Instellingen voor apparaatverificatie in AD FS
In het volgende document ziet u hoe u instellingen voor apparaatverificatie inschakelt in Windows Server 2016 en 2012 R2.
Instellingen voor apparaatverificatie in AD FS 2012 R2
Oorspronkelijk in AD FS 2012 R2 was er één globale verificatie-eigenschap genaamd DeviceAuthenticationEnabled die apparaatverificatie beheerde.
Voor het configureren van de instelling is de Set-AdfsGlobalAuthenticationPolicy cmdlet gebruikt, zoals hieronder wordt weergegeven:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
Om apparaatverificatie uit te schakelen, is dezelfde cmdlet gebruikt om de waarde in te stellen op $false.
Instellingen voor apparaatverificatie in AD FS 2016
Het enige type apparaatverificatie dat wordt ondersteund in 2012 R2, was clientTLS. Naast clientTLS in AD FS 2016 zijn er twee nieuwe typen apparaatverificatie voor moderne apparaatverificatie. Dit zijn:
- PKeyAuth
- PRT
Als u het nieuwe gedrag wilt beheren, wordt de eigenschap DeviceAuthenticationEnabled gebruikt in combinatie met een nieuwe eigenschap met de naam DeviceAuthenticationMethod.
De verificatiemethode voor apparaten bepaalt het type apparaatverificatie dat wordt uitgevoerd: PRT, PKeyAuth, clientTLS of een combinatie. Deze heeft de volgende waarden:
- SignedToken: PRT alleen
- PKeyAuth: PRT + PKeyAuth
- ClientTLS: PRT + clientTLS
- Allen: Alles van het bovenstaande
Zoals u ziet, maakt PRT deel uit van alle apparaatverificatiemethoden, waardoor deze van kracht is als de standaardmethode die altijd is ingeschakeld wanneer DeviceAuthenticationEnabled is ingesteld op $true.
Voorbeeld: Als u de methode(s) wilt configureren, gebruikt u de cmdlet DeviceAuthenticationEnabled zoals hierboven, samen met de nieuwe eigenschap:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
Notitie
In AD FS 2019 kan DeviceAuthenticationMethod worden gebruikt met de opdracht Set-AdfsRelyingPartyTrust.
PS:\>Set-AdfsRelyingPartyTrust -DeviceAuthenticationMethod ClientTLS
Notitie
Het inschakelen van apparaatverificatie (het instellen van DeviceAuthenticationEnabled op $true) betekent dat de DeviceAuthenticationMethod impliciet is ingesteld op SignedToken, wat gelijk is aan PRT-.
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationMethod All
Notitie
De standaardmethode voor apparaatverificatie is SignedToken. Andere waarden zijn PKeyAuth,ClientTLS, en Alle.
De betekenissen van de DeviceAuthenticationMethod waarden zijn enigszins gewijzigd sinds AD FS 2016 is uitgebracht. Zie de onderstaande tabel voor de betekenis van elke waarde, afhankelijk van het updateniveau:
| AD FS-versie | DeviceAuthenticationMethod-waarde | Middel |
|---|---|---|
| 2016 RTM | SignedToken | PRT + PkeyAuth |
| clientTLS | clientTLS | |
| Alle | PRT + PkeyAuth + clientTLS | |
| 2016 RTM + up-to-date met Windows Update | SignedToken (gewijzigde betekenis) | PRT (alleen) |
| PkeyAuth (nieuw) | PRT + PkeyAuth | |
| clientTLS | PRT + clientTLS | |
| Alle | PRT + PkeyAuth + clientTLS |