Windows-Server-2012-R2

Office 365 MFA ActiveSync 豁免的自定義 AD FS 規則

  • September 23, 2016

我們使用我們的 RSA 密鑰設置 Office 365,並且我們目前正在尋求使我們的移動設備和 Outlook 免受 MFA 的影響。據我了解,我們必須形成自定義發行轉換 AD FS 聲明規則。我嘗試創建一個,但沒有成功:

c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"]
&& [Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ "(/adfs/ls)|(/adfs/oauth2)"]
=> issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");

有沒有人對正確的方法有任何想法?

弄清楚了。實際上很直接。所以這是交易:

您必須首先禁用您的全域設置,或者至少禁用那些影響它們設置方式的設置。確保您仍然選擇您的 MFA 提供者(例如 RSA 或 Cert),但不要填寫任何其他內容。

然後轉到以管理員身份執行 PowerShell。

輸入此命令:

Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ "(/adfs/ls)|(/adfs/oauth2)"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");'

Wbat 這樣做是告訴它,如果它位於提示輸入 adfs 或 oauth2 的端點,則繼續啟用 MFA。由於 MFA 並未在其他任何地方全域啟用,因此它基本上完成了我在此執行緒中要求的內容。我必須重新啟動 AD FS 才能使其生效。雖然它不是世界上最乾淨的解決方案,但它確實有效。

查看這篇文章以獲取其他說明和有用的命令:http: //blogs.msdn.com/b/ramical/archive/2014/01/30/under-the-hood-tour-on-multi-factor-authentication-in -ad-fs-part-1-policy.aspx

引用自:https://serverfault.com/questions/731053