Microsoft Entra Csatlakozás: Eszközvisszaíró engedélyezése
Megjegyzés:
Az eszközök visszaírásához a Microsoft Entra ID P1 vagy P2 előfizetésére van szükség.
Az alábbi dokumentáció a Microsoft Entra Csatlakozás eszközvisszaíró funkciójának engedélyezéséről nyújt tájékoztatást. Device Writeback is used in the following scenarios:
- A Vállalati Windows Hello engedélyezése hibrid tanúsítványmegbízhatósági üzembe helyezéssel
- Feltételes hozzáférés engedélyezése az ADFS -hez (2012 R2 vagy újabb) védett alkalmazásokhoz (függő entitások megbízhatóságai) való eszközök alapján.
This provides additional security and assurance that access to applications is granted only to trusted devices. A feltételes hozzáféréssel kapcsolatos további információkért lásd: Kockázatkezelés feltételes hozzáféréssel és Helyszíni feltételes hozzáférés beállítása a Microsoft Entra eszközregisztrációjával.
Fontos
1. rész: A Microsoft Entra Csatlakozás telepítése
Telepítse a Microsoft Entra Csatlakozás egyéni vagy expressz beállításokkal. A Microsoft azt javasolja, hogy az összes felhasználó és csoport sikeresen szinkronizálva legyen az eszközvisszaíró engedélyezése előtt.
2. rész: Eszközvisszaíró engedélyezése a Microsoft Entra Csatlakozás
Futtassa újra a telepítővarázslót. Válassza az Eszközbeállítások konfigurálása lehetőséget a További feladatok lapon, és kattintson a Tovább gombra.
Megjegyzés:
Az új eszközbeállítások csak az 1.1.819.0-s és újabb verziókban érhetők el.
Az eszközbeállítások lapon válassza az Eszközvisszaíró konfigurálása lehetőséget. Az eszközvisszaíró letiltásának lehetősége csak akkor érhető el, ha az eszközvisszaíró engedélyezve van. A Tovább gombra kattintva lépjen a varázsló következő lapjára.
A visszaíró lapon a megadott tartomány lesz az alapértelmezett eszközvisszaíró erdő.
Az eszköztároló oldala lehetővé teszi az Active Directory előkészítését a két elérhető lehetőség egyikével:
a. Vállalati rendszergazdai hitelesítő adatok megadása: Ha a vállalati rendszergazdai hitelesítő adatok meg vannak adva ahhoz az erdőhöz, ahol az eszközöket vissza kell írni, a Microsoft Entra Csatlakozás automatikusan előkészíti az erdőt az eszközvisszaíró konfigurálása során.
b. PowerShell-szkript letöltése: A Microsoft Entra Csatlakozás automatikusan létrehoz egy PowerShell-szkriptet, amely előkészíti az Active Directoryt az eszközvisszaíráshoz. Ha a vállalati rendszergazdai hitelesítő adatok nem adhatók meg a Microsoft Entra Csatlakozás, javasoljuk, hogy töltse le a PowerShell-szkriptet. Adja meg a letöltött CreateDeviceContainer.ps1 PowerShell-szkriptet annak az erdőnek a vállalati rendszergazdájának, amelybe az eszközök vissza lesznek írva.
Az Active Directory-erdő előkészítéséhez a következő műveleteket hajtjuk végre:
- Ha még nem léteznek, új tárolókat és objektumokat hoz létre és konfigurál a CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn] alatt.
- Ha még nem léteznek, új tárolókat és objektumokat hoz létre és konfigurál a CN=RegisteredDevices,[domain-dn] alatt. Ebben a tárolóban létrejönnek az eszközobjektumok.
- Beállítja a Microsoft Entra Csatlakozás or-fiókhoz szükséges engedélyeket az Active Directoryban lévő eszközök kezeléséhez.
- Csak egy erdőben kell futnia, még akkor is, ha a Microsoft Entra Csatlakozás több erdőre van telepítve.
Annak ellenőrzése, hogy az eszközök szinkronizálva vannak-e az Active Directoryval
Az eszközvisszaírásnak most már megfelelően kell működnie. Vegye figyelembe, hogy az eszközobjektumok AD-be való visszaírása akár 3 órát is igénybe vehet. Annak ellenőrzéséhez, hogy az eszközök megfelelően vannak-e szinkronizálva, tegye a következőket a szinkronizálási szabályok végrehajtása után:
Indítsa el az Active Directory felügyeleti központot.
Bontsa ki a RegisteredDevices elemet az összevont tartományon belül.
A jelenlegi regisztrált eszközök itt lesznek felsorolva.
Feltételes hozzáférés engedélyezése
A forgatókönyv engedélyezésére vonatkozó részletes utasítások a Helyszíni feltételes hozzáférés beállítása a Microsoft Entra eszközregisztrációval való beállításában érhetők el.
Hibaelhárítás
A visszaírási jelölőnégyzet továbbra is le van tiltva
Ha az eszközvisszaíró jelölőnégyzet nincs engedélyezve, annak ellenére, hogy követte a fenti lépéseket, az alábbi lépések végigvezetik a telepítővarázsló által a jelölőnégyzet engedélyezése előtti ellenőrzésen.
Először is:
- Az eszközöket tartalmazó erdő erdősémáját a 2012 R2 Windows szintre kell frissíteni, hogy az eszközobjektum és a társított attribútumok jelen legyenek.
- Ha a telepítővarázsló már fut, a rendszer nem észleli a módosításokat. Ebben az esetben fejezze be a telepítési varázsló futtatását, és indítsa el újra.
- Győződjön meg arról, hogy az inicializálási szkriptben megadott fiók valójában az Active Directory Csatlakozás or által használt megfelelő felhasználó. Ennek ellenőrzéséhez kövesse az alábbi lépéseket:
- A start menüben nyissa meg a Szinkronizálási szolgáltatást.
- Nyissa meg a Csatlakozás orok lapot.
- Keresse meg a Csatlakozás ort Active Directory tartományi szolgáltatások típussal, és jelölje ki.
- A Műveletek csoportban válassza a Tulajdonságok lehetőséget.
- Lépjen Csatlakozás az Active Directory-erdőbe. Ellenőrizze, hogy a képernyőn megadott tartomány és felhasználónév megegyezik-e a szkripthez megadott fiókkal.
Konfigurálás ellenőrzése az Active Directoryban:
- Ellenőrizze, hogy az eszközregisztrációs szolgáltatás az alábbi helyen található-e (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) a konfiguráció elnevezési környezetében.
- Ellenőrizze, hogy csak egy konfigurációs objektum van-e a konfigurációs névtérben. Ha több is van, törölje az ismétlődést.
- Az Eszközregisztrációs szolgáltatás objektumon győződjön meg arról, hogy az msDS-DeviceLocation attribútum elérhető, és rendelkezik értékkel. Keresse meg ezt a helyet, és győződjön meg arról, hogy megtalálható az objectType msDS-DeviceContainerrel.
- Ellenőrizze, hogy az Active Directory-összekötő által használt fiók rendelkezik-e a szükséges engedélyekkel az előző lépésben megkeresett Regisztrált eszközök tárolón. Ez a tárolóra vonatkozó elvárt engedélyek:
- Ellenőrizze, hogy az Active Directory-fiók rendelkezik-e engedélyekkel a CN=Device Registration Configuration,CN=Services,CN=Configuration objektumon.
További információ
- Kockázat kezelése feltételes hozzáféréssel
- Helyszíni feltételes hozzáférés beállítása a Microsoft Entra eszközregisztrációval
További lépések
További információ a helyszíni identitások Microsoft Entra-azonosítóval való integrálásáról.