Azure AD Connect: Aktivera tillbakaskrivning av enheter

Anteckning

En prenumeration på Azure AD Premium krävs för tillbakaskrivning av enheter.

Följande dokumentation innehåller information om hur du aktiverar funktionen för tillbakaskrivning av enheter i Azure AD Connect. Tillbakaskrivning av enhet används i följande scenarier:

Detta ger ytterligare säkerhet och garantier för att åtkomst till program endast beviljas till betrodda enheter. Mer information om villkorsstyrd åtkomst finns i Hantera risker med villkorsstyrd åtkomst och Konfigurera lokal villkorsstyrd åtkomst med hjälp av Azure Active Directory Device Registration.

Viktigt

  • Enheterna måste finnas i samma skog som användarna. Eftersom enheter måste skrivas tillbaka till en enda skog stöder den här funktionen för närvarande inte en distribution med flera användarskogar.
  • Endast ett konfigurationsobjekt för enhetsregistrering kan läggas till i lokal Active Directory skog. Den här funktionen är inte kompatibel med en topologi där lokal Active Directory synkroniseras till flera Azure AD kataloger.
  • Del 1: Installera Azure AD Connect

    Installera Azure AD Anslut med anpassade inställningar eller Express-inställningar. Microsoft rekommenderar att du börjar med att alla användare och grupper synkroniseras innan du aktiverar tillbakaskrivning av enheter.

    Del 2: Aktivera tillbakaskrivning av enheter i Azure AD Connect

    1. Kör installationsguiden igen. Välj Konfigurera enhetsalternativ på sidan Ytterligare uppgifter och klicka på Nästa.

      Konfigurera enhetsalternativ

      Anteckning

      De nya alternativen för att konfigurera enheter är endast tillgängliga i version 1.1.819.0 och senare.

    2. På sidan enhetsalternativ väljer du Konfigurera tillbakaskrivning av enhet. Alternativet Inaktivera tillbakaskrivning av enhet är inte tillgängligt förrän tillbakaskrivning av enheter har aktiverats. Klicka på Nästa för att gå till nästa sida i guiden. Välj enhetsåtgärd

    3. På sidan tillbakaskrivning ser du den angivna domänen som standardskog för tillbakaskrivning av enhet. Målskog för tillbakaskrivning av anpassad installationsenhet

    4. På sidan Enhetscontainer kan du förbereda active directory med något av de två tillgängliga alternativen:

      a. Ange autentiseringsuppgifter för företagsadministratör: Om autentiseringsuppgifterna för företagsadministratören anges för skogen där enheter måste skrivas tillbaka förbereder Azure AD Connect skogen automatiskt under konfigurationen av tillbakaskrivning av enheter.

      b. Ladda ned PowerShell-skript: Azure AD Connect genererar automatiskt ett PowerShell-skript som kan förbereda Active Directory för tillbakaskrivning av enheter. Om autentiseringsuppgifterna för företagsadministratören inte kan anges i Azure AD Connect, rekommenderas det att du laddar ned PowerShell-skriptet. Ange det nedladdade PowerShell-skriptet CreateDeviceContainer.ps1 till företagsadministratören för skogen där enheterna ska skrivas tillbaka till. Förbereda active directory-skog

      Följande åtgärder utförs för att förbereda Active Directory-skogen:

      • Om de inte redan finns skapar och konfigurerar du nya containrar och objekt under CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
      • Om de inte redan finns skapar och konfigurerar du nya containrar och objekt under CN=RegisteredDevices,[domain-dn]. Enhetsobjekt skapas i den här containern.
      • Anger nödvändiga behörigheter för Azure AD Connector-kontot för att hantera enheter i Active Directory.
      • Behöver bara köras på en skog, även om Azure AD Connect installeras på flera skogar.

    Kontrollera att enheter synkroniseras till Active Directory

    Tillbakaskrivning av enheter bör nu fungera korrekt. Tänk på att det kan ta upp till 3 timmar innan enhetsobjekt skrivs tillbaka till AD. Kontrollera att dina enheter synkroniseras korrekt genom att göra följande när synkroniseringsreglerna har slutförts:

    1. Starta Active Directory Administrationscenter.

    2. Expandera RegisteredDevices inom domänen som federeras.

      Active Directory Admin Center-registrerade enheter

    3. Aktuella registrerade enheter visas där.

      Lista över registrerade enheter i Active Directory Admin Center

    Aktivera villkorlig åtkomst

    Detaljerade instruktioner för att aktivera det här scenariot finns i Konfigurera lokal villkorlig åtkomst med Azure Active Directory Device Registration.

    Felsökning

    Kryssrutan för tillbakaskrivning är fortfarande inaktiverad

    Om kryssrutan för tillbakaskrivning av enheter inte är aktiverad även om du har följt stegen ovan, vägleder följande steg dig igenom vad installationsguiden verifierar innan rutan är aktiverad.

    Först och främst:

    • Skogen där enheterna finns måste få skogsschemat uppgraderat till Windows 2012 R2-nivå så att enhetsobjektet och tillhörande attribut finns med.
    • Om installationsguiden redan körs identifieras inga ändringar. I så fall slutför du installationsguiden och kör den igen.
    • Kontrollera att det konto som du anger i initieringsskriptet faktiskt är rätt användare som används av Active Directory Connector. Kontrollera detta genom att följa dessa steg:
      • Öppna Synkroniseringstjänsten på Start-menyn.
      • Öppna fliken Anslutningsappar .
      • Leta reda på anslutningsappen med typen Active Directory Domain Services och välj den.
      • Under Åtgärder väljer du Egenskaper.
      • Gå till Anslut till Active Directory-skog. Kontrollera att domänen och användarnamnet som anges på den här skärmen matchar det konto som anges i skriptet. Anslutningskonto i Sync Service Manager

    Verifiera konfigurationen i Active Directory:

    • Kontrollera att registreringstjänsten för enheter finns på platsen nedan (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) under konfigurationens namngivningskontext.

    Felsöka DeviceRegistrationService i konfigurationsnamnområdet

    • Kontrollera att det bara finns ett konfigurationsobjekt genom att söka i konfigurationens namnområde. Om det finns fler än en tar du bort dubbletten.

    Felsök, sök efter dubblettobjekten

    • Se till att attributet msDS-DeviceLocation finns för Device Registration Service-objektet och att det har ett värde. Leta upp den här platsen och kontrollera att den finns med objectType msDS-DeviceContainer.

    Felsök, msDS-DeviceLocation

    Felsöka objektklassen RegisteredDevices

    • Kontrollera att kontot som Active Directory Connector använder har de behörigheter som krävs för containern Registrerade enheter som du letade rätt på i föregående steg. Det här är de förväntade behörigheterna för den här containern:

    Felsöka, verifiera behörigheter för containern

    • Kontrollera att Active Directory-kontot har behörigheter för objektet CN=Device Registration Configuration,CN=Services,CN=Configuration.

    Felsöka, verifiera behörigheter för enhetsregistreringskonfiguration

    Ytterligare information

    Nästa steg

    Läs mer om hur du integrerar dina lokala identiteter med Azure Active Directory.