Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En AD FS, en Windows Server 2012 R2, tanto el control de acceso como el mecanismo de autenticación se mejoran con varios factores que incluyen datos de usuario, dispositivo, ubicación y autenticación. Estas mejoras le permiten, ya sea a través de la interfaz de usuario o a través de Windows PowerShell, administrar el riesgo de conceder permisos de acceso a aplicaciones protegidas por AD FS a través del control de acceso multifactor y la autenticación multifactor que se basan en la identidad del usuario o la pertenencia a grupos, la ubicación de red, los datos del dispositivo unidos al área de trabajo y el estado de autenticación cuando se realizó la autenticación multifactor (MFA).
Para obtener más información sobre MFA y el control de acceso multifactor en los Servicios de federación de Active Directory (AD FS) en Windows Server 2012 R2, vea los temas siguientes:
Configuración de directivas de autenticación mediante el complemento de administración de AD FS
Membership in Administrators, or equivalent, on the local computer is the minimum requirement to complete these procedures. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en los grupos predeterminados de dominio y local.
En AD FS, en Windows Server 2012 R2, puede especificar una directiva de autenticación en un ámbito global que sea aplicable a todas las aplicaciones y servicios protegidos por AD FS. También puede establecer directivas de autenticación para aplicaciones y servicios específicos que dependen de confianzas de usuario y que están protegidos por AD FS. Especificar una directiva de autenticación para una aplicación particular por cada relación de confianza no invalida la directiva de autenticación global. Si la directiva de autenticación global o la directiva de autenticación por relación de confianza para usuario autenticado requieren MFA, MFA se desencadenará cuando el usuario intente autenticarse a esta relación de confianza para usuario autenticado. La directiva de autenticación global es una reserva para las relaciones de confianza para usuario autenticado para aplicaciones y servicios que no tienen configurada una directiva de autenticación específica.
Para configurar la autenticación principal globalmente en Windows Server 2012 R2
In Server Manager, click Tools, and then select AD FS Management.
In AD FS snap-in, click Authentication Policies.
In the Primary Authentication section, click Edit next to Global Settings. You can also right-click Authentication Policies, and select Edit Global Primary Authentication, or, under the Actions pane, select Edit Global Primary Authentication.
En la ventana Editar directiva de autenticación global , en la pestaña Principal , puede configurar las siguientes opciones como parte de la directiva de autenticación global:
Métodos de autenticación que se usarán para la autenticación principal. You can select available authentication methods under the Extranet and Intranet.
Autenticación de dispositivos a través de la casilla Habilitar autenticación de dispositivos . Para obtener más información, consulte Unirse a un área de trabajo desde cualquier dispositivo para SSO y autenticación de segundo factor sin problemas en todas las aplicaciones de la compañía.
Configuración de la autenticación principal por relación de confianza para usuario autenticado
In Server Manager, click Tools, and then select AD FS Management.
In AD FS snap-in, click Authentication Policies\Per Relying Party Trust, and then click the relying party trust for which you want to configure authentication policies.
Haga clic con el botón derecho sobre la confianza del tercero para la que desea configurar directivas de autenticación, luego seleccione Editar autenticación principal personalizada o, en el panel Acciones, seleccione Editar autenticación principal personalizada.
En la ventana Editar directiva de autenticación para< relying_party_trust_name>, en la pestaña Principal, puede configurar la siguiente opción como parte de la directiva de autenticación por relación de confianza para usuario autenticado:
- Si los usuarios deben proporcionar sus credenciales cada vez que inicien sesión mediante la casilla de verificación "Los usuarios deben proporcionar sus credenciales cada vez al iniciar sesión".
- Si los usuarios deben proporcionar sus credenciales cada vez que inicien sesión mediante la casilla de verificación "Los usuarios deben proporcionar sus credenciales cada vez al iniciar sesión".
Para configurar la autenticación multifactor globalmente
In Server Manager, click Tools, and then select AD FS Management.
In AD FS snap-in, click Authentication Policies.
In the Multi-factor Authentication section, click Edit next to Global Settings. You can also right-click Authentication Policies, and select Edit Global Multi-factor Authentication, or, under the Actions pane, select Edit Global Multi-factor Authentication.
En la ventana Editar directiva de autenticación global , en la pestaña Multi-factor , puede configurar las siguientes opciones como parte de la directiva global de autenticación multifactor:
Settings or conditions for MFA via available options under the Users/Groups, Devices, and Locations sections.
Para habilitar MFA para cualquiera de estas configuraciones, debe seleccionar al menos un método de autenticación adicional. Certificate Authentication is the default available option. También puede configurar otros métodos de autenticación adicionales personalizados, por ejemplo, Autenticación activa de Windows Azure. Para obtener más información, consulte Guía de tutorial: Administración de riesgos con Autenticación multifactor adicional para aplicaciones confidenciales.
