お世話になります。山下と申します。
ADFSデバイス認証(登録)を行なうための構成・設定について教えて頂けないでしょうか。
■質問
ADFSのデバイス認証を使用したいと考え設定を行ったところ、
iOSではデバイス登録が成功しましたが、その他のデバイスではうまくいきませんでした。
・iOS⇒OK
・Android(Azure Authenticatorアプリ)⇒NG
・Windows 8.1⇒NG
Active Directoryドメイン名とADFSサービス名が異なることが原因と考えておりますが
そのような構成の場合の対処策があれば教えてください。
■環境
オンプレミスの環境
・ADDSサーバ 3台
・ADFSサーバ 2台
・Webアプリケーションプロキシ(WAP)サーバ 2台
・全てWindowsServer2012R2
・ADDSドメイン名:xyz.local
・ADFSサービス名:adfs.xyz.co.jp
■デバイス登録を行なうために実施した内容
・「enterpriseregistration.xyz.co.jp」のレコードをDNSサーバに登録
・証明書を「enterpriseregistration.xyz.co.jp」のサブジェクトを持つものに入替(下記手順)
http://blog.o365mvp.com/2015/07/07/update_adfs-3-0_ssl_certificate/
・ADFSサーバ、Webアプリケーションサーバでデバイス登録を有効化(下記手順)
https://technet.microsoft.com/ja-jp/library/dn486831(v=ws.11).aspx
■デバイス登録を試した結果
①iOSデバイスの場合
・ブラウザで以下にアクセス
https://adfs.xyz.co.jp/EnrollmentServer/otaprofile
・ADFSサインイン画面が表示されるためユーザ情報を入力してサインイン
ユーザ名:
user1@xyz.local
・プロファイルのインストール画面でインストールをタップ
⇒完了
②androidデバイスの場合
・「Authenticator」アプリの「設定」「デバイス登録の管理」から、以下のユーザで登録
ユーザ名:user1@xyz.co.jp
⇒社内参加できませんでした、として登録できない
※「
user1@xyz.local」や「XYZ\user1」でも同様にNG
③Windows8.1の場合
・「PC設定」「ネットワーク」「社内ネットワーク」から以下のユーザで参加
ユーザ名:user1@xyz.co.jp
⇒正しいサインイン情報を使用してください、として登録できない
※「
user1@xyz.local」や「XYZ\user1」でも同様にNG
■動作について
androidと8.1の場合、インターネット上からADFS(WAP)サーバを見つけるためには、
ユーザを「@xyz.co.jp」で指定する必要がありますが、実際のADユーザのUPN名は
「
user1@xyz.local」のため、登録に失敗していると考えております。
ADFS名をADドメイン名と同一の「xyz.local」とすれば問題ないのは理解していますが、
外部DNSにて「xyz.local」を構成できないため、本環境では出来ませんでした。
このような場合にはどのような設定をすれば良いのでしょうか。
よろしくお願いします。
asdf
