Contrôles d’authentification des appareils dans AD FS
Le document suivant montre comment activer les contrôles d’authentification des appareils dans Windows Server 2016 et 2012 R2.
Contrôles d’authentification des appareils dans AD FS 2012 R2
À l’origine, AD FS 2012 R2 contenant une propriété d’authentification globale, appelée DeviceAuthenticationEnabled, qui contrôlait l’authentification des appareils.
Pour configurer le paramètre, l’applet de commande Set-AdfsGlobalAuthenticationPolicy était utilisée comme indiqué ci-dessous :
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
Pour désactiver l’authentification des appareils, la même applet de commande était utilisée pour définir la valeur sur $false.
Contrôles d’authentification des appareils dans AD FS 2016
Le seul type d’authentification des appareils pris en charge dans 2012 R2 était clientTLS. En plus de clientTLS, AD FS 2016 propose deux nouveaux types d’authentification des appareils pour l’authentification des appareils modernes. Ces règles sont les suivantes :
- PKeyAuth
- PRT
Pour contrôler le nouveau comportement, la propriété DeviceAuthenticationEnabled est utilisée en combinaison avec une nouvelle propriété appelée DeviceAuthenticationMethod.
La méthode d’authentification des appareils détermine le type d’authentification des appareils qui sera effectué : PRT, PKeyAuth, clientTLS ou une combinaison de ces méthodes. Une des valeurs suivantes :
- SignedToken : PRT uniquement
- PKeyAuth : PRT + PKeyAuth
- ClientTLS : PRT + clientTLS
- All : toutes les méthodes ci-dessus
Comme vous pouvez le voir, PRT fait partie de toutes les méthodes d’authentification des appareils, ce qui en fait la méthode par défaut toujours activée quand DeviceAuthenticationEnabled est défini sur $true.
Exemple : Pour configurer la ou les méthodes, utilisez l’applet de commande DeviceAuthenticationEnabled comme ci-dessus, ainsi que la nouvelle propriété :
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
Notes
Dans AD FS 2019, DeviceAuthenticationMethod peut être utilisée avec la commande Set-AdfsRelyingPartyTrust.
PS:\>Set-AdfsRelyingPartyTrust -DeviceAuthenticationMethod ClientTLS
Notes
L’activation de l’authentification des appareils (paramètre DeviceAuthenticationEnabled sur $true) signifie que DeviceAuthenticationMethod est implicitement définie sur SignedToken, soit PRT.
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationMethod All
Remarque
La méthode d’authentification des appareils par défaut est SignedToken. Les autres valeurs sont PKeyAuth,ClientTLS et All.
La signification des valeurs DeviceAuthenticationMethod a légèrement changé depuis la publication d’AD FS 2016. Consultez le tableau ci-dessous pour connaître la signification de chaque valeur, selon le niveau de mise à jour :
| Version AD FS | Valeur DeviceAuthenticationMethod | Signifie |
|---|---|---|
| 2016 RTM | SignedToken | PRT + PkeyAuth |
| clientTLS | clientTLS | |
| Tous | PRT + PkeyAuth + clientTLS | |
| 2016 RTM + mise à jour avec Windows Update | SignedToken (sens modifié) | PRT (uniquement) |
| PkeyAuth (nouveau) | PRT + PkeyAuth | |
| clientTLS | PRT + clientTLS | |
| Tous | PRT + PkeyAuth + clientTLS |