使用 AD FS 和 Web 應用程式 Proxy 部署工作資料夾：步驟 2，後續設定工作

適用於：Windows Server 2022、Windows Server 2019、Windows Server 2016

本主題描述使用 Active Directory 同盟服務 部署工作資料夾的第二個步驟（AD FS） 和 Web 應用程式 Proxy。 您可以在下列主題中找到此程序中的其他步驟：

• 使用 AD FS 和 Web 應用程式 Proxy 部署工作資料夾：概觀

• 使用 AD FS 和 Web 應用程式 Proxy 部署工作資料夾：步驟 1，設定 AD FS

• 使用 AD FS 和 Web 應用程式 Proxy 部署工作資料夾：步驟 3，設定工作資料夾

• 使用 AD FS 和 Web 應用程式 Proxy 部署工作資料夾：步驟 4，設定 Web 應用程式 Proxy

• 使用 AD FS 和 Web 應用程式 Proxy 部署工作資料夾：步驟 5，設定用戶端

注意

本節涵蓋的指示適用於 Windows Server 2019 或 Windows Server 2016 環境。 如果您使用 Windows Server 2012 R2，請遵循 Windows Server 2012 R2 指示。

在步驟 1 中，您已安裝並設定 AD FS。 現在，您必須針對 AD FS 執行下列設定後步驟。

設定 DNS 專案

您必須為 AD FS 建立兩個 DNS 專案。 當您建立主體別名 （SAN） 憑證時，這些專案與安裝前步驟中使用的兩個專案相同。

DNS 專案的格式如下：

• AD FS service name.domain

• enterpriseregistration.domain

• AD FS 伺服器名稱.domain （DNS 專案應該已經存在，例如 2016-ADFS.contoso.com）

在測試範例中，值為：

• blueadfs.contoso.com

• enterpriseregistration.contoso.com

建立 AD FS 的 A 和 CNAME 記錄

若要建立 AD FS 的 A 和 CNAME 記錄，請遵循下列步驟：

1. 在網域控制站上開啟 [DNS 管理員]。

2. 展開 [正向查閱區域] 資料夾，以滑鼠右鍵按一下您的網域，然後選取 [ 新增主機] [A]。

3. [ 新增主機] 視窗隨即開啟。 在 [ 名稱] 欄位中，輸入 AD FS 服務名稱的別名。 在測試範例中，這是 blueadfs 。

   別名必須與用於 AD FS 之憑證中的主體相同。 例如，如果主旨是 adfs.contoso.com，則此處輸入的別名會是 adfs 。

   重要

   當您使用 Windows Server 使用者介面 （UI） 而不是 Windows PowerShell 來設定 AD FS 時，您必須建立 A 記錄，而不是 AD FS 的 CNAME 記錄。 原因是透過 UI 建立的服務主體名稱 （SPN） 只包含用來將 AD FS 服務設定為主機的別名。

4. 在 [IP 位址 ] 中，輸入 AD FS 伺服器的 IP 位址。 在測試範例中，這是 192.168.0.160 。 按一下 [新增主機] 。

5. 在 [正向對應區域] 資料夾中，再次以滑鼠右鍵按一下您的網域，然後選取 [ 新增別名][CNAME]。

6. 在 [ 新增資源記錄 ] 視窗中，新增別名名稱 enterpriseregistration ，然後輸入 AD FS 伺服器的 FQDN。 此別名用於裝置加入，且必須稱為 enterpriseregistration 。

7. 按一下 [確定]。

若要透過 Windows PowerShell 完成對等步驟，請使用下列命令。 命令必須在網域控制站上執行。

Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name blueadfs -A -IPv4Address 192.168.0.160
Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name enterpriseregistration -CName  -HostNameAlias 2016-ADFS.contoso.com

設定工作資料夾的 AD FS 信賴憑證者信任

您可以設定及設定工作資料夾的信賴憑證者信任，即使尚未設定工作資料夾也一樣。 必須設定信賴憑證者信任，才能讓工作資料夾使用 AD FS。 因為您正在設定 AD FS 的過程中，現在是執行此步驟的好時機。

