Enhetsautentiseringskontroller i AD FS
Följande dokument visar hur du aktiverar enhetsautentiseringskontroller i Windows Server 2016 och 2012 R2.
Enhetsautentiseringskontroller i AD FS 2012 R2
Ursprungligen i AD FS 2012 R2 fanns det en global autentiseringsegenskap som heter DeviceAuthenticationEnabled som kontrollerade enhetsautentiseringen.
För att konfigurera inställningen användes cmdleten Set-AdfsGlobalAuthenticationPolicy enligt nedan:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
För att inaktivera enhetsautentisering användes samma cmdlet för att ange värdet till $false.
Enhetsautentiseringskontroller i AD FS 2016
Den enda typ av enhetsautentisering som stöds i 2012 R2 var clientTLS. I AD FS 2016 finns det förutom clientTLS två nya typer av enhetsautentisering för modern enhetsautentisering. Följande är:
- PKeyAuth
- PRT
För att styra det nya beteendet används egenskapen DeviceAuthenticationEnabled i kombination med en ny egenskap som heter DeviceAuthenticationMethod.
Enhetsautentiseringsmetoden avgör vilken typ av enhetsautentisering som ska utföras: PRT, PKeyAuth, clientTLS eller någon kombination. Den har följande värden:
- SignedToken: endast PRT
- PKeyAuth: PRT + PKeyAuth
- ClientTLS: PRT + clientTLS
- Alla: Alla de ovanstående
Som du ser är PRT en del av alla metoder för enhetsautentisering, vilket gör den till den standardmetod som alltid är aktiverad när DeviceAuthenticationEnabled är inställd på $true.
Exempel: Om du vill konfigurera metoderna använder du cmdleten DeviceAuthenticationEnabled enligt ovan, tillsammans med den nya egenskapen:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
Anmärkning
I AD FS 2019 kan DeviceAuthenticationMethod användas med kommandot Set-AdfsRelyingPartyTrust.
PS:\>Set-AdfsRelyingPartyTrust -DeviceAuthenticationMethod ClientTLS
Anmärkning
Om du aktiverar enhetsautentisering (om du anger DeviceAuthenticationEnabled till $true) anges DeviceAuthenticationMethod implicit till SignedToken, vilket motsvarar PRT-.
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationMethod All
Anmärkning
Standardmetoden för enhetsautentisering är SignedToken. Andra värden är PKeyAuth,ClientTLS, och All.
Innebörden av DeviceAuthenticationMethod värden har ändrats något sedan AD FS 2016 släpptes. Se tabellen nedan för innebörden av varje värde, beroende på uppdateringsnivå:
| AD FS-version | DeviceAuthenticationMethod-värde | Medel |
|---|---|---|
| 2016 RTM | Signerad Token | PRT + PkeyAuth |
| clientTLS | clientTLS | |
| Allt | PRT + PkeyAuth + clientTLS | |
| 2016 RTM + uppdaterad med Windows Update | SignedToken (ändrad betydelse) | PRT (endast) |
| PkeyAuth (ny) | PRT + PkeyAuth | |
| klient-TLS | PRT + clientTLS | |
| Allt | PRT + PkeyAuth + clientTLS |