Политики AD FS

Установщик ESA устанавливает следующие правила аутентификации AD FS:

Приведенные выше правила автоматически включают двухфакторную аутентификацию (2FA) как для внутренних, так и для внешних сетей.

Если используется приложение AD FS от стороннего разработчика, которое не работает должным образом с 2FA, и для отдельных пользователей требуется отключить использование 2FA при доступе к этому приложению, необходимо отредактировать политику AD FS.

1.Откройте оболочку Windows PowerShell и выполните следующую команду. Затем проверьте результаты выполнения команды и убедитесь, что единственными дополнительными правилами аутентификации являются правила, приведенные в начале этого раздела.

2.Чтобы удалить дополнительные правила аутентификации, выполните следующую команду:

3.Откройте Управление AD FS, щелкните Политики управления доступом > Действие > Добавить политику управления доступом.

4. Добавьте следующие два правила Permit Users (Разрешить пользователей):

Если Сервера аутентификации установлен в режиме интеграции со службой каталогов Active Directory, то во время установки автоматически создается группа esa_domain\ESA Users, где esa_domain заменяется на доменное имя Сервера аутентификации.

Если Сервер Аутентификации установлен в автономном режиме, необходимо создать группу пользователей и назначить пользователей ESA в эту группу.

Два приведенных выше правила Permit Users (Разрешить пользователей) гарантируют, что 2FA будет применяться только для пользователей, относящихся к указанной группе. Для всех остальных пользователей страница двухфакторной аутентификации пропускается.

5.Щелкните Отношения доверия проверяющей стороны, чтобы назначить политику для применимой проверяющей стороны.