Table of contents
TOC
De inhoudsopgave samenvouwen
De inhoudsopgave uitvouwen

Met behulp van on-Premises voorwaardelijke toegang op basis van apparaten

Bill Mathers|Laatst bijgewerkt: 10-3-2017
|
1 Inzender

Van toepassing op: WindowsServer 2016

Dit document beschrijft beleidsregels voor voorwaardelijke toegang op basis van apparaten in een hybride scenario waarbij de on-premises adreslijsten zijn verbonden met Azure AD met Azure AD Connect.

AD FS en hybride voorwaardelijke toegang

AD FS biedt de op lokale onderdeel van beleidsregels voor voorwaardelijke toegang in een hybride scenario. Als u apparaten registreert met Azure AD voor voorwaardelijke toegang tot de cloud-bronnen, het apparaat Azure AD Connect terugschrijven mogelijkheid maakt apparaat registratie-informatie beschikbaar op locatie voor AD FS-beleid te gebruiken en af te dwingen. Op deze manier hebt u een consistent benadering voor toegang tot het beleid voor zowel op locatie en cloudresources.

Voorwaardelijke toegang

Typen geregistreerde apparaten

Er zijn drie soorten geregistreerde apparaten, die allemaal worden weergegeven als apparaatobjecten in Azure AD en kan worden gebruikt voor voorwaardelijke toegang met AD FS on-premises ook.

Toevoegen van werk of School-AccountAzure AD-JoinWindows 10 Domian Join
BeschrijvingGebruikers toevoegen hun werk- of schoolaccount op hun apparaat BYOD interactief. Opmerking: toevoegen werk of School-Account is de vervanging van Workplace Join in Windows 8/8.1Gebruikers lid worden van hun werk Windows 10 apparaat naar Azure AD.
Hoe gebruikers zich aanmelden op het apparaatEr is geen aanmelding bij Windows als het account werk of school. Meld u aan met een Microsoft-account.Aanmelden bij Windows als het account (werk of school) die het apparaat is geregistreerd.
Hoe apparaten worden beheerdMDM-beleid (met de Intune-inschrijving extra)MDM-beleid (met de Intune-inschrijving extra)
W10 instellingen locatieInstellingen – Accounts – uw account – toevoegen een werk of school-accountInstellingen – systeem – over – Join Azure AD
Ook beschikbaar voor iOS en Android-apparaten?JaEr is geen

Zie voor meer informatie over de verschillende manieren apparaten registreren ook:

Hoe Windows 10-gebruiker en apparaat met eenmalige aanmelding is anders dan in vorige versies

Voor Windows 10 en AD FS 2016 er een aantal nieuwe aspecten van device Registration service en -verificatie zijn moet u weten over (met name als u bekend met device Registration service en 'werkplek toevoegen' in eerdere versies bent).

Eerst in Windows 10 en AD FS in Windows Server 2016 device Registration service en -verificatie is niet langer uitsluitend is gebaseerd op een X509 gebruikerscertificaat. Er is een nieuwe en krachtigere protocol met betere beveiliging en een vlotte gebruikerservaring. De belangrijkste verschillen zijn dat voor Windows 10 lid worden van domein en Azure AD worden toegevoegd, er een X509 computercertificaat en een nieuwe referentie een PRT genoemd. U kunt informatie over het hier en hier.

Ten tweede ondersteunen gebruikersverificatie met Microsoft Passport for Work, kunt u informatie over Windows 10 en AD FS 2016 hier en hier.

AD FS 2016 biedt naadloze apparaat- en eenmalige aanmelding op basis van PRT en Passport referenties. Met de stappen in dit document, kunt u deze mogelijkheden inschakelen en ze werken.

Toegangsbeheerbeleid apparaat

Apparaten kunnen worden gebruikt in een eenvoudige regels van AD FS access control, zoals:

  • Toegang alleen vanaf een geregistreerde apparaten toestaan
  • Multi-Factor Authentication verplicht stellen wanneer een apparaat is niet geregistreerd

Deze regels kunnen vervolgens worden gecombineerd met andere factoren zoals toegang tot de netwerklocatie en Multi-Factor Authentication rijke voorwaardelijke toegangsbeleid zoals maken:

  • Factor authentication vereisen voor niet-geregistreerde apparaten toegang krijgen tot van buiten het bedrijfsnetwerk, met uitzondering van leden van een bepaalde groep of groepen

Met AD FS 2016 deze beleidsregels speciaal om te vereisen een vertrouwensniveau bepaald apparaat kunnen worden geconfigureerd: een van beide geverifieerde, beheerd, of compatibele.

