Bagikan melalui

Mengonfigurasi Akses Bersyarat di lokasi menggunakan perangkat terdaftar

Dokumen berikut memandu Anda dalam penginstalan dan pengonfigurasian akses bersyarat lokal dengan perangkat yang terdaftar.

akses bersyarah

Prasyarat infrastruktur

Prasyarat berikut diperlukan.

Requirement Description
Langganan Microsoft Entra dengan Microsoft Entra ID P1 atau P2 Untuk mengaktifkan penulisan-kembali perangkat untuk akses bersyarat lokal - uji coba gratis tidak masalah
Langganan Intune hanya diperlukan untuk integrasi MDM untuk skenario kepatuhan perangkat -uji coba gratis tidak masalah
Sinkronisasi Microsoft Entra Connect Dapatkan versi terbaru di sini.
Windows Server 2016 Build 10586 atau yang lebih baru untuk Layanan Federasi Direktori Aktif
Skema Direktori Aktif Windows Server 2016 Diperlukan skema tingkat 85 atau lebih tinggi.
Pengontrol Domain Windows Server 2016 Hanya diperlukan untuk penyebaran kepercayaan kunci di Hello For Business. Untuk informasi selengkapnya, lihat di sini.
Klien Windows 10 Build 10586 atau yang lebih baru, bergabung ke domain di atas diperlukan hanya untuk Windows 10 Domain Join dan Windows Hello untuk skenario Bisnis
Akun pengguna Microsoft Entra yang telah ditetapkan lisensi Microsoft Entra ID P1 atau P2 Untuk mendaftarkan perangkat

Meningkatkan Skema Direktori Aktif Anda

Untuk menggunakan akses bersyarkat lokal dengan perangkat terdaftar, Anda harus terlebih dahulu meningkatkan skema AD Anda. Kondisi berikut harus dipenuhi:

  • Skema harus versi 85 atau yang lebih baru
  • Hanya diperlukan untuk hutan direktori tempat bergabungnya Layanan Federasi Direktori Aktif

Note

Jika Anda menginstal Sinkronisasi Microsoft Entra Connect sebelum memutakhirkan ke versi skema (tingkat 85 atau lebih tinggi) di Windows Server 2016, Anda harus menjalankan kembali penginstalan Sinkronisasi Microsoft Entra Connect dan menyegarkan skema AD lokal untuk memastikan aturan sinkronisasi untuk msDS-KeyCredentialLink dikonfigurasi.

Verifikasi tingkat skema Anda

Untuk memverifikasi tingkat skema Anda, lakukan hal berikut:

  1. Gunakan ADSIEdit.exe atau LDP.exe dan sambungkan ke Konteks Penamaan Skema.
  2. Di ADSIEdit, klik kanan pada "CN=Schema,CN=Configuration,DC=<domain>,DC=<com> dan pilih properti. Ganti domain dan bagian com dengan informasi forest Anda.
  3. Di bawah Editor Atribut, temukan atribut objectVersion dan memberi tahu Anda, versi Anda.

ADSI Edit

Anda juga dapat menggunakan cmdlet PowerShell berikut (ganti objek dengan informasi konteks penamaan skema Anda):

Get-ADObject "cn=schema,cn=configuration,dc=domain,dc=local" -Property objectVersion

PowerShell

Untuk informasi selengkapnya tentang peningkatan, lihat Meningkatkan Pengendali Domain ke Windows Server 2016.

Mengaktifkan Pendaftaran Perangkat Microsoft Entra

Untuk mengonfigurasi skenario ini, Anda harus mengonfigurasi kemampuan pendaftaran perangkat di ID Microsoft Entra.

Untuk melakukan ini, ikuti langkah-langkah di bawah Menyiapkan gabungan Microsoft Entra di organisasi Anda.

Menyiapkan Layanan Federasi Direktori Aktif

  1. Buat farm Layanan Federasi Direktori Aktif 2016 baru.
  2. Atau memigrasikan farm ke Ad FS 2016 dari Ad FS 2012 R2
  3. Sebarkan Microsoft Entra Connect Sync menggunakan jalur custom untuk menyambungkan AD FS ke Microsoft Entra ID.

