Microsoft Entra Connect: Aktivieren des Geräterückschreibens

Hinweis

Für das Geräterückschreiben ist ein Abonnement für Microsoft Entra ID P1 oder P2 erforderlich.

Die folgende Dokumentation enthält Informationen zum Aktivieren des Features „Geräterückschreiben“ in Microsoft Entra Connect. Das Geräterückschreiben wird in den folgenden Szenarien verwendet:

• Aktivieren von Windows Hello for Business mithilfe der Hybridbereitstellung von Zertifikatvertrauensstellungen
• Aktivieren des bedingten Zugriffs basierend auf Geräten auf von ADFS (2012 R2 oder höher) geschützte Anwendungen (Vertrauensstellungen für vertrauende Seiten).

Dies bietet zusätzliche Sicherheit und die Gewissheit, dass nur vertrauenswürdige Geräte auf die Anwendung zugreifen können. Weitere Informationen zum bedingten Zugriff finden Sie unter Verwalten von Risiken mit bedingtem Zugriff und Einrichten des lokalen bedingten Zugriffs mithilfe der Microsoft Entra-Geräteregistrierung.

Wichtig

Geräte müssen sich in der gleichen Gesamtstruktur befinden wie die Benutzer. Da Geräte in eine einzelne Gesamtstruktur zurückgeschrieben werden müssen, unterstützt diese Funktion derzeit keine Bereitstellung mit mehreren Gesamtstrukturen für Benutzer.

In der lokalen Active Directory-Gesamtstruktur kann nur ein Konfigurationsobjekt für die Geräteregistrierung hinzugefügt werden. Diese Funktion ist nicht mit einer Topologie kompatibel, in der die lokale Active Directory-Instanz mit mehreren Microsoft Entra-Verzeichnissen synchronisiert wird.

Teil 1: Installieren von Microsoft Entra Connect

Installieren Sie Microsoft Entra Connect mit benutzerdefinierten Einstellungen oder Expresseinstellungen. Microsoft empfiehlt, zunächst alle Benutzer und Gruppen erfolgreich zu synchronisieren, bevor Sie das Geräterückschreiben aktivieren.

Teil 2: Aktivieren des Kennwortrückschreibens in Microsoft Entra Connect

1. Führen Sie den Installations-Assistenten erneut aus. Wählen Sie auf der Seite „Weitere Aufgaben“ die Option Geräteoptionen konfigurieren, und klicken Sie auf Weiter.

   

   Hinweis

   Die neuen Optionen zum Konfigurieren von Geräten sind nur ab Version 1.1.819.0 verfügbar.

2. Wählen Sie auf der Seite mit den Geräteoptionen die Option Geräterückschreiben konfigurieren. Die Option Geräterückschreiben deaktivieren ist erst verfügbar, nachdem das Geräterückschreiben aktiviert wurde. Klicken Sie auf Weiter, um die nächste Seite des Assistenten anzuzeigen.

3. Auf der Seite „Rückschreiben“ sehen Sie die angegebene Domäne als die standardmäßige Gesamtstruktur für das Geräterückschreiben.

4. Die Seite Gerätecontainer enthält eine Option zum Vorbereiten von Active Directory, bei der Sie zwei Möglichkeiten haben:

   a. Anmeldeinformationen eines Unternehmensadministrators angeben: Wenn die Anmeldeinformationen eines Unternehmensadministrators oder einer Unternehmensadministratorin für die Gesamtstruktur angegeben werden, für die Geräte zurückgeschrieben werden müssen, bereitet Microsoft Entra Connect die Gesamtstruktur während der Konfiguration des Geräterückschreibens automatisch vor.

   b. PowerShell-Skript herunterladen: Microsoft Entra Connect generiert automatisch ein PowerShell-Skript, mit dem Active Directory für das Geräterückschreiben vorbereitet werden kann. Falls die Anmeldeinformationen eines Unternehmensadministrators oder einer Unternehmensadministratorin in Microsoft Entra Connect nicht angegeben werden können, wird vorgeschlagen, das PowerShell-Skript herunterzuladen. Stellen Sie das heruntergeladene PowerShell-Skript CreateDeviceContainer.ps1 für den Unternehmensadministrator der Gesamtstruktur bereit, in die das Rückschreiben der Geräte erfolgt.

