настройка сервера федерации с помощью службы регистрации устройств
Вы можете включить службу регистрации устройств (DRS) на сервере федерации после выполнения процедур, описанных на шаге 4. Настройка сервера федерации. Служба регистрации устройств предоставляет механизм подключения для простой проверки подлинности второго фактора, постоянного единого входа (SSO) и условного доступа к потребителям, которым требуется доступ к ресурсам компании. Дополнительные сведения о аварийном подключении см. в разделе "Присоединение к рабочему месту с любого устройства" для единого входа и простой второй фактор проверки подлинности в корпоративных приложениях
Подготовка леса Active Directory к поддержке устройств
Примечание.
Это — одноразовая операция, которую следует провести, чтобы подготовить лес Active Directory к поддержке устройств. Чтобы выполнить эту процедуру, вы должны войти в систему с правами администратора предприятия, и ваш лес Active Directory должен иметь схему Windows Server 2012 R2.
Кроме того, для аварийного восстановления требуется, чтобы в корневом домене леса был хотя бы один глобальный сервер каталога. Для запуска Initialize-ADDeviceRegistration и во время проверки подлинности AD FS требуется глобальный сервер каталога. AD FS инициализирует представление объекта конфигурации DRS в памяти при каждом запросе проверки подлинности и если объект конфигурации DRS не найден в контроллере домена в текущем домене, запрос пытается выполнить попытку к сборке данных, на которой были подготовлены объекты DRS во время Initialize-ADDeviceRegistration.
Подготовка леса Active Directory
На сервере федерации откройте командное окно Windows PowerShell и введите:
Initialize-ADDeviceRegistrationПосле появления запроса на ServiceAccountName(имя учетной записи службы) введите имя учетной записи службы, которую вы выбрали в качестве учетной записи службы для AD FS. Если это групповая управляемая учетная запись службы (gMSA), то введите учетную запись в формате домен\имя_учетной_записи$. Для доменной учетной записи используйте формат домен\имя_учетной_записи.
Включение службы регистрации устройств на узле фермы серверов федерации
Примечание.
Чтобы выполнить эту процедуру, необходимо войти в систему с разрешениями администратора домена.
Включение службы регистрации устройств
На сервере федерации откройте командное окно Windows PowerShell и введите:
Enable-AdfsDeviceRegistrationПовторите этот шаг на каждом узле фермы федерации в ферме AD FS..
Включение простой проверки подлинности второго фактора
Простая вторая проверка подлинности — это улучшение AD FS, которое обеспечивает добавленный уровень защиты доступа к корпоративным ресурсам и приложениям с внешних устройств, которые пытаются получить к ним доступ. При присоединении личного устройства к рабочему месту оно становится "известным" устройством и администраторами может использовать эти сведения для управления условным доступом и доступом к ресурсам.
Чтобы включить простой второй фактор проверки подлинности, постоянный единый вход (единый вход) и условный доступ для устройств Workplace Joined
- В консоли управления AD FS перейдите к политикам проверки подлинности. Выберите Редактировать глобальную первичную аутентификацию. Установите флажок в поле Включить аутентификацию устройстви нажмите кнопку ОК.
Обновление конфигурации прокси-сервера веб-приложения
Внимание
Не нужно публиковать службу регистрации устройств в прокси веб-приложения. Служба регистрации устройств будет доступна через прокси веб-приложения после включения на сервере федерации. Возможно, потребуется выполнить эту процедуру, чтобы обновить конфигурацию прокси веб-приложения, если она была развернута до включения службы регистрации устройств.
Обновление конфигурации прокси-сервера веб-приложения
На прокси-сервере веб-приложения откройте командное окно Windows PowerShell и введите
Update-WebApplicationProxyDeviceRegistrationПри появлении запроса на получение учетных данных введите учетные данные учетной записи с правами администратора на серверы федерации.