AD FSポリシー

ESAインストーラーは、次のAD FS認証ルールを設定します。

c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"]

=> issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");

c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "true"]

=> issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");

上記のルールでは、内部ネットワークと外部ネットワークの両方で二要素認証(2FA)が自動的に有効になります。

二要素認証で正常に動作しないサードパーティのAD FSアプリを使用していて、二要素認証によるそのアプリへのアクセスから特定のユーザーを除外する場合は、AD FSポリシーを編集する必要があります。

Windows PowerShellを開き、次のコマンドを実行します。次に、そのコマンドの出力をチェックして、追加の認証ルールがこのセクションの先頭のリストに出力されていることを確認します。

Get-AdfsAdditionalAuthenticationRule

追加の認証ルールを削除するには、次のコマンドを実行します。

Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules ' '

AD FS管理を開き、アクセス制御ポリシー > アクション > アクセス制御ポリシーの追加をクリックします。
次の2つのPermit Usersルールを追加します。

1. Permit Users
  from esa_domain\ESA Users groups
  and require multi-factor authentication
2. Permit Users

esac.eset.com\ESA Usersグループを作成し、ESAユーザーをそのグループに割り当てます。

上記の2つのPermit Usersルールにより、二要素認証は指定されたグループに属するユーザーのみに必要となります。他のすべてのユーザーの場合、二要素認証認証ページはスキップされます。

証明書利用者信頼をクリックし、該当する証明書利用者にポリシーを割り当てます。

˄˅