Konfigurieren eines Verbundservers mit dem Geräteregistrierungsdienst
Sie können den Geräteregistrierungsdienst (Device Registration Service, DRS) auf Ihrem Verbundserver aktivieren, nachdem Sie die Schritte unter Schritt 4: Konfigurieren eines Verbundservers ausgeführt haben. Der Geräteregistrierungsdienst bietet Consumern, die Zugriff auf Unternehmensressourcen benötigen, einen Onboardingmechanismus für die nahtlose Zwei-Faktor-Authentifizierung, persistentes einmaliges Anmelden (SSO) und bedingten Zugriff. Weitere Informationen zu DRS finden Sie unter Arbeitsplatzbeitritt von einem beliebigen Gerät für SSO und die nahtlose Zwei-Faktor-Authentifizierung bei allen Unternehmensanwendungen.
Vorbereiten der Active Directory-Gesamtstruktur für die Unterstützung von Geräten
Hinweis
Dies ist ein einmaliger Vorgang, den Sie ausführen müssen, um Ihre Active Directory-Gesamtstruktur für die Unterstützung von Geräten vorzubereiten. Sie müssen mit der Berechtigung "Unternehmensadministrator" angemeldet sein, und Ihre Active Directory-Gesamtstruktur muss über das Windows Server 2012 R2-Schema verfügen, damit dieses Verfahren abgeschlossen werden kann.
Darüber hinaus erfordert DRS, dass Ihre Gesamtstrukturstammdomäne mindestens einen globalen Katalogserver aufweist. Der globale Katalogserver ist zum Ausführen von „Initialize-ADDeviceRegistration“ und während der AD FS-Authentifizierung erforderlich. AD FS initialisiert bei jeder Authentifizierungsanforderung eine In-Memory-Darstellung des DRS-Konfigurationsobjekts. Wenn das DRS-Konfigurationsobjekt auf einem DC in der aktuellen Domäne nicht gefunden werden kann, wird versucht, die Anforderung an den GC zu übermitteln, auf dem die DRS-Objekte während „Initialize-ADDeviceRegistration“ bereitgestellt wurden.
So bereiten Sie die Active Directory-Gesamtstruktur vor
Öffnen Sie auf Ihrem Verbundserver ein Windows PowerShell-Befehlsfenster, und geben Sie dann Folgendes ein:
Initialize-ADDeviceRegistration
Wenn Sie aufgefordert werden, den ServiceAccountName einzugeben, geben Sie den Namen des Dienstkontos ein, das Sie als Dienstkonto für AD FS ausgewählt haben. Wenn es sich um ein gMSA-Konto handelt, geben Sie das Konto im Format Domäne\Kontoname$ ein. Verwenden Sie das Format Domäne\Kontoname, um ein Domänenkonto anzugeben.
Aktivieren des Geräteregistrierungsdiensts auf einem Verbundserverfarm-Knoten
Hinweis
Sie müssen mit der Berechtigung eines Domänenadministrators angemeldet sein, um dieses Verfahren ausführen zu können.
So aktivieren Sie den Geräteregistrierungsdienst
Öffnen Sie auf Ihrem Verbundserver ein Windows PowerShell-Befehlsfenster, und geben Sie dann Folgendes ein:
Enable-AdfsDeviceRegistration
Wiederholen Sie diesen Schritt für jeden Verbundfarmknoten in Ihrer AD FS-Farm.
Aktivieren der nahtlosen Zwei-Faktor-Authentifizierung
Die nahtlose Zwei-Faktor-Authentifizierung ist eine Erweiterung in AD FS, die für den Zugriff über externe Geräte eine zusätzliche Schutzebene für Unternehmensressourcen und Anwendungen bietet. Wenn ein persönliches Gerät in den Arbeitsplatz eingebunden ist, wird es zu einem „bekannten“ Gerät, und Administratoren können diese Informationen verwenden, um den bedingten Zugriff zu steuern und den Zugriff auf Ressourcen zu begrenzen.
So aktivieren Sie die nahtlose Zwei-Faktor-Authentifizierung, persistentes einmaliges Anmelden (Single Sign-On, SSO) und bedingten Zugriff für in den Arbeitsplatz eingebundene Geräte
- Navigieren Sie in der AD FS-Verwaltungskonsole zu „Authentifizierungsrichtlinien“. Wählen Sie Globale primäre Authentifizierung bearbeiten aus. Aktivieren Sie das Kontrollkästchen neben Geräteauthentifizierung aktivieren, und klicken Sie dann auf OK.
Aktualisieren der Webanwendungsproxy-Konfiguration
Wichtig
Sie müssen den Geräteregistrierungsdienst nicht im Webanwendungsproxy veröffentlichen. Der Geräteregistrierungsdienst ist über den Webanwendungsproxy verfügbar, sobald er auf einem Verbundserver aktiviert wird. Möglicherweise müssen Sie folgendes Verfahren ausführen, um die Konfiguration des Webanwendungsproxys zu aktualisieren, wenn sie vor der Aktivierung des Geräteregistrierungsdiensts bereitgestellt wurde.
So aktualisieren Sie die Webanwendungsproxy-Konfiguration
Öffnen Sie auf Ihrem Webanwendungsproxy-Server ein Windows PowerShell-Befehlsfenster, und geben Sie dann Folgendes ein:
Update-WebApplicationProxyDeviceRegistration
Wenn Sie zur Eingabe von Anmeldeinformationen aufgefordert werden, geben Sie die Anmeldeinformationen eines Kontos ein, das über Administratorrechte für Ihre Verbundserver verfügt.
Weitere Informationen
Bereitstellungshandbuch für AD FS unter Windows Server 2012 R2