Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługę rejestracji urządzeń (DRS) można włączyć na serwerze federacyjnym po wykonaniu procedur opisanych w Krok 4: Konfigurowanie serwera federacyjnego. Usługa rejestracji urządzeń zapewnia mechanizm wprowadzenia do bezproblemowego uwierzytelniania dwukrotnego, trwałego jednokrotnego logowania (SSO) i dostępu warunkowego dla użytkowników końcowych, którzy wymagają dostępu do zasobów firmy. Aby uzyskać więcej informacji o usłudze DRS, zobacz Dołącz do miejsca pracy z dowolnego urządzenia, aby używać jednokrotnego logowania (SSO) oraz płynnego dwuskładnikowego uwierzytelniania we wszystkich aplikacjach firmowych
Przygotowywanie lasu usługi Active Directory do obsługi urządzeń
Uwaga
Jest to jednorazowa operacja, którą musisz przeprowadzić, aby przygotować las Active Directory do obsługi urządzeń. Aby wykonać tę procedurę, musisz zalogować się przy użyciu uprawnień administratora przedsiębiorstwa, a las usługi Active Directory musi mieć schemat systemu Windows Server 2012 R2.
Ponadto DRS wymaga co najmniej jednego serwera wykazu globalnego w domenie głównej lasu. Serwer wykazu globalnego jest wymagany do uruchamiania Initialize-ADDeviceRegistration i podczas uwierzytelniania usług AD FS. AD FS inicjuje reprezentację obiektu konfiguracji DRS w pamięci przy każdym żądaniu uwierzytelnienia, a jeśli nie można odnaleźć obiektu konfiguracji DRS na kontrolerze domeny w bieżącej domenie, żądanie jest kierowane do GC, na którym obiekty DRS zostały przygotowane podczas Initialize-ADDeviceRegistration.
Aby przygotować las usługi Active Directory
Na serwerze federacyjnym otwórz okno polecenia programu Windows PowerShell i wpisz:
Initialize-ADDeviceRegistrationPo wyświetleniu monitu o nazwę ServiceAccountName wprowadź nazwę konta usługi, które wybrałeś jako konto dla AD FS. Jeśli jest to konto gMSA, wprowadź konto w formacie domain\accountname$. W przypadku konta domeny użyj formatu domain\accountname.
Włączanie usługi rejestracji urządzeń w węźle farmy serwerów federacyjnych
Uwaga
Aby wykonać tę procedurę, musisz zalogować się przy użyciu uprawnień administratora domeny.
Aby włączyć usługę rejestracji urządzeń
Na serwerze federacyjnym otwórz okno polecenia programu Windows PowerShell i wpisz:
Enable-AdfsDeviceRegistrationPowtórz ten krok w każdym węźle farmy federacyjnej usług AD FS.
Włączanie bezproblemowego uwierzytelniania dwuskładnikowego
Bezproblemowe uwierzytelnianie dwuskładnikowe to rozszerzenie usług AD FS, które zapewnia dodatkowy poziom ochrony dostępu do zasobów i aplikacji firmowych z urządzeń zewnętrznych, które próbują uzyskać do nich dostęp. Gdy urządzenie osobiste jest przyłączone do miejsca pracy, staje się "znanym" urządzeniem i administratorzy mogą wykorzystać te informacje do realizacji dostępu warunkowego oraz ograniczania dostępu do zasobów.
Aby umożliwić bezproblemowe uwierzytelnianie dwuskładnikowe, trwałe logowanie jednokrotne (SSO) i dostęp warunkowy dla urządzeń przyłączonych do miejsca pracy
- W konsoli zarządzania usługAMI AD FS przejdź do pozycji Zasady uwierzytelniania. Wybierz pozycję Edytuj globalne uwierzytelnianie podstawowe. Zaznacz pole wyboru obok pozycji Włącz uwierzytelnianie urządzenia, a następnie kliknij przycisk OK.
Aktualizowanie konfiguracji serwera proxy aplikacji internetowej
Ważne
Nie musisz publikować usługi rejestracji urządzeń na serwerze proxy aplikacji internetowej. Usługa rejestracji urządzeń będzie dostępna za pośrednictwem serwera proxy aplikacji internetowej po jej włączeniu na serwerze federacyjnym. Może być konieczne wykonanie tej procedury w celu zaktualizowania konfiguracji serwera proxy aplikacji internetowej, jeśli została wdrożona przed włączeniem usługi rejestracji urządzeń.
Aby zaktualizować konfigurację serwera proxy aplikacji internetowej
Na serwerze proxy aplikacji internetowej otwórz okno polecenia programu Windows PowerShell i wpisz
Update-WebApplicationProxyDeviceRegistrationPo wyświetleniu monitu dotyczącego poświadczeń wprowadź poświadczenia konta, które ma uprawnienia administracyjne do serwerów federacyjnych.
Zobacz też
przewodnik wdrażania usług AD FS systemu Windows Server 2012 R2