Mengonfigurasi Tulis Balik Perangkat dan Autentikasi Perangkat

Note

Jika Anda menjalankan Sinkronisasi Microsoft Entra Connect menggunakan Pengaturan Ekspres, objek AD yang benar telah dibuat untuk Anda. Namun, dalam sebagian besar skenario Layanan Federasi Direktori Aktif, Microsoft Entra Connect Sync dijalankan dengan Pengaturan Kustom untuk mengonfigurasi Layanan Federasi Direktori Aktif, sehingga langkah-langkah berikut ini diperlukan.

Membuat objek Active Directory untuk Autentikasi Perangkat AD FS

Jika AD FS farm Anda belum dikonfigurasi untuk Autentikasi Perangkat (Anda mungkin melihat ini di konsol Manajemen AD FS di bawah Layanan -> Pendaftaran Perangkat), gunakan langkah-langkah berikut untuk membuat objek dan konfigurasi AD DS sesuai.

Cuplikan layar yang memperlihatkan layar Gambaran Umum Pendaftaran Perangkat.

Note

Perintah di bawah ini memerlukan alat administrasi Direktori Aktif, jadi jika server federasi Anda juga bukan pengendali domain, pertama-tama instal alat menggunakan langkah 1 di bawah ini. Jika tidak, Anda dapat melewati langkah 1.

  1. Jalankan wizard Tambahkan Peran & Fitur dan pilih fitur Alat Administrasi Server Jarak Jauh ->Alat Administrasi Peran ->AD DS dan Alat AD LDS -> Pilih modul Direktori Aktif untuk Windows PowerShell dan Alat AD DS.

Cuplikan layar yang menyoroti modul Direktori Aktif untuk Windows PowerShell dan opsi Alat AD DS.

  1. Di server utama Layanan Federasi Direktori Aktif Anda, pastikan Anda masuk sebagai pengguna AD DS dengan hak istimewa Admin Perusahaan (EA) dan buka prompt PowerShell yang ditinggikan. Kemudian, jalankan perintah PowerShell berikut:

Import-module activedirectory PS C:\> Initialize-ADDeviceRegistration -ServiceAccountName "<your service account>" 3. Pada jendela pop-up tekan Ya.

Note

Jika layanan AD FS Anda dikonfigurasi untuk menggunakan akun GMSA, masukkan nama akun dalam format "domain\accountname$"

Cuplikan layar yang memperlihatkan cara menggunakan perintah PowerShell yang tercantum.

PSH di atas membuat objek berikut:

  • Kontainer RegisteredDevices di bawah partisi domain AD
  • Kontainer dan objek Layanan Pendaftaran Perangkat di bawah Konfigurasi --> Layanan --> Konfigurasi Pendaftaran Perangkat
  • Kontainer dan objek DKM dari Device Registration Service di bawah Konfigurasi --> Layanan --> Konfigurasi Pendaftaran Perangkat

Cuplikan layar yang memperlihatkan kemajuan objek yang sedang dibuat.

  1. Setelah ini selesai, Anda akan melihat pesan penyelesaian yang berhasil.

Cuplikan layar yang memperlihatkan pesan penyelesaian yang berhasil.

Membuat Titik Koneksi Layanan (SCP) di AD

Jika Anda berencana menggunakan gabungan domain Windows 10 (dengan pendaftaran otomatis ke ID Microsoft Entra) seperti yang dijelaskan di sini, jalankan perintah berikut untuk membuat titik koneksi layanan di AD DS

  1. Buka Windows PowerShell dan jalankan hal berikut:

PS C:>Import-Module -Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1"

Note

Jika perlu, salin file AdSyncPrep.psm1 dari server Sinkronisasi Microsoft Entra Connect Anda. File ini terletak di Program Files\Microsoft Entra Connect\AdPrep

Cuplikan layar yang memperlihatkan jalur ke file AdSyncPrep.

