Controles de autenticação de dispositivo no AD FS
O documento a seguir mostra como habilitar controles de autenticação de dispositivo no Windows Server 2016 e 2012 R2.
Controles de autenticação de dispositivo no AD FS 2012 R2
Originalmente, no AD FS 2012 R2, havia uma propriedade de autenticação global chamada DeviceAuthenticationEnabled que controlava a autenticação de dispositivo.
Para definir a configuração, o cmdlet Set-AdfsGlobalAuthenticationPolicy foi usado conforme mostrado abaixo:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
Para desabilitar a autenticação do dispositivo, o mesmo cmdlet foi usado para definir o valor como $false.
Controles de autenticação de dispositivo no AD FS 2016
O único tipo de autenticação de dispositivo com suporte em 2012 R2 foi clientTLS. No AD FS 2016, além do clientTLS, há dois novos tipos de autenticação de dispositivo para autenticação de dispositivos modernos. Eles são:
- PKeyAuth
- PRT
Para controlar o novo comportamento, a propriedade DeviceAuthenticationEnabled é usada em combinação com uma nova propriedade chamada DeviceAuthenticationMethod.
O método de autenticação do dispositivo determina o tipo de autenticação de dispositivo que será feita: PRT, PKeyAuth, clientTLS ou alguma combinação. Tem os seguintes valores:
- SignedToken: PRT somente
- PKeyAuth: PRT + PKeyAuth
- ClientTLS: PRT + clientTLS
- All: todos os anteriores
Como você pode ver, o PRT faz parte de todos os métodos de autenticação de dispositivo, tornando-o, na verdade, o método padrão que sempre está habilitado quando DeviceAuthenticationEnabled é definido como $true.
Exemplo: para configurar os métodos, use o cmdlet DeviceAuthenticationEnabled conforme acima, com a nova propriedade:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
Observação
No AD FS 2019, DeviceAuthenticationMethod pode ser usado com o comando Set-AdfsRelyingPartyTrust.
PS:\>Set-AdfsRelyingPartyTrust -DeviceAuthenticationMethod ClientTLS
Observação
Habilitar a autenticação do dispositivo (definindo DeviceAuthenticationEnabled como $true) significa que o DeviceAuthenticationMethod está implicitamente definido como SignedToken, o que equivale a PRT.
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationMethod All
Observação
O método de autenticação de dispositivo padrão é SignedToken. Outros valores são PKeyAuth,ClientTLS e All.
Os significados dos valores DeviceAuthenticationMethod foram ligeiramente alterados desde que o lançamento do AD FS 2016. Consulte a tabela abaixo para obter o significado de cada valor, dependendo do nível de atualização:
| Versão do AD FS | Valor deviceAuthenticationMethod | Significa |
|---|---|---|
| 2016 RTM | SignedToken | PRT + PkeyAuth |
| clientTLS | clientTLS | |
| Tudo | PRT + PkeyAuth + clientTLS | |
| RTM 2016 + atualizado com Windows Update | SignedToken (significado alterado) | PRT (somente) |
| PkeyAuth (novo) | PRT + PkeyAuth | |
| clientTLS | PRT + clientTLS | |
| Tudo | PRT + PkeyAuth + clientTLS |