que solicitei neste encadeamento. Eu tive que reiniciar o AD FS para que ele entrasse em vigor. Embora não seja a solução mais limpa do mundo, funciona.

Confira este artigo para outras instruções e comandos úteis: link

    
por 23.10.2015 / 06:20
-1

Você tem que digitar o comando manualmente no Powershell. Eu também tenho todos os tipos de mensagens de erro quando copio / colo no Powershell. Manualmente corre bem.

c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"]
 && [Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ "(/adfs/ls)|(/adfs/oauth2)"]
 => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");
    
por 23.09.2016 / 10:29