Freigeben über


Konfigurieren von Browsers für die Verwendung der integrierten Windows-Authentifizierung (Windows Integrated Authentication, WIA) mit AD FS

Die integrierte Windows-Authentifizierung (Windows Integrated Authentication, WIA) ist standardmäßig in Active Directory-Verbunddienste (AD FS) unter Windows Server 2012 R2 für Authentifizierungsanforderungen aktiviert, die im internen Netzwerk (Intranet) der Organisation für jede Anwendung auftreten, die einen Browser für die Authentifizierung verwendet.

AD FS 2016 verfügt jetzt über verbesserte Standardeinstellungen, die es dem Edge-Browser ermöglichen, WIA zu verwenden, aber nicht auch (fälschlicherweise) Windows Phone abzufangen:

=~Windows\s*NT.*Edg.*

Dies bedeutet, dass Sie keine einzelnen Benutzer-Agent-Zeichenfolgen mehr konfigurieren müssen, um allgemeine Szenarien in Edge zu unterstützen, obwohl sie häufig aktualisiert werden.

Konfigurieren Sie für andere Browser die AD FS-Eigenschaft WIaSupportedUserAgents, um die erforderlichen Werte basierend auf den verwendeten Browsern hinzuzufügen. Sie können dazu die folgenden Verfahren anwenden.

Anzeigen von WIASupportedUserAgent-Einstellungen

Die WIASupportedUserAgents-Eigenschaft definiert die Benutzer-Agents, die WIA unterstützen. AD FS analysiert die Zeichenfolge des Benutzer-Agents beim Ausführen von Anmeldungen in einem Browser oder Browsersteuerelement.

Sie können die aktuellen Einstellungen mit dem folgenden PowerShell-Beispiel anzeigen:

Get-AdfsProperties | select -ExpandProperty WiaSupportedUserAgents

WIA Support

Ändern von WIASupportedUserAgent-Einstellungen

Standardmäßig verfügt eine Neuinstallation von AD FS über übereinstimmende Benutzer-Agent-Zeichenfolgen. Diese können jedoch aufgrund von Änderungen an Browsern und Geräten veraltet sein. Insbesondere verfügen Windows-Geräte über ähnliche Benutzer-Agent-Zeichenfolgen mit geringfügigen Variationen bei den Token. Das folgende Windows PowerShell-Beispiel zeigt optimale Einstellungen für aktuelle Geräte, die heute auf dem Markt sind und nahtlose WIA unterstützen:

Bei AD FS unter Windows Server 2012 R2 oder früher:

Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0","Windows NT 10.0; WOW64; Trident/7.0","MSIPC", "Windows Rights Management Client", "Edg/","Edge/")

Bei AD FS unter Windows Server 2016 oder höher:

Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0","Windows NT 10.0; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client", "=~Windows\s*NT.*Edg.*")

Mit dem obigen Befehl wird sichergestellt, dass AD FS nur die folgenden Anwendungsfälle für WIA abdeckt:

Benutzer-Agents Anwendungsfälle
MSIE 6.0 IE 6.0
MSIE 7.0; Windows NT IE 7, IE in Intranetzone. Das Fragment „Windows NT“ wird vom Desktopbetriebssystem gesendet.
MSIE 8.0 IE 8.0 (wird von keinen Geräte gesendet und muss daher spezifiziert werden)
MSIE 9.0 IE 9.0 (wird von keinen Geräte gesendet und muss daher nicht spezifiziert werden)
MSIE 10.0; Windows NT 6 IE 10.0 für Windows XP und neuere Versionen des Desktopbetriebssystems

Windows Phone 8.0-Geräte (mit auf „mobil“ festgelegter Einstellung) sind ausgeschlossen, da sie senden

Benutzer-Agent: Mozilla/5.0 (kompatibel; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920)
Windows NT 6.3; Trident/7.0

Windows NT 6.3; Win64; x64; Trident/7.0

Windows NT 6.3; WOW64; Trident/7.0
Desktopbetriebssystem Windows 8.1, verschiedene Plattformen
Windows NT 6.2; Trident/7.0

Windows NT 6.2; Win64; x64; Trident/7.0

Windows NT 6.2; WOW64; Trident/7.0
Desktopbetriebssystem Windows 8, verschiedene Plattformen
Windows NT 6.1; Trident/7.0

Windows NT 6.1; Win64; x64; Trident/7.0

Windows NT 6.1; WOW64; Trident/7.0
Desktopbetriebssystem Windows 7, verschiedene Plattformen
Edg/ und Edge/ Microsoft Edge (Chromium) für Windows Server 2012 R2 oder früher
=~Windows\s*NT.*Edg.* Microsoft Edge (Chromium) für Windows Server 2016 oder höher
MSIPC Microsoft Information Protection and Control-Client
Windows-Rechteverwaltungsclient Windows-Rechteverwaltungsclient

Microsoft Edge-Dokumentation