Share via

Microsoft Entra Koneksi: Mengaktifkan tulis balik perangkat

  • Artikel

Catatan

Langganan Microsoft Entra ID P1 atau P2 diperlukan untuk tulis balik perangkat.

Dokumentasi berikut ini menyediakan informasi tentang cara mengaktifkan fitur tulis balik perangkat di Microsoft Entra Koneksi. Tulis Balik Perangkat digunakan dalam skenario berikut:

Fitur ini memberikan keamanan dan jaminan tambahan bahwa akses ke aplikasi hanya diberikan ke perangkat tepercaya. Untuk informasi selengkapnya tentang Akses Bersyarat, lihat Mengelola Risiko dengan Akses Bersyarat dan Menyiapkan Akses Bersyarat Lokal menggunakan Pendaftaran Perangkat Microsoft Entra.

Penting

  • Perangkat harus ditempatkan di forest yang sama dengan pengguna. Karena perangkat harus ditulis balik ke satu forest, fitur ini saat ini tidak mendukung penyebaran dengan beberapa forest pengguna.
  • Hanya satu objek konfigurasi pendaftaran perangkat yang dapat ditambahkan ke forest Layanan Domain Active Directory lokal. Fitur ini tidak kompatibel dengan topologi tempat Active Directory lokal disinkronkan ke beberapa direktori Microsoft Entra.

    • Bagian 1: Menginstal Microsoft Entra Koneksi

    Instal Microsoft Entra Koneksi menggunakan pengaturan Kustom atau Ekspres. Microsoft menyarankan untuk memulai dengan semua pengguna dan grup yang berhasil disinkronkan sebelum Anda mengaktifkan tulis balik perangkat.

    Bagian 2: Mengaktifkan tulis balik perangkat di Microsoft Entra Koneksi

    1. Jalankan wizard penginstalan lagi. Pilih Mengonfigurasi opsi perangkat dari halaman Tugas Tambahan, lalu klik Berikutnya.

      Configure device options

      Catatan

      Opsi Konfigurasi perangkat baru hanya tersedia di versi 1.1.819.0 dan yang lebih baru.

    2. Pada halaman opsi perangkat, pilih Mengonfigurasi tulis balik perangkat. Opsi untuk Menonaktifkan tulis balik perangkat tidak akan tersedia hingga tulis balik perangkat diaktifkan. Klik Berikutnya untuk pindah ke halaman berikutnya di wizard. Chose device operation

    3. Pada halaman tulis balik, Anda akan melihat domain yang disediakan sebagai forest tulis balik Perangkat default. Custom Install device writeback target forest

    4. Halaman Kontainer perangkat menyediakan opsi untuk menyiapkan direktori aktif dengan menggunakan salah satu dari dua opsi yang tersedia:

      a. Berikan kredensial administrator perusahaan: Jika kredensial administrator perusahaan disediakan untuk forest tempat perangkat perlu ditulis kembali, Microsoft Entra Koneksi akan menyiapkan forest secara otomatis selama konfigurasi tulis balik perangkat.

      b. Unduh skrip PowerShell: Microsoft Entra Koneksi secara otomatis menghasilkan skrip PowerShell yang dapat menyiapkan direktori aktif untuk tulis balik perangkat. Jika info masuk administrator perusahaan tidak dapat disediakan di Microsoft Entra Koneksi, disarankan untuk mengunduh skrip PowerShell. Berikan skrip PowerShell CreateDeviceContainer.ps1 yang sudah diunduh ke administrator perusahaan forest tempat perangkat akan ditulis balik. Prepare active directory forest

      Operasi berikut dilakukan untuk menyiapkan forest direktori aktif:

      • Jika belum ada, buat dan konfigurasikan kontainer dan objek baru di bawah CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
      • Jika belum ada, buat dan konfigurasikan kontainer dan objek baru di bawah CN=RegisteredDevices,[domain-dn]. Objek perangkat akan dibuat di kontainer ini.
      • Mengatur izin yang diperlukan pada akun Microsoft Entra Koneksi or, untuk mengelola perangkat di Direktori Aktif Anda.
      • Hanya perlu berjalan di satu forest, bahkan jika Microsoft Entra Koneksi sedang dipasang di beberapa forest.

