AD FS のアクセス制御ポリシー テンプレート
Active Directory フェデレーション サービスで、アクセス制御ポリシー テンプレートの使用がサポートされるようになりました。 管理者は、アクセス制御ポリシー テンプレートを使用して、証明書利用者 (RP) のグループにポリシー テンプレートを割り当てることでポリシー設定を適用できます。 管理者はポリシー テンプレートを更新することもできます。ユーザーの操作が必要ない場合は、変更が証明書利用者に自動的に適用されます。
アクセス制御ポリシー テンプレートとは
ポリシー処理用の AD FS コア パイプラインには、認証、承認、および要求の発行という 3 つのフェーズがあります。 現在、AD FS 管理者は、これらの各フェーズのポリシーを個別に構成する必要があります。 これには、これらのポリシーの影響と、これらのポリシーに相互依存関係があるかどうかも理解する必要があります。 また、管理者は要求規則の言語を理解し、カスタム ルールを作成して、いくつかの単純/共通ポリシーを有効にする必要があります (外部アクセスをブロックするなど)。
アクセス制御ポリシー テンプレートの機能は、管理者が要求言語を使用して発行承認規則を構成する必要があるこの古いモデルに代わるものです。 発行承認規則の古い PowerShell コマンドレットは引き続き適用されますが、新しいモデルでは相互に排他的です。 管理者は、新しいモデルまたは古いモデルを使用することを選択できます。 新しいモデルを使用すると、管理者は、多要素認証の適用など、アクセス権を付与するタイミングを制御できます。
アクセス制御ポリシー テンプレートでは、許可モデルが使用されます。 つまり、既定では、誰もアクセス権を持っていないので、アクセス権を明示的に付与する必要があります。 ただし、これは単にすべてを許可したり、なにも許可しないことを指すわけではありません。 管理者は、許可規則に例外を追加できます。 たとえば、管理者は、このオプションを選択して IP アドレス範囲を指定することで、特定のネットワークに基づいてアクセス権を付与することができます。 ただし、管理者は、たとえば、特定のネットワークから例外を追加し、その IP アドレス範囲を指定する場合があります。
組み込みのアクセス制御ポリシー テンプレートとカスタム アクセス制御ポリシー テンプレート
AD FS には、いくつかの組み込みのアクセス制御ポリシー テンプレートが含まれています。 これらは、Office 365 のクライアント アクセス ポリシーなど、同じポリシー要件のセットを持つ一般的なシナリオを対象とします。 これらのテンプレートは変更できません。
ビジネス ニーズに対応する柔軟性を高めるために、管理者は独自のアクセス ポリシー テンプレートを作成できます。 これらは作成後に変更でき、カスタム ポリシー テンプレートへの変更は、それらのポリシー テンプレートによって制御されるすべての RP に適用されます。 カスタム ポリシー テンプレートを追加するには、AD FS 管理内から [アクセス制御ポリシーの追加] をクリックします。
ポリシー テンプレートを作成するには、管理者が最初に、トークンの発行や委任に対して要求を承認する条件を指定する必要があります。 条件とアクションのオプションを次の表に示します。 太字の条件は、異なる値または新しい値を持つ管理者によってさらに構成できます。 管理者は、例外がある場合に例外を指定することもできます。 条件が満たされると、例外が指定され、受信要求が例外で指定された条件と一致する場合、許可アクションはトリガーされません。
| ユーザーを許可する | 除く |
|---|---|
| 特定のネットワークから |
特定のネットワークから 特定のグループから 特定の信頼レベルを持つデバイスから 要求に 特定 の要求がある場合 |
| 特定のグループから |
特定のネットワークから 特定のグループから 特定の信頼レベルを持つデバイスから 要求に 特定 の要求がある場合 |
| 特定の信頼レベルを持つデバイスから |
特定のネットワークから 特定のグループから 特定の信頼レベルを持つデバイスから 要求に 特定 の要求がある場合 |
| 要求に 特定 の要求がある場合 |
特定のネットワークから 特定のグループから 特定の信頼レベルを持つデバイスから 要求に 特定 の要求がある場合 |
