Steuerelemente zur Geräteauthentifizierung in AD FS
In diesem Dokument erfahren Sie, wie Sie unter Windows Server 2016 und 2012 R2 Steuerelemente zur Geräteauthentifizierung aktivieren.
Steuerelemente zur Geräteauthentifizierung in AD FS 2012 R2
Ursprünglich gab es in AD FS 2012 R2 eine globale Authentifizierungseigenschaft namens DeviceAuthenticationEnabled, mit der die Geräteauthentifizierung gesteuert wurde.
Zum Konfigurieren der Einstellung wurde das Cmdlet Set-AdfsGlobalAuthenticationPolicy wie unten gezeigt verwendet:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
Zum Deaktivieren der Geräteauthentifizierung wurde dasselbe Cmdlet verwendet, und sein Wert auf $false festgelegt.
Steuerelemente zur Geräteauthentifizierung in AD FS 2016
Der einzige Typ der Geräteauthentifizierung, der in 2012 R2 unterstützt wurde, war clientTLS. In AD FS 2016 gibt es zusätzlich zu clientTLS zwei neue typen der Geräteauthentifizierung für die Authentifizierung moderner Geräte. Dies sind:
- PKeyAuth
- PRT
Um das neue Verhalten zu steuern, wird die DeviceAuthenticationEnabled-Eigenschaft in Kombination mit einer neuen Eigenschaft namens DeviceAuthenticationMethod verwendet.
Die Geräteauthentifizierungsmethode bestimmt den Typ der Geräteauthentifizierung, die durchgeführt wird: PRT, PKeyAuth, clientTLS oder eine Kombination dieser. Die folgenden Werte sind möglich:
- SignedToken: nur PRT
- PKeyAuth: PRT und PKeyAuth
- ClientTLS: PRT und clientTLS
- All: alle genannten
Wie Sie sehen, ist PRT Teil aller Geräteauthentifizierungsmethoden und somit die Standardmethode, die immer aktiviert ist, wenn DeviceAuthenticationEnabled auf $true festgelegt ist.
Beispiel: Um die Methoden zu konfigurieren, verwenden Sie das Cmdlet „DeviceAuthenticationEnabled“ wie oben zusammen mit der neuen Eigenschaft:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
Hinweis
In AD FS 2019 kann DeviceAuthenticationMethod mit dem Befehl Set-AdfsRelyingPartyTrust verwendet werden.
PS:\>Set-AdfsRelyingPartyTrust -DeviceAuthenticationMethod ClientTLS
Hinweis
Das Aktivieren der Geräteauthentifizierung (Einstellung DeviceAuthenticationEnabled auf $true) bedeutet, dass DeviceAuthenticationMethod implizit auf SignedToken festgelegt wird und damit PRT entspricht.
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationMethod All
Hinweis
Die Standardmethode für die Geräteauthentifizierung ist SignedToken. Weitere Werte sind PKeyAuth, ClientTLS und All.
Die Bedeutungen der Werte von DeviceAuthenticationMethod haben sich seit der Veröffentlichung von AD FS 2016 geringfügig geändert. In der folgenden Tabelle finden Sie die Bedeutung der einzelnen Werte, abhängig von der Updateebene:
| AD FS-Version | DeviceAuthenticationMethod-Wert | Bedeutung |
|---|---|---|
| 2016 RTM | SignedToken | PRT + PkeyAuth |
| clientTLS | clientTLS | |
| All | PRT + PkeyAuth + clientTLS | |
| 2016 RTM + aktueller Stand von Windows Update | SignedToken (Bedeutung geändert) | PRT (ausschließlich) |
| PkeyAuth (neu) | PRT + PkeyAuth | |
| clientTLS | PRT + clientTLS | |
| All | PRT + PkeyAuth + clientTLS |