Configurer un serveur de fédération avec Device Registration Service
Vous pouvez activer le service DRS (Device Registration Service) sur votre serveur de fédération après avoir effectué les procédures décrites à l’étape 4 : Configurer un serveur de fédération. Le service DRS fournit un mécanisme d’intégration pour une authentification transparente à deux facteurs, l’authentification unique permanente et l’accès conditionnel aux consommateurs qui nécessitent l’accès aux ressources de l’entreprise. Pour plus d'informations sur DRS, consultez Joindre un espace de travail à partir d'un appareil pour l'authentification unique et l'authentification à deux facteurs transparente pour accéder aux applications de l'entreprise
Préparer votre forêt Active Directory à la prise en charge d’appareils
Remarque
Il s’agit d’une opération ponctuelle que vous devez effectuer pour préparer votre forêt Active Directory à la prise en charge d’appareils. Pour accomplir cette procédure, vous devez être connecté avec les autorisations d’administrateur d’entreprise et votre forêt Active Directory doit avoir le schéma Windows Server 2012 R2.
En outre, DRS nécessite d’avoir au moins un serveur de catalogue global dans votre domaine racine de forêt. Le serveur de catalogue global est requis pour exécuter Initialize-ADDeviceRegistration et pendant l’authentification AD FS. AD FS initialise une représentation en mémoire de l’objet de configuration DRS sur chaque demande d’authentification, et si l’objet de configuration DRS est introuvable sur un contrôleur de domaine dans le domaine actuel, la demande est tentée sur le GC sur lequel les objets DRS ont été provisionnés pendant Initialize-ADDeviceRegistration.
Pour préparer la forêt Active Directory
Sur votre serveur de fédération, ouvrez une fenêtre de commande Windows PowerShell et tapez :
Initialize-ADDeviceRegistrationLorsque vous êtes invité à renseigner le ServiceAccountName, entrez le nom du compte de service que vous avez sélectionné pour AD FS. S'il s'agit d'un compte de service administré de groupe, entrez le nom au format domaine\nom_compte$. Pour un compte de domaine, utilisez le format domaine\nom_compte.
Activer le service DRS sur un nœud de batterie de serveurs de fédération
Notes
Vous devez être connecté avec des autorisations d'administrateur de domaine pour accomplir cette procédure.
Pour activer le service DRS
Sur votre serveur de fédération, ouvrez une fenêtre de commande Windows PowerShell et tapez :
Enable-AdfsDeviceRegistrationRépétez cette étape sur chaque nœud de batterie de serveurs de fédération dans votre batterie AD FS.
Activer l’authentification transparente à deux facteurs
L’authentification transparente à deux facteurs est une amélioration d’AD FS qui fournit un niveau supplémentaire de protection d’accès aux ressources d’entreprise et aux applications provenant d’appareils externes qui tentent d’y accéder. Lorsqu’un appareil personnel est joint à l’espace de travail, il devient un appareil « connu » et les administrateurs peuvent utiliser ces informations pour définir l’accès conditionnel et la porte d’accès aux ressources.
Activer l’authentification transparente à deux facteurs, l’authentification unique permanente et l’accès conditionnel pour les appareils joints à l’espace de travail
- Dans la console de gestion AD FS, accédez à Stratégies d’authentification. Sélectionnez Modifier l'authentification principale globale. Cochez la case Activer l'authentification des appareils, puis cliquez sur OK.
Mettre à jour la configuration du proxy d'application Web
Important
Vous n’avez pas besoin de publier le service RDS sur le proxy d'application Web. Le service DRS sera disponible via le proxy d’application Web une fois qu’il est activé sur un serveur de fédération. Vous devrez peut-être effectuer cette procédure pour mettre à jour la configuration du proxy d’application Web s’il a été déployé avant d’activer le service RDS.
Pour mettre à jour la configuration du proxy d’application Web
Sur votre proxy d’application Web, ouvrez une fenêtre de commande Windows PowerShell et tapez
Update-WebApplicationProxyDeviceRegistrationLorsque vous y êtes invité, entrez les informations d’identification d’un compte disposant de droits d’administration sur vos serveurs de fédération.
Voir aussi
Guide de déploiement des services AD FS Windows Server 2012 R2