使用裝置註冊服務設定同盟伺服器
完成 步驟4:設定同盟伺服器中的程式之後,您可以在同盟伺服器上 (DRS) 啟用裝置註冊服務。 裝置註冊服務提供上線機制,可進行無縫式的第二因素驗證、持續的單一登入 (SSO) ,以及對需要存取公司資源的取用者進行條件式存取。 如需 DRS 的詳細資訊,請參閱 從任何裝置加入工作地點,以在公司應用程式之間進行 SSO 和無縫式的次要因素驗證
準備您的 Active Directory 樹系以支援裝置
注意
這是您必須執行的一次性作業,以準備 Active Directory 樹系支援裝置。 您必須以企業系統管理員權限登入,且您的 Active Directory 樹系必須具有 Windows Server 2012 R2 結構描述才能完成此程序。
此外,DRS 要求您在樹系根域中至少有一個通用類別目錄伺服器。 必須要有通用類別目錄伺服器,才能在 AD FS 驗證期間執行 Initialize-ADDeviceRegistration 和。 AD FS 會在每個驗證要求上初始化 DRS 設定物件的記憶體中標記法,而且如果在目前網域的 DC 上找不到 DRS 設定物件,則會嘗試對在 Initialize-addeviceregistration 期間布建 DRS 物件的 GC 進行要求。
準備 Active Directory 樹系
在您的同盟伺服器上,開啟 Windows PowerShell 命令視窗並輸入:
Initialize-ADDeviceRegistration出現 ServiceAccountName 的提示時,請輸入您選取作為 AD FS 服務帳戶的服務帳戶名稱。 如果是 gMSA 帳戶,請輸入 domain\accountname$ 格式的帳戶。 如果是網域帳戶,請使用 domain\accountname 的格式。
在同盟伺服器陣列節點上啟用裝置註冊服務
注意
您必須使用網域系統管理員許可權登入,才能完成此程式。
啟用裝置註冊服務
在您的同盟伺服器上,開啟 Windows PowerShell 命令視窗並輸入:
Enable-AdfsDeviceRegistration在 AD FS 伺服器陣列中的每個同盟伺服器陣列節點上重複此步驟。
啟用無縫式第二因素驗證
無縫的第二因素驗證是 AD FS 中的增強功能,可針對嘗試存取的外部裝置,提供對公司資源和應用程式的額外存取保護層級。 當個人裝置加入工作地點時,它會變成「已知」裝置,系統管理員可以使用這項資訊來驅動條件式存取和資源的存取權。
若要啟用無縫式第二因素驗證,持續性單一登入 (SSO) 和加入工作地點裝置的條件式存取
- 在 AD FS 管理主控台中,流覽至 [驗證原則]。 選取 [啟用全域主要驗證]。 選取 [啟用裝置驗證],然後按一下 [確定]。
更新 Web 應用程式 Proxy 設定
重要
您不需要將裝置註冊服務發行至 Web 應用程式 Proxy。 一旦在同盟伺服器上啟用裝置註冊服務,便可透過 Web 應用程式 Proxy 取得。 您可能需要完成此程式,才能在啟用裝置註冊服務之前,更新 Web 應用程式 Proxy 設定(如果已部署)。
更新 Web 應用程式 Proxy 設定
在您的 Web 應用程式 Proxy 伺服器上,開啟 Windows PowerShell 命令視窗,然後輸入
Update-WebApplicationProxyDeviceRegistration當系統提示您輸入認證時,請輸入對同盟伺服器具有系統管理許可權之帳戶的認證。