다음 문서에서는 Windows Server 2016 및 2012 R2에서 디바이스 인증 컨트롤을 사용하도록 설정하는 방법을 보여 줍니다.
AD FS 2012 R2의 디바이스 인증 컨트롤
원래 AD FS 2012 R2에는 디바이스 인증을 제어하는 전역 DeviceAuthenticationEnabled 인증 속성이 하나 있었습니다.
설정을 구성하기 위해 Set-AdfsGlobalAuthenticationPolicy cmdlet은 아래와 같이 사용되었습니다.
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
디바이스 인증을 사용하지 않도록 설정하기 위해 값을 $false 설정하는 데 동일한 cmdlet이 사용되었습니다.
AD FS 2016의 디바이스 인증 제어
2012 R2에서 지원되는 디바이스 인증 유형은 clientTLS뿐입니다. AD FS 2016에서는 clientTLS 외에도 최신 디바이스 인증을 위한 두 가지 새로운 유형의 디바이스 인증이 있습니다. 이는 다음과 같습니다.
- PKeyAuth
- PRT
새 동작을 제어하기 위해 DeviceAuthenticationEnabled 속성은 DeviceAuthenticationMethod이라는 새로운 속성과 함께 사용됩니다.
디바이스 인증 방법은 수행할 디바이스 인증 유형(PRT, PKeyAuth, clientTLS 또는 일부 조합)을 결정합니다. 다음과 같은 값이 있습니다.
- SignedToken: PRT만
- PKeyAuth: PRT + PKeyAuth
- ClientTLS: PRT + clientTLS
- 모두: 위의 모든 항목
볼 수 있듯이, PRT는 모든 디바이스 인증 방법의 일부로, 사실상 DeviceAuthenticationEnabled가 $true로 설정될 때 항상 사용하도록 설정되는 기본 방법입니다.
예제: 메서드를 구성하려면 위와 같이 DeviceAuthenticationEnabled cmdlet을 새 속성과 함께 사용합니다.
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
Note
AD FS 2019에서 DeviceAuthenticationMethod 명령과 함께 Set-AdfsRelyingPartyTrust 사용할 수 있습니다.
PS:\>Set-AdfsRelyingPartyTrust -DeviceAuthenticationMethod ClientTLS
Note
디바이스 인증을 활성화하기 위해 DeviceAuthenticationEnabled을 $true로 설정하면 DeviceAuthenticationMethod이 암시적으로 SignedToken로 설정되며, 이는 PRT와 동일합니다.
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationMethod All
Note
기본 디바이스 인증 방법은 .입니다 SignedToken. 다른 값은 PKeyAuth,ClientTLS 및 All입니다.
AD FS 2016이 릴리스된 이후 값의 DeviceAuthenticationMethod 의미가 약간 변경되었습니다. 업데이트 수준에 따라 각 값의 의미는 아래 표를 참조하세요.
| AD FS 버전 | DeviceAuthenticationMethod 값 | Means |
|---|---|---|
| 2016 RTM | SignedToken | PRT + PkeyAuth |
| clientTLS | clientTLS | |
| All | PRT + PkeyAuth + clientTLS | |
| Windows 업데이트가 포함된 2016 RTM + 최신 버전 | SignedToken(변경된 의미) | PRT(전용) |
| PkeyAuth(신규) | PRT + PkeyAuth | |
| clientTLS | PRT + clientTLS | |
| All | PRT + PkeyAuth + clientTLS |