AD FS のデバイス認証コントロール
次のドキュメントは、Windows Server 2016 および 2012 R2 でデバイス認証コントロールを有効にする方法を示しています。
AD FS 2012 R2 のデバイス認証コントロール
もともと AD FS 2012 R2 には、デバイス認証を制御する DeviceAuthenticationEnabled という 1 つのグローバル認証プロパティがありました。
この設定を構成するには、次のように Set-AdfsGlobalAuthenticationPolicy コマンドレットを使っていました。
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
このデバイス認証を無効にするには、同じコマンドレットを使いい、値を $false に設定していました。
AD FS 2016 のデバイス認証コントロール
2012 R2 でサポートされていたデバイス認証の種類は clientTLS のみでした。 AD FS 2016 では、clientTLS に加えて、モダン デバイス認証のための 2 つの新しいデバイス認証の種類があります。 次のとおりです。
- PKeyAuth
- PRT
新しい動作を制御するために、DeviceAuthenticationEnabled プロパティが DeviceAuthenticationMethod という新しいプロパティと組み合わせて使われます。
デバイス認証方法によって、実行されるデバイス認証の種類が決まります。つまり、PRT、PKeyAuth、clientTLS、またはその組み合わせです。 次の値があります。
- SignedToken: PRT のみ
- PKeyAuth: PRT + PKeyAuth
- ClientTLS: PRT + clientTLS
- All: 上記のすべて
ご覧のとおり、PRT はすべてのデバイス認証方法に含まれており、DeviceAuthenticationEnabled が $true に設定されている場合、実質的に常に有効となる既定の方法となっています。
例: メソッドを構成するには、前述の DeviceAuthenticationEnabled コマンドレットと新しいプロパティを使います。
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
注意
AD FS 2019 では、DeviceAuthenticationMethod を Set-AdfsRelyingPartyTrust コマンドと共に使用できます。
PS:\>Set-AdfsRelyingPartyTrust -DeviceAuthenticationMethod ClientTLS
注意
デバイス認証を有効にする (DeviceAuthenticationEnabled を $true に設定する) と、暗黙的に DeviceAuthenticationMethod が SignedToken に設定されることを意味します。これは PRT に相当します。
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationMethod All
注意
既定のデバイス認証方法は SignedToken です。 その他の値は、PKeyAuth、ClientTLS、All です。
DeviceAuthenticationMethod の値の意味は、AD FS 2016 がリリースされてから少し変わりました。 更新レベルに応じた各値の意味については、次の表を参照してください。
| AD FS のバージョン | DeviceAuthenticationMethod の値 | 意味 |
|---|---|---|
| 2016 RTM | SignedToken | PRT + PkeyAuth |
| clientTLS | clientTLS | |
| すべて | PRT + PkeyAuth + clientTLS | |
| 2016 RTM + Windows Update を使って最新の状態を保つ | SignedToken (意味が変わった点) | PRT (のみ) |
| PkeyAuth (新規) | PRT + PkeyAuth | |
| clientTLS | PRT + clientTLS | |
| すべて | PRT + PkeyAuth + clientTLS |