Enable-DAOtpAuthentication
Enable-DAOtpAuthentication
Enables and configures one-time password (OTP) authentication for DirectAccess (DA) users.
Sintaxis
Parameter Set: Enable1
Enable-DAOtpAuthentication [-AsJob] [-CAServer <String[]> ] [-CertificateTemplateName <String> ] [-CimSession <CimSession[]> ] [-ComputerName <String> ] [-Force] [-PassThru] [-RadiusPort <UInt16> ] [-RadiusServer <String> ] [-SharedSecret <String> ] [-SigningCertificateTemplateName <String> ] [-ThrottleLimit <Int32> ] [-UserSecurityGroupName <String> ] [-Confirm] [-WhatIf] [ <CommonParameters>]
Descripción detallada
The Enable-DAOtpAuthentication cmdlet enables one-time password (OTP) authentication for DirectAccess (DA) users, and configures OTP settings.
Parámetros
-AsJob
Alias |
ninguno |
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
ninguno |
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
false |
-CAServer<String[]>
Specifies the certification authority (CA) servers that issue certificates for OTP authentication. Specify a server in the following format:
-- CAServer_Name\CAService_Name.
Alias |
ninguno |
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
ninguno |
¿Aceptar canalización? |
True (ByPropertyName) |
¿Aceptar caracteres comodín? |
false |
-CertificateTemplateName<String>
Specifies the name of the certificate template used for OTP certificate enrollment.
Alias |
ninguno |
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
ninguno |
¿Aceptar canalización? |
True (ByPropertyName) |
¿Aceptar caracteres comodín? |
false |
-CimSession<CimSession[]>
Ejecuta el cmdlet en una sesión remota o en un equipo remoto. Escriba un nombre de equipo o un objeto de sesión, como la salida de un cmdlet New-CimSession o Get-CimSession. El valor predeterminado es la sesión actual en el equipo local.
Alias |
Session |
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
ninguno |
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
false |
-ComputerName<String>
Specifies the IPv4 or IPv6 address, or host name, of the server on which the cmdlet should run.
Alias |
Cn |
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
ninguno |
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
false |
-Force
Fuerza que el comando se ejecute sin pedir confirmación al usuario.
Alias |
ninguno |
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
ninguno |
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
false |
-PassThru
Devuelve un objeto que representa el elemento con el que está trabajando. De forma predeterminada, este cmdlet no genera ningún resultado.
Alias |
ninguno |
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
ninguno |
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
false |
-RadiusPort<UInt16>
Specifies the RADIUS server port listening for authentication requests.
Alias |
Port |
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
ninguno |
¿Aceptar canalización? |
True (ByPropertyName) |
¿Aceptar caracteres comodín? |
false |
-RadiusServer<String>
Specifies the IPv4 or IPv6 address, or the fully qualified domain name (FQDN), of the RADIUS server used for OTP authentication.
Alias |
Server |
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
ninguno |
¿Aceptar canalización? |
True (ByPropertyName) |
¿Aceptar caracteres comodín? |
false |
-SharedSecret<String>
Specifies the shared password used for communications between the Remote Access server and the RADIUS server.
Alias |
ninguno |
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
ninguno |
¿Aceptar canalización? |
True (ByPropertyName) |
¿Aceptar caracteres comodín? |
false |
-SigningCertificateTemplateName<String>
Specifies the name of the certificate template used to enroll the certificate used by Remote Access to sign certificates used for OTP authentication.
Alias |
ninguno |
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
ninguno |
¿Aceptar canalización? |
True (ByPropertyName) |
¿Aceptar caracteres comodín? |
false |
-ThrottleLimit<Int32>
Especifica el número máximo de operaciones simultáneas que se pueden establecer para ejecutar el cmdlet. Si se omite este parámetro o es especifica un valor de 0, Windows PowerShell ® calcula un límite óptimo para el cmdlet en función del número de cmdlets de CIM que se estén ejecutando en el equipo. El límite solo se aplica al cmdlet actual, no a la sesión ni al equipo.