  1. Berikan kredensial Microsoft Entra Conditional Access Administrator Anda.

PS C:>$aadAdminCred = Get-Credential

Cuplikan layar yang memperlihatkan tempat untuk menyediakan kredensial Microsoft Entra Administrator Akses Bersyarat.

  1. Jalankan perintah PowerShell berikut

PS C:>Initialize-ADSyncDomainJoinedComputerSync -AdConnectorAccount [AD connector account name] -AzureADCredentials $aadAdminCred

Di mana [nama akun konektor AD] adalah nama akun yang Anda konfigurasi di Sinkronisasi Microsoft Entra Connect saat menambahkan direktori AD DS lokal Anda.

Perintah di atas memungkinkan klien Windows 10 menemukan domain Microsoft Entra yang benar untuk bergabung dengan membuat objek serviceConnectionpoint di AD DS.

Menyiapkan Active Directory untuk Write-back Perangkat

Untuk memastikan bahwa objek dan kontainer AD DS berada dalam kondisi yang tepat untuk penulisan balik perangkat dari Microsoft Entra ID, lakukan langkah-langkah berikut.

  1. Buka Windows PowerShell dan jalankan hal berikut:

PS C:>Initialize-ADSyncDeviceWriteBack -DomainName <AD DS domain name> -AdConnectorAccount [AD connector account name]

Di mana [nama akun konektor AD] adalah nama akun yang Anda konfigurasi di Sinkronisasi Microsoft Entra Connect saat menambahkan direktori AD DS lokal Anda dalam format domain\accountname

Perintah di atas membuat objek berikut untuk penulisan balik perangkat ke AD DS, jika objek tersebut belum ada, dan memungkinkan akses ke akun konektor AD yang disebutkan.

  • Kontainer RegisteredDevices di partisi domain Active Directory (AD)
  • Kontainer dan objek Layanan Pendaftaran Perangkat di bawah Konfigurasi --> Layanan --> Konfigurasi Pendaftaran Perangkat

Aktifkan Tulis Balik Perangkat pada Microsoft Entra Connect Sync

Jika Anda belum melakukannya sebelumnya, aktifkan penulisan-balik perangkat di Microsoft Entra Connect Sync dengan menjalankan wizard untuk kedua kalinya dan memilih "Sesuaikan Opsi Sinkronisasi", lalu centang kotak untuk penulisan-balik perangkat dan pilih hutan tempat Anda telah menjalankan cmdlet di atas.

Mengonfigurasi Autentikasi Perangkat di AD FS

Menggunakan jendela perintah PowerShell dengan hak administratif, konfigurasikan kebijakan AD FS dengan menjalankan perintah berikut

PS C:>Set-AdfsGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true -DeviceAuthenticationMethod All

Periksa konfigurasi Anda

Untuk referensi Anda, di bawah ini adalah daftar komprehensif perangkat, kontainer, dan izin AD DS yang diperlukan agar write-back dan autentikasi perangkat berfungsi

  • Objek jenis ms-DS-DeviceContainer di CN=RegisteredDevices,DC=<domain>

    • Akses membaca ke akun layanan AD FS
    • akses baca/tulis ke akun konektor Microsoft Entra Connect Sync AD

  • Kontainer CN=Konfigurasi Pendaftaran Perangkat,CN=Layanan,CN=Konfigurasi,DC=<domain>

  • Layanan Registrasi Perangkat DKM Container di bawah kontainer yang disebutkan sebelumnya

Pendaftaran Perangkat

  • Objek tipe serviceConnectionpoint pada CN=<guid>, CN=Pendaftaran Perangkat

  • Konfigurasi,CN=Layanan,CN=Konfigurasi,DC=<domain>

  • akses baca/tulis ke nama akun konektor AD yang ditentukan pada objek baru

  • Objek jenis msDS-DeviceRegistrationServiceContainer di CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain>

  • Objek jenis msDS-DeviceRegistrationService dalam kontainer di atas

Lihat cara kerjanya

Untuk mengevaluasi klaim dan kebijakan baru, pertama-tama daftarkan perangkat. Misalnya, Microsoft Entra bergabung dengan komputer Windows 10 menggunakan aplikasi Pengaturan di bawah Sistem -> Tentang, atau menyiapkan gabungan domain Windows 10 dengan pendaftaran perangkat otomatis mengikuti langkah-langkah tambahan di sini. Untuk informasi tentang bergabung dengan perangkat seluler Windows 10, lihat dokumen di sini.

