Microsoft Entra Połączenie: włączanie zapisywania zwrotnego urządzeń

  • Artykuł

Uwaga

Do zapisywania zwrotnego urządzeń wymagana jest subskrypcja microsoft Entra ID P1 lub P2.

Poniższa dokumentacja zawiera informacje na temat włączania funkcji zapisywania zwrotnego urządzeń w usłudze Microsoft Entra Połączenie. Zapis zwrotny urządzeń jest używany w następujących scenariuszach:

Zapewnia to dodatkowe zabezpieczenia i gwarancję, że dostęp do aplikacji jest udzielany tylko zaufanym urządzeniem. Aby uzyskać więcej informacji na temat dostępu warunkowego, zobacz Zarządzanie ryzykiem przy użyciu dostępu warunkowego i Konfigurowanie lokalnego dostępu warunkowego przy użyciu rejestracji urządzeń w usłudze Microsoft Entra.

Ważne

  • Urządzenia muszą znajdować się w tym samym lesie co użytkownicy. Ponieważ urządzenia muszą być zapisywane z powrotem w jednym lesie, ta funkcja nie obsługuje obecnie wdrożenia z wieloma lasami użytkowników.
  • Do lasu lokalna usługa Active Directory można dodać tylko jeden obiekt konfiguracji rejestracji urządzenia. Ta funkcja nie jest zgodna z topologią, w której lokalna usługa Active Directory jest synchronizowana z wieloma katalogami firmy Microsoft Entra.

    • Część 1. Instalowanie Połączenie firmy Microsoft

    Zainstaluj aplikację Microsoft Entra Połączenie przy użyciu ustawień niestandardowych lub ekspresowych. Firma Microsoft zaleca rozpoczęcie od wszystkich użytkowników i grup pomyślnie zsynchronizowanych przed włączeniem zapisywania zwrotnego urządzeń.

    Część 2. Włączanie zapisywania zwrotnego urządzeń w usłudze Microsoft Entra Połączenie

    1. Ponownie uruchom kreatora instalacji. Wybierz pozycję Konfiguruj opcje urządzenia na stronie Dodatkowe zadania, a następnie kliknij przycisk Dalej.

      Configure device options

      Uwaga

      Nowe opcje Konfigurowanie urządzeń są dostępne tylko w wersji 1.1.819.0 i nowszej.

    2. Na stronie opcji urządzenia wybierz pozycję Konfiguruj zapisywanie zwrotne urządzeń. Opcja wyłączenia zapisywania zwrotnego urządzeń nie będzie dostępna do momentu włączenia zapisywania zwrotnego urządzeń. Kliknij przycisk Dalej , aby przejść do następnej strony w kreatorze. Chose device operation

    3. Na stronie zapisywania zwrotnego zostanie wyświetlona podana domena jako domyślny las zapisywania zwrotnego urządzeń. Custom Install device writeback target forest

    4. Strona kontenera urządzeń umożliwia przygotowanie usługi Active Directory przy użyciu jednej z dwóch dostępnych opcji:

      a. Podaj poświadczenia administratora przedsiębiorstwa: jeśli poświadczenia administratora przedsiębiorstwa są udostępniane dla lasu, w którym urządzenia muszą zostać zapisane z powrotem, firma Microsoft Entra Połączenie przygotuje las automatycznie podczas konfiguracji zapisywania zwrotnego urządzeń.

      b. Pobierz skrypt programu PowerShell: firma Microsoft Entra Połączenie automatycznie generuje skrypt programu PowerShell, który może przygotować usługę Active Directory do zapisywania zwrotnego urządzeń. Jeśli nie można podać poświadczeń administratora przedsiębiorstwa w witrynie Microsoft Entra Połączenie, zaleca się pobranie skryptu programu PowerShell. Podaj pobrany skrypt programu PowerShell CreateDeviceContainer.ps1 administratorowi przedsiębiorstwa lasu, do którego będą zapisywane urządzenia. Prepare active directory forest

      Następujące operacje są wykonywane do przygotowywania lasu usługi Active Directory:

      • Jeśli jeszcze nie istnieją, tworzy i konfiguruje nowe kontenery i obiekty w obszarze CN=Konfiguracja rejestracji urządzeń,CN=Services,CN=Configuration,[forest-dn].
      • Jeśli jeszcze nie istnieją, tworzy i konfiguruje nowe kontenery i obiekty w obszarze CN=RegisteredDevices,[domain-dn]. Obiekty urządzeń zostaną utworzone w tym kontenerze.
      • Ustawia niezbędne uprawnienia na koncie microsoft Entra Połączenie or, aby zarządzać urządzeniami w usłudze Active Directory.
      • Należy uruchomić tylko w jednym lesie, nawet jeśli firma Microsoft Entra Połączenie jest instalowana w wielu lasach.

