Compartilhar via


Configurar os navegadores para usar WIA (Autenticação Integrada do Windows) com o AD FS

Por padrão, a WIA está habilitada no AD FS no Windows Server 2012 R2 para solicitações de autenticação que ocorrerem dentro da rede interna da organização (intranet) para aplicativos que utilizem um navegador para autenticação.

O AD FS 2016 agora tem uma configuração padrão aprimorada que permite que o navegador Edge faça WIA sem (incorretamente) capturar o Windows Phone:

=~Windows\s*NT.*Edg.*

O exemplo acima significa que não é mais necessário configurar cadeias de caracteres de agente de usuário individuais para dar suporte a cenários comuns do Edge, mesmo que atualizem com muita frequência.

Para outros navegadores, configure a propriedade do AD FS WiaSupportedUserAgents para adicionar os valores necessários com base nos navegadores que você está usando. Você pode usar os procedimentos abaixo.

Exibir configurações de WIASupportedUserAgents

WIASupportedUserAgents define os agentes do usuário que dão suporte a WIA. O AD FS analisa a cadeia de caracteres de agente de usuário ao realizar logons em um navegador ou controle do navegador.

É possível exibir as configurações atuais usando o seguinte exemplo do PowerShell:

Get-AdfsProperties | select -ExpandProperty WiaSupportedUserAgents

WIA Support

Altere as configurações de WIASupportedUserAgents

Por padrão, uma nova instalação do AD FS tem um conjunto de correspondências de cadeia de caracteres de agente de usuário criadas. No entanto, poderão estar sem atualização com base nas alterações de navegadores e dispositivos. Particularmente, os dispositivos Windows têm cadeias de caracteres de agente de usuário semelhantes com pequenas variações nos tokens. O seguinte exemplo do Windows PowerShell fornece as melhores diretrizes para o conjunto atual de dispositivos que estão atualmente no mercado e dão suporte à WIA contínua:

Se tiver AD FS no Windows Server 2012 R2 ou anterior:

Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0","Windows NT 10.0; WOW64; Trident/7.0","MSIPC", "Windows Rights Management Client", "Edg/","Edge/")

Se tiver AD FS no Windows Server 2016 ou posterior:

Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0","Windows NT 10.0; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client", "=~Windows\s*NT.*Edg.*")

O comando acima garantirá que o AD FS cubra apenas os seguintes casos de uso para WIA:

Agentes de usuário Casos de uso
MSIE 6.0 IE 6.0
MSIE 7.0; Windows NT IE 7, IE na zona da intranet. O fragmento "Windows NT" é enviado pelo sistema operacional de desktop.
MSIE 8.0 IE 8.0 (nenhum dispositivo envia, então, é necessário ser mais específico)
MSIE 9.0 IE 9.0 (nenhum dispositivo envia, então, não é necessário torná-lo mais específico)
MSIE 10.0; Windows NT 6 IE 10.0 para Windows XP e versões mais recentes do sistema operacional de desktop

Dispositivos Windows Phone 8.0 (com preferência definida como móvel) são excluídos porque enviam

Agente de Usuário: Mozilla/5.0 (compatível; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920)
Windows NT 6.3; Trident/7.0

Windows NT 6.3; Win64; x64; Trident/7.0

Windows NT 6.3; WOW64; Trident/7.0
Sistema operacional de desktop do Windows 8.1, plataformas diferentes
Windows NT 6.2; Trident/7.0

Windows NT 6.2; Win64; x64; Trident/7.0

Windows NT 6.2; WOW64; Trident/7.0
Sistema operacional de desktop do Windows 8, plataformas diferentes
Windows NT 6.1; Trident/7.0

Windows NT 6.1; Win64; x64; Trident/7.0

Windows NT 6.1; WOW64; Trident/7.0
Sistema operacional de desktop Windows 7, plataformas diferentes
Edg/ e Edge/ Microsoft Edge (Chromium) para Windows Server 2012 R2 ou anterior
=~Windows\s*NT.*Edg.* Microsoft Edge (Chromium) para Windows Server 2016 ou posterior
MSIPC Cliente de Information Protection and Control da Microsoft
Cliente do Windows Rights Management Cliente do Windows Rights Management

Documentação do Microsoft Edge