デバイス登録サービスを使用してフェデレーション サーバーを構成する

• 適用対象:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

「手順 4: フェデレーション サーバーを構成する」の手順を完了すると、フェデレーション サーバーで Device Registration Service (DRS) を有効にできます。 Device Registration Service は、シームレスな二要素認証、永続的なシングル サイン オン (SSO)、および企業リソースへのアクセスを必要とする消費者への条件付きアクセスのためのオンボーディング メカニズムを提供します。 DRS の詳細については、「任意のデバイスからの職場への参加による業務用アプリケーション間の SSO とシームレスな二要素認証」を参照してください

デバイスをサポートするために Active Directory フォレストの準備を行う

注意

これは、デバイスをサポートするために Active Directory フォレストを準備する際に実行する必要のある 1 回限りの操作です。 この手順を完了するには、エンタープライズ管理者権限を使用してログオンする必要があり、Active Directory フォレストに Windows Server 2012 R2 スキーマが組み込まれている必要があります。

さらに、DRS では、フォレスト ルート ドメインに少なくとも 1 つのグローバル カタログ サーバーが必要です。 グローバル カタログ サーバーは、Initialize-ADDeviceRegistration の実行および Active Directory フェデレーション サービス (AD FS) 認証する時に必要となります。 Active Directory フェデレーション サービス (AD FS) によって、認証要求ごとに DRS 構成オブジェクトのメモリ内表現を初期化します。また、DRS 構成オブジェクトが現在のドメインの DC で見つからない場合は、Initialize-ADDeviceRegistration の間に DRS オブジェクトがプロビジョニングされた GC に対して要求が試行されます。

Active Directory フォレストの準備

1. フェデレーション サーバーで、Windows PowerShell コマンド ウィンドウを開き、次のように入力します。

   Initialize-ADDeviceRegistration
   

2. [ServiceAccountName] が要求されたら、AD FS のサービス アカウントとして選択したサービス アカウントの名前を入力します。 それが gMSA アカウントである場合は、domain\accountname$ 形式でアカウントを入力します。 ドメイン アカウントには、domain\accountname の形式を使用します。

フェデレーション サーバー ファーム ノードでデバイス登録サービスを有効にする

注意

この手順を行うには、ドメイン管理者の権限でログオンしている必要があります。

デバイス登録サービスを有効にするために

1. フェデレーション サーバーで、Windows PowerShell コマンド ウィンドウを開き、次のように入力します。

   Enable-AdfsDeviceRegistration
   

2. このステップを Active Directory フェデレーション サービス (AD FS) ファームのそれぞれのフェデレーション ファーム ノードで繰り返します。

シームレスな二要素認証を有効にする

シームレスな二要素認証は、企業のリソースの保護レベルを高め、アクセスしようとしている外部デバイスからアプリケーションやリソースへのアクセスを保護する Active Directory フェデレーション サービス (AD FS) の拡張機能です。 パーソナル デバイスが Workplace Join 操作を実行しようとするときに、「既知」のデバイスとなり、管理者はこの情報を使用して条件付きアクセスを実行し、リソースへのアクセスをゲートでコントロールできます。

二要素認証のシームレスな認証を可能にするには、持続的シングル サインオン (SSO) と Workplace Joined デバイスへの条件付きアクセスを可能にする

1. Active Directory フェデレーション サービス (AD FS) の管理コンソールで、[認証ポリシー] に移動します。 [グローバル プライマリ認証の編集] を選択します。 [デバイス認証の有効化] の横にあるチェック ボックスをオンにして、[OK] をクリックします。

Web アプリケーション プロキシ設定更新

重要

Web アプリケーション プロキシにデバイス登録サービスを公開する必要はありません。 デバイス登録サービスは、フェデレーション サーバーで有効にすると、Web アプリケーション プロキシを通じて利用できるようになります。 デバイス登録サービスを有効にする前に Web アプリケーション プロキシ構成がデプロイされている場合は、このプロシージャを完了して構成を更新する必要があります。

Web アプリケーション プロキシ構成を更新する

1. Web アプリケーション プロキシ サーバーで、Windows PowerShell コマンドウィンドウを開き、次のように入力

   Update-WebApplicationProxyDeviceRegistration
   

2. 資格情報を要求されたら、フェデレーション サーバーに対する管理者権限を持つアカウントの資格情報を入力します。

参照

AD FS 展開

Windows Server 2012 R2 AD FS の展開ガイド

フェデレーション サーバー ファームの展開