AD FS 中的裝置驗證控制項
下列文件說明如何在 Windows Server 2016 和 2012 R2 中啟用裝置驗證控制項。
AD FS 2012 R2 中的裝置驗證控制項
原先在 AD FS 2012 R2 中,有一個稱為 DeviceAuthenticationEnabled 的全域驗證屬性可控制裝置驗證。
為了進行此設定,已使用 Set-AdfsGlobalAuthenticationPolicy Cmdlet,如下所示:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
為了停用裝置驗證,已使用相同的 Cmdlet 將值設定為 $false。
AD FS 2016 中的裝置驗證控制項
2012 R2 中唯一支援的裝置驗證類型是 clientTLS。 在 AD FS 2016 中,除了 clientTLS 之外,新式裝置驗證還有兩種新類型的裝置驗證。 這些包括:
- PKeyAuth
- PRT
若要控制新行為,DeviceAuthenticationEnabled 屬性會與稱為 DeviceAuthenticationMethod 的新屬性搭配使用。
裝置驗證方法會決定將完成的裝置驗證類型:PRT、PKeyAuth、clientTLS 或某種組合。 其具有下列其中一個值:
- SignedToken:僅限 PRT
- PKeyAuth:PRT + PKeyAuth
- ClientTLS:PRT + clientTLS
- All:以上皆是
如您所見,PRT 是所有裝置驗證方法的一部分,使其成為當 DeviceAuthenticationEnabled 設定為 $true 時一律啟用的預設方法。
範例:若要設定方法,請使用如上所示的 DeviceAuthenticationEnabled Cmdlet 以及新的屬性:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
注意
在 AD FS 2019 中,DeviceAuthenticationMethod 可以搭配 Set-AdfsRelyingPartyTrust 命令使用。
PS:\>Set-AdfsRelyingPartyTrust -DeviceAuthenticationMethod ClientTLS
注意
啟用裝置驗證 (將 DeviceAuthenticationEnabled 設定為 $true) 表示 DeviceAuthenticationMethod 會隱含地設定為 SignedToken,這相當於 PRT。
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationMethod All
注意
預設裝置驗證方法是 SignedToken。 其他值為 PKeyAuth、ClientTLS、 和 All。
自 AD FS 2016 發行以來,DeviceAuthenticationMethod 值的意義稍有改變。 如需每個值的意義,請參閱下表 (視更新層級而定):
| AD FS 版本 | DeviceAuthenticationMethod 值 | 方法 |
|---|---|---|
| 2016 RTM | SignedToken | PRT + PkeyAuth |
| clientTLS | clientTLS | |
| 全部 | PRT + PkeyAuth + clientTLS | |
| 2016 RTM + 最新版 Windows Update | SignedToken (已變更意義) | PRT (僅限) |
| PkeyAuth (新增) | PRT + PkeyAuth | |
| clientTLS | PRT + clientTLS | |
| 全部 | PRT + PkeyAuth + clientTLS |