Konfigurera en federationsserver med enhetsregistreringstjänsten
Du kan aktivera Enhetsregistreringstjänst (DRS) på federationsservern när du har slutfört procedurerna i steg 4: Konfigurera en federationsserver. Enhetsregistreringstjänsten tillhandahåller en registreringsmekanism för sömlös andrafaktorautentisering, beständig enkel inloggning (SSO) och villkorlig åtkomst till konsumenter som kräver åtkomst till företagsresurser. Mer information om DRS finns i Anslut till arbetsplatsen från valfri enhet för SSO och sömlös tvåfaktorsautentisering över alla företagsapplikationer
Förbered Active Directory-skogen för att stödja enheter
Anmärkning
Det här är en engångsåtgärd som du måste köra för att förbereda Active Directory-skogen för att stödja enheter. Du måste vara inloggad med företagsadministratörsbehörigheter och Active Directory-skogen måste ha Windows Server 2012 R2-schemat för att slutföra den här proceduren.
Dessutom kräver DRS att du har minst en global katalogserver i din skogsrotsdomän. Den globala katalogservern krävs för att köra Initialize-ADDeviceRegistration och under AD FS-autentisering. AD FS initierar en minnesintern representation av DRS-konfigurationsobjektet på varje autentiseringsbegäran och om DRS-konfigurationsobjektet inte kan hittas på en domänkontrollant i den aktuella domänen, görs begäran mot den GC som DRS-objekten etablerades på under Initialize-ADDeviceRegistration.
För att förbereda Active Directory-skogen
Öppna ett Windows PowerShell-kommandofönster på federationsservern och skriv:
Initialize-ADDeviceRegistrationNär du uppmanas att ange ServiceAccountName anger du namnet på det tjänstkonto som du valde som tjänstkonto för AD FS. Om det är ett gMSA-konto anger du kontot i formatet domain\accountname$. För ett domänkonto använder du formatet domän\kontonamn.
Aktivera enhetsregistreringstjänsten på en federationsservergruppnod
Anmärkning
Du måste vara inloggad med domänadministratörsbehörighet för att slutföra den här proceduren.
Så här aktiverar du enhetsregistreringstjänsten
Öppna ett Windows PowerShell-kommandofönster på federationsservern och skriv:
Enable-AdfsDeviceRegistrationUpprepa det här steget på varje federationsgruppnod i AD FS-servergruppen.
Aktivera sömlös andrafaktorautentisering
Sömlös andra faktorautentisering är en förbättring i AD FS som ger en extra nivå av åtkomstskydd för företagsresurser och program från externa enheter som försöker komma åt dem. När en personlig enhet är Workplace Joined blir den en "känd" enhet och administratörer kan använda den här informationen för att skapa villkorlig åtkomst och grindåtkomst till resurser.
För att möjliggöra sömlös andrafaktorautentisering, beständig enkel inloggning (SSO) och villkorlig åtkomst för Arbetsplatsanslutna enheter
- Gå till Autentiseringsprinciper i AD FS-hanteringskonsolen. Välj Redigera global primär autentisering. Markera kryssrutan bredvid Aktivera enhetsautentisering och klicka sedan på OK.
Uppdatera konfigurationen för webbprogramproxyn
Viktigt!
Du behöver inte publicera enhetsregistreringstjänsten till webbprogramproxyn. Enhetsregistreringstjänsten blir tillgänglig via webbprogramproxyn när den är aktiverad på en federationsserver. Du kan behöva slutföra den här proceduren för att uppdatera konfigurationen för webbprogramproxy om den distribuerades innan enhetsregistreringstjänsten aktiverades.
Uppdatera konfigurationen för webbprogramproxy
Öppna ett Windows PowerShell-kommandofönster på webbprogramproxyservern och skriv
Update-WebApplicationProxyDeviceRegistrationNär du uppmanas att ange autentiseringsuppgifter anger du autentiseringsuppgifterna för ett konto som har administrativa rättigheter till dina federationsservrar.