Microsoft Entra Verbinding maken: Writeback van apparaat inschakelen

Notitie

Een abonnement op Microsoft Entra ID P1 of P2 is vereist voor het terugschrijven van apparaten.

De volgende documentatie bevat informatie over het inschakelen van de functie voor terugschrijven van apparaten in Microsoft Entra Verbinding maken. Write-back van apparaat wordt gebruikt in de volgende scenario's:

• Windows Hello voor Bedrijven inschakelen met behulp van hybride certificaatvertrouwensimplementatie
• Voorwaardelijke toegang inschakelen op basis van apparaten met ADFS (2012 R2 of hoger) beveiligde toepassingen (Relying Party-vertrouwensrelaties).

Dit biedt extra beveiliging en zekerheid dat toegang tot toepassingen alleen wordt verleend aan vertrouwde apparaten. Raadpleeg Risico's beheren met Voorwaardelijke toegang en On-premises Voorwaardelijke toegang instellen met behulp van Microsoft Entra Device Registration voor meer informatie over Voorwaardelijke toegang.

Belangrijk

Apparaten moeten zich in hetzelfde forest bevinden als de gebruikers. Omdat de write-back van apparaten moet plaatsvinden naar één forest, biedt deze functie momenteel geen ondersteuning voor een implementatie met meerdere gebruikersforests.

Er kan slechts één configuratieobject voor apparaatregistratie worden toegevoegd aan het on-premises Active Directory-forest. Deze functie is niet compatibel met een topologie waarbij de on-premises Active Directory wordt gesynchroniseerd met meerdere Microsoft Entra-mappen.

Deel 1: Microsoft Entra Verbinding maken installeren

Installeer Microsoft Entra Verbinding maken met aangepaste of Express-instellingen. Microsoft raadt aan om te beginnen met alle gebruikers en groepen die zijn gesynchroniseerd voordat u write-back van apparaten inschakelt.

Deel 2: Writeback van apparaten inschakelen in Microsoft Entra Verbinding maken

1. Voer de installatiewizard opnieuw uit. Selecteer op de pagina Extra taken de optie Apparaatopties configureren en klik op Volgende.

   

   Notitie

   De nieuwe optie Apparaatopties configureren is alleen beschikbaar in versie 1.1.819.0 en hoger.

2. Selecteer op de pagina met apparaatopties de optie Write-back van apparaten configureren. De optie voor het uitschakelen van terugschrijven van apparaten is pas beschikbaar als apparaat terugschrijven is ingeschakeld. Klik op Volgende om naar de volgende pagina in de wizard te gaan.

3. Op de terugschrijfpagina ziet u het opgegeven domein als het standaardforest voor terugschrijven van apparaten.

4. De pagina Apparaatcontainer biedt de mogelijkheid om de Active Directory voor te bereiden met behulp van een van de twee beschikbare opties:

   a. Geef bedrijfsbeheerdersreferenties op: als de ondernemingsbeheerdersreferenties worden opgegeven voor het forest waarin apparaten moeten worden teruggeschreven, wordt het forest automatisch voorbereid door Microsoft Entra Verbinding maken tijdens de configuratie van het terugschrijven van apparaten.

   b. PowerShell-script downloaden: Microsoft Entra Verbinding maken genereert automatisch een PowerShell-script waarmee de Active Directory kan worden voorbereid voor write-back van apparaten. Als de referenties van de ondernemingsbeheerder niet kunnen worden opgegeven in Microsoft Entra Verbinding maken, wordt u aangeraden het PowerShell-script te downloaden. Geef het gedownloade PowerShell-script CreateDeviceContainer.ps1 op aan de bedrijfsbeheerder van het forest waarnaar de write-back van apparaten plaatsvindt.

