Настройка локального условного доступа с помощью зарегистрированных устройств

В следующем документе описано, как установить и настроить локальный условный доступ с зарегистрированными устройствами.

conditional access

Предварительные требования к инфраструктуре

Перед началом работы с локальным условным доступом необходимо выполнить следующие требования.

Требование Описание
Подписка Azure AD с Azure AD Premium Чтобы включить обратную запись устройства для локального условного доступа, бесплатная пробная версия подходит
Подписка Intune требуется только для интеграции MDM для сценариев соответствия устройств . Бесплатная пробная версия подходит
Azure AD Connect QFE за ноябрь 2015 г. или более поздней версии. Получите последнюю версию здесь.
Windows Server 2016 Сборка 10586 или более поздней версии для AD FS
схема Active Directory Windows Server 2016 Требуется уровень схемы 85 или более поздней версии.
контроллер домена Windows Server 2016 Это необходимо только для развертываний с доверием ключей Hello for Business. Дополнительные сведения можно найти здесь.
клиент Windows 10 Сборка 10586 или более поздняя, присоединенная к указанному выше домену, требуется только для Windows 10 присоединения к домену и Windows Hello для бизнеса сценариев только
Учетная запись пользователя Azure AD с назначенной лицензией Azure AD Premium Регистрация устройства

Обновление схемы Active Directory

Чтобы использовать локальный условный доступ с зарегистрированными устройствами, необходимо сначала обновить схему AD. Необходимо выполнить следующие условия: схема должна быть версии 85 или более поздней. Это необходимо только для леса, к которому присоединена служба AD FS.

Примечание

Если вы установили Azure AD Подключение перед обновлением до версии схемы (уровень 85 или более поздней) в Windows Server 2016, необходимо повторно запустить установку Azure AD Подключение и обновить локальную схему AD, чтобы убедиться, что правило синхронизации для msDS-KeyCredentialLink настроено.

Проверка уровня схемы

Чтобы проверить уровень схемы, сделайте следующее:

  1. Вы можете использовать ADSIEdit или LDP и подключиться к контексту именования схем.
  2. С помощью ADSIEdit щелкните правой кнопкой мыши "CN=Schema,CN=Configuration,DC=domain,DC>=<<com>" и выберите свойства. Замените домен и com-части сведениями о лесу.
  3. В редакторе атрибутов найдите атрибут objectVersion и сообщит вам свою версию.

ADSI Edit

Вы также можете использовать следующий командлет PowerShell (замените объект сведениями о контексте именования схем):

Get-ADObject "cn=schema,cn=configuration,dc=domain,dc=local" -Property objectVersion

PowerShell

Дополнительные сведения об обновлении см. в статье об обновлении контроллеров домена до Windows Server 2016.

Включение регистрации устройств Azure AD

Чтобы настроить этот сценарий, необходимо настроить возможность регистрации устройств в Azure AD.

Для этого выполните действия, описанные в разделе "Настройка присоединения к Azure AD в организации"

Настройка AD FS

  1. Создайте новую ферму AD FS 2016.
  2. Или миграция фермы в AD FS 2016 из AD FS 2012 R2
  3. Разверните Azure AD Подключение с помощью пользовательского пути для подключения AD FS к Azure AD.

Настройка обратной записи устройства и проверки подлинности устройства

Примечание

Если вы запустили Azure AD Подключение с помощью Express Параметры, вы создали правильные объекты AD. Однако в большинстве сценариев AD FS azure AD Подключение была запущена с пользовательскими Параметры для настройки AD FS, поэтому необходимо выполнить следующие действия.

Создание объектов AD для проверки подлинности устройств в AD FS

Если ферма AD FS еще не настроена для проверки подлинности устройства (это можно увидеть в консоли управления AD FS в разделе "Служба —> регистрация устройств"), выполните следующие действия, чтобы создать правильные объекты и конфигурацию AD DS.

Screenshot that shows the Device Registration Overview screen.

Примечание. Для приведенных ниже команд требуются средства администрирования Active Directory, поэтому если сервер федерации не является контроллером домена, сначала установите средства с помощью шага 1 ниже. В противном случае можно пропустить этот шаг.

