Device Registration Service を使用してフェデレーション サーバーを構成する

手順 4: フェデレーション サーバーの構成の手順を完了した後、フェデレーション サーバーでデバイス登録サービス (DRS) を有効にすることができます。 Device Registration Service には、シームレスな第 2 要素認証、永続的シングル サインオン (SSO)、会社のリソースへのアクセスを必要とするコンシューマーへの条件付きアクセスのためのオンボード メカニズムが用意されています。 DRS の詳細については、「会社のアプリケーション間での SSO とシームレスな Second Factor Authentication のために、任意のデバイスから Workplace に参加する」を参照してください。

デバイスをサポートするために Active Directory フォレストを準備する

Active Directory フォレストの準備

1. フェデレーション サーバーで、Windows PowerShell コマンド ウィンドウを開き、次のように入力します。

   Initialize-ADDeviceRegistration
   

2. ServiceAccountName の入力を求められたら、AD FS のサービス アカウントとして選択したサービス アカウントの名前を入力します。 gMSA アカウントの場合は、 ___domain\accountname$ 形式でアカウントを入力します。 ドメイン アカウントの場合は、 ___domain\accountname という形式を使用します。

フェデレーション サーバー ファーム ノードでデバイス登録サービスを有効にする

デバイス登録サービスを有効にするには

1. フェデレーション サーバーで、Windows PowerShell コマンド ウィンドウを開き、次のように入力します。

   Enable-AdfsDeviceRegistration
   

2. AD FS ファーム内の各フェデレーション ファーム ノードで、この手順を繰り返します。

シームレスな第 2 要素認証を有効にする

シームレスな第 2 要素認証は、AD FS の機能強化であり、アクセスしようとしている外部デバイスから企業のリソースとアプリケーションに対して追加レベルのアクセス保護を提供します。 個人用デバイスが Workplace Joined の場合、"既知の" デバイスになり、管理者はこの情報を使用して条件付きアクセスを促進し、リソースへのアクセスを制限できます。

シームレスな第 2 要素認証を有効にするには、Workplace Joined デバイスの永続的シングル サインオン (SSO) と条件付きアクセスを有効にします

1. AD FS 管理コンソールで、認証ポリシーに移動します。 [グローバル プライマリ認証の編集] を選択します。 [デバイス認証を有効にする] の横にあるチェック ボックスをオンにし、[OK] をクリックします。

Web アプリケーション プロキシの構成を更新する

Web アプリケーション プロキシの構成を更新するには

1. Web アプリケーション プロキシ サーバーで、Windows PowerShell コマンド ウィンドウを開き、次のように入力します。

   Update-WebApplicationProxyDeviceRegistration
   

2. 資格情報の入力を求められたら、フェデレーション サーバーに対する管理者権限を持つアカウントの資格情報を入力します。

こちらもご覧ください

AD FS の展開

Windows Server 2012 R2 AD FS 展開ガイド

フェデレーション サーバー ファームの展開