Microsoft Entra Connessione: Abilitazione del writeback dei dispositivi

  • Articolo

Nota

Per il writeback del dispositivo è necessaria una sottoscrizione a Microsoft Entra ID P1 o P2.

La documentazione seguente fornisce informazioni su come abilitare la funzionalità di writeback dei dispositivi in Microsoft Entra Connessione. Il writeback dei dispositivi viene usato negli scenari seguenti:

Questo offre maggiore sicurezza e garantisce che l'accesso alle applicazioni venga concesso solo ai dispositivi attendibili. Per maggiori informazioni sull'accesso condizionale, consultare la sezione Gestione dei rischi con l'accesso condizionale e Configurazione dell'accesso condizionale locale usando il servizio Registrazione dispositivo Microsoft Entra.

Importante

  • I dispositivi devono trovarsi nella stessa foresta degli utenti. Data la necessità di eseguire il writeback dei dispositivi in una singola foresta, attualmente questa funzionalità non supporta una distribuzione con più foreste utente.
  • Solo un oggetto di configurazione della registrazione dispositivi può essere aggiunto alla foresta locale di Active Directory. Questa funzionalità non è compatibile con una topologia in cui il Active Directory locale viene sincronizzato con più directory di Microsoft Entra.

    • Parte 1: Installare Microsoft Entra Connessione

    Installare Microsoft Entra Connessione usando le impostazioni personalizzate o rapide. È consigliabile iniziare sincronizzando correttamente tutti gli utenti e i gruppi prima di abilitare il writeback dei dispositivi.

    Parte 2: Abilitare il writeback dei dispositivi in Microsoft Entra Connessione

    1. Eseguire nuovamente l'installazione guidata. Selezionare Configura le opzioni del dispositivo dalla pagina Attività aggiuntive e fare clic su Avanti.

      Configure device options

      Nota

      Il nuovo Configura le opzioni del dispositivo è disponibile solo nella versione 1.1.819.0 e successive.

    2. Nella pagina delle opzioni del dispositivo, selezionare Configura il writeback dispositivi. L'opzione Disabilita writeback del dispositivo non sarà disponibile finché il writeback del dispositivo non è abilitato. Fare clic su Successivo per spostarsi alla pagina successiva nella procedura guidata. Chose device operation

    3. Nella pagina writeback verrà visualizzato il dominio fornito come foresta di writeback del dispositivo predefinita. Custom Install device writeback target forest

    4. La pagina Contenitore di dispositivi consente di preparare la active directory tramite una delle due opzioni disponibili:

      a. Specificare le credenziali di amministratore dell'organizzazione: se vengono fornite le credenziali di amministratore dell'organizzazione per la foresta in cui i dispositivi devono essere riscritto, Microsoft Entra Connessione preparerà automaticamente la foresta durante la configurazione del writeback del dispositivo.

      b. Scaricare lo script di PowerShell: Microsoft Entra Connessione genera automaticamente uno script di PowerShell in grado di preparare active directory per il writeback del dispositivo. Se non è possibile specificare le credenziali di amministratore dell'organizzazione in Microsoft Entra Connessione, è consigliabile scaricare lo script di PowerShell. Specificare lo script di PowerShell scaricato CreateDeviceContainer.ps1 all'amministratore dell'organizzazione della foresta in cui verranno riscritto i dispositivi. Prepare active directory forest

      Per preparare la foresta active directory vengono eseguite le operazioni seguenti:

      • Se non esistono già, crea e configura nuovi contenitori e oggetti in CN=Configurazione registrazione dispositivi,CN=Services,CN=Configuration,[forest-dn].
      • Se non esistono già, crea e configura nuovi contenitori e oggetti in CN=RegisteredDevices,[domain-dn]. Gli oggetti dispositivo verranno creati in questo contenitore.
      • Imposta le autorizzazioni necessarie per l'account microsoft Entra Connessione or per gestire i dispositivi in Active Directory.
      • Deve essere eseguito solo in una foresta, anche se Microsoft Entra Connessione è installato in più foreste.

    Verificare che i dispositivi siano sincronizzati con Active Directory

    Il writeback dei dispositivi dovrebbe funzionare correttamente. Tenere presente che l'esecuzione del writeback degli oggetti dispositivo in Active Directory può richiedere fino a 3 ore. Per verificare che i dispositivi siano sincronizzati correttamente, al termine dell'esecuzione delle regole di sincronizzazione seguire questa procedura:

    1. Avviare Centro di amministrazione di Active Directory.

    2. Espandere RegisteredDevices all'interno del dominio che verrà federato.

      Active Directory Admin Center Registered Devices

    3. I dispositivi attualmente registrati saranno elencati qui.

      Active Directory Admin Center Registered Devices List

    Abilitare l'accesso condizionale

    Le istruzioni dettagliate per abilitare questo scenario sono disponibili in Configurazione dell'accesso condizionale locale tramite registrazione del dispositivo Microsoft Entra.

    Risoluzione dei problemi

    La casella di controllo del writeback è ancora disabilitata

    Se la casella di controllo per il writeback del dispositivo non è abilitata anche se sono stati eseguiti i passaggi precedenti, i passaggi seguenti consentono di eseguire la verifica dell'installazione guidata prima che la casella sia abilitata.

    Attività iniziali:

    • Aggiornare al livello Windows 2012 R2 lo schema della foresta in cui si trovano i dispositivi in modo che siano presenti l'oggetto dispositivo e gli attributi associati.
    • Se l'installazione guidata è già in esecuzione, eventuali modifiche non verranno rilevate. In questo caso, completare l'installazione guidata ed eseguirla nuovamente.
    • Assicurarsi che l'account specificato nello script di inizializzazione sia effettivamente l'utente corretto usato da Active Directory Connector. Per verificarlo, seguire questa procedura:
      • Avviare Servizio di sincronizzazionedal menu Start.
      • Aprire la scheda Connettori .
      • Trovare il connettore con il tipo Servizi di dominio di Active Directory e selezionarlo.
      • In Azioni selezionare Proprietà.
      • Passare a Connetti a Foresta Active Directory. Verificare che il dominio e il nome utente specificati in questa schermata corrispondano all'account specificato per lo script. Connector account in Sync Service Manager

    Verificare la configurazione in Active Directory:

    • Verificare che il servizio Registrazione dispositivo si trovi nel percorso seguente (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) nel contesto dei nomi di configurazione.

    Troubleshoot, DeviceRegistrationService in configuration namespace

    • Verificare che sia presente un solo oggetto di configurazione eseguendo una ricerca nello spazio dei nomi di configurazione. Se sono presenti più di uno, eliminare il duplicato.

    Troubleshoot, search for the duplicate objects

    • Assicurarsi che nell'oggetto Device Registration Service sia presente l'attributo msDS-DeviceLocation con un valore associato. Cercare questo percorso e assicurarsi che sia presente con objectType msDS-DeviceContainer.

    Troubleshoot, msDS-DeviceLocation

    Troubleshoot, RegisteredDevices object class

    • Verificare che l'account usato da Active Directory Connector disponga delle autorizzazioni necessarie per il contenitore Dispositivi registrati trovato nel passaggio precedente. Si tratta delle autorizzazioni previste per questo contenitore:

    Troubleshoot, verify permissions on container

    • Verificare che l'account Active Directory disponga delle autorizzazioni nell'oggetto CN=Device Registration Configuration,CN=Services,CN=Configuration.

    Troubleshoot, verify permissions on Device Registration Configuration

    Informazioni aggiuntive

    Passaggi successivi

    Altre informazioni sull'integrazione delle identità locali con Microsoft Entra ID.