Configurar un servidor de federación con el Servicio de registro de dispositivos
Puede habilitar el Servicio de registro de dispositivos (DRS) en el servidor de federación después de completar los procedimientos descritos en Paso 4: Configurar un servidor de federación. El Servicio de registro de dispositivos proporciona un mecanismo de incorporación para la autenticación de segundo factor fluida, el inicio de sesión único (SSO) persistente y el acceso condicional a los consumidores que requieren acceso a los recursos de la empresa. Para obtener más información sobre el servicio DRS, consulte el tema Unirse a un área de trabajo desde cualquier dispositivo para SSO y autenticación de segundo factor sin problemas en todas las aplicaciones de la compañía.
Preparación del bosque de Active Directory para que admita los dispositivos
Nota
Se trata de una operación que se realiza una sola vez que debe ejecutar para preparar el bosque de Active Directory para admitir los dispositivos. Para completar este procedimiento, debió iniciar sesión con permisos de administrador de organización y el bosque de Active Directory debe tener el esquema de Windows Server 2012 R2.
Además, DRS requiere que tenga al menos un servidor de catálogo global en el dominio raíz del bosque. El servidor de catálogo global es necesario para ejecutar Initialize-ADDeviceRegistration y durante la autenticación de AD FS. AD FS inicializa una representación en memoria del objeto de configuración DRS en cada solicitud de autenticación y, si no se encuentra el objeto de configuración de DRS en un controlador de dominio en el dominio actual, la solicitud se intenta en el controlador de dominio en el que se aprovisionaron los objetos DRS durante Initialize-ADDeviceRegistration.
Para preparar el bosque de Active Directory
En el servidor de federación, abra una ventana de comandos de Windows PowerShell y escriba:
Initialize-ADDeviceRegistrationCuando se le solicite el valor de ServiceAccountName, escriba el nombre de la cuenta de servicio que seleccionó como cuenta de servicio para AD FS. Si es una cuenta gMSA, escriba la cuenta en el formato dominio\nombredecuenta$. Para una cuenta de dominio, use el formato dominio\nombredecuenta.
Habilitación del Servicio de registro de dispositivos en un nodo de la granja de servidores de federación
Nota
Debe tener la sesión iniciada con permisos de administrador de dominio para completar este procedimiento.
Para habilitar el Servicio de registro de dispositivos
En el servidor de federación, abra una ventana de comandos de Windows PowerShell y escriba:
Enable-AdfsDeviceRegistrationRepita este paso en cada nodo de la granja de servidores de federación de la granja de servidores de AD FS.
Habilitación de la autenticación de segundo factor fluida
La autenticación de segundo factor fluida es una mejora en AD FS que proporciona un nivel adicional de protección de acceso a los recursos y aplicaciones corporativos frente a los dispositivos externos que intentan acceder a ellos. Cuando un dispositivo personal está unido al área de trabajo con Workplace Join, se convierte en un dispositivo "conocido" y los administradores pueden usar esta información para controlar el acceso condicional y restringir el acceso a los recursos.
Para habilitar la autenticación de segundo factor fluida, el inicio de sesión único (SSO) persistente y el acceso condicional para dispositivos unidos al área de trabajo mediante Workplace Join
- En la consola de Administración de AD FS, vaya a Directivas de autenticación. Selecciona Editar autenticación principal global. Selecciona la casilla situada junto a Habilitar la autenticación de dispositivos y haz clic en Aceptar.
Actualización de la configuración del Proxy de aplicación web
Importante
No es necesario publicar el Servicio de registro de dispositivos en el Proxy de aplicación web. El Servicio de registro de dispositivos estará disponible a través del Proxy de aplicación web una vez habilitado en un servidor de federación. Es posible que tenga que completar este procedimiento para actualizar la configuración del Proxy de aplicación web si se implementó antes de habilitar el Servicio de registro de dispositivos.
Para actualizar la configuración del Proxy de aplicación web
En el servidor del Proxy de aplicación web, abra una ventana de comandos de Windows PowerShell y escriba:
Update-WebApplicationProxyDeviceRegistrationCuando se le pidan credenciales, escriba las credenciales de una cuenta que tenga derechos administrativos para los servidores de federación.