Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
После выполнения процедур на шаге 4, вы можете включить службу регистрации устройств (DRS) на вашемфедеральном сервере. Служба регистрации устройств предоставляет механизм интеграции для бесшовной аутентификации второго фактора, постоянного единого входа (SSO) и условного доступа пользователям, которым требуется доступ к ресурсам компании. Дополнительные сведения о DRS см. в разделе Присоединение к рабочему месту с любого устройства для единого входа и простой аутентификации с помощью второго фактора в корпоративных приложениях
Для поддержки устройств подготовьте лес Active Directory
Note
Это однократная операция, которую необходимо выполнить для подготовки леса Active Directory к поддержке устройств. Для выполнения этой процедуры необходимо войти в систему с разрешениями администратора предприятия, а лес Active Directory должен иметь схему Windows Server 2012 R2.
Кроме того, служба репликации каталогов (DRS) требует, чтобы в корневом домене леса был по крайней мере один сервер глобального каталога. Для выполнения Initialize-ADDeviceRegistration и во время проверки подлинности AD FS требуется сервер глобального каталога. AD FS инициализирует представление объекта конфигурации DRS в памяти при каждом запросе проверки подлинности и если объект конфигурации DRS не найден на КД в текущем домене, запрос направляется к глобальному каталогу, на котором были подготовлены объекты DRS во время Initialize-ADDeviceRegistration.
Подготовить лес Active Directory
На сервере федерации откройте окно команд Windows PowerShell и введите следующее:
Initialize-ADDeviceRegistrationПри появлении запроса ServiceAccountName введите имя учетной записи службы, выбранной в качестве учетной записи службы для AD FS. Если это учетная запись gMSA, введите учетную запись в формате domain\accountname$ . Для учетной записи домена используйте имя_учетной записи в формате домена\accountname.
Включение службы регистрации устройств на узле фермы серверов федерации
Note
Чтобы выполнить эту процедуру, необходимо войти в систему с разрешениями администратора домена.
Включение службы регистрации устройств
На сервере федерации откройте окно команд Windows PowerShell и введите следующее:
Enable-AdfsDeviceRegistrationПовторите этот шаг на каждом узле фермы федерации в ферме AD FS..
Включить бесшовную аутентификацию с использованием второго фактора
Простая вторая проверка подлинности — это улучшение AD FS, которое обеспечивает добавленный уровень защиты доступа к корпоративным ресурсам и приложениям с внешних устройств, которые пытаются получить к ним доступ. При присоединении личного устройства к рабочему месту оно становится известным устройством, и администраторы могут использовать эту информацию для управления условным доступом к ресурсам.
Чтобы включить простой второй фактор проверки подлинности, постоянный единый вход (SSO) и условный доступ для присоединенных к рабочему месту устройств.
- В консоли управления AD FS перейдите к политикам проверки подлинности. Выберите "Изменить глобальную первичную проверку подлинности". Установите флажок рядом с параметром "Включить проверку подлинности устройства" и нажмите кнопку "ОК".
Обновление конфигурации прокси-сервера веб-приложения
Important
Вам не нужно публиковать Службу регистрации устройств на прокси-сервер веб-приложений. Служба регистрации устройств будет доступна через веб-прокси-сервер, как только она будет включена на сервере федерации. Возможно, потребуется выполнить эту процедуру, чтобы обновить конфигурацию прокси веб-приложения, если она была развернута до включения службы регистрации устройств.
Обновление конфигурации прокси-сервера веб-приложения
На прокси-сервере веб-приложения откройте командное окно Windows PowerShell и введите
Update-WebApplicationProxyDeviceRegistrationПри появлении запроса на получение учетных данных введите учетные данные учетной записи с правами администратора на серверы федерации.