Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
U kunt Device Registration Service (DRS) inschakelen op uw federatieserver nadat u de procedures in stap 4 hebt voltooid: een federation-server configureren. Device Registration Service biedt een onboardingmechanisme voor naadloze tweedeledige verificatie, permanente eenmalige aanmelding (SSO) en voorwaardelijke toegang voor consumenten die toegang tot bedrijfsbronnen vereisen. Zie voor meer informatie over DRS aanmelden bij Werkplek vanaf elk apparaat voor eenmalige aanmelding en naadloze authenticatie met twee factoren in bedrijfstoepassingen
Uw Active Directory-forest voorbereiden om apparaten te ondersteunen
Notitie
Dit is een eenmalige bewerking die u moet uitvoeren om uw Active Directory-forest voor te bereiden op ondersteuning van apparaten. U moet zijn aangemeld met beheerdersmachtigingen voor ondernemingen en uw Active Directory-forest moet het Windows Server 2012 R2-schema hebben om deze procedure te voltooien.
Bovendien is voor DRS vereist dat u ten minste één globale catalogusserver in uw foresthoofddomein hebt. De globale catalogusserver is vereist om Initialize-ADDeviceRegistration en tijdens AD FS-verificatie uit te voeren. AD FS initialiseert een in-memory weergave van het DRS-configuratieobject op elke verificatieaanvraag en als het DRS-configuratieobject niet kan worden gevonden op een DC in het huidige domein, wordt de aanvraag geprobeerd voor de GC waarop de DRS-objecten zijn ingericht tijdens Initialize-ADDeviceRegistration.
Het Active Directory-forest voorbereiden
Open op uw federatieserver een Windows PowerShell-opdrachtvenster en typ:
Initialize-ADDeviceRegistrationWanneer u om ServiceAccountName wordt gevraagd, voert u de naam in van het serviceaccount dat u hebt geselecteerd als het serviceaccount voor AD FS. Als het een gMSA-account is, voert u het account in de domein\accountnaam$ indeling in. Gebruik voor een domeinaccount de indeling domein\accountnaam.
Device Registration Service inschakelen op een federatieserverfarmknooppunt
Notitie
U moet zijn aangemeld met domeinbeheerdersmachtigingen om deze procedure te kunnen voltooien.
Device Registration Service inschakelen
Open op uw federatieserver een Windows PowerShell-opdrachtvenster en typ:
Enable-AdfsDeviceRegistrationHerhaal deze stap op elk federatiefarmknooppunt in uw AD FS-farm..
Naadloze tweede-factorverificatie inschakelen
Naadloze tweede-factorauthenticatie is een verbetering in AD FS die een extra niveau van toegangsbeveiliging biedt voor bedrijfsbronnen en toepassingen met externe apparaten die toegang proberen te krijgen. Wanneer een persoonlijk apparaat werkplek toegevoegd is, wordt het een bekend apparaat en kunnen beheerders deze informatie gebruiken om voorwaardelijke toegang en poorttoegang tot resources te stimuleren.
Naadloze tweedeledige verificatie mogelijk maken, permanente eenmalige aanmelding (SSO) en voorwaardelijke toegang voor apparaten die lid zijn van Workplace
- Navigeer in de AD FS-beheerconsole naar Verificatiebeleid. Selecteer Globale primaire verificatie bewerken. Schakel het selectievakje in naast Apparaatverificatie inschakelen en klik op OK.
De configuratie van de webtoepassingsproxy bijwerken
Belangrijk
U hoeft de Device Registration Service niet te publiceren op de webtoepassingsproxy. De Device Registration Service is beschikbaar via de webtoepassingsproxy zodra deze is ingeschakeld op een federatieserver. Mogelijk moet u deze procedure voltooien om de configuratie van de webtoepassingsproxy bij te werken als deze is geïmplementeerd voordat de Device Registration Service werd ingeschakeld.
De configuratie van de webtoepassingsproxy bijwerken
Open op de webtoepassingsproxyserver een Windows PowerShell-opdrachtvenster en typ
Update-WebApplicationProxyDeviceRegistrationWanneer u om referenties wordt gevraagd, voert u de referenties in van een account met beheerdersrechten voor uw federatieservers.