若要設定信賴憑證者信任：

1. 開啟 伺服器管理員 ，在 [ 工具] 功能表上，選取 [AD FS 管理 ]。

2. 在右側窗格中的 [動作 ] 底下 ，按一下 [ 新增信賴憑證者信任 ]。

3. 在 [ 歡迎使用 ] 頁面上，選取 [ 宣告感知] ，然後按一下 [ 啟動 ]。

4. 在 [ 選取資料來源] 頁面上，選取 [ 手動 輸入信賴憑證者的相關資料]，然後按 [ 下一步 ]。

5. 在 [ 顯示名稱] 欄位中，輸入 WorkFolders ，然後按 [下一步 ]。

6. 在 [ 設定憑證] 頁面上，按 [下一步 ]。 權杖加密憑證是選擇性的，不需要測試組態。

7. 在 [ 設定 URL] 頁面上，按 [下一步 ]。

8. 在 [ 設定識別碼] 頁面上，新增下列識別碼： https://windows-server-work-folders/V1 。 此識別碼是工作資料夾所使用的硬式編碼值，且會在與 AD FS 通訊時由工作資料夾服務傳送。 按一下 [下一步] 。

9. 在 [選擇存取控制原則] 頁面上，選取 [ 允許所有人 ]，然後按 [ 下一步 ]。

10. 在 [準備新增信任] 頁面上，按一下 [下一步] 。

11. 設定完成之後，精靈的最後一頁會指出組態成功。 選取編輯宣告規則的核取方塊，然後按一下 [ 關閉 ]。

12. 在 AD FS 嵌入式管理單元中，選取 WorkFolders 信賴憑證者信任，然後按一下 [動作] 底下的 [ 編輯宣告發行原則 ]。

13. [ 編輯 WorkFolders 的 宣告發行原則] 視窗隨即開啟。 按一下 [新增規則]。

14. 在 [ 宣告規則範本 ] 下拉式清單中，選取 [ 將 LDAP 屬性傳送為宣告 ]，然後按 [ 下一步 ]。

15. 在 [ 設定宣告規則] 頁面上的 [宣告規則名稱 ] 欄位中，輸入 WorkFolders 。

16. 在 [ 屬性存放區 ] 下拉式清單中，選取 [Active Directory ]。

17. 在對應資料表中，輸入下列值：

    • User-Principal-Name：UPN

    • 顯示名稱：名稱

    • 姓氏：姓氏

    • 指定名稱：指定名稱

18. 按一下完成。 您會看到 [發行轉換規則] 索引標籤上所列的 WorkFolders 規則，然後按一下 [ 確定 ]。

設定信賴憑證部分信任選項

在為 AD FS 設定信賴憑證者信任之後，您必須在 Windows PowerShell 中執行五個命令來完成設定。 這些命令會設定工作資料夾成功與 AD FS 通訊所需的選項，而且無法透過 UI 進行設定。 這些選項包括：

• 啟用 JSON Web 權杖的使用 （JWT）

• 停用加密的宣告

• 啟用自動更新

• 將 Oauth 重新整理權杖的發行設定為 [所有裝置]。

• 授與用戶端對信賴憑證者信任的存取權

若要設定這些選項，請使用下列命令：

Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -EnableJWT $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -Encryptclaims $false
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -AutoupdateEnabled $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -IssueOAuthRefreshTokensTo AllDevices
Grant-AdfsApplicationPermission -ServerRoleIdentifier "https://windows-server-work-folders/V1" -AllowAllRegisteredClients -ScopeNames openid,profile

啟用工作場所加入

啟用 Workplace Join 是選擇性的，但當您希望使用者能夠使用其個人裝置存取工作場所資源時，可能會很有用。

若要啟用 Workplace Join 的裝置註冊，您必須執行下列 Windows PowerShell 命令，以設定裝置註冊並設定全域驗證原則：

Initialize-ADDeviceRegistration -ServiceAccountName <your AD FS service account>
    Example: Initialize-ADDeviceRegistration -ServiceAccountName contoso\adfsservice$
Set-ADFSGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true