   De volgende bewerkingen worden uitgevoerd voor het voorbereiden van het Active Directory-forest:

   • Als deze nog niet bestaan, maakt en configureert u nieuwe containers en objecten onder CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
   • Als deze nog niet bestaan, maakt en configureert u nieuwe containers en objecten onder CN=RegisteredDevices,[domain-dn]. Apparaatobjecten worden gemaakt in deze container.
   • Hiermee stelt u de benodigde machtigingen in voor het Microsoft Entra Verbinding maken or-account om apparaten in uw Active Directory te beheren.
   • Alleen hoeft te worden uitgevoerd op één forest, zelfs als Microsoft Entra Verbinding maken wordt geïnstalleerd op meerdere forests.

Controleren of apparaten zijn gesynchroniseerd met Active Directory

Write-back van apparaten zou nu goed moet werken. Houd er rekening mee dat write-back van apparatenobjecten naar AD maximaal 3 uur kan duren. Als u wilt controleren of uw apparaten correct worden gesynchroniseerd, gaat u als volgt te werk nadat de synchronisatieregels zijn voltooid:

1. Start het Active Directory-beheercentrum.

2. Vouw RegisteredDevices uit, binnen het domein dat wordt gefedereerd.

   

3. De huidige geregistreerde apparaten worden daar vermeld.

   

Voorwaardelijke toegang inschakelen

Gedetailleerde instructies voor het inschakelen van dit scenario zijn beschikbaar bij het instellen van on-premises voorwaardelijke toegang met behulp van Microsoft Entra-apparaatregistratie.

Problemen oplossen

Het selectievakje voor write-back is nog steeds uitgeschakeld

Als het selectievakje voor het terugschrijven van apparaten niet is ingeschakeld, zelfs niet als u de bovenstaande stappen hebt uitgevoerd, worden de volgende stappen u begeleid bij het controleren van de installatiewizard voordat het vak is ingeschakeld.

Om te beginnen:

• Voor het forest waar de apparaten aanwezig zijn, moet het forestschema worden bijgewerkt naar het niveau Windows 2012 R2, zodat het apparaatobject en de bijbehorende kenmerken aanwezig zijn.
• Als de installatiewizard al wordt uitgevoerd, worden er geen wijzigingen gedetecteerd. Voltooi in dit geval de installatiewizard en voer deze opnieuw uit.
• Zorg ervoor dat het account dat u in het initialisatiescript op geeft, daadwerkelijk de juiste gebruiker is die wordt gebruikt door de Active Directory-connector. Voer de volgende stappen uit om dit te controleren:
  • Open Synchronisatieservice vanuit het startmenu.
  • Open het tabblad Connectors.
  • Zoek de connector met het type Active Directory Domain Services en selecteer deze.
  • Selecteer bij Acties de optie Eigenschappen.
  • Ga naar Verbinding maken met Active Directory-forest. Controleer of het domein en de gebruikersnaam die op dit scherm zijn opgegeven, overeenkomen met het account dat voor het script is opgegeven.

Controleer de configuratie in Active Directory:

• Controleer of Device Registration Service zich op de onderstaande locatie (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) onder configuratienaamgevingscontext bevindt.

• Controleer of er slechts één configuratieobject is door de configuratienaamruimte te doorzoeken. Als er meer dan één is, verwijdert u het duplicaat.

• Zorg ervoor dat in het object Device Registration Service het kenmerk msDS-DeviceLocation aanwezig is en een waarde heeft. Zoek deze locatie op en zorg ervoor dat deze aanwezig is met objectType msDS-DeviceContainer.

• Controleer of het account dat wordt gebruikt door de Active Directory-connector de vereiste machtigingen heeft voor de container Geregistreerde apparaten die u in de vorige stap hebt gevonden. Dit zijn de verwachte machtigingen voor deze container:

• Controleer of het Active Directory-account machtigingen heeft voor het object CN=Device Registration Configuration,CN=Services,CN=Configuration.

Aanvullende informatie

• Risico's beheren met voorwaardelijke toegang
• Voorwaardelijke toegang on-premises instellen met microsoft Entra-apparaatregistratie

Volgende stappen

Meer informatie over het integreren van uw on-premises identiteiten met Microsoft Entra-id.