Voor meer informatie over het configureren van AD FS access controlebeleid, Zie toegangscontrolebeleid in AD FS.

Geverifieerde apparaten

Geverifieerde apparaten zijn ingeschreven apparaten die niet zijn ingeschreven in MDM (Intune en 3e partij MDMs voor Windows 10 Intune alleen voor iOS en Android).

Geverifieerde apparaten heeft de isManaged AD FS claim met waarde FALSE. (Dat de apparaten die zijn niet geregistreerd ontbreken deze claim.) Geverifieerde apparaten (en alle geregistreerde apparaten) heeft de isKnown AD FS claim met waarde TRUE.

Beheerde apparaten:

Beheerde apparaten zijn ingeschreven apparaten die zijn ingeschreven bij MDM

Beheerde apparaten heeft de isManaged AD FS claim met waarde TRUE.

Apparaten die compatibel zijn (met MDM of Groepsbeleid)

Compatibele apparaten zijn ingeschreven apparaten die niet alleen bij MDM maar compatibel zijn met de MDM-beleid ingeschreven zijn. (Compatibiliteitsinformatie afkomstig zijn met de MDM en geschreven naar Azure AD.)

Compatibele apparaten heeft de isCompliant AD FS claim met waarde TRUE.

Zie voor een volledige lijst met AD FS 2016 apparaat en claims voor voorwaardelijke toegang verwijzing.

Configureren van op lokale voorwaardelijke toegang tot geregistreerde apparaten (TP5)

Vereisten voor infrastructuur

  1. Een Azure AD-abonnement met Azure AD Premium (om te schakelen apparaat schrijven terug voor voorwaardelijke toegang lokale - een gratis proefversie fijn is)
  2. Intune-abonnement (alleen vereist voor MDM-integratie voor apparaat naleving scenario's – een gratis proefversie is fijn)
  3. Azure AD Connect (November 2015 QFE of hoger)
  4. Windows Server 2016 build 10586 of nieuwer voor AD FS
  5. Windows Server 2016 Active Directory-schema (schemaniveau 85 of hoger) (vereist voor het kenmerk msDS-IsCompliant voor apparaat naleving scenario's)
  6. Windows Server 2016 domain controller (alleen vereist voor Microsoft Passport for Work)
  7. Windows 10 client build 10586 of nieuwer, toegevoegd aan het bovenstaande domein (vereist voor Windows 10 lid worden van domein en Microsoft Passport voor alleen werk scenario's)
  8. Azure AD-gebruikersaccount met Azure AD Premium-licentie toegewezen (voor het registreren van het apparaat)

Azure AD-Device Registration service inschakelen

Om dit scenario configureert, moet u de Apparaatondersteuning registratie in Azure AD configureren.
Volg hiervoor de stappen onder deelnemen aan Azure AD in uw organisatie instellen

Installatie van AD FS

  1. Maakt het een nieuwe AD FS 2016 farm.
  2. Of migreren een farm met AD FS 2016 van AD FS 2012 R2
  3. Implementeren Azure AD Connect met behulp van het pad aangepaste verbinding maken met AD FS Azure AD.

Apparaat schrijven terug en Apparaatverificatie configureren

Opmerking: Als u Azure AD Connect met Expresinstellingen uitgevoerd, de juiste AD-objecten zijn gemaakt voor u. Echter, Azure AD Connect in de meeste AD FS-scenario's, is uitgevoerd met aangepaste instellingen voor AD FS configureren zodat de onderstaande stappen nodig zijn.

AD-objecten maken voor verificatie van AD FS-apparaat

Als uw AD FS-farm is niet geconfigureerd voor verificatie van apparaten (u kunt dit zien in de AD FS-beheerconsole onder Service -> Device Registration service), gebruik de volgende stappen voor het maken van de juiste AD DS-objecten en configuratie.

Opmerking: De onderstaande opdrachten Active Directory-beheerprogramma's nodig hebt, dus als uw federatieserver is ook een domeincontroller, eerst installeren de hulpprogramma's die in stap 1 hieronder. Anders kunt u stap 1 overslaan.

  1. Voer de wizard Functies toevoegen & functies en selecteer functie Remote Server Administration Tools rol beheerprogramma's -> AD DS en AD LDS-hulpprogramma's -> kiezen zowel Active Directory-module voor Windows PowerShell en de AD DS-hulpprogramma's.
  2. Zorg ervoor dat u bent aangemeld als gebruiker met bevoegdheden voor Enterprise-beheerder (EA) AD DS en een opdrachtprompt met verhoogde bevoegdheden powershell Open op uw primaire AD FS-server. Vervolgens de volgende PowerShell-opdrachten uitvoeren:
    1. Import-module activedirectory
    2. PS C:\ >Initialize-ADDeviceRegistration – ServiceAccountName '<naam AD FS-serviceaccount>'
    3. Opmerking: Als uw AD FS-service is geconfigureerd voor het gebruik van een BEHEERD serviceaccount, voert u de accountnaam in de notatie "domain\accountname$"
    4. De bovenstaande PSH maakt de volgende objecten
      1. De AD-domeinpartitie RegisteredDevices container
      2. --> Services Device Registration Service container en object onder configuratie van de registratie apparaatconfiguratie-->
      3. --> Services Device Registration Service DKM-container en object onder configuratie van de registratie apparaatconfiguratie-->

Service Connection Point (SCP) in AD maken

Als u van plan bent Windows 10 domein (met automatische inschrijving naar Azure AD) zoals beschreven hier gebruiken, uitvoeren van de volgende opdrachten voor het maken van een service connection point in AD DS

  1. PS C: > Import-Module-naam 'C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1'
    {indien nodig, Kopieer het bestand AdSyncPrep.psm1 van uw Azure AD Connect-server}
  2. PS C: > $aadAdminCred = Get-Credential
    {referenties voor uw Azure AD-hoofdbeheerder, zoals adminuser@contoso.onmicrosoft.com}
  3. PS C: > Initialize-ADSyncDomainJoinedComputerSync – AdConnectorAccount [AD connector accountnaam] - AzureADCredentials $aadAdminCred
    een. Waar de [AD connector accountnaam] is de naam van het account dat u in Azure AD Connect hebt geconfigureerd bij het toevoegen van dat u bent op lokale AD DS-directory
  4. De bovenstaande opdrachten inschakelen voor Windows 10 clients te zoeken naar de juiste Azure AD-domein om toe te voegen door het object serviceConnectionpoint maken in AD DS.

AD voorbereiden voor apparaat schrijven terug

Als u AD DS-objecten en containers zijn in de juiste status voor schrijven achterzijde apparaten vanuit Azure AD, moet u het volgende te doen.

  1. PS C: > initialiseren ADSyncDeviceWriteBack – DomainName <AD DS-domeinnaam> – AdConnectorAccount [AD connector accountnaam]
    1. Waar de [AD connector accountnaam] is de naam van het account dat u in Azure AD Connect hebt geconfigureerd bij het toevoegen van dat u bent op lokale AD DS-directory domain\accountname-indeling
    2. De bovenstaande opdracht maakt de volgende objecten voor apparaat schrijven terug naar AD DS als ze niet al bestaan en toegang tot de opgegeven AD connector accountnaam
      1. RegisteredDevices-container in de AD-domeinpartitie
      2. --> Services Device Registration Service container en object onder configuratie van de registratie apparaatconfiguratie-->

Inschakelen van apparaat schrijven in Azure AD Connect

Als u nog niet gedaan voordat, apparaat schrijven in Azure AD Connect inschakelen door de wizard nogmaals uitvoeren en te selecteren dat 'Synchronisatieopties aanpassen', en vervolgens selectievakjes voor apparaat schrijven terug en het forest waarin u de bovenstaande cmdlets hebt uitgevoerd

Verificatie van apparaten in AD FS configureren

Met behulp van een verhoogde PowerShell-opdrachtvenster AD FS-beleid configureren door de volgende opdracht wordt uitgevoerd
PS C: > Set AdfsGlobalAuthenticationPolicy – DeviceAuthenticationEnabled $true

Controleer de configuratie

Voor eigen referentie vindt ziet hieronder u een uitgebreide lijst van de AD DS-apparaten, containers en machtigingen die zijn vereist voor write-back-apparaat en verificatie om te werken

