Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Você pode habilitar o DRS (Serviço de Registro de Dispositivo) no servidor de federação depois de concluir os procedimentos na Etapa 4: Configurar um Servidor de Federação. O Serviço de Registro de Dispositivo fornece um mecanismo de integração para autenticação de segundo fator sem interrupções, logon único persistente (SSO) e acesso condicional para usuários que requerem acesso aos recursos da empresa. Para obter mais informações sobre DRS, consulte Conectar-se ao ambiente de trabalho de qualquer dispositivo para SSO e autenticação de segundo fator sem complicações entre aplicativos da empresa
Preparar sua floresta do Active Directory para dar suporte a dispositivos
Observação
Essa é uma operação única que você deve executar para preparar sua floresta do Active Directory para dar suporte a dispositivos. Você deve estar conectado com permissões de administrador corporativo e sua floresta do Active Directory deve ter o esquema do Windows Server 2012 R2 para concluir este procedimento.
Além disso, o DRS requer que você tenha pelo menos um servidor de catálogo global em seu domínio raiz de floresta. O servidor de catálogo global é necessário para executar Initialize-ADDeviceRegistration e durante a autenticação do AD FS. O AD FS inicializa uma representação na memória do objeto de configuração DRS em cada solicitação de autenticação e, se o objeto de configuração DRS não puder ser encontrado em um DC no domínio atual, a solicitação será tentada no GC no qual os objetos DRS foram provisionados durante Initialize-ADDeviceRegistration.
Para preparar a floresta do Active Directory
No servidor de federação, abra uma janela de comando do Windows PowerShell e digite:
Initialize-ADDeviceRegistration
Quando solicitado ServiceAccountName, insira o nome da conta de serviço que você selecionou como a conta de serviço para o AD FS. Se for uma conta gMSA, insira a conta no formato domain\accountname$ . Para uma conta de domínio, use o formato domain\accountname.
Habilitar o serviço de registro de dispositivo em um nó de farm de servidores de federação
Observação
Você deve estar conectado com permissões de administrador de domínio para concluir este procedimento.
Para habilitar o Serviço de Registro de Dispositivo
No servidor de federação, abra uma janela de comando do Windows PowerShell e digite:
Enable-AdfsDeviceRegistration
Repita esta etapa em cada nó do farm de federação no seu farm do AD FS..
Habilitar a autenticação direta de segundo fator
A autenticação integrada de segundo fator é um aprimoramento no AD FS que fornece um nível adicional de proteção de acesso a recursos corporativos e a aplicações, especialmente contra dispositivos externos que tentam acessá-los. Quando um dispositivo pessoal é vinculado ao Workplace, ele se torna um dispositivo 'conhecido' e os administradores podem usar essas informações para direcionar o acesso condicional e controlar o acesso aos recursos.
Para habilitar a autenticação de segundo fator contínua, o logon único persistente (SSO) e o acesso condicional para dispositivos ingressados no Workplace
- No console de Gerenciamento do AD FS, navegue até Políticas de Autenticação. Selecione Editar Autenticação Primária Global. Marque a caixa de seleção ao lado de Habilitar a Autenticação de Dispositivo e clique em OK.
Atualizar a configuração do Proxy de Aplicativo Web
Importante
Você não precisa publicar o Serviço de Registro de Dispositivo no Proxy de Aplicativo Web. O Serviço de Registro de Dispositivo estará disponível por meio do Proxy de Aplicativo Web assim que ele estiver habilitado em um servidor de federação. Talvez seja necessário concluir este procedimento para atualizar a configuração do Proxy de Aplicativo Web se ela tiver sido implantada antes de habilitar o Serviço de Registro de Dispositivo.
Para atualizar a Configuração do Proxy de Aplicativo Web
No servidor Proxy de Aplicativo Web, abra uma janela do Windows PowerShell e digite o comando.
Update-WebApplicationProxyDeviceRegistration
Quando solicitado a obter credenciais, insira as credenciais de uma conta que tenha direitos administrativos para seus servidores de federação.