在ADFS4.0中使用备用浏览器时，“DeviceContext”声明在哪里？

Question

我知道这里可能不是问这个问题的好地方。但是，经过几天的努力，并且拥有了发表在微软论坛上，我已经束手无策了。

我们正在使用一个混合ADFS 4.0 (服务器2016) / Azure AD / Office 365设置，设备注册和SSO工作。

我们正在尝试使用基于设备的访问策略启用多因素身份验证。我们不希望“被识别的”设备看到额外的MFA提示。我们正在使用微软声称X射线评估ADFS返回的索赔。

我们已经成功地启用了MFA，并将ADFS配置为只有当设备未被识别时才提示MFA。这是因为被识别的设备在活动目录(isRegisteredUser；isManaged；isKnown；trustType等)中有其他属性，我们可以对这些属性采取行动。我们已经在iPad上用IE、Firefox、Chrome和Safari进行了测试。但是，"DeviceContext“声明只有在iPad上的IE或Safari进行身份验证时才能通过。

由于某些原因，当请求来自Chrome或Firefox时，似乎不会发生设备身份验证。身份验证是有效的，我们只是看不到任何devicecontext声明，这些声明允许我们根据设备是否注册做出决定。因此，这些浏览器会获得额外的MFA提示符。

我只是在网上找不到任何与我的问题相符的帖子。有几个线程是相似的，但结果却是不同的问题，或者最终处于死胡同。我希望有人有类似的设置，并知道为什么Chrome和火狐不会执行附加的基于设备的身份验证，但safari在iPad上会。所有设备都具有执行身份验证的有效证书。

在任何事件日志中，我都不会有任何错误发生。浏览器根本不发出设备身份验证请求，也不会发出devicecontext声明。这可能是不支持的，但我找不到任何信息表明这样或那样的方式。

Answer 1

设备上下文声明是ADFS / Azure AD确定设备是否被识别、管理、兼容等所必需的。没有它们，依赖于MFA和SSO的场景就会中断，如果绕过MFA依赖于“识别”已知的设备。当在ADFS中与用户身份验证一起执行设备身份验证时，产生设备上下文声明。

我发现在Windows 7中，Workplace是基于每个用户的，并接收存储在“当前用户”证书存储中的设备身份验证证书。在身份验证期间，即使在Chrome中，也可以使用证书成功地执行设备身份验证。

在Windows 10中，我发现Azure AD设备注册是每台机器，机器接收存储在"Local“证书存储中的设备身份验证证书。在身份验证期间，IE和Edge成功地使用此证书完成设备身份验证。Chrome不会触摸“本地机器”证书存储区中的任何证书。如果使用Chrome，则无法识别设备，则MFA失败，用户将被提示进行另一种形式的身份验证。

这似乎是一个已知的问题，替代浏览器没有适当的答案。如果不进行设备身份验证，就不能通过具有条件接收策略的MFA来识别设备。

微软拥有Google的提供插件，允许它在使用MFA时执行设备认证。然而，有几个注意事项需要注意：

• 插件只适用于Chrome，只适用于Windows 10创建者更新(1703)或更高版本。
• 该插件只适用于Azure AD条件访问策略。
• 基于ADFS设备的条件接收策略将无法工作。
• 由于以前的限制，除了Office 365之外，ADFS中的依赖方信任将无法使用该插件。

长话短说，Windows 7设备身份验证似乎工作得很好，如果使用Chrome，可识别的设备将支持基于设备的条件访问策略。使用Chrome的Windows 10设备支持基于设备的条件访问策略的能力有限。移动设备在注册到MDM时会收到基于用户的证书，因此，当设备被管理时，它们似乎也支持绕过MFA。

我认为这里的主要问题是Chrome的开发人员故意阻止它访问“本地计算机”证书存储以进行身份验证。这可以通过Process来验证，也可以通过查看Chrome中证书设置中的可用证书来验证。

我很遗憾地这样说，但是Mozilla继续他们顽固的方法，使得他们的浏览器很难在企业中使用，而且开发人员已经使Firefox无法访问任何Windows证书存储。因此，除非您有意将证书导入Firefox，否则基于设备的条件访问在任何操作系统上都无法工作。