Warning
Solo puede configurar métodos de autenticación adicionales globalmente.
Configuración de autenticación multifactor por relación de confianza para usuario autenticado
In Server Manager, click Tools, and then select AD FS Management.
In AD FS snap-in, click Authentication Policies\Per Relying Party Trust, and then click the relying party trust for which you want to configure MFA.
Haga clic con el botón derecho en la confianza de la parte confiable para la que desea configurar MFA y, a continuación, seleccione Editar autenticación multifactor personalizada o, en el panel Acciones, seleccione Editar autenticación multifactor personalizada.
En la ventana Editar directiva de autenticación para< relying_party_trust_name>, en la pestaña Multifactor, puede configurar la siguiente opción como parte de la directiva de autenticación por relación de confianza para usuario autenticado:
- Settings or conditions for MFA via available options under the Users/Groups, Devices, and Locations sections.
Configuración de directivas de autenticación mediante Windows PowerShell
Windows PowerShell permite una mayor flexibilidad en el uso de varios factores de control de acceso y el mecanismo de autenticación que están disponibles en AD FS en Windows Server 2012 R2 para configurar directivas de autenticación y reglas de autorización necesarias para implementar el acceso condicional verdadero para los recursos de -secured de AD FS.
La pertenencia a administradores, o equivalente, en el equipo local es el requisito mínimo para completar estos procedimientos. Revisar los detalles sobre el uso de las cuentas y membresías de grupos apropiadas en Grupos predeterminados de dominio y local (http://go.microsoft.com/fwlink/?LinkId=83477).
Para configurar un método de autenticación adicional a través de Windows PowerShell
- En el servidor de federación, abra la ventana de comandos de Windows PowerShell y ejecute el siguiente comando.
`Set-AdfsGlobalAuthenticationPolicy –AdditionalAuthenticationProvider CertificateAuthentication `
Warning
Para comprobar que este comando se ejecutó correctamente, puede ejecutar el Get-AdfsGlobalAuthenticationPolicy comando .
Configuración de la confianza de MFA por relación de confianza para usuario autenticado basada en los datos de pertenencia a grupos de un usuario
- En el servidor de federación, abra la ventana de comandos de Windows PowerShell y ejecute el siguiente comando:
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`
Warning
Asegúrese de reemplazar <relying_party_trust> por el nombre de la relación de confianza para usuario autenticado.
- En la misma ventana de comandos de Windows PowerShell, ejecute el siguiente comando.
$MfaClaimRule = "c:[Type == '"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value =~ '"^(?i) <group_SID>$'"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value '"https://schemas.microsoft.com/claims/multipleauthn'");"
Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –AdditionalAuthenticationRules $MfaClaimRule
Note
Asegúrese de reemplazar <group_SID> por el valor del identificador de seguridad (SID) del grupo de Active Directory (AD).
Para configurar MFA globalmente en función de los datos de pertenencia a grupos de usuarios
- En el servidor de federación, abra la ventana de comandos de Windows PowerShell y ejecute el siguiente comando.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid'", Value == '"group_SID'"]
=> issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"
Set-AdfsAdditionalAuthenticationRule $MfaClaimRule
Note
Asegúrese de reemplazar <group_SID> por el valor del SID del grupo de AD.
Para configurar MFA globalmente en función de la ubicación del usuario
- En el servidor de federación, abra la ventana de comandos de Windows PowerShell y ejecute el siguiente comando.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '"true_or_false'"]
=> issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"
Set-AdfsAdditionalAuthenticationRule $MfaClaimRule
Note
Asegúrese de reemplazar <true_or_false> por true o false. El valor depende de la condición de regla específica que se basa en si la solicitud de acceso procede de la extranet o de la intranet.
Para configurar MFA globalmente en función de los datos del dispositivo del usuario
- En el servidor de federación, abra la ventana de comandos de Windows PowerShell y ejecute el siguiente comando.
$MfaClaimRule = "c:[Type == '" https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false"']
=> issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value = '"https://schemas.microsoft.com/claims/multipleauthn'");"
Set-AdfsAdditionalAuthenticationRule $MfaClaimRule
Note
Asegúrese de reemplazar <true_or_false> por true o false. El valor depende de su condición específica de regla basada en si el dispositivo está unido al entorno laboral o no.
Para configurar MFA globalmente si la solicitud de acceso procede de la extranet y de un dispositivo no unido al área de trabajo
- En el servidor de federación, abra la ventana de comandos de Windows PowerShell y ejecute el siguiente comando.
`Set-AdfsAdditionalAuthenticationRule "c:[Type == '"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser'", Value == '"true_or_false'"] && c2:[Type == '"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork'", Value == '" true_or_false '"] => issue(Type = '"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod'", Value ='"https://schemas.microsoft.com/claims/multipleauthn'");" `
Note
Asegúrese de reemplazar ambas instancias de <true_or_false> por true o false, que depende de las condiciones de regla específicas. Las condiciones de regla se basan en si el dispositivo está unido al área de trabajo o no y si la solicitud de acceso procede de la extranet o intranet.