Alias |
ninguno |
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
ninguno |
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
false |
-UserSecurityGroupName<String>
Specifies the security group containing users who are exempt from two-factor authentication.
Alias |
ninguno |
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
ninguno |
¿Aceptar canalización? |
True (ByPropertyName) |
¿Aceptar caracteres comodín? |
false |
-Confirm
Solicita confirmación antes de ejecutar el cmdlet.
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
falso |
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
false |
-WhatIf
Muestra lo que sucedería si se ejecutara el cmdlet. El cmdlet no se ejecuta.
¿Requerido? |
false |
¿Posición? |
named |
Valor predeterminado |
falso |
¿Aceptar canalización? |
false |
¿Aceptar caracteres comodín? |
false |
<CommonParameters>
Este cmdlet admite los siguientes parámetros comunes: -Verbose, -Debug, -ErrorAction, -ErrorVariable, -OutBuffer y -OutVariable. Para obtener más información, consulte about_CommonParameters (https://go.microsoft.com/fwlink/p/?LinkID=113216).
Entradas
El tipo de entrada es el tipo de los objetos que se pueden canalizar al cmdlet.
- None
Salidas
El tipo de resultado es el tipo de objetos que emite el cmdlet.
Microsoft.Management.Infrastructure.CimInstance#DAOtpAuth
El objeto
Microsoft.Management.Infrastructure.CimInstancees una clase contenedora que muestra objetos de Instrumental de administración de Windows (WMI). La ruta de acceso después del signo de número (#) proporciona el espacio de nombres y el nombre de clase del objeto WMI subyacente.
The object contains the following OTP authentication configuration settings:
-- OtpStatus specifies whether OTP authentication is enabled or disabled.
-- RadiusServer specifies OTP RADIUS server names and addresses.
-- UserSecurityGroupName specifies security group of users exempt from two-factor authentication.
-- CAServer specifies the CA servers used for OTP authentication.
-- CertificateTemplateName specifies the name of the OTP certificate template.
-- SigningCertificateTemplateName specifies the name of the certificate template used to enroll the certificate used by Remote Access to sign certificates used for OTP authentication.
Ejemplos
Example 1
This example enables OTP authentication for DA users while setting the following.
-- rsa.corp.contoso.com as RADIUS or OTP server used to verify users OTP credentials.
-- dc1.corp.contoso.com\corp-DC1-CA as CA server used to enroll smart card logon short lived certificates.
-- DAOTPLogon as enroll smart card logon short lived certificates template.
All of the above settings should be set up in advance before the DA administrator can configure OTP for DA. UserSecurityGroupName is an optional setting and thus was not set which means that the two-factor authentication exemption feature is Disabled.
This cmdlet can add one new OTP Radius server each time it runs, for additional handling of Radius servers for OTP please use RemoteAccessRadius cmdlets.
Note: This cmdlet will enable OTP if two-factor user authentication and computer certificates were already enabled using the Set-DAServer cmdlet. If PKI and two-factor user authentication are disabled, then this cmdlet fails. In addition enabling OTP authentication does not disable smart card or any other two-factor authentication available to the DA user.
PS C:\> Enable-DAOtpAuthentication –RadiusServer rsa.corp.contoso.com –SharedSecret abcd123$ -CAServers dc1.corp.contoso.com\corp-DC1-CA –CertificateTemplateName DAOTPLogon –PassThru -Force
If the Force parameter is not used, then the DA administrator is presented with the following prompt.
PS C:\> Enable-DAOtpAuthentication –RadiusServer rsa.corp.contoso.com –SharedSecret abcd123$ -CAServers dc1.corp.contoso.com\corp-DC1-CA –CertificateTemplateName DAOTPLogon –PassThru
Example 2
This example enables OTP authentication for DA users while keeping the OTP settings for RadiusServer and CAServers that were set before OTP authentication was disabled. The CertificateTemplateName setting was updated to the new value.
The new smart card logon short lived certificates template should be created before running this cmdlet.
PS C:\> Enable-DAOtpAuthentication -CertificateTemplateName DAOTPLogon_v2 –PassThru -Force