Azure AD Connect: write-back van apparaten inschakelen

Notitie

Voor write-back van apparaten is een abonnement op Azure AD Premium vereist.

De volgende documentatie bevat informatie over het inschakelen van de functie voor write-back van apparaten in Azure AD Connect. Write-back van apparaat wordt gebruikt in de volgende scenario's:

• Windows Hello voor Bedrijven inschakelen met behulp van hybride certificaatvertrouwensimplementatie
• Voorwaardelijke toegang inschakelen op basis van apparaten met ADFS (2012 R2 of hoger) beveiligde toepassingen (Relying Party-vertrouwensrelaties).

Dit biedt extra beveiliging en zekerheid dat toegang tot toepassingen alleen wordt verleend aan vertrouwde apparaten. Raadpleeg Risico's beheren met Voorwaardelijke toegang en On-premises Voorwaardelijke toegang instellen met behulp van Azure Active Directory Device Registration voor meer informatie over Voorwaardelijke toegang.

Belangrijk

Apparaten moeten zich in hetzelfde forest bevinden als de gebruikers. Omdat de write-back van apparaten moet plaatsvinden naar één forest, biedt deze functie momenteel geen ondersteuning voor een implementatie met meerdere gebruikersforests.

Er kan slechts één configuratieobject voor apparaatregistratie worden toegevoegd aan het on-premises Active Directory-forest. Deze functie is niet compatibel met een topologie waarbij de on-premises Active Directory wordt gesynchroniseerd met meerdere Azure AD mappen.

Deel 1: Azure AD Connect installeren

Installeer Azure AD Connect met aangepaste of expressinstellingen. Microsoft raadt aan om te beginnen met alle gebruikers en groepen die zijn gesynchroniseerd voordat u write-back van apparaten inschakelt.

Deel 2: Write-back van apparaten inschakelen in Azure AD Connect

1. Voer de installatiewizard opnieuw uit. Selecteer op de pagina Extra taken de optie Apparaatopties configureren en klik op Volgende.

   

   Notitie

   De nieuwe optie Apparaatopties configureren is alleen beschikbaar in versie 1.1.819.0 en hoger.

2. Selecteer op de pagina met apparaatopties de optie Write-back van apparaten configureren. De optie Voor het uitschakelen van apparaat terugschrijven is pas beschikbaar als write-back van apparaat is ingeschakeld. Klik op Volgende om naar de volgende pagina in de wizard te gaan.

3. Op de write-backpagina ziet u het opgegeven domein als het standaardforest voor terugschrijven van apparaten.

4. De pagina Apparaatcontainer biedt de mogelijkheid om de Active Directory voor te bereiden met behulp van een van de twee beschikbare opties:

   a. Bedrijfsbeheerdersreferenties opgeven: als de bedrijfsbeheerdersreferenties worden opgegeven voor het forest waarnaar de write-back van apparaten moet plaatsvinden, bereidt Azure AD Connect het forest automatisch voor tijdens de configuratie van de write-back van apparaten.

   b. Een PowerShell-script downloaden: Azure AD Connect genereert automatisch een PowerShell-script waarmee de Active Directory kan worden voorbereid voor de write-back van apparaten. Als de referenties van de ondernemingsbeheerder niet kunnen worden opgegeven in Azure AD Connect, wordt u aangeraden het PowerShell-script te downloaden. Geef het gedownloade PowerShell-script CreateDeviceContainer.ps1 op aan de bedrijfsbeheerder van het forest waarnaar de write-back van apparaten plaatsvindt.

