Share via

Microsoft Entra Csatlakozás: Eszközvisszaíró engedélyezése

  • Cikk

Megjegyzés:

Az eszközök visszaírásához a Microsoft Entra ID P1 vagy P2 előfizetésére van szükség.

Az alábbi dokumentáció a Microsoft Entra Csatlakozás eszközvisszaíró funkciójának engedélyezéséről nyújt tájékoztatást. Device Writeback is used in the following scenarios:

This provides additional security and assurance that access to applications is granted only to trusted devices. A feltételes hozzáféréssel kapcsolatos további információkért lásd: Kockázatkezelés feltételes hozzáféréssel és Helyszíni feltételes hozzáférés beállítása a Microsoft Entra eszközregisztrációjával.

Fontos

  • Az eszközöknek ugyanabban az erdőben kell lenniük, mint a felhasználók. Mivel az eszközöket egyetlen erdőbe kell visszaírni, ez a funkció jelenleg nem támogatja a több felhasználói erdővel rendelkező üzembe helyezést.
  • Csak egy eszközregisztrációs konfigurációs objektum adható hozzá a helyi Active Directory erdőhöz. Ez a funkció nem kompatibilis olyan topológiával, amelyben a helyi Active Directory szinkronizálva van több Microsoft Entra-címtárral.

    • 1. rész: A Microsoft Entra Csatlakozás telepítése

    Telepítse a Microsoft Entra Csatlakozás egyéni vagy expressz beállításokkal. A Microsoft azt javasolja, hogy az összes felhasználó és csoport sikeresen szinkronizálva legyen az eszközvisszaíró engedélyezése előtt.

    2. rész: Eszközvisszaíró engedélyezése a Microsoft Entra Csatlakozás

    1. Futtassa újra a telepítővarázslót. Válassza az Eszközbeállítások konfigurálása lehetőséget a További feladatok lapon, és kattintson a Tovább gombra.

      Configure device options

      Megjegyzés:

      Az új eszközbeállítások csak az 1.1.819.0-s és újabb verziókban érhetők el.

    2. Az eszközbeállítások lapon válassza az Eszközvisszaíró konfigurálása lehetőséget. Az eszközvisszaíró letiltásának lehetősége csak akkor érhető el, ha az eszközvisszaíró engedélyezve van. A Tovább gombra kattintva lépjen a varázsló következő lapjára. Chose device operation

    3. A visszaíró lapon a megadott tartomány lesz az alapértelmezett eszközvisszaíró erdő. Custom Install device writeback target forest

    4. Az eszköztároló oldala lehetővé teszi az Active Directory előkészítését a két elérhető lehetőség egyikével:

      a. Vállalati rendszergazdai hitelesítő adatok megadása: Ha a vállalati rendszergazdai hitelesítő adatok meg vannak adva ahhoz az erdőhöz, ahol az eszközöket vissza kell írni, a Microsoft Entra Csatlakozás automatikusan előkészíti az erdőt az eszközvisszaíró konfigurálása során.

      b. PowerShell-szkript letöltése: A Microsoft Entra Csatlakozás automatikusan létrehoz egy PowerShell-szkriptet, amely előkészíti az Active Directoryt az eszközvisszaíráshoz. Ha a vállalati rendszergazdai hitelesítő adatok nem adhatók meg a Microsoft Entra Csatlakozás, javasoljuk, hogy töltse le a PowerShell-szkriptet. Adja meg a letöltött CreateDeviceContainer.ps1 PowerShell-szkriptet annak az erdőnek a vállalati rendszergazdájának, amelybe az eszközök vissza lesznek írva. Prepare active directory forest

      Az Active Directory-erdő előkészítéséhez a következő műveleteket hajtjuk végre:

      • Ha még nem léteznek, új tárolókat és objektumokat hoz létre és konfigurál a CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn] alatt.
      • Ha még nem léteznek, új tárolókat és objektumokat hoz létre és konfigurál a CN=RegisteredDevices,[domain-dn] alatt. Ebben a tárolóban létrejönnek az eszközobjektumok.
      • Beállítja a Microsoft Entra Csatlakozás or-fiókhoz szükséges engedélyeket az Active Directoryban lévő eszközök kezeléséhez.
      • Csak egy erdőben kell futnia, még akkor is, ha a Microsoft Entra Csatlakozás több erdőre van telepítve.