| 多要素認証が必要 |
特定のネットワークから 特定のグループから 特定の信頼レベルを持つデバイスから 要求に 特定 の要求がある場合 |
管理者が複数の条件を選択した場合、それらの条件は AND リレーションシップになります。 アクションは相互に排他的であり、1 つのポリシー ルールに対して選択できるアクションは 1 つだけです。 管理者が複数の例外を選択した場合、それらは OR 関係になります。 ポリシー規則の例をいくつか次に示します。
| 政策 | ポリシー ルール |
|---|---|
| エクストラネット アクセスには MFA が必要 すべてのユーザーが許可されている |
規則 1 エクストラネットから および MFA を使用 許す ルール#2 イントラネットから 許す |
| FTE 以外の外部アクセスは許可されません 職場に参加しているデバイスでの FTE のイントラネット アクセスが許可されている |
規則 1 エクストラネットから および FTE 以外 のグループから 許す ルール #2 イントラネットから およびワークプレイス参加済みデバイスから および FTE グループから 許す |
| エクストラネット アクセスには、"サービス管理者" を除く MFA が必要です すべてのユーザーにアクセスが許可されている |
規則 1 エクストラネットから および MFA を使用 許す サービス管理者グループを除く ルール #2 いつも 許す |
| エクストラネットからアクセスする職場以外の参加済みデバイスには MFA が必要 イントラネットおよびエクストラネット アクセス用の AD ファブリックを許可する |
規則 1 イントラネットから および AD ファブリック グループから 許す ルール #2 エクストラネットから およびワークプレイス参加済み以外のデバイスから AD ファブリック グループから および MFA を使用 許す ルール #3 エクストラネットから およびワークプレイス参加済みデバイスから AD ファブリック グループから 許す |
パラメーター化されたポリシー テンプレートとパラメーター化されていないポリシー テンプレート
パラメーター化されたポリシー テンプレートは、パラメーターを持つポリシー テンプレートです。 管理者は、このテンプレートを RP に割り当てるときに、これらのパラメーターの値を入力する必要があります。管理者は、作成後にパラメーター化されたポリシー テンプレートを変更することはできません。 パラメーター化されたポリシーの例として、組み込みのポリシー "特定のグループを許可する" があります。 このポリシーが RP に適用されるたびに、このパラメーターを指定する必要があります。
パラメーター化されていないポリシー テンプレートは、パラメーターを持たないポリシー テンプレートです。 管理者は、入力を必要とせずにこのテンプレートを RP に割り当てることができ、作成後にパラメーター化されていないポリシー テンプレートに変更を加えることができます。 この例として、組み込みのポリシーである [すべてのユーザーを許可し、MFA を要求する] があります。
パラメーター化されていないアクセス制御ポリシーを作成する方法
パラメーター化されていないアクセス制御ポリシーを作成するには、次の手順に従います。
パラメーター化されていないアクセス制御ポリシーを作成するには
左側の AD FS 管理から[アクセス制御ポリシー]を選択し、右側の[アクセス制御ポリシーの追加]をクリックします。
名前と説明を入力します。 たとえば、認証されたデバイスを持つユーザーを許可します。
[次のいずれかの規則が満たされている場合はアクセスを許可する] で、[追加] をクリックします。
[許可] で、[特定の信頼レベルのデバイスから] の横にあるチェック ボックスをオンにします
下部にある下線付きの特定の項目を選択します
ポップアップ表示されるウィンドウから、ドロップダウンから [認証済み ] を選択します。 [ OK] をクリックします。
[ OK] をクリックします。 [ OK] をクリックします。
パラメーター化されたアクセス制御ポリシーを作成する方法
パラメーター化されたアクセス制御ポリシーを作成するには、次の手順に従います。
パラメーター化されたアクセス制御ポリシーを作成するには