    Sprawdzanie, czy urządzenia są synchronizowane z usługą Active Directory

    Zapisywanie zwrotne urządzeń powinno teraz działać prawidłowo. Należy pamiętać, że zapisanie obiektów urządzeń w usłudze AD może potrwać do 3 godzin. Aby sprawdzić, czy urządzenia są prawidłowo synchronizowane, wykonaj następujące czynności po zakończeniu reguł synchronizacji:

    1. Uruchom Centrum administracyjne usługi Active Directory.

    2. Rozwiń węzeł RegisteredDevices w domenie, która jest sfederowana.

      Active Directory Admin Center Registered Devices

    3. Zostaną tam wyświetlone bieżące zarejestrowane urządzenia.

      Active Directory Admin Center Registered Devices List

    Włączanie dostępu warunkowego

    Szczegółowe instrukcje dotyczące włączania tego scenariusza są dostępne w temacie Konfigurowanie lokalnego dostępu warunkowego przy użyciu rejestracji urządzeń firmy Microsoft Entra.

    Rozwiązywanie problemów

    Pole wyboru zapisywania zwrotnego jest nadal wyłączone

    Jeśli pole wyboru zapisywania zwrotnego urządzeń nie jest włączone, mimo że wykonano powyższe kroki, poniższe kroki przeprowadzą Cię przez proces weryfikacji kreatora instalacji przed włączeniem tego pola.

    Pierwsze rzeczy:

    • Las, w którym znajdują się urządzenia, musi mieć schemat uaktualniony do poziomu Windows 2012 R2, tak aby zawierał obiekt urządzenia i skojarzone atrybuty.
    • Jeśli kreator instalacji jest już uruchomiony, nie zostaną wykryte żadne zmiany. W takim przypadku zakończ pracę kreatora instalacji i uruchom go ponownie.
    • Upewnij się, że konto podane w skrypecie inicjowania jest w rzeczywistości poprawnym użytkownikiem używanym przez usługę Active Directory Połączenie or. Aby to sprawdzić, wykonaj następujące kroki:
      • Z menu Start otwórz usługę synchronizacji.
      • Otwórz kartę Połączenie ors.
      • Znajdź Połączenie or z typem domena usługi Active Directory Services i wybierz go.
      • W obszarze Akcje wybierz pozycję Właściwości.
      • Przejdź do Połączenie do lasu usługi Active Directory. Sprawdź, czy domena i nazwa użytkownika określona na tym ekranie są zgodne z kontem dostarczonym do skryptu. Connector account in Sync Service Manager

    Sprawdź konfigurację w usłudze Active Directory:

    • Sprawdź, czy usługa rejestracji urządzeń znajduje się w poniższej lokalizacji (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) w kontekście nazewnictwa konfiguracji.

    Troubleshoot, DeviceRegistrationService in configuration namespace

    • Sprawdź, czy istnieje tylko jeden obiekt konfiguracji, wyszukując przestrzeń nazw konfiguracji. Jeśli istnieje więcej niż jeden, usuń duplikat.

    Troubleshoot, search for the duplicate objects

    • W obiekcie usługi rejestracji urządzeń upewnij się, że atrybut msDS-DeviceLocation istnieje i ma wartość. Wyszukaj tę lokalizację i upewnij się, że znajduje się ona w obiekcie objectType msDS-DeviceContainer.

    Troubleshoot, msDS-DeviceLocation

    Troubleshoot, RegisteredDevices object class

    • Sprawdź, czy konto używane przez łącznik usługi Active Directory ma wymagane uprawnienia do kontenera Zarejestrowane urządzenia znalezionego w poprzednim kroku. Są to oczekiwane uprawnienia dla tego kontenera:

    Troubleshoot, verify permissions on container

    • Sprawdź, czy konto usługi Active Directory ma uprawnienia do obiektu CN=Device Registration Configuration,CN=Services,CN=Configuration.

    Troubleshoot, verify permissions on Device Registration Configuration

    Dodatkowe informacje

    Następne kroki

    Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.