Microsoft Entra Anslut: Aktivera tillbakaskrivning av enheter

  • Artikel

Kommentar

En prenumeration på Microsoft Entra ID P1 eller P2 krävs för tillbakaskrivning av enheter.

Följande dokumentation innehåller information om hur du aktiverar funktionen för tillbakaskrivning av enheter i Microsoft Entra Anslut. Tillbakaskrivning av enhet används i följande scenarier:

Detta ger ytterligare säkerhet och garantier för att åtkomst till program endast beviljas till betrodda enheter. Mer information om villkorsstyrd åtkomst finns i Hantera risker med villkorsstyrd åtkomst och Konfigurera lokal villkorsstyrd åtkomst med hjälp av Microsoft Entra enhetsregistrering.

Viktigt!

  • Enheterna måste finnas i samma skog som användarna. Eftersom enheter måste skrivas tillbaka till en enda skog stöder den här funktionen för närvarande inte en distribution med flera användarskogar.
  • Endast ett konfigurationsobjekt för enhetsregistrering kan läggas till i den lokal Active Directory skogen. Den här funktionen är inte kompatibel med en topologi där lokal Active Directory synkroniseras till flera Microsoft Entra-kataloger.

    • Del 1: Installera Microsoft Entra Anslut

    Installera Microsoft Entra Anslut med anpassade inställningar eller Express-inställningar. Microsoft rekommenderar att du börjar med alla användare och grupper som har synkroniserats innan du aktiverar tillbakaskrivning av enheter.

    Del 2: Aktivera tillbakaskrivning av enheter i Microsoft Entra Anslut

    1. Kör installationsguiden igen. Välj Konfigurera enhetsalternativ på sidan Ytterligare uppgifter och klicka på Nästa.

      Configure device options

      Kommentar

      De nya alternativen för att konfigurera enheter är endast tillgängliga i version 1.1.819.0 och senare.

    2. På sidan enhetsalternativ väljer du Konfigurera tillbakaskrivning av enhet. Alternativet Inaktivera tillbakaskrivning av enhet är inte tillgängligt förrän tillbakaskrivning av enhet har aktiverats. Klicka på Nästa för att gå till nästa sida i guiden. Chose device operation

    3. På tillbakaskrivningssidan ser du den angivna domänen som standardskog för tillbakaskrivning av enhet. Custom Install device writeback target forest

    4. Sidan Med enhetscontainer kan du förbereda active directory med något av de två tillgängliga alternativen:

      a. Ange autentiseringsuppgifter för företagsadministratör: Om autentiseringsuppgifterna för företagsadministratören anges för skogen där enheter måste skrivas tillbaka förbereder Microsoft Entra Anslut skogen automatiskt under konfigurationen av tillbakaskrivning av enheter.

      b. Ladda ned PowerShell-skript: Microsoft Entra Anslut genererar automatiskt ett PowerShell-skript som kan förbereda Active Directory för tillbakaskrivning av enheter. Om autentiseringsuppgifterna för företagsadministratören inte kan anges i Microsoft Entra Anslut föreslås det att du laddar ned PowerShell-skriptet. Ange det nedladdade PowerShell-skriptet CreateDeviceContainer.ps1 till företagsadministratören för skogen där enheter skrivs tillbaka till. Prepare active directory forest

      Följande åtgärder utförs för att förbereda Active Directory-skogen:

      • Om de inte redan finns skapar och konfigurerar du nya containrar och objekt under CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
      • Om de inte redan finns skapar och konfigurerar du nya containrar och objekt under CN=RegisteredDevices,[domain-dn]. Enhetsobjekt skapas i den här containern.
      • Anger nödvändiga behörigheter för Microsoft Entra-Anslut eller-kontot för att hantera enheter i Active Directory.
      • Behöver bara köras på en skog, även om Microsoft Entra Anslut installeras på flera skogar.

    Kontrollera att enheter synkroniseras till Active Directory

    Tillbakaskrivning av enhet bör nu fungera korrekt. Tänk på att det kan ta upp till 3 timmar innan enhetsobjekt skrivs tillbaka till AD. Kontrollera att dina enheter synkroniseras korrekt genom att göra följande när synkroniseringsreglerna har slutförts:

    1. Starta Active Directory Administrationscenter.

    2. Expandera RegisteredDevices inom domänen som federeras.

      Active Directory Admin Center Registered Devices

    3. Aktuella registrerade enheter visas där.

      Active Directory Admin Center Registered Devices List

    Aktivera villkorlig åtkomst

    Detaljerade instruktioner för att aktivera det här scenariot finns i Konfigurera lokal villkorlig åtkomst med hjälp av Microsoft Entra-enhetsregistrering.

    Felsökning

    Kryssrutan för tillbakaskrivning är fortfarande inaktiverad

    Om kryssrutan för tillbakaskrivning av enheter inte är aktiverad även om du har följt stegen ovan, vägleder följande steg dig genom vad installationsguiden verifierar innan rutan är aktiverad.

    Första saker först:

    • Skogen där enheterna finns måste få skogsschemat uppgraderat till Windows 2012 R2-nivå så att enhetsobjektet och tillhörande attribut finns med.
    • Om installationsguiden redan körs identifieras inga ändringar. I så fall slutför du installationsguiden och kör den igen.
    • Kontrollera att det konto som du anger i initieringsskriptet faktiskt är rätt användare som används av Active Directory-Anslut eller. Kontrollera detta genom att följa dessa steg:
      • Öppna Synkroniseringstjänsten på Start-menyn.
      • Öppna fliken Anslut orer.
      • Leta upp Anslut eller med typen Active Directory-domän Services och välj den.
      • Under Åtgärder väljer du Egenskaper.
      • Gå till Anslut till Active Directory-skogen. Kontrollera att domänen och användarnamnet som anges på den här skärmen matchar det konto som anges i skriptet. Connector account in Sync Service Manager

    Verifiera konfigurationen i Active Directory:

    • Kontrollera att registreringstjänsten för enheter finns på platsen nedan (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) under konfigurationens namngivningskontext.

    Troubleshoot, DeviceRegistrationService in configuration namespace

    • Kontrollera att det bara finns ett konfigurationsobjekt genom att söka i konfigurationsnamnområdet. Om det finns fler än en tar du bort dubbletten.

    Troubleshoot, search for the duplicate objects

    • Se till att attributet msDS-DeviceLocation finns för Device Registration Service-objektet och att det har ett värde. Leta upp den här platsen och kontrollera att den finns med objectType msDS-DeviceContainer.

    Troubleshoot, msDS-DeviceLocation

    Troubleshoot, RegisteredDevices object class

    • Kontrollera att kontot som Active Directory Connector använder har de behörigheter som krävs för containern Registrerade enheter som du letade rätt på i föregående steg. Det här är de förväntade behörigheterna för den här containern:

    Troubleshoot, verify permissions on container

    • Kontrollera att Active Directory-kontot har behörigheter för objektet CN=Device Registration Configuration,CN=Services,CN=Configuration.

    Troubleshoot, verify permissions on Device Registration Configuration

    Ytterligare Information

    Nästa steg

    Läs mer om att integrera dina lokala identiteter med Microsoft Entra-ID.