  1. Запустите мастер добавления компонентов ролей и выберите функцию средств удаленного администрирования сервера ->Средства администрирования ролей& ->AD DS и AD LDS —> выберите модуль Active Directory для Windows PowerShell и средств AD DS.

Screenshot that highlights the Active Directory module for Windows PowerShell and the AD DS Tools options.

  1. На основном сервере AD FS убедитесь, что вы вошли в систему как пользователь AD DS с правами администратора Enterprise (EA) и откройте запрос PowerShell с повышенными привилегиями. Затем выполните следующие команды PowerShell:

    Import-module activedirectory PS C:\> Initialize-ADDeviceRegistration -ServiceAccountName "<your service account>"

  2. Во всплывающем окне нажмите кнопку "Да".

Примечание. Если служба AD FS настроена для использования учетной записи GMSA, введите имя учетной записи в формате "domain\accountname$"

Screenshot that shows how to use the listed PowerShell commands.

Указанная выше команда PSH создает следующие объекты:

  • Контейнер RegisteredDevices в разделе домена AD
  • Контейнер и объект службы регистрации устройств в разделе "Конфигурация "> Службы -> Конфигурация регистрации устройств"
  • Контейнер и объект службы регистрации устройств в разделе "Конфигурация "> Службы - Конфигурация регистрации устройств">

Screenshot that shows the progress of the objects being created.

  1. После выполнения этой команды отобразится сообщение об успешном завершении.

Screenshot that shows the successful completion message.

Создание точки подключения службы (SCP) в AD

Если вы планируете использовать присоединение к домену Windows 10 (с автоматической регистрацией в Azure AD), как описано здесь, выполните следующие команды, чтобы создать точку подключения службы в AD DS

  1. Откройте Windows PowerShell и выполните следующую команду:

    PS C:>Import-Module -Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1"

Примечание. При необходимости скопируйте файл AdSyncPrep.psm1 с сервера Подключение Azure AD. Этот файл находится в каталоге Program Files\Microsoft Azure Active Directory Connect\AdPrep

Screenshot that shows the path to the AdSyncPrep file.

  1. Укажите учетные данные глобального администратора Azure AD

    PS C:>$aadAdminCred = Get-Credential

Screenshot that shows where to provide the Azure AD global administrator credentials.

  1. Выполните следующую команду PowerShell

    PS C:>Initialize-ADSyncDomainJoinedComputerSync -AdConnectorAccount [AD connector account name] -AzureADCredentials $aadAdminCred

Где [AD connector account name] — имя учетной записи, которую вы настроили в Azure AD Connect при добавлении локального каталога AD DS.

После выполнения приведенных выше команд клиенты Windows 10 могут найти верный домен Azure AD для присоединения путем создания объекта serviceConnectionpoint в AD DS.

Подготовка AD к обратной записи устройств

Чтобы убедиться, что объекты и контейнеры AD DS находятся в правильном состоянии для обратной записи устройств из Azure AD, выполните следующие действия.

  1. Откройте Windows PowerShell и выполните следующую команду:

    PS C:>Initialize-ADSyncDeviceWriteBack -DomainName <AD DS domain name> -AdConnectorAccount [AD connector account name]

Где [AD connector account name] — имя учетной записи, которую вы настроили в Azure AD Connect при добавлении локального каталога AD DS в формате domain\accountname

Приведенная выше команда создает следующие объекты для обратной записи устройства в AD DS, если они еще не существуют, и разрешает доступ к указанному имени учетной записи соединителя AD.

  • Контейнер RegisteredDevices в разделе домена AD
  • Контейнер и объект службы регистрации устройств в разделе "Конфигурация "> Службы -> Конфигурация регистрации устройств"

Включение обратной записи устройств в Azure AD Connect

Если вы еще не сделали этого, включите обратную запись устройства в Azure AD Подключение, запустив мастер второй раз и выбрав "Настроить параметры синхронизации", а затем установите флажок для обратной записи устройства и выберите лес, в котором вы выполнили приведенные выше командлеты.

Настройка проверки подлинности устройств в AD FS

Используйте окно командной строки PowerShell с повышенными привилегиями для настройки политики AD FS путем выполнения следующей команды

PS C:>Set-AdfsGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true -DeviceAuthenticationMethod All

Проверка конфигурации

Для справки ниже приведен полный список устройств, контейнеров и разрешений AD DS, необходимых для обратной записи устройства и проверки подлинности для работы.

