Configurar um servidor de federação com o Serviço de Registro de Dispositivos
Você pode habilitar o DRS (Serviço de Registro de Dispositivos) no servidor de federação depois de concluir os procedimentos da Etapa 4: Configurar um Servidor de Federação. O Serviço de Registro de Dispositivos fornece um mecanismo de integração para autenticação de dois fatores contínua, SSO (logon único) persistente e acesso condicional aos consumidores que exigem acesso aos recursos da empresa. Para obter mais informações sobre o DRS, confira Ingressar no local de trabalho em qualquer dispositivo para SSO e autenticação de dois fatores contínua em aplicativos da empresa
Preparar sua floresta do Active Directory para dar suporte a dispositivos
Observação
Isso é uma operação única que você deve executar para preparar a floresta do Active Directory para dar suporte a dispositivos. Você deve fazer logon com permissões de administrador corporativo e sua floresta do Active Directory deve ter o esquema do Windows Server 2012 R2 para concluir esse procedimento.
Além disso, o DRS exige que você tenha, no mínimo, um servidor de catálogo global no seu domínio raiz de floresta. O servidor de catálogo global é necessário para executar o Initialize-ADDeviceRegistration e durante a autenticação do AD FS. O AD FS inicializa uma representação na memória do objeto de configuração do DRS em cada solicitação de autenticação e, se o objeto de configuração do DRS não puder ser encontrado em um controlador de domínio no domínio atual, uma tentativa de solicitação será feita no GC no qual os objetos do DRS foram provisionados durante o Initialize-ADDeviceRegistration.
Para preparar a floresta do Active Directory
No servidor de federação, abra uma janela de comando do Windows PowerShell e digite:
Initialize-ADDeviceRegistration
Quando for solicitado ServiceAccountName, insira o nome da conta do serviço que você selecionou como a conta de serviço para o AD FS. É uma conta gMSA, insira a conta no formato domain\accountname$. Para uma conta de domínio, use o formato domain\accountname$.
Habilitar o Serviço de Registro de Dispositivos em um nó do farm de servidores de federação
Observação
Você precisa estar conectado com permissões de administrador da empresa para completar este procedimento.
Para habilitar o Serviço de Registro de Dispositivos
No servidor de federação, abra uma janela de comando do Windows PowerShell e digite:
Enable-AdfsDeviceRegistration
Repita esta etapa em cada nó do farm de federação no farm do AD FS.
Habilitar a autenticação de dois fatores contínua
A autenticação de dois fatores contínua é um aprimoramento no AD FS que fornece um nível adicional de proteção de acesso a recursos corporativos e aplicativos em dispositivos externos que estão tentando acessá-los. Quando um dispositivo pessoal é ingressado no local de trabalho, ele se torna um dispositivo 'conhecido' e os administradores podem usar essas informações para orientar o acesso condicional e o acesso de portão aos recursos.
Para habilitar a autenticação de dois fatores contínua, o SSO (logon único) persistente e o acesso condicional para os dispositivos ingressados no local de trabalho
- No console do Gerenciamento do AD FS, navegue até Políticas de Autenticação. Selecione Editar Autenticação Primária Global. Marque a caixa de seleção ao lado de Habilitar Autenticação de Dispositivo e clique em OK.
Atualizar a configuração do Proxy de aplicativo Web
Importante
Você não precisa publicar o Serviço de Registro de Dispositivos no Proxy de aplicativo Web. O Serviço de Registro de Dispositivos estará disponível por meio do Proxy de aplicativo Web depois que ele estiver habilitado em um servidor de federação. Talvez seja necessário concluir este procedimento para atualizar a configuração do Proxy de aplicativo Web se ela foi implantada antes da habilitação do Serviço de Registro de Dispositivos.
Para atualizar a configuração do Proxy de aplicativo Web
No servidor do Proxy de aplicativo Web, abra uma janela de comando do Windows PowerShell e digite
Update-WebApplicationProxyDeviceRegistration
Quando precisar fornecer suas credenciais, insira as credenciais de uma conta que tenha direitos administrativos nos servidores de federação.