使用裝置註冊服務設定同盟伺服器
完成步驟 4:設定同盟伺服器中的程序後,您就可以在同盟伺服器上啟用裝置註冊服務 (DRS)。 裝置註冊服務為需要存取公司資源的取用者提供具有無縫式次要因素驗證、持續性單一登入 (SSO) 及條件式存取功能的登入機制。 如需 DRS 詳細資訊,請參閱從任何裝置加入工作地點網路,並在公司的各個應用程式提供 SSO 和無縫式的次要因素驗證
準備 Active Directory 樹系以支援裝置
注意
這是您必須執行的一次性作業,如此才能準備支援裝置的 Active Directory 樹系。 若要完成此程序,您必須以企業管理員權限登入,且您的 Active Directory 樹系需有 Windows Server 2012 R2 架構。
此外,DRS 會要求樹系根網域中至少有一部通用類別目錄伺服器。 需有通用類別目錄伺服器才能執行 Initialize-ADDeviceRegistration,並在 AD FS 驗證期間執行。 AD FS 會在每個驗證要求上初始化 DRS 組態物件的記憶體內部表示法;如果在目前網域中的 DC 上找不到 DRS 組態物件,則會針對在 Initialize-ADDeviceRegistration 期間佈建 DRS 物件的 GC 嘗試該要求。
準備 Active Directory 樹系
在您的同盟伺服器上,開啟 Windows PowerShell 命令視窗並輸入:
Initialize-ADDeviceRegistration出現 ServiceAccountName 的提示時,請輸入您選取作為 AD FS 服務帳戶的服務帳戶名稱。 如果是 gMSA 帳戶,請輸入 domain\accountname$ 格式的帳戶。 如果是網域帳戶,請使用 domain\accountname 的格式。
在同盟伺服器陣列節點上啟用裝置註冊服務
注意
您必須以網域系統管理員權限登入,才能完成此程序。
啟用裝置註冊服務
在您的同盟伺服器上,開啟 Windows PowerShell 命令視窗並輸入:
Enable-AdfsDeviceRegistration在 AD FS 伺服器陣列中的每個同盟伺服器陣列節點上重複此步驟。
啟用無縫式次要因素驗證
無縫式次要因素驗證是 AD FS 中的增強功能,可為企業資源和應用程式提供額外的存取保護層級,以過濾嘗試對其進行存取的外部裝置。 個人裝置加入工作場所網路後會成為「已知」裝置,而系統管理員可以使用此資訊來允許條件式存取和控制對資源的存取。
為已加入工作場所網路的裝置啟用無縫式次要因素驗證、持續性單一登入 (SSO) 和條件式存取
- 在 [AD FS 管理] 主控台上,瀏覽至 [驗證原則]。 選取 [啟用全域主要驗證] 。 選取 [啟用裝置驗證] ,然後按一下 [確定] 。
更新 Web 應用程式 Proxy 設定
重要
您不需要將裝置註冊服務發佈至 Web 應用程式 Proxy。 在同盟伺服器上啟用裝置註冊服務後,即可透過 Web 應用程式 Proxy 使用裝置註冊服務。 如果 Web 應用程式 Proxy 設定是在啟用裝置註冊服務之前部署,您可能需要完成此程序以更新 Web 應用程式 Proxy 設定。
更新 Web 應用程式 Proxy 設定
在您的 Web 應用程式 Proxy 伺服器上,開啟 Windows PowerShell 命令視窗並輸入
Update-WebApplicationProxyDeviceRegistration出現認證提示時,請輸入具有同盟伺服器系統管理權限的帳戶認證。