Device Registration Service를 사용하여 페더레이션 서버 구성
4단계: 페더레이션 서버 구성의 절차를 완료한 후 페더레이션 서버에서 DRS(디바이스 등록 서비스)를 사용하도록 설정할 수 있습니다. 디바이스 등록 서비스는 원활한 2단계 인증, 영구 SSO(Single Sign-On) 및 회사 리소스에 액세스해야 하는 소비자에 대한 조건부 액세스를 위한 온보딩 메커니즘을 제공합니다. DRS에 대한 자세한 내용은 회사 애플리케이션 전반에서 SSO 및 원활한 2단계 인증을 위해 모든 디바이스에서 Workplace에 조인을 참조 하세요.
디바이스를 지원하도록 Active Directory 포리스트 준비
참고 항목
디바이스를 지원하도록 Active Directory 포리스트를 준비하기 위해 실행해야 하는 일회성 작업입니다. 엔터프라이즈 관리자 권한으로 로그온해야 하며 이 절차를 완료하려면 Active Directory 포리스트에 Windows Server 2012 R2 스키마가 있어야 합니다.
또한 DRS를 사용하려면 포리스트 루트에 하나 이상의 글로벌 카탈로그 서버가 있어야 합니다기본. Initialize-ADDeviceRegistration을 실행하고 AD FS 인증 중에 글로벌 카탈로그 서버가 필요합니다. AD FS는 각 인증 요청에서 DRS 구성 개체의 메모리 내 표현을 초기화하고 현재 do기본 DC에서 DRS 구성 개체를 찾을 수 없는 경우 Initialize-ADDeviceRegistration 중에 DRS 개체가 프로비전된 GC에 대해 요청이 시도됩니다.
Active Directory 포리스트를 준비하려면
페더레이션 서버에서 Windows PowerShell 명령 창을 열고 다음을 입력합니다.
Initialize-ADDeviceRegistrationServiceAccountName에 대한 메시지가 표시되면 AD FS의 서비스 계정으로 선택한 서비스 계정의 이름을 입력합니다. gMSA 계정인 경우 do기본\accountname$ 형식으로 계정을 입력합니다. do기본 계정의 경우 do기본\accountname 형식을 사용합니다.
페더레이션 서버 팜 노드에서 디바이스 등록 서비스 사용
참고 항목
이 절차를 완료하려면 do기본 관리자 권한으로 로그온해야 합니다.
디바이스 등록 서비스를 사용하도록 설정하려면
페더레이션 서버에서 Windows PowerShell 명령 창을 열고 다음을 입력합니다.
Enable-AdfsDeviceRegistrationAD FS 팜의 각 페더레이션 팜 노드에서 이 단계를 반복합니다.
원활한 2단계 인증 사용
원활한 2단계 인증은 액세스하려는 외부 디바이스에서 회사 리소스 및 애플리케이션에 대한 액세스 보호 수준을 추가하는 AD FS의 향상된 기능입니다. 개인 디바이스가 Workplace Joined인 경우 '알려진' 디바이스가 되고 관리자는 이 정보를 사용하여 리소스에 대한 조건부 액세스 및 게이트 액세스를 구동할 수 있습니다.
원활한 2단계 인증, 영구 SSO(Single Sign-On) 및 Workplace Joined 디바이스에 대한 조건부 액세스를 사용하도록 설정
- AD FS 관리 콘솔에서 인증 정책으로 이동합니다. 전역 기본 인증 편집을 선택합니다. 디바이스 인증 사용옆의 확인란을 선택하고 확인을 클릭합니다.
웹 애플리케이션 프록시 구성 업데이트
Important
디바이스 등록 서비스를 웹 애플리케이션 프록시 게시할 필요가 없습니다. 디바이스 등록 서비스는 페더레이션 서버에서 사용하도록 설정되면 웹 애플리케이션 프록시 통해 사용할 수 있습니다. 디바이스 등록 서비스를 사용하도록 설정하기 전에 배포된 경우 웹 애플리케이션 프록시 구성을 업데이트하려면 이 절차를 완료해야 할 수 있습니다.
웹 애플리케이션 프록시 구성을 업데이트하려면
웹 애플리케이션 프록시 서버에서 Windows PowerShell 명령 창을 열고
Update-WebApplicationProxyDeviceRegistration자격 증명을 묻는 메시지가 표시되면 페더레이션 서버에 대한 관리 권한이 있는 계정의 자격 증명을 입력합니다.