Microsoft Entra Koneksi: Mengaktifkan tulis balik perangkat
Catatan
Langganan Microsoft Entra ID P1 atau P2 diperlukan untuk tulis balik perangkat.
Dokumentasi berikut ini menyediakan informasi tentang cara mengaktifkan fitur tulis balik perangkat di Microsoft Entra Koneksi. Tulis Balik Perangkat digunakan dalam skenario berikut:
- Mengaktifkan Windows Hello untuk Bisnis menggunakan penyebaran kepercayaan sertifikat hibrida
- Mengaktifkan Akses Bersyarat berdasarkan perangkat ke aplikasi yang dilindungi ADFS (2012 R2 atau versi lebih tinggi) (kepercayaan pihak pengandal).
Fitur ini memberikan keamanan dan jaminan tambahan bahwa akses ke aplikasi hanya diberikan ke perangkat tepercaya. Untuk informasi selengkapnya tentang Akses Bersyarat, lihat Mengelola Risiko dengan Akses Bersyarat dan Menyiapkan Akses Bersyarat Lokal menggunakan Pendaftaran Perangkat Microsoft Entra.
Penting
Bagian 1: Menginstal Microsoft Entra Koneksi
Instal Microsoft Entra Koneksi menggunakan pengaturan Kustom atau Ekspres. Microsoft menyarankan untuk memulai dengan semua pengguna dan grup yang berhasil disinkronkan sebelum Anda mengaktifkan tulis balik perangkat.
Bagian 2: Mengaktifkan tulis balik perangkat di Microsoft Entra Koneksi
Jalankan wizard penginstalan lagi. Pilih Mengonfigurasi opsi perangkat dari halaman Tugas Tambahan, lalu klik Berikutnya.
Catatan
Opsi Konfigurasi perangkat baru hanya tersedia di versi 1.1.819.0 dan yang lebih baru.
Pada halaman opsi perangkat, pilih Mengonfigurasi tulis balik perangkat. Opsi untuk Menonaktifkan tulis balik perangkat tidak akan tersedia hingga tulis balik perangkat diaktifkan. Klik Berikutnya untuk pindah ke halaman berikutnya di wizard.
Pada halaman tulis balik, Anda akan melihat domain yang disediakan sebagai forest tulis balik Perangkat default.
Halaman Kontainer perangkat menyediakan opsi untuk menyiapkan direktori aktif dengan menggunakan salah satu dari dua opsi yang tersedia:
a. Berikan kredensial administrator perusahaan: Jika kredensial administrator perusahaan disediakan untuk forest tempat perangkat perlu ditulis kembali, Microsoft Entra Koneksi akan menyiapkan forest secara otomatis selama konfigurasi tulis balik perangkat.
b. Unduh skrip PowerShell: Microsoft Entra Koneksi secara otomatis menghasilkan skrip PowerShell yang dapat menyiapkan direktori aktif untuk tulis balik perangkat. Jika info masuk administrator perusahaan tidak dapat disediakan di Microsoft Entra Koneksi, disarankan untuk mengunduh skrip PowerShell. Berikan skrip PowerShell CreateDeviceContainer.ps1 yang sudah diunduh ke administrator perusahaan forest tempat perangkat akan ditulis balik.
Operasi berikut dilakukan untuk menyiapkan forest direktori aktif:
- Jika belum ada, buat dan konfigurasikan kontainer dan objek baru di bawah CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
- Jika belum ada, buat dan konfigurasikan kontainer dan objek baru di bawah CN=RegisteredDevices,[domain-dn]. Objek perangkat akan dibuat di kontainer ini.
- Mengatur izin yang diperlukan pada akun Microsoft Entra Koneksi or, untuk mengelola perangkat di Direktori Aktif Anda.
- Hanya perlu berjalan di satu forest, bahkan jika Microsoft Entra Koneksi sedang dipasang di beberapa forest.
Memastikan Perangkat disinkronkan ke Direktori Aktif
Seharusnya tulis balik perangkat sudah berfungsi dengan benar saat ini. Perlu diketahui bahwa diperlukan waktu hingga 3 jam agar objek perangkat dapat ditulis balik ke AD. Untuk memverifikasi bahwa perangkat Anda disinkronkan dengan benar, lakukan hal berikut setelah aturan sinkronisasi selesai:
Luncurkan Pusat Administratif Direktori Aktif.
Perluas RegisteredDevices di dalam Domain yang sedang difederasikan.
Perangkat terdaftar saat ini akan tercantum di sana.
Mengaktifkan Akses Bersyarat
Instruksi terperinci untuk mengaktifkan skenario ini tersedia dalam Menyiapkan Akses Bersyariah Lokal menggunakan Pendaftaran Perangkat Microsoft Entra.
Pemecahan Masalah
Kotak centang tulis balik masih dinonaktifkan
Jika kotak centang untuk tulis balik perangkat tidak diaktifkan meskipun Anda telah mengikuti langkah-langkah di atas, langkah-langkah berikut akan memandu Anda melalui apa yang diverifikasi wizard penginstalan sebelum kotak diaktifkan.
Yang pertama:
- Forest tempat perangkat berada harus meningkatkan skema forest ke tingkat Windows 2012 R2 sehingga objek perangkat dan atribut terkait akan terlihat.
- Jika wizard penginstalan sudah berjalan, perubahan apa pun tidak akan terdeteksi. Dalam hal ini, selesaikan wizard penginstalan dan jalankan wizard lagi.
- Pastikan akun yang Anda berikan dalam skrip inisialisasi adalah pengguna sesungguhnya yang digunakan oleh Konektor Direktori Aktif. Untuk memverifikasi hal ini, ikuti langkah-langkah berikut:
- Dari menu mulai, buka Layanan Sinkronisasi.
- Buka tab Konektor.
- Temukan Konektor dengan jenis Active Directory Domain Services, lalu pilih konektor tersebut.
- Di bawah Tindakan, pilih Properti.
- Buka Menyambungkan ke Hutan Active Directory. Pastikan bahwa domain dan nama pengguna yang disebutkan di layar ini cocok dengan akun yang diberikan ke skrip.
Verifikasi konfigurasi di Direktori Aktif:
- Pastikan bahwa Layanan Pendaftaran Perangkat terletak di lokasi di bawah ini (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) pada bagian konteks penamaan konfigurasi.
- Verifikasi hanya ada satu objek konfigurasi dengan mencari namespace konfigurasi. Jika ada lebih dari satu, hapus duplikat.
- Pada objek Layanan Pendaftaran Perangkat, pastikan atribut msDS-DeviceLocation ada dan memiliki nilai. Cari lokasi ini dan pastikan lokasi tersebut ada dengan objectType msDS-DeviceContainer.
- Pastikan akun yang digunakan oleh Konektor Direktori Aktif memiliki izin yang diperlukan pada kontainer Perangkat Terdaftar yang ditemukan pada langkah sebelumnya. Ini adalah izin yang diharapkan pada kontainer ini:
- Pastikan akun Direktori Aktif memiliki izin pada objek CN=Device Registration Configuration,CN=Services,CN=Configuration.
Informasi Tambahan
- Mengelola Risiko Dengan Akses Bersyarat
- Menyiapkan Akses Bersyar lokal menggunakan Pendaftaran Perangkat Microsoft Entra
Langkah berikutnya
Pelajari selengkapnya tentang Mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra.