Configurare un server federativo con Device Registration Service
È possibile abilitare Device Registration Service (DRS) nel server federativo dopo aver completato le procedure in Passaggio 4: Configurare un server federativo. Il servizio DRS offre un meccanismo di onboarding per l'autenticazione a due fattori senza problemi, l'accesso Single Sign-On (SSO) permanente e l'accesso condizionale ai consumer che richiedono l'accesso alle risorse aziendali. Per altre informazioni su DRS, vedere Aggiungere un dispositivo all'area di lavoro per l'accesso SSO e l'autenticazione a due fattori trasparente per tutte le applicazioni aziendali
Preparare la foresta Active Directory per supportare i dispositivi
Nota
Questa è un'operazione da eseguire una sola volta per preparare la foresta Active Directory per supportare i dispositivi. Per completare questa procedura è necessario accedere con autorizzazioni di amministratore dell'organizzazione e la foresta Active Directory deve avere lo schema di Windows Server 2012 R2.
DRS richiede inoltre che nel dominio radice della foresta sia presente almeno un server di catalogo globale. Il server di catalogo globale è necessario per eseguire Initialize-ADDeviceRegistration e durante l'autenticazione di AD FS. AD FS inizializza una rappresentazione in memoria dell'oggetto config di DRS in ogni richiesta di autenticazione e se non è possibile trovare l'oggetto config di DRS in un controller di dominio nel dominio corrente, viene eseguito un tentativo di richiesta rispetto al catalogo globale in cui è stato effettuato il provisioning degli oggetti DRS durante Initialize-ADDeviceRegistration.
Per preparare la foresta di Active Directory
Nel server federativo aprire una finestra di comando di Windows PowerShell e digitare:
Initialize-ADDeviceRegistration
Quando viene richiesto di specificare ServiceAccountName, immettere il nome dell'account del servizio selezionato come account del servizio per AD FS. Se si tratta di un account del servizio gestito del gruppo, immetterlo nel formato dominio\nomeaccount$. Per un account di dominio, usare il formato dominio\nomeaccount.
Abilitare il servizio DRS in un nodo della server farm federativa
Nota
Per eseguire questa procedura, è necessario essere connessi con autorizzazioni da amministratore di dominio.
Per abilitare il servizio DRS (Device Registration Service)
Nel server federativo aprire una finestra di comando di Windows PowerShell e digitare:
Enable-AdfsDeviceRegistration
Ripetere questo passaggio in ogni nodo della farm federativa nella farm di AD FS.
Abilitare l'autenticazione a due fattori senza problemi
L'autenticazione a due fattori senza problemi è un miglioramento di AD FS che offre un livello aggiuntivo di protezione dell'accesso alle risorse aziendali e alle applicazioni da dispositivi esterni che provano ad accedervi. Quando un dispositivo personale è aggiunto all'area di lavoro, diventa un dispositivo "noto" e gli amministratori possono usare queste informazioni per guidare l'accesso condizionale e controllare l'accesso alle risorse.
Per abilitare l'autenticazione a due fattore senza problemi, l'accesso Single Sign-On (SSO) permanente e l'accesso condizionale per i dispositivi aggiunti all'area di lavoro
- Nella console di gestione di AD FS passare a Criteri di autenticazione. Selezionare Modifica autenticazione primaria globale. Selezionare la casella di controllo accanto a Abilita autenticazione dispositivoe quindi fare clic su OK.
Aggiornare la configurazione del Proxy applicazione Web
Importante
Non è necessario pubblicare il servizio DRS nel Proxy applicazione Web. Il servizio DRS sarà disponibile tramite il Proxy applicazione Web dopo l'abilitazione in un server federativo. Potrebbe essere necessario completare questa procedura per aggiornare la configurazione del Proxy applicazione Web se è stato distribuito prima di abilitare il servizio DRS.
Per aggiornare la configurazione del Proxy applicazione Web
Nel server Proxy applicazione Web aprire una finestra di comando di Windows PowerShell e digitare
Update-WebApplicationProxyDeviceRegistration
Quando vengono richieste le credenziali, immettere le credenziali di un account con diritti amministrativi per i server federativi.