デバイス登録のテクニカル リファレンス
デバイス登録サービス (DRS) は、Windows Server 2012 R2 の Active Directory フェデレーション サービス役割に付属する新しい Windows サービスです。 DRS は、AD FS ファーム内のすべてのフェデレーション サーバーにインストールし、構成する必要があります。 DRS の展開の詳細については、「 デバイス登録サービスを使用してフェデレーション サーバーを構成する」を参照してください。
デバイスの登録時に作成される Active Directory オブジェクト
次の Active Directory オブジェクトは、デバイス登録サービス の一部として作成されます。
デバイス登録構成
デバイス登録構成は、Active Directory フォレストの構成名前付けコンテキストに格納されます (たとえば、CN=Device Registration Configuration,CN=Services,<configuration-naming-context>)。 このオブジェクトは、Active Directory フォレストにデバイス登録用のイニシャルが付けられたときに作成されます。
デバイス登録構成には、次の要素が含まれます。
発行者キー
登録済みデバイスに関連付けられた X.509 証明書を発行するために使用される、公開キーと秘密キーです。 秘密キーは DKM で保護されます。
デバイス登録サービス構成
デバイス登録サービスに関連するポリシーです。
登録済みデバイス コンテナー
デバイス オブジェクト コンテナーは、Active Directory フォレスト内のいずれかのドメイン下に作成されます。 このオブジェクト コンテナーには、Active Directory フォレストのすべてのデバイス オブジェクトが格納されます。
既定では、コンテナーは AD FS と同じドメインに作成されます。 (たとえば、CN=RegisteredDevices,DC=<default-naming-context>)。このオブジェクトは Active Directory フォレストにデバイス登録用のイニシャルを付けるときに作成されます。
登録済みデバイス
デバイス オブジェクトは、Active Directory 内の新しい軽量オブジェクトです。 ユーザー、デバイス、および会社の関係を表すために使用されます。 デバイス オブジェクトは、AD FS によって署名された証明書を使用して、物理デバイスを Active Directory 内の論理デバイス オブジェクトに関連付けます。
登録済みデバイスには、次の要素が含まれます。
表示名
デバイスのフレンドリ名です。 Windows デバイスの場合、これはコンピューターのホスト名です。
デバイス ID
デバイス登録サーバーによって生成される GUID です。
証明書の拇印
登録済みデバイスに使用される X.509 証明書の証明書拇印です。
OS の種類
デバイスのオペレーティング システムの種類です。
OS バージョン
デバイス上のオペレーティング システムのバージョン。
有効になっています
デバイスが Active Directory で有効になっているかどうかを示すブール値です。 有効になっているデバイスだけがサービスにアクセスできます。
おおよその最終使用時間
リソースへのアクセスにデバイスが使用されたおおよその時間です。 レプリケーション トラフィックを制限するため、この値は 14 日に 1 回だけ更新されます。
登録済み所有者
このデバイスをワークプ レースに参加させたユーザーのセキュリティ ID (SID) です。
AD FS/DRS サーバーの SSL 証明書の失効チェック
ワークプ レース ジョイン クライアントは、AD FS サーバーの SSL 証明書の有効性をチェックします。 AD FS サーバーの SSL 証明書に証明書失効リスト (CRL) のエンドポイントが含まれている場合は、クライアントが、証明書の検証を指定されたエンドポイントに到達できる必要があります。
テスト環境とテスト証明書機関 (CA) を使用してサーバーの SSL 証明書を発行している場合は、CA によって発行されたサーバー証明書に CRL のエンドポイントを含めないようにすることもできます。 そうすると、ワークプ レース ジョイン クライアントが CRL のチェックをバイパスできるようになります。
注意事項
これを運用システムで行うことは、絶対にお勧めしません。