本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

配置设备注册

 

适用对象:Windows Server 2012 R2

以下部分介绍为 Device Registration 的可用管理设置。 您可以查看当前的设备注册设置使用以下 Windows PowerShell 命令:

Get-AdfsDeviceRegistration
System_CAPS_note注意

任何域用户可以查看的设备注册配置。 您必须使用以设置设备注册设置的企业管理员权限登录

以下各节介绍如何配置设备注册,以便它可以由工作区加入客户端设备发现。

工作区加入客户端设备将尝试通过结合使用的已知的设备注册服务器名称的用户帐户名称发现设备注册服务器。

您必须创建一个指向与 AD FS 场相关联的 A 记录的 DNS CNAME 记录。 该 CNAME 记录必须使用已知的前缀EnterpriseRegistration跟使用您的组织的用户帐户的 UPN 后缀。 如果您的组织使用多个 UPN 后缀,则必须在 DNS 中创建多条 CNAME 记录。

例如,如果您的 AD FS 服务器场的名称是adfs.contoso.com和在名为组织中使用两个 UPN 后缀@contoso.com@region.contoso.com,您将创建以下 DNS 记录。

DNS 记录

记录类型

Value

adfs.contoso.com

A

< IP 地址 >

enterpriseregistration.contoso.com

CNAME

adfs.contoso.com

enterpriseregistration.region.contoso.com

CNAME

adfs.conotso.com

对于工作区加入客户端发现设备注册服务器使用的已知的 DNS CNAME 记录,必须包括的已知的设备注册服务器名称的服务器 SSL 证书配置 AD FS。 您必须在贵公司的格式包括正在使用的每个 userPrincipalName (UPN) 后缀的一个服务器名称:

enterpriseregistration.<upnsuffix>

例如,如果贵公司的 UPN 后缀是 @contoso.com,然后您 AD FS 服务器的 SSL 证书必须包含 enterpriseregistration.contoso.com

如果您的公司使用多个 UPN 后缀,AD FS 服务器 SSL 证书必须包含每个 UPN 后缀的条目。

您可以满足这一要求两种方式。 您可以使用涵盖所有可能在您的公司使用的名称的通配符证书或可作为使用者可选名称中添加其他名称。

例如:使用通配证书

主题 = *。 contoso.com

例如:使用者可选名称

主题 = 的 adfs.contoso.com (这是您的 AD FS 服务器场名称)

使用者备用名称 (DNS) = adfs.contoso.com

使用者备用名称 (DNS) = enterpriseregistration.contoso.com

使用者备用名称 (DNS) = enterpriseregistration.region.contoso.com

若要配置为允许 DRS 发现的设备注册服务

  1. 您必须获取新的服务器满足上一节中列出的要求的 SSL 证书。

    1. 获取服务器上一节中所述满足的要求的 SSL 证书。

    2. 在联合身份验证服务器上,将证书导入到本地计算机个人存储区

    3. 在联合身份验证服务器上,发出以下 Windows PowerShell 命令:

      Set-AdfsSslCertificate -Thumbprint thumbprint
      

      其中指纹是上一步中安装了证书的指纹。

  2. 接下来,您必须更新支持的设备注册服务 (DRS) 使用以下命令将 UPN 后缀列表。 此命令将检测与 Active Directory 林和域相关联的 Upn 并配置 AD FS 以侦听

    Set-AdfsDeviceRegistrationUpnSuffix
    

    您可以查看检测到使用以下命令的 Upn:

    Get-AdfsDeviceRegistrationUpnSuffix
    
  3. AD FS 场都必须重复步骤 1 和 2 中您每个联合服务器上。

  4. 如果您使用的 Web 应用程序代理,必须更新配置。

    1. 在 Web 应用程序代理服务器上,打开一个 Windows PowerShell 命令窗口并键入:

      Update-WebApplicationProxyDeviceRegistration
      
    2. 出现提示时输入凭据时,输入具有对联合服务器的管理权限的帐户的凭据。

将自动从 Active Directory 删除未使用的设备。 默认情况下,不用于 90 天的设备将被删除。 您可以配置使用以下 Windows PowerShell 命令的天数:

Set-AdfsDeviceRegistration -MaximumInactiveDays days

其中是设备可以从 Active Directory 中删除它之前处于非活动状态的天数。

天数的有效范围为 0-1000年。

将天数设置为零将禁用未使用的设备清除任务。 即,未使用的设备将不会自动删除从 Active Directory。

管理员可以限制的、 给定的用户允许工作区加入到的设备数。 一旦用户达到其设备定额,它们将不允许删除一个或多个其现有的设备之前加入新的设备。

默认策略是每个用户的 10 个设备。 此策略可使用 Windows PowerShell 来管理:

Set-AdfsDeviceRegistration -DevicesPerUser numberOfDevices

其中numberOfDevices是每个用户允许的设备数。

默认情况下,Domain Admins 不受此策略。 这包括来自任何域或受信任的域的 Domain Admins。

设备注册和设备对象存储在 Active Directory 林级别维护。 在给定的 Active Directory 林中的所有 AD FS/DRS 场将都使用相同的设备注册配置和设备对象容器。

若要将一个额外的 AD FS/DRS 场添加到现有的 Active Directory 林必须授予对将与新的 AD FS 场一起使用的服务帐户的正确权限。 以下 Windows PowerShell 命令可用于授予对服务帐户所需的权限。

System_CAPS_note注意

您必须使用以设置设备注册设置的企业管理员权限登录。

集 AdfsDeviceRegistration-ServiceAccountIdentifier serviceAccount

其中serviceAccount是 AD FS 使用的服务帐户名称。 如果它是一个 gMSA 帐户,输入中的帐户域 \ 帐户名 $格式。 对于域帐户,使用格式域 \ 帐户名

显示: