Microsoft Entra Connect: abilitazione del ripristino dei dati dei dispositivi

Nota

Per il write-back del dispositivo è necessaria una sottoscrizione a Microsoft Entra ID P1 o P2.

La documentazione seguente fornisce informazioni su come abilitare la funzionalità di writeback del dispositivo in Microsoft Entra Connect. Il writeback dei dispositivi viene usato negli scenari seguenti:

• Abilitare Windows Hello for Business usando la distribuzione di certificati ibridi
• Abilitare l'accesso condizionale basato sui dispositivi alle applicazioni protette da ADFS (2012 R2 o versione successiva) (trust della parte affidabile).

Ciò garantisce sicurezza e garanzia aggiuntive che l'accesso alle applicazioni venga concesso solo ai dispositivi attendibili. Per ulteriori informazioni sull'Accesso Condizionale, vedere Gestione del rischio con l'Accesso Condizionale e Configurazione dell'Accesso Condizionale On-premises utilizzando la Registrazione Dispositivi Microsoft Entra.

Importante

I dispositivi devono trovarsi nella stessa foresta degli utenti. Poiché i dispositivi devono essere riscritti in una singola foresta, questa funzionalità non supporta attualmente una distribuzione con più foreste utente.

È possibile aggiungere un solo oggetto di configurazione di registrazione del dispositivo alla foresta Active Directory locale. Questa funzionalità non è compatibile con una topologia in cui Active Directory locale è sincronizzata con più directory di Microsoft Entra.

Parte 1: Installare Microsoft Entra Connect

Installare Microsoft Entra Connect usando le impostazioni personalizzate o rapide. Microsoft consiglia di iniziare con tutti gli utenti e i gruppi sincronizzati correttamente prima di abilitare il writeback dei dispositivi.

Parte 2: Abilitare il writeback dei dispositivi in Microsoft Entra Connect

1. Esegui di nuovo la procedura guidata di installazione. Selezionare Configurare le opzioni del dispositivo nella pagina Attività aggiuntive e selezionare Avanti.

   

   Nota

   Le nuove opzioni Configura dispositivo sono disponibili solo nella versione 1.1.819.0 e successive.

2. Nella pagina delle opzioni del dispositivo selezionare Configurare il writeback del dispositivo. L'opzione per disabilitare il writeback del dispositivo non è disponibile finché il writeback del dispositivo non è abilitato. Selezionare Avanti per passare alla pagina successiva nella procedura guidata.

3. Nella pagina writeback verrà visualizzato il dominio fornito come foresta di writeback del dispositivo predefinita.

4. pagina Contenitore di dispositivi consente di preparare active directory usando una delle due opzioni disponibili:

   un. Specificare le credenziali di amministratore dell'azienda: se vengono fornite le credenziali di amministratore dell'azienda per la foresta in cui i dispositivi devono essere riscritti, Microsoft Entra Connect prepara automaticamente la foresta durante la configurazione del writeback dei dispositivi.

   b. Scaricare lo script di PowerShell: Microsoft Entra Connect genera automaticamente uno script di PowerShell in grado di preparare active directory per il writeback dei dispositivi. Se le credenziali di amministratore dell'organizzazione non possono essere fornite in Microsoft Entra Connect, è consigliabile scaricare lo script di PowerShell. Fornire lo script di PowerShell scaricato CreateDeviceContainer.ps1 all'amministratore dell'azienda della foresta in cui vengono riscritti i dispositivi.

   Per preparare la foresta di Active Directory vengono eseguite le operazioni seguenti:

   • Se non esistono già, crea e configura nuovi contenitori e oggetti in CN=Configurazione registrazione dispositivi,CN=Services,CN=Configuration,[forest-dn].
   • Se non esistono già, crea e configura nuovi contenitori e oggetti in CN=RegisteredDevices,[domain-dn]. Gli oggetti dispositivo vengono creati in questo contenitore.
   • Imposta le autorizzazioni necessarie per l'account Microsoft Entra Connector per gestire i dispositivi in Active Directory.
   • Deve essere eseguito solo in una foresta, anche se Microsoft Entra Connect è installato in più foreste.

Verificare che i dispositivi siano sincronizzati con Active Directory

Il writeback del dispositivo dovrebbe ora funzionare correttamente. Potrebbero essere necessarie fino a 3 ore prima che gli oggetti dei dispositivi vengano riscritti in Active Directory. Per verificare che i dispositivi siano sincronizzati correttamente, eseguire i passaggi seguenti al termine delle regole di sincronizzazione:

1. Avviare centro di amministrazione di Active Directory.

2. Espandi RegisteredDevices, all'interno del dominio che viene federato.

   

3. I dispositivi registrati correnti sono elencati qui.

   

Abilitare l'accesso condizionale

Le istruzioni dettagliate per abilitare questo scenario sono disponibili all'interno di Configurazione dell'accesso condizionale locale tramite Registrazione del dispositivo Microsoft Entra.

Risoluzione dei problemi

La casella di controllo writeback è ancora disabilitata

Se la casella per il writeback del dispositivo non è abilitata anche se hai seguito i passaggi precedenti, i passaggi seguenti ti guideranno su cosa verifica l'installazione guidata prima di abilitare la casella.

Prima di tutto:

• La foresta in cui sono presenti i dispositivi deve avere lo schema della foresta aggiornato al livello Windows 2012 R2 in modo che l'oggetto dispositivo e gli attributi associati siano presenti .
• Se l'installazione guidata è già in esecuzione, eventuali modifiche non vengono rilevate. In questo caso, completare l'installazione guidata ed eseguirla di nuovo.
• Assicurarsi che l'account specificato nello script di inizializzazione sia effettivamente l'utente corretto usato da Active Directory Connector. Per verificarlo, seguire questa procedura:
  • Dal menu Start aprire Servizio di Sincronizzazione.
  • Aprire la scheda Connettori.
  • Trovare il connettore con tipo Servizi di dominio Active Directory e selezionarlo.
  • In Azioni, selezionare Proprietà.
  • Passare a Connetti alla foresta di Active Directory. Verificare che il dominio e il nome utente specificati in questa schermata corrispondano all'account fornito allo script.

Verificare la configurazione in Active Directory:

• Verificare che il servizio Registrazione dispositivi si trovi nel percorso seguente (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) nel contesto di denominazione della configurazione.

• Verificare che sia presente un solo oggetto di configurazione eseguendo una ricerca nello spazio dei nomi di configurazione. Se sono presenti più di uno, eliminare il duplicato.

• Nell'oggetto Device Registration Service verificare che l'attributo msDS-DeviceLocation sia presente e abbia un valore. Cerca questa ubicazione e assicurati che sia presente con "objectType msDS-DeviceContainer".

• Verificare che l'account usato da Active Directory Connector disponga delle autorizzazioni necessarie per il contenitore Dispositivi registrati trovato nel passaggio precedente. Si tratta delle autorizzazioni previste per questo contenitore:

• Verificare che l'account Active Directory disponga delle autorizzazioni per l'oggetto CN=Device Registration Configuration,CN=Services,CN=Configuration.

Informazioni aggiuntive

• Gestione dei rischi con l'accesso condizionale
• Configurazione dell'accesso condizionale locale con registrazione del dispositivo Microsoft Entra

Passaggi successivi

Altre informazioni su L'integrazione delle identità locali con Microsoft Entra ID.