裝置註冊服務 (DRS) 是 Windows Server 2012 R2 上 Active Directory 同盟服務角色隨附的新 Windows 服務。 DRS 必須安裝在AD FS 伺服器陣列中的所有同盟伺服器上並設定。 如需部署 DRS 的資訊,請參閱 使用裝置註冊服務設定同盟伺服器。
註冊裝置時所建立的Active Directory物件
下列 Active Directory 物件會建立為裝置註冊服務的一部分。
裝置註冊設定
裝置註冊組態會儲存在Active Directory 樹系的組態命名內容中。 (例如,CN=裝置註冊設定,CN=Services,<configuration-naming-context>)。 當 Active Directory 樹系初始化裝置註冊時,就會建立此物件。
裝置註冊組態包含下列元素:
簽發者金鑰
用來發行與已註冊裝置相關聯的 X.509 憑證的公開和私鑰。 私鑰受到 DKM 保護。
裝置註冊服務組態
與裝置註冊服務相關的原則。
已註冊的裝置容器
裝置物件容器會在 Active Directory 樹系中的其中一個網域下建立。 此物件容器會包含 Active Directory 樹系的所有裝置物件。
根據預設,容器會建立在與 AD FS 相同的網域中。 (例如,CN=RegisteredDevices,DC=<default-naming-context>)。當 Active Directory 樹系初始化裝置註冊時,就會建立此物件。
已註冊的裝置
裝置物件是 Active Directory 中新的輕量物件。 它們可用來代表用戶、裝置和公司之間的關聯性。 裝置物件會使用AD FS簽署的憑證,將實體裝置錨定到Active Directory中的邏輯裝置物件。
已註冊的裝置包含下列元素:
顯示名稱
裝置的友好名稱。 針對 Windows 裝置,這是電腦的主機名。
裝置識別碼
裝置註冊伺服器所產生的 GUID。
憑證指紋
與已註冊裝置搭配使用的 X.509 憑證憑證指紋。
OS 類型
裝置上的作系統類型。
OS 版本
裝置上的作業系統版本。
已啟用
布爾值,指出裝置是否在 Active Directory 中啟用。 只允許啟用的裝置存取服務。
大約上次使用時間
裝置用來存取資源的大約時間。 若要限制復寫流量,這隻會每隔 14 天更新一次。
註冊擁有者
已將此裝置加入工作場所之使用者的安全性身分識別(SID)。
AD FS/DRS 伺服器 SSL 憑證撤銷檢查
Workplace Join 用戶端會檢查 AD FS 伺服器 SSL 憑證的有效性。 如果AD FS 伺服器 SSL 憑證包含證書吊銷清單 (CRL) 端點,客戶端必須能夠連線到指定的端點來驗證憑證。
如果您使用測試環境和測試證書頒發機構單位 (CA) 來發行您的伺服器 SSL 憑證,您可以選擇不要在 CA 所簽發的伺服器證書中包含 CRL 端點。 這麼做可讓 Workplace Join 用戶端略過 CRL 檢查。
謹慎
這絕不建議用於生產系統