    Memastikan Perangkat disinkronkan ke Direktori Aktif

    Seharusnya tulis balik perangkat sudah berfungsi dengan benar saat ini. Perlu diketahui bahwa diperlukan waktu hingga 3 jam agar objek perangkat dapat ditulis balik ke AD. Untuk memverifikasi bahwa perangkat Anda disinkronkan dengan benar, lakukan hal berikut setelah aturan sinkronisasi selesai:

    1. Luncurkan Pusat Administratif Direktori Aktif.

    2. Perluas RegisteredDevices di dalam Domain yang sedang difederasikan.

      Active Directory Admin Center Registered Devices

    3. Perangkat terdaftar saat ini akan tercantum di sana.

      Active Directory Admin Center Registered Devices List

    Mengaktifkan Akses Bersyarat

    Instruksi terperinci untuk mengaktifkan skenario ini tersedia dalam Menyiapkan Akses Bersyariah Lokal menggunakan Pendaftaran Perangkat Microsoft Entra.

    Pemecahan Masalah

    Kotak centang tulis balik masih dinonaktifkan

    Jika kotak centang untuk tulis balik perangkat tidak diaktifkan meskipun Anda telah mengikuti langkah-langkah di atas, langkah-langkah berikut akan memandu Anda melalui apa yang diverifikasi wizard penginstalan sebelum kotak diaktifkan.

    Yang pertama:

    • Forest tempat perangkat berada harus meningkatkan skema forest ke tingkat Windows 2012 R2 sehingga objek perangkat dan atribut terkait akan terlihat.
    • Jika wizard penginstalan sudah berjalan, perubahan apa pun tidak akan terdeteksi. Dalam hal ini, selesaikan wizard penginstalan dan jalankan wizard lagi.
    • Pastikan akun yang Anda berikan dalam skrip inisialisasi adalah pengguna sesungguhnya yang digunakan oleh Konektor Direktori Aktif. Untuk memverifikasi hal ini, ikuti langkah-langkah berikut:
      • Dari menu mulai, buka Layanan Sinkronisasi.
      • Buka tab Konektor.
      • Temukan Konektor dengan jenis Active Directory Domain Services, lalu pilih konektor tersebut.
      • Di bawah Tindakan, pilih Properti.
      • Buka Menyambungkan ke Hutan Active Directory. Pastikan bahwa domain dan nama pengguna yang disebutkan di layar ini cocok dengan akun yang diberikan ke skrip. Connector account in Sync Service Manager

    Verifikasi konfigurasi di Direktori Aktif:

    • Pastikan bahwa Layanan Pendaftaran Perangkat terletak di lokasi di bawah ini (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) pada bagian konteks penamaan konfigurasi.

    Troubleshoot, DeviceRegistrationService in configuration namespace

    • Verifikasi hanya ada satu objek konfigurasi dengan mencari namespace konfigurasi. Jika ada lebih dari satu, hapus duplikat.

    Troubleshoot, search for the duplicate objects

    • Pada objek Layanan Pendaftaran Perangkat, pastikan atribut msDS-DeviceLocation ada dan memiliki nilai. Cari lokasi ini dan pastikan lokasi tersebut ada dengan objectType msDS-DeviceContainer.

    Troubleshoot, msDS-DeviceLocation

    Troubleshoot, RegisteredDevices object class

    • Pastikan akun yang digunakan oleh Konektor Direktori Aktif memiliki izin yang diperlukan pada kontainer Perangkat Terdaftar yang ditemukan pada langkah sebelumnya. Ini adalah izin yang diharapkan pada kontainer ini:

    Troubleshoot, verify permissions on container

    • Pastikan akun Direktori Aktif memiliki izin pada objek CN=Device Registration Configuration,CN=Services,CN=Configuration.

    Troubleshoot, verify permissions on Device Registration Configuration

    Informasi Tambahan

    Langkah berikutnya

    Pelajari selengkapnya tentang Mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra.