使用设备注册服务配置联合服务器
完成步骤 4:配置联合服务器中的过程后,你可以在联合服务器上启用设备注册服务 (DRS)。 设备注册服务提供了一种加入机制,可以针对需要访问公司资源的消费者实现无缝的双重身份验证、持久单点登录 (SSO) 和条件访问。 有关 DRS 的详细信息,请参阅从任意设备加入工作区以跨公司应用程序实现 SSO 和无缝的双重身份验证
准备 Active Directory 林以提供设备支持
注意
这是在准备 Active Directory 林以提供设备支持时必须完成的一次性操作。 要完成此过程,必须使用企业管理员权限登录,并且 Active Directory 林必须具有 Windows Server 2012 R2 架构。
此外,DRS 要求林根域中至少有一台全局编录服务器。 在运行 Initialize-ADDeviceRegistration 时以及进行 AD FS 身份验证期间,需要使用全局编录服务器。 AD FS 在每个身份验证请求上初始化 DRS 配置对象的内存中表示形式,如果在当前域中的 DC 上找不到 DRS 配置对象,则会针对在 Initialize-ADDeviceRegistration 期间预配了 DRS 对象的 GC 尝试该请求。
准备 Active Directory 林
在联合服务器上,打开 Windows PowerShell 命令窗口并键入:
Initialize-ADDeviceRegistration在出现“ServiceAccountName”提示时,输入你选择用作 AD FS 服务帐户的服务帐户名。 如果这是一个 gMSA 帐户,请以“域\帐户名$”的格式输入该帐户。 对于域帐户,请使用“域\帐户名”格式。
在联合服务器场节点上启用设备注册服务
注意
只有使用域管理员权限登录才能完成此过程。
启用设备注册服务
在联合服务器上,打开 Windows PowerShell 命令窗口并键入:
Enable-AdfsDeviceRegistration在 AD FS 场中的每个联合服务器场节点上重复此步骤。
启用无缝的双重身份验证
无缝的双重身份验证是 AD FS 中的一项增强功能,它为企业资源和应用程序提供了增强级别的访问保护,以阻止尝试访问它们的外部设备。 当个人设备加入工作区时,它将成为“已知”设备,管理员可以使用此信息来驱动条件访问和限制对资源的访问。
为已加入工作区的设备启用无缝的双重身份验证、持久性单一登录 (SSO) 和条件访问
- 在 AD FS 管理控制台中,导航到“身份验证策略”。 选择“编辑全局主要身份验证”。 选中“启用设备身份验证”旁边的复选框,然后单击“确定”。
更新 Web 应用程序代理配置
重要
你不需要将设备注册服务发布到 Web 应用程序代理。 在联合服务器上启用设备注册服务后,可通过 Web 应用程序代理使用它。 如果 Web 应用程序代理配置是在启用设备注册服务之前部署的,则可能需要完成此过程来更新它。
更新 Web 应用程序代理配置
在 Web 应用程序代理服务器上,打开 Windows PowerShell 命令窗口并键入以下命令
Update-WebApplicationProxyDeviceRegistration当系统提示输入凭据时,输入对联合服务器具有管理权限的帐户的凭据。