   Zur Vorbereitung der Active Directory-Gesamtstruktur werden die folgenden Vorgänge durchgeführt:

   • Falls sie noch nicht vorhanden sind, werden die neuen Container und Objekte unter „CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn]“ erstellt und konfiguriert.
   • Falls sie noch nicht vorhanden sind, werden die neuen Container und Objekte unter „CN=RegisteredDevices,[domain-dn]“ erstellt und konfiguriert. Geräteobjekte werden in diesem Container erstellt.
   • Legt die erforderlichen Berechtigungen für das Microsoft Entra Connector-Konto fest, um Geräte in Active Directory zu verwalten.
   • Muss nur in einer Gesamtstruktur ausgeführt werden, auch wenn Microsoft Entra Connect in mehreren Gesamtstrukturen installiert wird.

Überprüfen, ob die Geräte mit Active Directory synchronisiert werden

Das Geräterückschreiben sollte jetzt ordnungsgemäß ausgeführt werden. Bedenken Sie, dass es bis zu drei Stunden dauern kann, bis Geräteobjekte in Active Directory zurückgeschrieben werden. Um sicherzustellen, dass Ihre Geräte ordnungsgemäß synchronisiert werden, gehen Sie nach Abschluss der Synchronisierungsregeln wie folgt vor:

1. Starten Sie das Active Directory-Verwaltungscenter.

2. Erweitern Sie "RegisteredDevices" innerhalb der Verbunddomäne.

   

3. Die gegenwärtig registrierten Geräte werden hier aufgeführt.

   

Aktivieren des bedingten Zugriffs

Ausführliche Informationen zum Aktivieren dieses Szenarios finden Sie unter Einrichten des lokalen bedingten Zugriffs mithilfe der Microsoft Entra-Geräteregistrierung.

Problembehandlung

Kontrollkästchen für das Rückschreiben ist weiterhin deaktiviert

Wenn das Kontrollkästchen für das Geräterückschreiben nicht aktiviert ist, obwohl Sie die oben beschriebenen Schritte befolgt haben, können Sie mit den folgenden Schritten nachvollziehen, was der Installations-Assistent überprüft, bevor das Kontrollkästchen aktiviert wird.

Zuerst die wichtigen Dinge:

• Das Schema der Gesamtstruktur, in der die Geräte vorhanden sind, muss auf Windows 2012 R2 aktualisiert werden, damit das Geräteobjekt und die zugehörigen Attribute vorhanden sind.
• Wenn der Installations-Assistent bereits ausgeführt wird, werden keine Änderungen erkannt. Führen Sie den Installations-Assistenten in diesem Fall aus, und führen Sie ihn dann erneut aus.
• Stellen Sie sicher, dass das von Ihnen im Initialisierungsskript bereitgestellte Konto tatsächlich der richtige Benutzer ist, der vom Active Directory Connector verwendet wird. Gehen Sie dazu wie folgt vor:
  • Öffnen Sie im Startmenü den Synchronisierungsdienst.
  • Öffnen Sie die Registerkarte Connectors .
  • Suchen Sie nach dem Connector mit dem Typ „Active Directory-Domänendienste“, und wählen Sie ihn aus.
  • Klicken Sie unter Aktionen auf Eigenschaften.
  • Navigieren Sie zu Mit Active Directory-Gesamtstruktur verbinden. Stellen Sie sicher, dass die Domäne und der Benutzername, die auf diesem Bildschirm angegeben sind, mit dem im Skript angegebenen Konto übereinstimmen.

Überprüfen der Konfiguration in Active Directory:

• Überprüfen Sie, ob sich der Geräteregistrierungsdienst am unten angegebenen Ort (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) unter dem Konfigurationsnamenskontext befindet.

• Stellen Sie sicher, dass nur ein Konfigurationsobjekt vorhanden ist, indem Sie den Konfigurationsnamespace durchsuchen. Löschen Sie das Duplikat, falls mehr als ein Objekt vorhanden ist.

• Stellen Sie für das Geräteregistrierungsdienst-Objekt sicher, dass msDS-DeviceLocation für das Attribut vorhanden ist und über einen Wert verfügt. Suchen Sie nach diesem Ort, und vergewissern Sie sich, dass er vorhanden ist und „objectType msDS-DeviceContainer“ enthält.

• Überprüfen Sie, ob das vom Active Directory Connector verwendete Konto über die erforderlichen Berechtigungen für den Container „Registrierte Geräte“ aus dem vorherigen Schritt verfügt. Dies sind die erwarteten Berechtigungen für diesen Container:

• Stellen Sie sicher, dass das Active Directory-Konto über Berechtigungen für das Objekt „CN=Device Registration Configuration,CN=Services,CN=Configuration“ verfügt.

Zusätzliche Informationen

• Verwalten von Risiken mit bedingtem Zugriff
• Einrichten des lokalen bedingten Zugriffs mithilfe der Microsoft Entra-Geräteregistrierung

Nächste Schritte

Weitere Informationen finden Sie unter Integrieren Ihrer lokalen Identitäten in Microsoft Entra ID.