皆さんこんにちは。国井です。
今日はADFSのデバイス認証機能のトラブルシューティングについて。
ADFSでデバイス登録/認証機能を利用するとき、
Initialize-AdfsDeviceRegistration
Enable-AdfsDeviceRegistration
の2つのPowerShellコマンドレットを実行していました。詳しくはこちらを参照。
ところが先日、私の環境で設定していたら、こんなエラーが。
「Device Registration ServiceのACLを構成できません。」
Enable-AdfsDeviceRegistration の実行に失敗する場合、ACLのエラーであれば、RegisteredDevicesコンテナーにサービスアカウントに対するアクセス許可が割り当てられていないことが原因です。
その時は、ADSIエディターを開き、構成パーティション(既知の名前付けコンテキスト:構成)に接続し、CN=DeviceRegistrationService,CN=Device Registration Service,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=xxxxx のプロパティを開いて、サービスアカウントにフルコントロールのアクセス許可を割り当ててあげます。
理論上は以上の手順でエラーが解消され、コマンドレットが実行できるようになるのですが、
私のケースでは複数回Initialize-AdfsDeviceRegistration とEnable-AdfsDeviceRegistration を実行することで解決しました。(なぜ?)
参考になれば幸いです。