   De volgende bewerkingen worden uitgevoerd voor het voorbereiden van het Active Directory-forest:

   • Als deze nog niet bestaan, maakt en configureert u nieuwe containers en objecten onder CN=Apparaatregistratieconfiguratie,CN=Services,CN=Configuratie,[forest-dn].
   • Als deze nog niet bestaan, maakt en configureert u nieuwe containers en objecten onder CN=RegisteredDevices,[domain-dn]. Apparaatobjecten worden gemaakt in deze container.
   • Hiermee stelt u de benodigde machtigingen in voor het Azure AD Connector-account om apparaten in uw Active Directory te beheren.
   • Er hoeft slechts één forest te worden uitgevoerd, zelfs als Azure AD Connect wordt geïnstalleerd in meerdere forests.

Controleren of apparaten zijn gesynchroniseerd met Active Directory

Write-back van apparaten zou nu goed moet werken. Houd er rekening mee dat write-back van apparatenobjecten naar AD maximaal 3 uur kan duren. Als u wilt controleren of uw apparaten correct worden gesynchroniseerd, gaat u als volgt te werk nadat de synchronisatieregels zijn voltooid:

1. Start het Active Directory-beheercentrum.

2. Vouw RegisteredDevices uit, binnen het domein dat wordt gefedereerd.

   

3. De huidige geregistreerde apparaten worden daar vermeld.

   

Voorwaardelijke toegang inschakelen

Gedetailleerde instructies voor het inschakelen van dit scenario zijn beschikbaar in On-premises voorwaardelijke toegang instellen met behulp van Azure Active Directory-apparaatregistratie.

Problemen oplossen

Het selectievakje voor write-back is nog steeds uitgeschakeld

Als het selectievakje voor het terugschrijven van apparaten niet is ingeschakeld, ook al hebt u de bovenstaande stappen uitgevoerd, wordt u met de volgende stappen begeleid bij wat de installatiewizard controleert voordat het selectievakje wordt ingeschakeld.

Om te beginnen:

• Voor het forest waar de apparaten aanwezig zijn, moet het forestschema worden bijgewerkt naar het niveau Windows 2012 R2, zodat het apparaatobject en de bijbehorende kenmerken aanwezig zijn.
• Als de installatiewizard al wordt uitgevoerd, worden eventuele wijzigingen niet gedetecteerd. Voltooi in dit geval de installatiewizard en voer deze opnieuw uit.
• Zorg ervoor dat het account dat u in het initialisatiescript op geeft, daadwerkelijk de juiste gebruiker is die wordt gebruikt door de Active Directory-connector. Volg deze stappen om dit te verifiëren:
  • Open Synchronisatieservice vanuit het startmenu.
  • Open het tabblad Connectors.
  • Zoek de connector met het type Active Directory Domain Services en selecteer deze.
  • Selecteer bij Acties de optie Eigenschappen.
  • Ga naar Verbinding maken met Active Directory-forest. Controleer of het domein en de gebruikersnaam die op dit scherm zijn opgegeven, overeenkomen met het account dat voor het script is opgegeven.

Controleer de configuratie in Active Directory:

• Controleer of Device Registration Service zich op de onderstaande locatie (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) onder configuratienaamgevingscontext bevindt.

• Controleer of er slechts één configuratieobject is door te zoeken in de configuratienaamruimte. Als er meer dan één is, verwijdert u het duplicaat.

• Zorg ervoor dat in het object Device Registration Service het kenmerk msDS-DeviceLocation aanwezig is en een waarde heeft. Zoek deze locatie op en zorg ervoor dat deze aanwezig is met het objectType msDS-DeviceContainer.

• Controleer of het account dat wordt gebruikt door de Active Directory-connector de vereiste machtigingen heeft voor de container Geregistreerde apparaten die u in de vorige stap hebt gevonden. Dit zijn de verwachte machtigingen voor deze container:

• Controleer of het Active Directory-account machtigingen heeft voor het object CN=Device Registration Configuration,CN=Services,CN=Configuration.

Aanvullende informatie

• Risico's beheren met voorwaardelijke toegang
• On-premises voorwaardelijke toegang tot Azure Active Directory Device Registration service instellen

Volgende stappen

Lees meer over het integreren van uw on-premises identiteiten met Azure Active Directory.