完成步驟 4:設定同盟伺服器 中的程序之後,您可以在同盟伺服器上啟用裝置註冊服務 (DRS)。 裝置註冊服務提供順暢的第二因素驗證、持續性單一登錄(SSO)和條件式存取的上線機制,適用於需要存取公司資源的使用者。 如需 DRS 的詳細資訊,請參閱 從任何裝置加入工作場所以進行 SSO 和公司內各應用程式的無縫雙重因素驗證
準備 Active Directory 樹系以支持裝置
Note
這是您必須執行的一次性作業,才能準備 Active Directory 樹系以支援裝置。 您必須使用企業系統管理員許可權登入,而且您的 Active Directory 樹系必須具有 Windows Server 2012 R2 架構才能完成此程式。
此外,DRS 會要求您樹系根域中至少有一部全域編錄伺服器。 在執行 Initialize-ADDeviceRegistration 及進行 AD FS 驗證期間,需要全域編錄伺服器。 AD FS 會在每次身份驗證請求時初始化 DRS 配置物件的記憶體表示,如果在目前網域的 DC 上找不到 DRS 配置物件,則會向在 Initialize-ADDeviceRegistration 過程中布置 DRS 物件的 GC 進行請求。
準備 Active Directory 樹系
在您的同盟伺服器上,開啟 Windows PowerShell 命令視窗並輸入:
Initialize-ADDeviceRegistration出現 ServiceAccountName 提示時,請輸入您選取為 AD FS 服務帳戶的服務帳戶名稱。 如果是 gMSA 帳戶,請以 domain\accountname$ 格式輸入帳戶。 針對網域帳戶,請使用 domain\accountname 格式。
在同盟伺服器陣列節點上啟用裝置註冊服務
Note
您必須以網域系統管理員許可權登入,才能完成此程式。
啟用裝置註冊服務
在您的同盟伺服器上,開啟 Windows PowerShell 命令視窗並輸入:
Enable-AdfsDeviceRegistration在AD FS 伺服器陣列中的每個同盟伺服器陣列節點上重複此步驟。
啟用無縫的第二因素驗證
無縫第二因素驗證是AD FS中的一項增強功能,為外部裝置嘗試存取公司資源和應用程式時,提供額外的存取保護層級。 當個人裝置連接到工作場所時,它就會變成「已知」裝置,系統管理員可以利用此資訊來控制條件式存取並限制資源的存取。
若要啟用無縫的雙因素驗證、持續性單一登入(SSO),以及與工作場所連接的裝置的條件式存取
- 在 AD FS 管理控制台中,流覽至 [驗證原則]。 選擇編輯全域主要驗證。 選取 [啟用裝置驗證] 旁的複選框,然後按兩下 [確定]。
更新 Web 應用程式 Proxy 設定
Important
您不需要將裝置註冊服務發佈至 Web 應用程式 Proxy。 裝置註冊服務會在同盟伺服器上啟用之後,透過 Web 應用程式 Proxy 取得。 您可能需要完成此程序,以更新 Web 應用程式 Proxy 設定,如果它是在啟用裝置註冊服務之前部署的話。
更新 Web 應用程式代理組態
在您的 Web 應用程式 Proxy 伺服器上,開啟 Windows PowerShell 命令視窗並輸入
Update-WebApplicationProxyDeviceRegistration出現認證提示時,請輸入具有同盟伺服器系統管理許可權之帳戶的認證。