Mengonfigurasi server federasi dengan Device Registration Service
Anda dapat mengaktifkan Device Registration Service (DRS) di server federasi setelah Menyelesaikan prosedur di Langkah 4: Mengonfigurasi Server Federasi. Layanan Pendaftaran Perangkat menyediakan mekanisme onboarding untuk autentikasi faktor kedua yang mulus, akses menyeluruh (SSO) persisten, dan akses bersyarat ke konsumen yang memerlukan akses ke sumber daya perusahaan. Untuk informasi selengkapnya tentang DRS, lihat Bergabung ke Tempat Kerja dari Perangkat Apa Pun untuk SSO dan Autentikasi Faktor Kedua Yang Mulus Di Seluruh Aplikasi Perusahaan
Menyiapkan forest Direktori Aktif Anda untuk mendukung perangkat
Catatan
Ini adalah operasi satu kali yang harus Anda jalankan untuk menyiapkan forest Direktori Aktif Anda untuk mendukung perangkat. Anda harus masuk dengan izin administrator perusahaan dan forest Direktori Aktif Anda harus memiliki skema Windows Server 2012 R2 untuk menyelesaikan prosedur ini.
Selain itu, DRS mengharuskan Anda memiliki setidaknya satu server katalog global di domain akar hutan Anda. Server katalog global diperlukan untuk menjalankan Initialize-ADDeviceRegistration dan selama autentikasi Layanan Federasi Direktori Aktif. Layanan Federasi Direktori Aktif menginisialisasi representasi dalam memori objek konfigurasi DRS pada setiap permintaan autentikasi dan jika objek konfigurasi DRS tidak dapat ditemukan pada DC di domain saat ini, permintaan dicoba terhadap GC tempat objek DRS disediakan selama Initialize-ADDeviceRegistration.
Untuk menyiapkan forest Direktori Aktif
Di server federasi Anda, buka jendela perintah Windows PowerShell dan ketik:
Initialize-ADDeviceRegistrationSaat diminta untuk ServiceAccountName, masukkan nama akun layanan yang Anda pilih sebagai akun layanan untuk Layanan Federasi Direktori Aktif. Jika ini adalah akun gMSA, masukkan akun dalam format domain\accountname$ . Untuk akun domain, gunakan format domain\accountname.
Mengaktifkan Layanan Pendaftaran Perangkat pada simpul farm server federasi
Catatan
Anda harus masuk dengan izin administrator domain untuk menyelesaikan prosedur ini.
Untuk mengaktifkan Device Registration Service
Di server federasi Anda, buka jendela perintah Windows PowerShell dan ketik:
Enable-AdfsDeviceRegistrationUlangi langkah ini pada setiap node farm federasi di farm LAYANAN Federasi Direktori Aktif Anda..
Mengaktifkan autentikasi faktor kedua yang mulus
Autentikasi faktor kedua yang mulus adalah peningkatan dalam Layanan Federasi Direktori Aktif yang memberikan tingkat perlindungan akses tambahan ke sumber daya perusahaan dan aplikasi dari perangkat eksternal yang mencoba mengaksesnya. Ketika perangkat pribadi bergabung dengan Workplace, perangkat dan administrator 'diketahui' dapat menggunakan informasi ini untuk mendorong akses bersyarah dan akses gerbang ke sumber daya.
Untuk mengaktifkan autentikasi faktor kedua yang mulus, akses menyeluruh (SSO) persisten dan akses bersyarat untuk perangkat Workplace Joined
- Di konsol Manajemen Layanan Federasi Direktori Aktif, navigasikan ke Kebijakan Autentikasi. Pilih Edit Autentikasi Utama Global. Pilih kotak centang di samping Aktifkan Autentikasi Perangkat, lalu klik OK.
Memperbarui konfigurasi Proksi Aplikasi Web
Penting
Anda tidak perlu menerbitkan Layanan Pendaftaran Perangkat ke Proksi Aplikasi Web. Layanan Pendaftaran Perangkat akan tersedia melalui web Proksi Aplikasi setelah diaktifkan di server federasi. Anda mungkin perlu menyelesaikan prosedur ini untuk memperbarui konfigurasi web Proksi Aplikasi jika disebarkan sebelum mengaktifkan Layanan Pendaftaran Perangkat.
Untuk memperbarui Konfigurasi Proksi Aplikasi Web
Di server Web Proksi Aplikasi Anda, buka jendela perintah Windows PowerShell dan ketik
Update-WebApplicationProxyDeviceRegistrationSaat dimintai kredensial, masukkan kredensial akun yang memiliki hak administratif ke server federasi Anda.
Lihat Juga
Penyebaran Layanan Federasi Direktori Aktif
Panduan Penyebaran Layanan Federasi Direktori Aktif Windows Server 2012 R2