  • Объект типа ms-DS-DeviceContainer в CN=RegisteredDevices,DC=<domain>

    • Доступ на чтение к учетной записи службы AD FS
    • Доступ на чтение и запись к учетной записи соединителя Azure AD Подключение синхронизации

  • Контейнер CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<домен>

  • Контейнер DKM службы регистрации устройств под указанным выше контейнером

Device Registration

  • Объект типа serviceConnectionpoint at CN=<guid>, CN=Device Registration

  • Configuration,CN=Services,CN=Configuration,DC=<домен>

    • Доступ на чтение и запись к указанному имени учетной записи соединителя AD в новом объекте

  • Объект типа msDS-DeviceRegistrationServiceContainer at CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=&ltdomain>

  • Объект типа msDS-DeviceRegistrationService в приведенном выше контейнере

См. его работу

Чтобы оценить новые утверждения и политики, сначала зарегистрируйте устройство. Например, вы можете присоединиться к компьютеру Windows 10 Azure AD с помощью приложения Параметры в разделе "Система —> о программе" или настроить Windows 10 присоединение к домену с помощью автоматической регистрации устройств, выполнив дополнительные действия. Сведения о присоединении Windows 10 мобильных устройств см. здесь.

Для простейших вычислений войдите в AD FS с помощью тестового приложения, отображающего список утверждений. Вы сможете просматривать новые утверждения, включая isManaged, isCompliant и trusttype. Если включить Windows Hello для бизнеса, вы также увидите утверждение prt.

Настройка дополнительных сценариев

Автоматическая регистрация для компьютеров, присоединенных к домену Windows 10

Чтобы включить автоматическую регистрацию устройств для Windows 10 присоединенных к домену компьютеров, выполните действия 1 и 2. Это поможет вам достичь следующих целей:

  1. Убедитесь, что точка подключения службы в AD DS существует и имеет соответствующие разрешения (мы создали этот объект выше, но это не повредит выполнить двойную проверку).
  2. Убедитесь, что AD FS настроен правильно
  3. Убедитесь, что в системе AD FS включены правильные конечные точки и настроены правила утверждений.
  4. Настройка параметров групповой политики, необходимых для автоматической регистрации устройств присоединенных к домену компьютеров

Windows Hello для бизнеса

Сведения о включении Windows 10 с помощью Windows Hello для бизнеса см. в разделе "Включение Windows Hello для бизнеса в организации".

Автоматическая регистрация MDM

Чтобы включить автоматическую регистрацию зарегистрированных устройств MDM, чтобы использовать утверждение isCompliant в политике управления доступом, выполните действия, описанные здесь.

Устранение неполадок

  1. Если появляется сообщение об ошибке, которая жалуется на Initialize-ADDeviceRegistration объект, уже существующий в неправильном состоянии, например "Объект службы DRS найден без всех необходимых атрибутов", возможно, вы ранее выполнили команды Azure AD Подключение PowerShell и имеют частичную конфигурацию в AD DS. Попробуйте удалить объекты вручную в разделе CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain> и повторить попытку.
  2. Для клиентов, присоединенных к домену Windows 10
    1. Чтобы убедиться, что проверка подлинности устройства работает, войдите в клиент, присоединенный к домену, в качестве тестовой учетной записи пользователя. Чтобы быстро активировать подготовку, заблокируйте и разблокируйте рабочий стол по крайней мере один раз.
    2. Инструкции по проверке ссылки на учетные данные ключа STK в объекте AD DS (синхронизация по-прежнему выполняется дважды?)
  3. Если при попытке зарегистрировать компьютер Windows, который устройство уже зарегистрировано, но вы не можете или уже отменили регистрацию устройства, в реестре может появиться фрагмент конфигурации регистрации устройств. Чтобы изучить и удалить это, выполните следующие действия.
    1. На компьютере Windows откройте Regedit и перейдите к HKLM\Software\Microsoft\Enrollments
    2. Под этим ключом в форме GUID будет много подразделов. Перейдите к подразделу со значением ~17 и имеет Значение EnrollmentType 6 [присоединено к MDM] или "13" (присоединено к Azure AD).
    3. Изменение EnrollmentType на 0
    4. Повторите попытку регистрации или регистрации устройства.