    Annak ellenőrzése, hogy az eszközök szinkronizálva vannak-e az Active Directoryval

    Az eszközvisszaírásnak most már megfelelően kell működnie. Vegye figyelembe, hogy az eszközobjektumok AD-be való visszaírása akár 3 órát is igénybe vehet. Annak ellenőrzéséhez, hogy az eszközök megfelelően vannak-e szinkronizálva, tegye a következőket a szinkronizálási szabályok végrehajtása után:

    1. Indítsa el az Active Directory felügyeleti központot.

    2. Bontsa ki a RegisteredDevices elemet az összevont tartományon belül.

      Active Directory Admin Center Registered Devices

    3. A jelenlegi regisztrált eszközök itt lesznek felsorolva.

      Active Directory Admin Center Registered Devices List

    Feltételes hozzáférés engedélyezése

    A forgatókönyv engedélyezésére vonatkozó részletes utasítások a Helyszíni feltételes hozzáférés beállítása a Microsoft Entra eszközregisztrációval való beállításában érhetők el.

    Hibaelhárítás

    A visszaírási jelölőnégyzet továbbra is le van tiltva

    Ha az eszközvisszaíró jelölőnégyzet nincs engedélyezve, annak ellenére, hogy követte a fenti lépéseket, az alábbi lépések végigvezetik a telepítővarázsló által a jelölőnégyzet engedélyezése előtti ellenőrzésen.

    Először is:

    • Az eszközöket tartalmazó erdő erdősémáját a 2012 R2 Windows szintre kell frissíteni, hogy az eszközobjektum és a társított attribútumok jelen legyenek.
    • Ha a telepítővarázsló már fut, a rendszer nem észleli a módosításokat. Ebben az esetben fejezze be a telepítési varázsló futtatását, és indítsa el újra.
    • Győződjön meg arról, hogy az inicializálási szkriptben megadott fiók valójában az Active Directory Csatlakozás or által használt megfelelő felhasználó. Ennek ellenőrzéséhez kövesse az alábbi lépéseket:
      • A start menüben nyissa meg a Szinkronizálási szolgáltatást.
      • Nyissa meg a Csatlakozás orok lapot.
      • Keresse meg a Csatlakozás ort Active Directory tartományi szolgáltatások típussal, és jelölje ki.
      • A Műveletek csoportban válassza a Tulajdonságok lehetőséget.
      • Lépjen Csatlakozás az Active Directory-erdőbe. Ellenőrizze, hogy a képernyőn megadott tartomány és felhasználónév megegyezik-e a szkripthez megadott fiókkal. Connector account in Sync Service Manager

    Konfigurálás ellenőrzése az Active Directoryban:

    • Ellenőrizze, hogy az eszközregisztrációs szolgáltatás az alábbi helyen található-e (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) a konfiguráció elnevezési környezetében.

    Troubleshoot, DeviceRegistrationService in configuration namespace

    • Ellenőrizze, hogy csak egy konfigurációs objektum van-e a konfigurációs névtérben. Ha több is van, törölje az ismétlődést.

    Troubleshoot, search for the duplicate objects

    • Az Eszközregisztrációs szolgáltatás objektumon győződjön meg arról, hogy az msDS-DeviceLocation attribútum elérhető, és rendelkezik értékkel. Keresse meg ezt a helyet, és győződjön meg arról, hogy megtalálható az objectType msDS-DeviceContainerrel.

    Troubleshoot, msDS-DeviceLocation

    Troubleshoot, RegisteredDevices object class

    • Ellenőrizze, hogy az Active Directory-összekötő által használt fiók rendelkezik-e a szükséges engedélyekkel az előző lépésben megkeresett Regisztrált eszközök tárolón. Ez a tárolóra vonatkozó elvárt engedélyek:

    Troubleshoot, verify permissions on container

    • Ellenőrizze, hogy az Active Directory-fiók rendelkezik-e engedélyekkel a CN=Device Registration Configuration,CN=Services,CN=Configuration objektumon.

    Troubleshoot, verify permissions on Device Registration Configuration

    További információ

    További lépések

    További információ a helyszíni identitások Microsoft Entra-azonosítóval való integrálásáról.