Para configurar MFA globalmente si el acceso procede de un usuario de extranet que pertenece a un grupo determinado
- En el servidor de federación, abra la ventana de comandos de Windows PowerShell y ejecute el siguiente comando.
Set-AdfsAdditionalAuthenticationRule "c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value == `"group_SID`"] && c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value== `"true_or_false`"] => issue(Type = `"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod`", Value =`"https://schemas.microsoft.com/claims/
Note
Asegúrese de reemplazar <group_SID> por el valor del SID del grupo y <true_or_false> por true o false, que depende de la condición de regla específica basada en si la solicitud de acceso procede de la extranet o la intranet.
Para conceder acceso a una aplicación basada en datos de usuario a través de Windows PowerShell
En el servidor de federación, abra la ventana de comandos de Windows PowerShell y ejecute el siguiente comando.
$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
Note
Asegúrese de reemplazar <relying_party_trust> por el nombre de la relación de confianza para usuario autenticado.
En la misma ventana de comandos de Windows PowerShell, ejecute el siguiente comando.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`" @RuleName = `"Foo`" c:[Type == `"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid`", Value =~ `"^(?i)<group_SID>$`"] =>issue(Type = `"https://schemas.microsoft.com/authorization/claims/deny`", Value = `"DenyUsersWithClaim`");" Set-AdfsRelyingPartyTrust –TargetRelyingParty $rp –IssuanceAuthorizationRules $GroupAuthzRule
Note
Asegúrese de reemplazar <group_SID> por el valor del SID del grupo de AD.
Para conceder acceso a una aplicación protegida por AD FS solo si la identidad de este usuario se validó con MFA
- En el servidor de federación, abra la ventana de comandos de Windows PowerShell y ejecute el siguiente comando.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `
Note
Asegúrese de reemplazar <relying_party_trust> por el nombre de la relación de confianza para usuario autenticado.
En la misma ventana de comandos de Windows PowerShell, ejecute el siguiente comando.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`" @RuleName = `"PermitAccessWithMFA`" c:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)https://schemas\.microsoft\.com/claims/multipleauthn$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = '"PermitUsersWithClaim'");"
Permitir acceso a una aplicación protegida por AD FS solo si la solicitud de acceso procede de un dispositivo unido al área de trabajo registrado a nombre del usuario
En el servidor de federación, abra la ventana de comandos de Windows PowerShell y ejecute el siguiente comando.
$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust
Note
Asegúrese de reemplazar <relying_party_trust> por el nombre de la relación de confianza para usuario autenticado.
- En la misma ventana de comandos de Windows PowerShell, ejecute el siguiente comando.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"PermitAccessFromRegisteredWorkplaceJoinedDevice`"
c:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");
Para conceder acceso a una aplicación protegida por AD FS solo si la solicitud de acceso procede de un dispositivo conectado al entorno laboral que está registrado a un usuario cuya identidad se ha validado con MFA.
- En el servidor de federación, abra la ventana de comandos de Windows PowerShell y ejecute el siguiente comando.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust `
Note
Asegúrese de reemplazar <relying_party_trust> por el nombre de la relación de confianza para usuario autenticado.
En la misma ventana de comandos de Windows PowerShell, ejecute el siguiente comando.
$GroupAuthzRule = '@RuleTemplate = "Authorization" @RuleName = "RequireMFAOnRegisteredWorkplaceJoinedDevice" c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] && c2:[Type == `"https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser`", Value =~ `"^(?i)true$"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"
Para conceder acceso de extranet a una aplicación protegida por AD FS solo si la solicitud de acceso procede de un usuario cuya identidad se ha validado con MFA
- En el servidor de federación, abra la ventana de comandos de Windows PowerShell y ejecute el siguiente comando.
`$rp = Get-AdfsRelyingPartyTrust –Name relying_party_trust`
Note
Asegúrese de reemplazar <relying_party_trust> por el nombre de la relación de confianza para usuario autenticado.
- En la misma ventana de comandos de Windows PowerShell, ejecute el siguiente comando.
$GroupAuthzRule = "@RuleTemplate = `"Authorization`"
@RuleName = `"RequireMFAForExtranetAccess`"
c1:[Type == `"https://schemas.microsoft.com/claims/authnmethodsreferences`", Value =~ `"^(?i)http://schemas\.microsoft\.com/claims/multipleauthn$`"] &&
c2:[Type == `"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork`", Value =~ `"^(?i)false$`"] => issue(Type = `"https://schemas.microsoft.com/authorization/claims/permit`", Value = `"PermitUsersWithClaim`");"