完成 步骤 4:配置联合服务器的过程后,可以在联合服务器上启用设备注册服务(DRS)。 设备注册服务提供一种载入机制,用于无缝的第二重身份验证、永久性单一登录(SSO)和对需要访问公司资源的使用者的条件访问。 有关 DRS 的详细信息,请参阅从任意设备加入工作区以跨公司应用程序实现 SSO 和无缝的双重身份验证
准备 Active Directory 林以提供设备支持
注释
这是在准备 Active Directory 林以提供设备支持时必须完成的一次性操作。 必须使用企业管理员权限登录,Active Directory 林必须具有 Windows Server 2012 R2 架构才能完成此过程。
此外,DRS 要求在您的林根域中至少存在一个全局目录服务器。 需要全局编录服务器才能运行 Initialize-ADDeviceRegistration,并在 AD FS 身份验证期间运行。 AD FS 在每次身份验证请求时初始化 DRS 配置对象的内存表示形式,如果在当前域的 DC 上找不到 DRS 配置对象,则请求会转向在 Initialize-ADDeviceRegistration 期间预配 DRS 对象的 GC。
准备 Active Directory 林
在联合服务器上,打开 Windows PowerShell 命令窗口并键入:
Initialize-ADDeviceRegistration出现 ServiceAccountName 提示时,输入您选择的服务帐户名称,以用作 AD FS 的服务帐户。 如果这是一个 gMSA 帐户,请以 ___domain\accountname$ 的格式输入该帐户。 对于域帐户,请使用格式 域\帐户名。
在联合服务器场节点上启用设备注册服务
注释
必须使用域管理员权限登录才能完成此过程。
启用设备注册服务
在联合服务器上,打开 Windows PowerShell 命令窗口并键入:
Enable-AdfsDeviceRegistration在 AD FS 场中的每个联合服务器场节点上重复此步骤。
启用无缝二重身份验证
无缝第二因素身份验证是 AD FS 中的一项增强功能,它为尝试访问它们的外部设备的企业资源和应用程序提供了额外的访问保护级别。 当个人设备与工作区连接时,它将成为“已知”设备,管理员可以利用此信息来驱动条件访问并限制对资源的访问。
为已加入工作区的设备启用无缝的双重身份验证、持久性单一登录 (SSO) 和条件访问
- 在 AD FS 管理控制台中,导航到身份验证策略。 选择“编辑全局主要身份验证”。 选中“启用设备身份验证”旁边的复选框,然后单击“确定”。
更新 Web 应用程序代理配置
重要
无需将设备注册服务发布到 Web 应用程序代理。 在联合服务器上启用设备注册服务后,设备注册服务将通过 Web 应用程序代理提供。 如果在启用设备注册服务之前部署了 Web 应用程序代理配置,则可能需要完成此过程以更新该配置。
更新 Web 应用程序代理配置
在 Web 应用程序代理服务器上,打开 Windows PowerShell 命令窗口并键入
Update-WebApplicationProxyDeviceRegistration当系统提示输入凭据时,请输入具有对联合服务器管理权限的帐户的凭据。