Untuk evaluasi yang lebih mudah, masuk ke AD FS menggunakan aplikasi pengujian yang menunjukkan daftar klaim. Anda akan dapat melihat klaim baru termasuk isManaged, , isCompliantdan trusttype. Jika Anda mengaktifkan Windows Hello untuk Bisnis, Anda juga akan melihat klaim prt.

Mengonfigurasi Skenario Tambahan

Pendaftaran Otomatis untuk komputer dengan Windows 10 yang terhubung ke Domain

Untuk mengaktifkan pendaftaran perangkat otomatis untuk komputer yang bergabung dengan domain Windows 10, ikuti langkah 1 dan 2 di sini.

  1. Pastikan titik koneksi layanan Anda di AD DS ada dan memiliki izin yang tepat (kami membuat objek ini di atas, tetapi tidak ada salahnya untuk memeriksa kembali).
  2. Pastikan Layanan Federasi Direktori Aktif dikonfigurasi dengan benar
  3. Pastikan sistem Layanan Federasi Direktori Aktif Anda mengaktifkan titik akhir yang benar dan aturan klaim dikonfigurasi
  4. Mengonfigurasi pengaturan kebijakan grup yang diperlukan untuk pendaftaran perangkat otomatis komputer yang terhubung ke domain

Windows Hello untuk Bisnis

Untuk informasi tentang mengaktifkan Windows 10 dengan Windows Hello untuk Bisnis, lihat Mengaktifkan Windows Hello untuk Bisnis di organisasi Anda.

Pendaftaran MDM otomatis

Untuk mengaktifkan pendaftaran MDM otomatis perangkat terdaftar, ikuti langkah-langkah di sini.

Troubleshooting

  1. Jika Anda mendapatkan kesalahan pada Initialize-ADDeviceRegistration yang menunjukkan adanya objek yang sudah ada dalam keadaan yang salah, seperti "Objek layanan DRS telah ditemukan tanpa semua atribut yang diperlukan," Anda mungkin sebelumnya telah menjalankan perintah Microsoft Entra Connect Sync PowerShell dan memiliki konfigurasi yang tidak lengkap di AD DS. Coba hapus secara manual objek di bawah CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain> dan coba lagi.
  2. Untuk klien yang bergabung dengan domain Windows 10
  3. Untuk memverifikasi bahwa autentikasi perangkat berfungsi, masuk ke klien yang bergabung dengan domain sebagai akun pengguna uji. Untuk memicu provisi dengan cepat, kunci dan buka kunci desktop setidaknya satu kali.
  4. Petunjuk untuk memeriksa tautan kredensial kunci STK pada objek AD DS (apakah sinkronisasi masih harus berjalan dua kali?)
  5. Jika Anda mendapatkan kesalahan saat mencoba mendaftarkan komputer Windows bahwa perangkat sudah terdaftar, tetapi Anda tidak dapat atau telah membatalkan pendaftaran perangkat, Anda mungkin memiliki fragmen konfigurasi pendaftaran perangkat di registri. Untuk menyelidiki dan menghapus ini, gunakan langkah-langkah berikut:
  6. Di komputer Windows, buka Regedit dan navigasikan ke HKLM\Software\Microsoft\Enrollments
  7. Di bawah kunci ini, ada subkunci dalam bentuk GUID. Arahkan ke subkunci yang memiliki ~17 nilai di dalamnya dan memiliki "EnrollmentType" dari "6" (MDM joined) atau "13" (Microsoft Entra joined)
  8. Ubah EnrollmentType menjadi 0
  9. Cobalah pendaftaran atau registrasi perangkat lagi
  • Last updated on