Políticas de controle de acesso no AD FS para Windows Server 2016

Modelos de políticas de controle de acesso no AD FS

Os Serviços de Federação do Active Directory (AD FS) agora dão suporte ao uso de modelos de política de controle de acesso. Usando modelos de política de controle de acesso, um administrador pode impor configurações de política atribuindo o modelo de política a um grupo de RPs (terceiras partes confiáveis). O administrador também pode fazer atualizações no modelo de política e as alterações serão aplicadas às terceiras partes confiáveis automaticamente se não houver interação do usuário necessária.

Oque são modelos de Políticas de Controle de Acesso?

O pipeline principal do AD FS para processamento de políticas possui três fases: autenticação, autorização e emissão de declarações. Atualmente, os administradores do AD FS precisam configurar uma política para cada fase separadamente. Isso também envolve entender as implicações dessas políticas e se elas são dependentes entre si. Além disso, os administradores precisam entender a linguagem de regra de declaração e criar regras personalizadas para habilitar alguma política simples/comum (por exemplo, bloquear o acesso externo).

O que os modelos de política de controle de acesso fazem é substituir esse modelo antigo em que os administradores precisam configurar regras de autorização de emissão usando a linguagem de declarações. Os cmdlets antigos do PowerShell das regras de autorização de emissão ainda se aplicam, mas são mutuamente exclusivos do modelo novo. Os administradores podem optar por usar o modelo novo ou antigo. O modelo novo permite que os administradores controlem quando conceder acesso, incluindo a imposição da autenticação multifator.

Os modelos de política de controle de acesso usam um modelo de permissão. Isso significa que, por padrão, ninguém tem acesso e esse acesso deve ser concedido explicitamente. No entanto, isso não é apenas uma permissão do tipo "tudo ou nada". Os administradores podem adicionar exceções à regra de permissão. Por exemplo, um administrador pode querer conceder acesso com base em uma rede específica selecionando essa opção e especificando o intervalo de endereços IP. Mas o administrador pode adicionar uma exceção. Por exemplo, o administrador pode adicionar uma exceção de uma rede específica e especificar esse intervalo de endereços IP.

Screenshot that shows where to view the Access Control Policies.

Modelos internos de política de controle de acesso comparados aos modelos de política de controle de acesso personalizado

O AD FS inclui vários modelos internos de política de controle de acesso. Eles visam alguns cenários comuns que têm o mesmo conjunto de requisitos de política como, por exemplo, a política de acesso do cliente para Office 365. Esses modelos não podem ser modificados.

Screenshot that shows the built-in Access Control Policies.

Para fornecer maior flexibilidade para atender às suas necessidades de negócios, os administradores podem criar seus próprios modelos de política de acesso. Eles podem ser modificados após a criação e as alterações no modelo de política personalizada serão aplicadas a todos os RPs controlados por esses modelos de política. Para adicionar um modelo de política personalizado, basta clicar em Adicionar política de controle de acesso no gerenciamento do AD FS.

Para criar um modelo de política, um administrador precisa primeiro especificar sob quais condições uma solicitação será autorizada para emissão de token e/ou delegação. As opções de condição e ação são mostradas na tabela abaixo. As condições em negrito podem ser melhor configuradas pelo administrador com valores diferentes ou novos. O administrador também pode especificar exceções, se houver. Quando uma condição for atendida, uma ação de permissão não será disparada se houver uma exceção especificada e a solicitação de entrada corresponder à condição especificada na exceção.

Permitir usuários Except
De uma rede específica De uma rede específica

De grupos específicos

De dispositivos com níveis de confiança específicos

Com declarações específicas na solicitação

De grupos específicos De uma rede específica

De grupos específicos

De dispositivos com níveis de confiança específicos

Com declarações específicas na solicitação

De dispositivos com níveis de confiança específicos De uma rede específica

De grupos específicos

De dispositivos com níveis de confiança específicos

Com declarações específicas na solicitação

Com declarações específicas na solicitação De uma rede específica

De grupos específicos

De dispositivos com níveis de confiança específicos

Com declarações específicas na solicitação

E exigir autenticação multifator De uma rede específica

De grupos específicos

De dispositivos com níveis de confiança específicos

Com declarações específicas na solicitação

Se um administrador selecionar várias condições, elas serão da relação AND. As ações são mutuamente exclusivas e, para uma regra de política, você só pode escolher uma ação. Se o administrador selecionar várias exceções, elas serão de uma relação OR. Alguns exemplos de regra de política são mostrados abaixo:

Política Regras de política
O acesso à extranet requer MFA

Todos os usuários são permitidos

Regra nº 1

da extranet

e com MFA

Permitir

Regra nº 2

da intranet

Permitir

O acesso externo não é permitido, exceto o não FTE

O acesso à intranet para FTE no dispositivo ingressado no local de trabalho é permitido

Regra nº 1

Da extranet

e do grupo não FTE

Permitir

Regra nº 2

da intranet

e do dispositivo ingressado no local de trabalho

e do grupo FTE

Permitir

O acesso à extranet requer MFA, exceto "administrador de serviço"

Todos os usuários têm permissão para acessar

Regra nº 1

da extranet

e com MFA

Permitir

Exceto o grupo de administradores de serviços

Regra nº 2

always

Permitir

o acesso de dispositivo ingressado fora do local de trabalho da extranet requer MFA

Permitir a malha do AD para acesso à intranet e à extranet

Regra nº 1

da intranet

E do grupo do AD Fabric

Permitir

Regra nº 2

da extranet

e do dispositivo não ingressado no local de trabalho

e do grupo do AD Fabric

e com MFA

Permitir

Regra nº 3

da extranet

e do dispositivo ingressado no local de trabalho

e do grupo do AD Fabric

Permitir

Modelo de política parametrizada comparado ao modelo de política não parametrizada

Um modelo de política parametrizado é um modelo de política que tem parâmetros. Um Administrador precisa inserir o valor desses parâmetros ao atribuir esse modelo a RPs. Um administrador não pode fazer alterações no modelo de política parametrizado depois de ter sido criado. Um exemplo de uma política parametrizada é a política interna, Permitir grupo específico. Sempre que essa política for aplicada a um RP, esse parâmetro precisa ser especificado.

Screenshot that shows an example of a parameterized policy template.

Um modelo de política não parametrizado é um modelo de política que não tem parâmetros. Um administrador pode atribuir esse modelo a RPs sem qualquer entrada necessária e pode fazer alterações em um modelo de política não parametrizado depois de criado. Um exemplo disso é a política interna, Permitir todos e exigir MFA.

Screenshot that shows an example of a non-parameterized policy template.

Como criar uma política de controle de acesso não parametrizada

Para criar uma política de controle de acesso não parametrizada, use o procedimento a seguir

Para criar uma política de controle de acesso não parametrizada

  1. No Gerenciamento do AD FS à esquerda, selecione Políticas de controle de acesso e clique com o botão direito do mouse em Adicionar política de controle de acesso.

  2. Insira um nome e uma descrição. Por exemplo: permitir usuários com dispositivos autenticados.

  3. Em Permitir acesso se qualquer uma das regras a seguir for atendida, clique em Adicionar.

  4. Em permissão, marque a caixa ao lado de de dispositivos com nível de confiança específico

  5. Na parte inferior, selecione o específico sublinhado

  6. Na janela pop-up, selecione autenticado na lista suspensa. Clique em OK.

    Screenshot that shows how to select the device trust level.

  7. Clique em OK. Clique em OK.

    Screenshot that shows how to accept the policy change.

Como criar uma política de controle de acesso parametrizada

Para criar uma política de controle de acesso parametrizada, use o procedimento a seguir

Para criar uma política de controle de acesso parametrizada

  1. No Gerenciamento do AD FS à esquerda, selecione Políticas de controle de acesso e clique com o botão direito do mouse em Adicionar política de controle de acesso.

  2. Insira um nome e uma descrição. Por exemplo: permitir usuários com uma declaração específica.

  3. Em Permitir acesso se qualquer uma das regras a seguir for atendida, clique em Adicionar.

  4. Em permissão, marque a caixa ao lado de com declarações específicas na solicitação

  5. Na parte inferior, selecione o específico sublinhado

  6. Na janela pop-up, selecione Parâmetro especificado quando a política de controle de acesso é atribuída. Clique em OK.

    Screenshot that shows the Parameter specified when the access control policy is assigned option.

  7. Clique em OK. Clique em OK.

    Screenshot that shows how to accept the selected option.

Como criar uma política de controle de acesso personalizada com uma exceção

Para criar uma política de controle de acesso com uma exceção, use o procedimento a seguir.

Para criar uma política de controle de acesso personalizada com uma exceção

  1. No Gerenciamento do AD FS à esquerda, selecione Políticas de controle de acesso e clique com o botão direito do mouse em Adicionar política de controle de acesso.

  2. Insira um nome e uma descrição. Por exemplo: permitir usuários com dispositivos autenticados, mas não gerenciados.

  3. Em Permitir acesso se qualquer uma das regras a seguir for atendida, clique em Adicionar.

  4. Em permissão, marque a caixa ao lado de de dispositivos com nível de confiança específico

  5. Na parte inferior, selecione o específico sublinhado

  6. Na janela pop-up, selecione autenticado na lista suspensa. Clique em OK.

  7. Em exceto, marque a caixa ao lado de de dispositivos com nível de confiança específico

  8. Selecione o específico sublinhado abaixo de exceto

  9. Na janela pop-up, selecione gerenciado na lista suspensa. Clique em OK.

  10. Clique em OK. Clique em OK.

    Screenshot that shows the Screen Editor dialog box.

Como criar uma política de controle de acesso personalizada com várias condições de permissão

Para criar uma política de controle de acesso com várias condições de permissão, use o procedimento a seguir

Para criar uma política de controle de acesso parametrizada

  1. No Gerenciamento do AD FS à esquerda, selecione Políticas de controle de acesso e clique com o botão direito do mouse em Adicionar política de controle de acesso.

  2. Insira um nome e uma descrição. Por exemplo: permitir usuários com uma declaração específica e de um grupo específico.

  3. Em Permitir acesso se qualquer uma das regras a seguir for atendida, clique em Adicionar.

  4. Em permissão, marque a caixa ao lado de de um grupo específico e com declarações específicas na solicitação

  5. Na parte inferior, selecione o específico sublinhado para a primeira condição, ao lado de grupos

  6. Na janela pop-up, selecione Parâmetro especificado quando a política de controle de acesso é atribuída. Clique em OK.

  7. Na parte inferior, selecione o específico sublinhado para a segunda condição, ao lado de declarações

  8. Na janela pop-up, selecione Parâmetro especificado quando a política de controle de acesso é atribuída. Clique em OK.

  9. Clique em OK. Clique em OK.

access control policies

Como atribuir uma política de controle de acesso a um novo aplicativo

É bem simples atribuir uma política de controle de acesso a um novo aplicativo, tendo agora sido integrado ao assistente para adicionar um RP. No Assistente do objeto de confiança de terceira parte confiável, você pode selecionar a política de controle de acesso que deseja atribuir. Esse é um requisito ao criar um novo objeto de confiança de terceira parte confiável.

Screenshot that shows the Choose Access Control Policy screen.

Como atribuir uma política de controle de acesso a um aplicativo existente

Para atribuir uma política de controle de acesso a um aplicativo existente, selecione o aplicativo em Objeto de confiança de terceira parte confiável e clique com o botão direito do mouse em Editar Política de Controle de Acesso.

Screenshot that shows the Retrying Party Trusts application.

Aqui, você pode selecionar a política de controle de acesso e aplicá-la ao aplicativo.

Screenshot that shows how to edit the Access Control Policy.

Confira também

Operações do AD FS