Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O documento a seguir mostra como habilitar controles de autenticação de dispositivo no Windows Server 2016 e 2012 R2.
Controles de autenticação de dispositivo no AD FS 2012 R2
Originalmente, no AD FS 2012 R2, havia uma propriedade de autenticação global chamada DeviceAuthenticationEnabled que controlava a autenticação do dispositivo.
Para definir a configuração, o cmdlet Set-AdfsGlobalAuthenticationPolicy foi usado conforme mostrado abaixo:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
Para desabilitar a autenticação de dispositivo, o mesmo cmdlet foi usado para definir o valor como $false.
Controlos de Autenticação de Dispositivo no AD FS 2016
O único tipo de autenticação de dispositivo suportado no 2012 R2 era clientTLS. No AD FS 2016, além do clientTLS, há dois novos tipos de autenticação de dispositivo para autenticação de dispositivos modernos. São eles:
- PKeyAuth
- PRT
Para controlar o novo comportamento, a propriedade DeviceAuthenticationEnabled é usada em combinação com uma nova propriedade chamada DeviceAuthenticationMethod.
O método de autenticação de dispositivo determina o tipo de autenticação de dispositivo que será feito: PRT, PKeyAuth, clientTLS ou alguma combinação. Tem os seguintes valores:
- SignedToken: apenas PRT
- PKeyAuth: PRT + PKeyAuth
- ClientTLS: PRT + clientTLS
- Todos: Todos os itens acima
Como você pode ver, o PRT faz parte de todos os métodos de autenticação de dispositivo, tornando-o de fato o método padrão que sempre é habilitado quando DeviceAuthenticationEnabled está definido como $true.
Exemplo: Para configurar o(s) método(s), use o cmdlet DeviceAuthenticationEnabled como referido acima, juntamente com a nova propriedade:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
Note
No AD FS 2019, DeviceAuthenticationMethod pode ser usado com o comando Set-AdfsRelyingPartyTrust.
PS:\>Set-AdfsRelyingPartyTrust -DeviceAuthenticationMethod ClientTLS
Note
Habilitar a autenticação de dispositivo (definindo DeviceAuthenticationEnabled como $true) significa que o DeviceAuthenticationMethod está implicitamente definido como SignedToken, o que equivale a PRT.
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationMethod All
Note
O método de autenticação de dispositivo padrão é SignedToken. Outros valores são PKeyAuth,ClientTLS, e All.
Os significados dos valores de DeviceAuthenticationMethod mudaram ligeiramente desde que o AD FS 2016 foi lançado. Veja na tabela abaixo o significado de cada valor, dependendo do nível de atualização:
| Versão do AD FS | Valor do Método de Autenticação de Dispositivo | Means |
|---|---|---|
| RTM 2016 | SignedToken | PRT + PkeyAuth |
| clientTLS | clientTLS | |
| All | PRT + PkeyAuth + clientTLS | |
| 2016 RTM + atualizado com o Windows Update | SignedToken (significado alterado) | PRT (apenas) |
| PkeyAuth (novo) | PRT + PkeyAuth | |
| clientTLS | PRT + clientTLS | |
| All | PRT + PkeyAuth + clientTLS |