左側の AD FS 管理から[アクセス制御ポリシー]を選択し、右側の[アクセス制御ポリシーの追加]をクリックします。
名前と説明を入力します。 たとえば、特定の要求を持つユーザーを許可します。
[次のいずれかの規則が満たされている場合はアクセスを許可する] で、[追加] をクリックします。
許可されたら、要求内の特定の主張の横にあるチェックボックスにチェックを入れてください。
下部にある下線付きの特定の項目を選択します
ポップアップ表示されるウィンドウから、 アクセス制御ポリシーが割り当てられるときに指定されたパラメーターを選択します。 [ OK] をクリックします。
[ OK] をクリックします。 [ OK] をクリックします。
例外を含むカスタム アクセス制御ポリシーを作成する方法
例外を含むアクセス制御ポリシーを作成するには、次の手順に従います。
例外を含むカスタム アクセス制御ポリシーを作成するには
左側の AD FS 管理から[アクセス制御ポリシー]を選択し、右側の[アクセス制御ポリシーの追加]をクリックします。
名前と説明を入力します。 例: 認証されたデバイスを持ち、管理対象ではないユーザーを許可します。
[次のいずれかの規則が満たされている場合はアクセスを許可する] で、[追加] をクリックします。
[許可] で、[特定の信頼レベルのデバイスから] の横にあるチェック ボックスをオンにします
下部にある下線付きの特定の項目を選択します
ポップアップ表示されるウィンドウから、ドロップダウンから [認証済み ] を選択します。 [ OK] をクリックします。
[例外] で、[特定の信頼レベルのデバイスから] の横にあるチェック ボックスをオンにします
「除外」の下にある下線付きの特定を選択します。
ポップアップ表示されるウィンドウから、ドロップダウンから [マネージド ] を選択します。 [ OK] をクリックします。
[ OK] をクリックします。 [ OK] をクリックします。
![[画面エディター] ダイアログ ボックスを示すスクリーンショット。](media/access-control-policies-in-ad-fs/adfsacp10.png)
複数の許可条件を持つカスタム アクセス制御ポリシーを作成する方法
複数の許可条件を持つアクセス制御ポリシーを作成するには、次の手順を使用します。
パラメーター化されたアクセス制御ポリシーを作成するには
左側の AD FS 管理から[アクセス制御ポリシー]を選択し、右側の[アクセス制御ポリシーの追加]をクリックします。
名前と説明を入力します。 例: 特定の要求を持つユーザーと特定のグループからのユーザーを許可します。
[次のいずれかの規則が満たされている場合はアクセスを許可する] で、[追加] をクリックします。
許可の下で、特定のグループの横にあるチェック ボックスをオンにし、要求に特定の要求を含めます。
下部で、グループの横にある最初の条件に下線付きの特定の項目を選択します
ポップアップ表示されるウィンドウで、 ポリシーが割り当てられるときに指定されたパラメーターを選択します。 [ OK] をクリックします。
下部で、要求の横にある 2 番目の条件に下線付きの特定の項目を選択します
ポップアップ表示されるウィンドウから、 アクセス制御ポリシーが割り当てられるときに指定されたパラメーターを選択します。 [ OK] をクリックします。
[ OK] をクリックします。 [ OK] をクリックします。
アクセス制御ポリシーを新しいアプリケーションに割り当てる方法
新しいアプリケーションへのアクセス制御ポリシーの割り当てはかなり簡単で、RP を追加するためのウィザードに統合されました。 証明書利用者信頼ウィザードから、割り当てるアクセス制御ポリシーを選択できます。 これは、新しい信頼先を作成する場合の条件です。
![[アクセス制御ポリシーの選択] 画面を示すスクリーンショット。](media/access-control-policies-in-ad-fs/adfsacp13.png)
既存のアプリケーションにアクセス制御ポリシーを割り当てる方法
既存のアプリケーションにアクセス制御ポリシーを割り当てると、証明書利用者信頼からアプリケーションを選択し、右側の [ アクセス制御ポリシーの編集] をクリックします。
ここから、アクセス制御ポリシーを選択し、アプリケーションに適用できます。
