Partilhar via


Controles de autenticação de dispositivo no AD FS

O documento a seguir mostra como habilitar controles de autenticação de dispositivo no Windows Server 2016 e 2012 R2.

Controles de autenticação de dispositivo no AD FS 2012 R2

Originalmente, no AD FS 2012 R2, havia uma propriedade de autenticação global chamada DeviceAuthenticationEnabled que controlava a autenticação de dispositivo.

Para definir a configuração, o cmdlet Set-AdfsGlobalAuthenticationPolicy foi usado conforme mostrado abaixo:

PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true

Para desabilitar a autenticação do dispositivo, o mesmo cmdlet foi usado para definir o valor como $false.

Controles de autenticação de dispositivo no AD FS 2016

O único tipo de autenticação de dispositivo com suporte em 2012 R2 foi clientTLS. No AD FS 2016, além do clientTLS, há dois novos tipos de autenticação de dispositivo para autenticação de dispositivos modernos. Eles são:

  • PKeyAuth
  • PRT

Para controlar o novo comportamento, a propriedade DeviceAuthenticationEnabled é usada em combinação com uma nova propriedade chamada DeviceAuthenticationMethod.

O método de autenticação do dispositivo determina o tipo de autenticação de dispositivo que será feita: PRT, PKeyAuth, clientTLS ou alguma combinação. Tem os seguintes valores:

  • SignedToken: PRT somente
  • PKeyAuth: PRT + PKeyAuth
  • ClientTLS: PRT + clientTLS
  • All: todos os anteriores

Como você pode ver, o PRT faz parte de todos os métodos de autenticação de dispositivo, tornando-o, na verdade, o método padrão que sempre está habilitado quando DeviceAuthenticationEnabled é definido como $true.

Exemplo: para configurar os métodos, use o cmdlet DeviceAuthenticationEnabled conforme acima, com a nova propriedade:

PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true

Observação

No AD FS 2019, DeviceAuthenticationMethod pode ser usado com o comando Set-AdfsRelyingPartyTrust.

PS:\>Set-AdfsRelyingPartyTrust -DeviceAuthenticationMethod ClientTLS

Observação

Habilitar a autenticação do dispositivo (definindo DeviceAuthenticationEnabled como $true) significa que o DeviceAuthenticationMethod está implicitamente definido como SignedToken, o que equivale a PRT.

PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationMethod All

Observação

O método de autenticação de dispositivo padrão é SignedToken. Outros valores são PKeyAuth,ClientTLS e All.

Os significados dos valores DeviceAuthenticationMethod foram ligeiramente alterados desde que o lançamento do AD FS 2016. Consulte a tabela abaixo para obter o significado de cada valor, dependendo do nível de atualização:

Versão do AD FS Valor deviceAuthenticationMethod Significa
2016 RTM SignedToken PRT + PkeyAuth
clientTLS clientTLS
Tudo PRT + PkeyAuth + clientTLS
RTM 2016 + atualizado com Windows Update SignedToken (significado alterado) PRT (somente)
PkeyAuth (novo) PRT + PkeyAuth
clientTLS PRT + clientTLS
Tudo PRT + PkeyAuth + clientTLS

Consulte Também

Operações do AD FS