匯出 AD FS 憑證

接下來，匯出自我簽署的 AD FS 憑證，使其可以安裝在測試環境中的下列機器上：

• 用於工作資料夾的伺服器

• 用於 Web 應用程式 Proxy 的伺服器

• 已加入網域的 Windows 用戶端

• 未加入網域的 Windows 用戶端

若要匯出憑證，請遵循下列步驟：

1. 按一下 [開始]，再按一下 [執行]。

2. 輸入 MMC。

3. 在 [檔案] 功能表上，按一下 [新增/移除嵌入式管理單元]。

4. 在 [可用的嵌入式管理單元] 清單中，選取 [憑證]，然後按一下 [新增]。 憑證嵌入式管理單元精靈隨即啟動。

5. 選取 [電腦帳戶]，然後按 [下一步]。

6. 選取 [本機電腦 (正在執行此主控台的電腦)]，然後按一下 [完成]。

7. 按一下 [確定]。

8. 展開資料夾 [主控台根目錄]\[憑證(本機電腦)]\[個人]\[憑證]。

9. 以滑鼠右鍵按一下 AD FS 憑證 ，按一下 [所有工作 ]，然後按一下 [ 匯出... ]。

10. [憑證匯出精靈] 隨即開啟。 選取 [ 是]，匯出私密金鑰 。

11. 在 [ 匯出檔案格式] 頁面上，保留已選取的預設選項，然後按 [下一步 ]。

12. 建立憑證的密碼。 這是您稍後將憑證匯入其他裝置時將使用的密碼。 按一下 [下一步] 。

13. 輸入憑證的位置和名稱，然後按一下 [ 完成 ]。

稍後會在部署程式中涵蓋憑證的安裝。

管理私密金鑰設定

您必須授與 AD FS 服務帳戶許可權，才能存取新憑證的私密金鑰。 當您在通訊憑證到期後取代通訊憑證時，您必須再次授與此許可權。 若要授與許可權，請遵循下列步驟：

1. 按一下 [開始]，再按一下 [執行]。

2. 輸入 MMC。

3. 在 [檔案] 功能表上，按一下 [新增/移除嵌入式管理單元]。

4. 在 [可用的嵌入式管理單元] 清單中，選取 [憑證]，然後按一下 [新增]。 憑證嵌入式管理單元精靈隨即啟動。

5. 選取 [電腦帳戶]，然後按 [下一步]。

6. 選取 [本機電腦 (正在執行此主控台的電腦)]，然後按一下 [完成]。

7. 按一下 [確定]。

8. 展開資料夾 [主控台根目錄]\[憑證(本機電腦)]\[個人]\[憑證]。

9. 以滑鼠右鍵按一下 AD FS 憑證 ，按一下 [所有工作 ]，然後按一下 [ 管理私密金鑰 ]。

10. 在 [ 許可權] 視窗中，按一下 [ 新增 ]。

11. 在 [ 物件類型 ] 視窗中，選取 [服務帳戶 ]，然後按一下 [ 確定 ]。

12. 輸入執行 AD FS 的帳戶名稱。 在測試範例中，這是 ADFSService。 按一下 [確定]。

13. 在 [ 許可權] 視窗中，至少授與帳戶讀取權限，然後按一下 [ 確定 ]。

如果您沒有管理私密金鑰的選項，您可能需要執行下列命令： certutil -repairstore my *

確認 AD FS 是否正常運作

若要確認 AD FS 是否正常運作，請開啟瀏覽器視窗並移至 https://blueadfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml ，變更 URL 以符合您的環境。

瀏覽器視窗會顯示同盟伺服器中繼資料，而沒有任何格式設定。 如果可以看到資料，而沒有任何 SSL 錯誤或警告，同盟伺服器就會運作。

下一個步驟： 使用 AD FS 和 Web 應用程式 Proxy部署工作資料夾：步驟 3、設定工作資料夾

另請參閱

工作資料夾概觀