  1. Object van het type ms-DS-DeviceContainer op CN = RegisteredDevices, DC =<domein>
    een. Leestoegang tot de AD FS-serviceaccount
    b. Lees-/ schrijftoegang tot de Azure AD Connect-synchronisatie AD connector-account
  2. Container CN = registratie apparaatconfiguratie, CN = Services, CN = configuratie, DC =<domein>
  3. Container Device Registration Service DKM onder de bovenstaande container
  4. Object van het type serviceConnectionpoint op CN =<guid>, CN = registratie apparaatconfiguratie, CN = Services, CN = configuratie, DC =<domein>
    een. Lees-/ schrijftoegang tot de opgegeven AD connector accountnaam op het nieuwe object
  5. Object van het type msDS-DeviceRegistrationServiceContainer op CN = apparaat registratie Services, CN = registratie apparaatconfiguratie, CN = Services, CN = configuratie, DC = & ltdomain >
  6. Object van het type msDS-DeviceRegistrationService in de bovenstaande container

Zie gebruiken

Evaluatie van de nieuwe claims en het beleid, moet u eerst een apparaat registreren. Bijvoorbeeld, kunt u Azure AD Join is een computer met Windows 10 met behulp van de app instellingen onder systeem -> over of u kunt Windows 10-domein instellen met de extra stappen automatische apparaatregistratie hier. Mobiele apparaten, Zie het document voor meer informatie over hoe Windows 10 hier.

Voor de gemakkelijkste evaluatie, meld u aan op AD FS met behulp van een testtoepassing met een lijst van claims. U wordt mogelijk nieuwe claims, met inbegrip van isManaged, isCompliant en trusttype zien. Als u Microsoft Passport voor werk inschakelt, ziet u ook de prt claim.

Zie Naslaginformatie voor een volledige lijst van AD FS 2016 voorwaardelijke toegang, apparaten en Windows 10.

Extra scenario configureren

Automatische inschrijving voor Windows 10 domein computers

Inschakelen van automatische device Registration service voor Windows 10 domein lid zijn van computers, voert u de stappen 1 en 2 hier.
Hierdoor kunt u het volgende doen:

  1. Controleer uw serviceverbindingspunt in AD DS bestaat en de juiste machtigingen heeft (we dit object hierboven hebt gemaakt, maar deze komt niet samenvoegen controleren).
  2. Zorg ervoor dat AD FS juist is geconfigureerd
  3. Zorg dat uw AD FS-systeem heeft de juiste eindpunten ingeschakeld en geconfigureerd claimregels
  4. Configureer de instellingen voor Groepsbeleid voor automatische inrichting registratie van computers in het domein lid zijn van vereist

Microsoft Passport for Work

Zie voor meer informatie over het inschakelen van Windows 10 met Microsoft Passport for Work inschakelen Microsoft Passport for Work in uw organisatie.

Automatische MDM-registratie

Schakel automatische MDM-registratie van geregistreerde apparaten zodat u kunt de claim isCompliant in uw toegangsbeleid gebruiken door de stappen hier.

Het oplossen van problemen

  1. Als u een fout op Initialize-ADDeviceRegistration hierover een klacht over een object al bestaat in de juiste status, zoals 'De service-object is gevonden zonder de vereiste kenmerken drs', hebt u mogelijk Azure AD Connect powershell-opdrachten eerder en een gedeeltelijke configuratie in AD DS hebt uitgevoerd. Verwijder handmatig de objecten onder CN = registratie apparaatconfiguratie, CN = Services, CN = configuratie, DC =<domein> en probeer het opnieuw.
  2. Voor Windows 10 domein verbonden clients
    1. Om te controleren dat die apparaatverificatie werkt, meld u aan op het domein gekoppelde client als een test-gebruikersaccount. Activeren snel inrichten, vergrendeld en ontgrendeld het bureaublad ten minste één keer.
    2. Instructies voor het controleren op de belangrijkste referentie beurs koppelen op AD DS-object (sync nog steeds hoeft tweemaal uitgevoerd?)
  3. Als u een fout opgetreden bij het registreren van een Windows-computer die het apparaat is al geregistreerd, maar u kunt geen of het apparaat al hebt uitgeschreven, moet u wellicht een gedeelte van de inschrijving apparaatconfiguratie in het register. Als u wilt onderzoeken en verwijderen, gebruikt u de volgende stappen uit:
    1. Op de Windows-computer, opent u Regedit en navigeer naar HKLM\Software\Microsoft\Enrollments
    2. Onder deze sleutel, zal er veel subsleutels in het formulier GUID. Navigeer naar de subsleutel ~ 17 waarden bevat, en "EnrollmentType" heeft "6' [MDM lid] of"13"(Azure AD verbonden)
    3. Wijzig EnrollmentType naar 0
    4. Probeer het apparaat of de registratie opnieuw

Verwante artikelen

Naslaginformatie over

Volledige lijst met nieuwe claims van AD FS 2016 en apparaat

© 2017 Microsoft