Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile abilitare il servizio Registrazione dispositivi nel server federativo dopo aver completato le procedure descritte nel passaggio 4: Configurare un server federativo. Il servizio di registrazione dei dispositivi offre un meccanismo di onboarding per un'autenticazione a due fattori senza interruzioni, un Single Sign-On persistente (SSO) e un accesso condizionale ai consumatori che richiedono l'accesso alle risorse aziendali. Per altre informazioni su DRS, vedere Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication across Company Applications (Aggiungere all'area di lavoro da qualsiasi dispositivo per l'accesso Single Sign-On) e Seamless Second Factor Authentication nelle applicazioni aziendali
Preparare la foresta Active Directory per supportare i dispositivi
Nota
Si tratta di un'operazione una tantum che è necessario eseguire per preparare la foresta di Active Directory per supportare i dispositivi. Per completare questa procedura, è necessario essere connessi con autorizzazioni di amministratore dell'organizzazione e la foresta Active Directory deve avere lo schema di Windows Server 2012 R2.
Inoltre, DRS richiede che nel dominio radice della foresta sia presente almeno un server di catalogo globale. Il server di catalogo globale è necessario per eseguire Initialize-ADDeviceRegistration e durante l'autenticazione di AD FS. AD FS inizializza una rappresentazione in memoria dell'oggetto di configurazione DRS per ciascuna richiesta di autenticazione e se l'oggetto di configurazione DRS non può essere trovato in un controller di dominio nel dominio corrente, la richiesta viene indirizzata al GC su cui gli oggetti DRS sono stati forniti durante Initialize-ADDeviceRegistration.
Per preparare la foresta Active Directory
Nel server federativo aprire una finestra di comando di Windows PowerShell e digitare:
Initialize-ADDeviceRegistrationQuando viene richiesto ServiceAccountName, immettere il nome dell'account del servizio selezionato come account del servizio per AD FS. Se si tratta di un account gMSA, immettere l'account nel formato domain\accountname$. Per un account di dominio, usare il formato domain\accountname.
Abilitare il servizio di registrazione dei dispositivi su un nodo della server farm di federazione
Nota
Per completare questa procedura, è necessario essere connessi con le autorizzazioni di amministratore di dominio.
Per abilitare il servizio Registrazione dispositivi
Nel server federativo aprire una finestra di comando di Windows PowerShell e digitare:
Enable-AdfsDeviceRegistrationRipetere questo passaggio in ogni nodo della farm federativa AD FS.
Abilitare l'autenticazione a due fattori senza problemi
L'autenticazione a due fattori senza problemi è un miglioramento di AD FS che offre un livello aggiunto di protezione dell'accesso alle risorse aziendali e alle applicazioni da dispositivi esterni che tentano di accedervi. Quando un dispositivo personale è aggiunto all'area di lavoro, diventa un dispositivo "noto" e gli amministratori possono usare queste informazioni per guidare l'accesso condizionale e controllare l'accesso alle risorse.
Per abilitare l'autenticazione a due fattori perfetta, l'accesso Single Sign-On permanente (SSO) e l'accesso condizionale per i dispositivi connessi al posto di lavoro
- Nella console di gestione di AD FS passare a Criteri di autenticazione. Selezionare Modifica autenticazione primaria globale. Selezionare la casella di controllo accanto a Abilita autenticazione del dispositivo e quindi fare clic su OK.
Aggiornare la configurazione del Proxy delle Applicazioni Web
Importante
Non è necessario pubblicare il servizio Registrazione Dispositivi nel Proxy Applicazione Web. Il Servizio di Registrazione dei Dispositivi sarà disponibile tramite il Proxy applicazione web una volta abilitato su un server di federazione. Potrebbe essere necessario completare questa procedura per aggiornare la configurazione del proxy dell'applicazione web se è stata distribuita prima di abilitare il Servizio di Registrazione dei Dispositivi.
Per aggiornare la configurazione del proxy dell'applicazione web
Nel server Proxy dell'applicazione Web, aprire una finestra di comando di Windows PowerShell e digitare
Update-WebApplicationProxyDeviceRegistrationQuando vengono richieste le credenziali, immettere le credenziali di un account con diritti amministrativi per i server federativi.