AD FS IP アドレスと禁止 IP アドレス
AD FS の 2018 年 6 月の更新の一環として、Windows Server 2016 の AD FS に禁止 IP が導入されました。 この更新により、AD FS に一連の IP アドレスをグローバルに構成して、それらの IP から受信される要求をブロックできまるようになりました。 x-forwarded-for または x-ms-forwarded-client-ip ヘッダーに IP アドレスがある要求も、AD FS によってブロックされます。
禁止された IP の追加
禁止 IP をグローバル リストに追加するには、次の PowerShell コマンドレットを使用します。
PS C:\ >Set-AdfsProperties -AddBannedIps "1.2.3.4", "::3", "1.2.3.4/16"
次の形式が使用可能です。
- IPv4
- IPv6
- IPv4 または v6 を使用した CIDR 形式
禁止 IP アドレスには、300 のエントリの制限があります。 CIDR または範囲形式を使用すると、1 つのエントリを持つエントリの大きなブロックを拒否できます。
禁止 IP の削除
グローバル リストから禁止 IP を削除するには、次の PowerShell コマンドレットを使用します。
PS C:\ >Set-AdfsProperties -RemoveBannedIps "1.2.3.4"
禁止 IP の読み取り
現在の禁止 IP アドレスのセットを読み取るには、次の PowerShell コマンドレットを使用します。
PS C:\ >Get-AdfsProperties
出力例:
BannedIpList : {1.2.3.4, ::3,1.2.3.4/16}