次のドキュメントでは、Windows Server 2016 および 2012 R2 でデバイス認証コントロールを有効にする方法を示します。
AD FS 2012 R2 のデバイス認証コントロール
もともと AD FS 2012 R2 には、デバイス認証を制御する DeviceAuthenticationEnabled というグローバル認証プロパティが 1 つありました。
この設定を構成するために、 Set-AdfsGlobalAuthenticationPolicy コマンドレットを次のように使用しました。
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
デバイス認証を無効にするために、同じコマンドレットを使用して値を $false に設定しました。
AD FS 2016 のデバイス認証コントロール
2012 R2 でサポートされているデバイス認証の唯一の種類は clientTLS でした。 AD FS 2016 では、clientTLS に加えて、先進デバイス認証用の 2 種類の新しいデバイス認証があります。 これらは:
- PKeyAuth
- PRT
新しい動作を制御するために、 DeviceAuthenticationEnabled プロパティは、 DeviceAuthenticationMethod という新しいプロパティと組み合わせて使用されます。
デバイス認証方法によって、実行されるデバイス認証の種類 (PRT、PKeyAuth、clientTLS、またはいくつかの組み合わせ) が決まります。 次の値を持ちます:
- SignedToken: PRT のみ
- PKeyAuth: PRT + PKeyAuth
- ClientTLS: PRT + clientTLS
- すべて: 上記のすべて
ご覧のように、PRT はすべてのデバイス認証方法の一部であり、 DeviceAuthenticationEnabled が $true に設定されている場合に常に有効になる既定の方法になります。
例: メソッドを構成するには、上記のように DeviceAuthenticationEnabled コマンドレットと新しいプロパティを使用します。
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
注
AD FS 2019 では、 DeviceAuthenticationMethod を Set-AdfsRelyingPartyTrust コマンドと共に使用できます。
PS:\>Set-AdfsRelyingPartyTrust -DeviceAuthenticationMethod ClientTLS
注
デバイス認証を有効にする ( DeviceAuthenticationEnabled を $trueに設定する) とは、 DeviceAuthenticationMethod が暗黙的に SignedToken に設定されていることを意味します。これは PRT に相当します。
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationMethod All
注
既定のデバイス認証方法は SignedToken。 その他の値は PKeyAuth、ClientTLS、 All です。
値の意味は、AD FS 2016 がリリースされてから若干変わりました。 更新レベルに応じて、各値の意味については、次の表を参照してください。
| AD FS のバージョン | デバイス認証方式値 | 手段 |
|---|---|---|
| 2016 RTM | 署名済みトークン | PRT + PkeyAuth |
| clientTLS | clientTLS | |
| 全て | PRT + PkeyAuth + clientTLS | |
| 2016 RTM + Windows Update を使って最新の状態を保つ | SignedToken (変更された意味) | PRT (のみ) |
| PkeyAuth (新規) | PRT + PkeyAuth | |
| clientTLS | PRT + clientTLS | |
| 全て | PRT + PkeyAuth + clientTLS |