Microsoft Entra Connect: Ativando o write-back do dispositivo

  • Artigo

Nota

É necessária uma subscrição do Microsoft Entra ID P1 ou P2 para write-back do dispositivo.

A documentação a seguir fornece informações sobre como habilitar o recurso de write-back do dispositivo no Microsoft Entra Connect. A Repetição de Escrita de Dispositivos é utilizada nos seguintes cenários:

O Acesso Condicional proporciona uma segurança adicional e a garantia de que o acesso às aplicações é concedido apenas a dispositivos fidedignos. Para obter mais informações sobre o Acesso Condicional, veja Gerir o Risco com o Acesso Condicional e Configurar o Acesso Condicional No Local com o Registo de Dispositivos do Microsoft Entra.

Importante

  • Os dispositivos devem estar localizados na mesma floresta que os usuários. Como os dispositivos devem ser gravados de volta em uma única floresta, esse recurso atualmente não oferece suporte a uma implantação com várias florestas de usuário.
  • Apenas um objeto de configuração de registro de dispositivo pode ser adicionado à floresta do Ative Directory local. Esse recurso não é compatível com uma topologia em que o Ative Directory local é sincronizado com vários diretórios do Microsoft Entra.

    • Parte 1: Instalar o Microsoft Entra Connect

    Instale o Microsoft Entra Connect usando as configurações Custom ou Express. A Microsoft recomenda começar com todos os usuários e grupos sincronizados com êxito antes de habilitar o write-back do dispositivo.

    Parte 2: Habilitar write-back de dispositivo no Microsoft Entra Connect

    1. Execute o assistente de instalação novamente. Selecione Configurar opções de dispositivo na página Tarefas Adicionais e clique em Avançar.

      Configure device options

      Nota

      As novas opções Configurar dispositivo estão disponíveis apenas na versão 1.1.819.0 e mais recente.

    2. Na página de opções do dispositivo, selecione Configurar write-back do dispositivo. A opção Desativar write-back do dispositivo não estará disponível até que o write-back do dispositivo esteja ativado. Clique em Avançar para ir para a próxima página no assistente. Chose device operation

    3. Na página de write-back, você verá o domínio fornecido como a floresta de write-back de dispositivo padrão. Custom Install device writeback target forest

    4. A página de contêiner de dispositivo fornece a opção de preparar o Ative Directory usando uma das duas opções disponíveis:

      a. Fornecer credenciais de administrador corporativo: Se as credenciais de administrador corporativo forem fornecidas para a floresta onde os dispositivos precisam ser gravados de volta, o Microsoft Entra Connect preparará a floresta automaticamente durante a configuração do write-back do dispositivo.

      b. Baixar script do PowerShell: o Microsoft Entra Connect gera automaticamente um script do PowerShell que pode preparar o diretório ativo para write-back do dispositivo. Caso as credenciais de administrador corporativo não possam ser fornecidas no Microsoft Entra Connect, sugere-se baixar o script do PowerShell. Forneça o script do PowerShell baixado CreateDeviceContainer.ps1 ao administrador corporativo da floresta onde os dispositivos serão gravados novamente. Prepare active directory forest

      As seguintes operações são executadas para preparar a floresta do Ative Directory:

      • Se ainda não existirem, cria e configura novos contêineres e objetos em CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
      • Se eles ainda não existirem, cria e configura novos contêineres e objetos em CN=RegisteredDevices,[domain-dn]. Os objetos de dispositivo serão criados neste contêiner.
      • Define as permissões necessárias na conta do Microsoft Entra Connector para gerenciar dispositivos no Ative Directory.
      • Só precisa ser executado em uma floresta, mesmo que o Microsoft Entra Connect esteja sendo instalado em várias florestas.

    Verifique se os dispositivos estão sincronizados com o Ative Directory

    O write-back do dispositivo agora deve estar funcionando corretamente. Lembre-se de que pode levar até 3 horas para que os objetos do dispositivo sejam gravados de volta no AD. Para verificar se os dispositivos estão sendo sincronizados corretamente, faça o seguinte após a conclusão das regras de sincronização:

    1. Inicie o Centro de Administração do Active Directory.

    2. Expanda RegisteredDevices, dentro do Domínio que está sendo federado.

      Active Directory Admin Center Registered Devices

    3. Os dispositivos registrados atuais serão listados lá.

      Active Directory Admin Center Registered Devices List

    Ativar acesso condicional

    Instruções detalhadas para habilitar esse cenário estão disponíveis em Configurando o Acesso Condicional Local usando o Registro de Dispositivo do Microsoft Entra.

    Resolução de problemas

    A caixa de seleção write-back ainda está desativada

    Se a caixa de seleção para write-back do dispositivo não estiver ativada, mesmo que você tenha seguido as etapas acima, as etapas a seguir irão guiá-lo pelo que o assistente de instalação está verificando antes que a caixa seja habilitada.

    Primeiras coisas primeiro:

    • A floresta onde os dispositivos estão presentes tem de ter o esquema de floresta atualizado para o nível Windows 2012 R2 para que o objeto do dispositivo e os atributos associados estejam presentes.
    • Se o assistente de instalação já estiver em execução, as alterações não serão detetadas. Neste caso, conclua o assistente de instalação e volte a executá-lo.
    • Verifique se a conta fornecida no script de inicialização é realmente o usuário correto usado pelo Conector do Ative Directory. Para verificar isso, execute as seguintes etapas:
      • No menu Iniciar, abra o Serviço de Sincronização.
      • Abra a guia Conectores .
      • Localize o Conector com o tipo Serviços de Domínio Ative Directory e selecione-o.
      • Em Ações, selecione Propriedades.
      • Vá para Conectar-se à Floresta do Ative Directory. Verifique se o domínio e o nome de usuário especificados nesta tela correspondem à conta fornecida ao script. Connector account in Sync Service Manager

    Verifique a configuração no Ative Directory:

    • Verifique se o Serviço de Registo de Dispositivos está localizado na localização abaixo (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) no contexto de nomenclatura de configuração.

    Troubleshoot, DeviceRegistrationService in configuration namespace

    • Verifique se há apenas um objeto de configuração pesquisando o namespace de configuração. Se houver mais de um, exclua a duplicata.

    Troubleshoot, search for the duplicate objects

    • No objeto do Serviço de Registo de Dispositivos, confirme que o atributo msDS-DeviceLocation está presente e tem um valor. Pesquise esse local e verifique se ele está presente com o objectType msDS-DeviceContainer.

    Troubleshoot, msDS-DeviceLocation

    Troubleshoot, RegisteredDevices object class

    • Verifique se a conta utilizada pelo Ative Directory Connector exigiu permissões no contentor de Dispositivos Registados encontrado no passo anterior. Estas são as permissões esperadas neste contêiner:

    Troubleshoot, verify permissions on container

    • Verifique se a conta do Active Directory tem permissões no objeto CN=Device Registration Configuration,CN=Services,CN=Configuration.

    Troubleshoot, verify permissions on Device Registration Configuration

    Informações adicionais

    Próximos passos

    Saiba mais sobre como integrar suas identidades locais com a ID do Microsoft Entra.