Steuerelemente zur Geräteauthentifizierung in AD FS

In diesem Dokument erfahren Sie, wie Sie unter Windows Server 2016 und 2012 R2 Steuerelemente zur Geräteauthentifizierung aktivieren.

Steuerelemente zur Geräteauthentifizierung in AD FS 2012 R2

Ursprünglich gab es in AD FS 2012 R2 eine globale Authentifizierungseigenschaft namens DeviceAuthenticationEnabled, mit der die Geräteauthentifizierung gesteuert wurde.

Zum Konfigurieren der Einstellung wurde das Cmdlet Set-AdfsGlobalAuthenticationPolicy wie unten gezeigt verwendet:

PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true

Zum Deaktivieren der Geräteauthentifizierung wurde dasselbe Cmdlet verwendet, und sein Wert auf $false festgelegt.

Steuerelemente zur Geräteauthentifizierung in AD FS 2016

Der einzige Typ der Geräteauthentifizierung, der in 2012 R2 unterstützt wurde, war clientTLS. In AD FS 2016 gibt es zusätzlich zu clientTLS zwei neue typen der Geräteauthentifizierung für die Authentifizierung moderner Geräte. Dies sind:

  • PKeyAuth
  • PRT

Um das neue Verhalten zu steuern, wird die DeviceAuthenticationEnabled-Eigenschaft in Kombination mit einer neuen Eigenschaft namens DeviceAuthenticationMethod verwendet.

Die Geräteauthentifizierungsmethode bestimmt den Typ der Geräteauthentifizierung, die durchgeführt wird: PRT, PKeyAuth, clientTLS oder eine Kombination dieser. Die folgenden Werte sind möglich:

  • SignedToken: nur PRT
  • PKeyAuth: PRT und PKeyAuth
  • ClientTLS: PRT und clientTLS
  • All: alle genannten

Wie Sie sehen, ist PRT Teil aller Geräteauthentifizierungsmethoden und somit die Standardmethode, die immer aktiviert ist, wenn DeviceAuthenticationEnabled auf $true festgelegt ist.

Beispiel: Um die Methoden zu konfigurieren, verwenden Sie das Cmdlet „DeviceAuthenticationEnabled“ wie oben zusammen mit der neuen Eigenschaft:

PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true

Hinweis

In AD FS 2019 kann DeviceAuthenticationMethod mit dem Befehl Set-AdfsRelyingPartyTrust verwendet werden.

PS:\>Set-AdfsRelyingPartyTrust -DeviceAuthenticationMethod ClientTLS

Hinweis

Das Aktivieren der Geräteauthentifizierung (Einstellung DeviceAuthenticationEnabled auf $true) bedeutet, dass DeviceAuthenticationMethod implizit auf SignedToken festgelegt wird und damit PRT entspricht.

PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationMethod All

Hinweis

Die Standardmethode für die Geräteauthentifizierung ist SignedToken. Weitere Werte sind PKeyAuth, ClientTLS und All.

Die Bedeutungen der Werte von DeviceAuthenticationMethod haben sich seit der Veröffentlichung von AD FS 2016 geringfügig geändert. In der folgenden Tabelle finden Sie die Bedeutung der einzelnen Werte, abhängig von der Updateebene:

AD FS-Version DeviceAuthenticationMethod-Wert Bedeutung
2016 RTM SignedToken PRT + PkeyAuth
clientTLS clientTLS
All PRT + PkeyAuth + clientTLS
2016 RTM + aktueller Stand von Windows Update SignedToken (Bedeutung geändert) PRT (ausschließlich)
PkeyAuth (neu) PRT + PkeyAuth
clientTLS PRT + clientTLS
All PRT + PkeyAuth + clientTLS

Weitere Informationen

AD FS-Vorgänge