我们使用RSA密钥来设置Office 365,而现在我们正在寻求从MFA豁免我们的移动设备和Outlook。 从我的理解,我们必须形成自定义发行转换AD FS索赔规则。 我曾尝试创build一个,但没有成功:
c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] && [Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ "(/adfs/ls)|(/adfs/oauth2)"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn"); 有没有人有任何想法正确的方式来做到这一点?
弄清楚了。 实际上挺直的。 所以inheritance了这笔交易:
您必须先禁用您的全局设置或至less那些影响他们设置的设置。 确保你仍然select你的MFA提供者(比如RSA或者Cert),但是不要填写其他的东西。
然后转到以pipe理员身份运行PowerShell。
input这个命令:
Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ "(/adfs/ls)|(/adfs/oauth2)"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");'
Wbat这样做是告诉它,如果它是在一个端点是提示adfs或oauth2,然后继续并启用MFA。 由于MFA在其他地方不是全局启用的,它基本上完成了我在这个线程中所要求的。 我必须重新启动AD FS才能生效。 虽然它不是世界上最干净的解决scheme,
看看这篇文章的其他说明和有用的命令: http : //blogs.msdn.com/b/ramical/archive/2014/01/30/under-the-hood-tour-on-multi-factor-authentication-in -ad-FS-部分-1- policy.aspx
您必须在Powershell中手动键入命令。 当我在PowerShell中复制/粘贴时,我也遇到了各种各样的错误信息。 手动顺利。
c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] && [Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ "(/adfs/ls)|(/adfs/oauth2)"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");