다음을 통해 공유


ADFS의 장치 인증 제어

다음 문서에서는 Windows Server 2016 및 2012 R2에서 디바이스 인증 제어를 사용하도록 설정하는 방법을 보여 줍니다.

AD FS 2012 R2의 장치 인증 컨트롤

원래 AD FS 2012 R2에는 장치 인증을 제어하는 DeviceAuthenticationEnabled이라는 전역 인증 속성이 하나 있었습니다.

설정을 구성하기 위해 아래와 같이 Set-AdfsGlobalAuthenticationPolicy cmdlet을 사용했습니다:

PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true

장치 인증을 사용하지 않도록 설정하기 위해 동일한 cmdlet을 사용하여 값을 $false로 설정했습니다.

AD FS 2016의 장치 인증 제어

2012 R2에서 지원되는 유일한 장치 인증 유형은 클라이언트TLS였습니다. AD FS 2016에는 클라이언트TLS 외에도 최신 디바이스 인증을 위한 두 가지 새로운 유형의 디바이스 인증이 추가되었습니다. 이는 다음과 같습니다.

  • PKeyAuth
  • PRT

새로운 동작을 제어하기 위해 DeviceAuthenticationEnabled 프로퍼티는 DeviceAuthenticationMethod라는 새로운 프로퍼티와 함께 사용됩니다.

장치 인증 방법에 따라 수행될 장치 인증 유형이 결정됩니다: PRT, PKeyAuth, clientTLS 또는 일부 조합입니다. 다음과 같은 값이 있습니다.

  • SignedToken: PRT 전용
  • PKeyAuth: PRT + PKeyAuth
  • ClientTLS: PRT + clientTLS
  • All: 위의 모든 항목

보시다시피 PRT는 모든 장치 인증 방법의 일부이므로 DeviceAuthenticationEnabled$true로 설정하면 항상 활성화되는 기본 방법이 됩니다.

예제: 메서드를 구성하려면 새 속성과 함께 위와 같이 DeviceAuthenticationEnabled cmdlet을 사용합니다:

PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true

참고 항목

AD FS 2019에서는 DeviceAuthenticationMethodSet-AdfsRelyingPartyTrust 명령과 함께 사용할 수 있습니다.

PS:\>Set-AdfsRelyingPartyTrust -DeviceAuthenticationMethod ClientTLS

참고 항목

기기 인증을 활성화(DeviceAuthenticationEnabled에서 $true로 설정)하면 DeviceAuthenticationMethod이 암시적으로 SignedToken로 설정되며, 이는 PRT에 해당합니다.

PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationMethod All

참고 항목

기본 장치 인증 방법은 SignedToken입니다. 다른 값은 PKeyAuth, ClientTLSAll입니다.

DeviceAuthenticationMethod 값의 의미는 AD FS 2016이 출시된 이후 약간 변경되었습니다. 업데이트 수준에 따른 각 값의 의미는 아래 표를 참조하세요:

AD FS 버전 DeviceAuthenticationMethod 값 Means
2016 RTM SignedToken PRT + PkeyAuth
clientTLS clientTLS
모두 PRT + PkeyAuth + clientTLS
2016 RTM + Windows 업데이트 최신 버전 SignedToken(의미 변경) PRT(전용)
PkeyAuth(신규) PRT + PkeyAuth
clientTLS PRT + clientTLS
모두 PRT + PkeyAuth + clientTLS

참고 항목

AD FS 작업