Microsoft Entra Anslut: Aktivera tillbakaskrivning av enheter
Kommentar
En prenumeration på Microsoft Entra ID P1 eller P2 krävs för tillbakaskrivning av enheter.
Följande dokumentation innehåller information om hur du aktiverar funktionen för tillbakaskrivning av enheter i Microsoft Entra Anslut. Tillbakaskrivning av enhet används i följande scenarier:
- Aktivera Windows Hello för företag med hjälp av distribution av hybridcertifikatförtroende
- Aktivera villkorlig åtkomst baserat på enheter till ADFS-skyddade program (2012 R2 eller senare) (förlitande partförtroenden).
Detta ger ytterligare säkerhet och garantier för att åtkomst till program endast beviljas till betrodda enheter. Mer information om villkorsstyrd åtkomst finns i Hantera risker med villkorsstyrd åtkomst och Konfigurera lokal villkorsstyrd åtkomst med hjälp av Microsoft Entra enhetsregistrering.
Viktigt!
Del 1: Installera Microsoft Entra Anslut
Installera Microsoft Entra Anslut med anpassade inställningar eller Express-inställningar. Microsoft rekommenderar att du börjar med alla användare och grupper som har synkroniserats innan du aktiverar tillbakaskrivning av enheter.
Del 2: Aktivera tillbakaskrivning av enheter i Microsoft Entra Anslut
Kör installationsguiden igen. Välj Konfigurera enhetsalternativ på sidan Ytterligare uppgifter och klicka på Nästa.
Kommentar
De nya alternativen för att konfigurera enheter är endast tillgängliga i version 1.1.819.0 och senare.
På sidan enhetsalternativ väljer du Konfigurera tillbakaskrivning av enhet. Alternativet Inaktivera tillbakaskrivning av enhet är inte tillgängligt förrän tillbakaskrivning av enhet har aktiverats. Klicka på Nästa för att gå till nästa sida i guiden.
På tillbakaskrivningssidan ser du den angivna domänen som standardskog för tillbakaskrivning av enhet.
Sidan Med enhetscontainer kan du förbereda active directory med något av de två tillgängliga alternativen:
a. Ange autentiseringsuppgifter för företagsadministratör: Om autentiseringsuppgifterna för företagsadministratören anges för skogen där enheter måste skrivas tillbaka förbereder Microsoft Entra Anslut skogen automatiskt under konfigurationen av tillbakaskrivning av enheter.
b. Ladda ned PowerShell-skript: Microsoft Entra Anslut genererar automatiskt ett PowerShell-skript som kan förbereda Active Directory för tillbakaskrivning av enheter. Om autentiseringsuppgifterna för företagsadministratören inte kan anges i Microsoft Entra Anslut föreslås det att du laddar ned PowerShell-skriptet. Ange det nedladdade PowerShell-skriptet CreateDeviceContainer.ps1 till företagsadministratören för skogen där enheter skrivs tillbaka till.
Följande åtgärder utförs för att förbereda Active Directory-skogen:
- Om de inte redan finns skapar och konfigurerar du nya containrar och objekt under CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
- Om de inte redan finns skapar och konfigurerar du nya containrar och objekt under CN=RegisteredDevices,[domain-dn]. Enhetsobjekt skapas i den här containern.
- Anger nödvändiga behörigheter för Microsoft Entra-Anslut eller-kontot för att hantera enheter i Active Directory.
- Behöver bara köras på en skog, även om Microsoft Entra Anslut installeras på flera skogar.
Kontrollera att enheter synkroniseras till Active Directory
Tillbakaskrivning av enhet bör nu fungera korrekt. Tänk på att det kan ta upp till 3 timmar innan enhetsobjekt skrivs tillbaka till AD. Kontrollera att dina enheter synkroniseras korrekt genom att göra följande när synkroniseringsreglerna har slutförts:
Starta Active Directory Administrationscenter.
Expandera RegisteredDevices inom domänen som federeras.
Aktuella registrerade enheter visas där.
Aktivera villkorlig åtkomst
Detaljerade instruktioner för att aktivera det här scenariot finns i Konfigurera lokal villkorlig åtkomst med hjälp av Microsoft Entra-enhetsregistrering.
Felsökning
Kryssrutan för tillbakaskrivning är fortfarande inaktiverad
Om kryssrutan för tillbakaskrivning av enheter inte är aktiverad även om du har följt stegen ovan, vägleder följande steg dig genom vad installationsguiden verifierar innan rutan är aktiverad.
Första saker först:
- Skogen där enheterna finns måste få skogsschemat uppgraderat till Windows 2012 R2-nivå så att enhetsobjektet och tillhörande attribut finns med.
- Om installationsguiden redan körs identifieras inga ändringar. I så fall slutför du installationsguiden och kör den igen.
- Kontrollera att det konto som du anger i initieringsskriptet faktiskt är rätt användare som används av Active Directory-Anslut eller. Kontrollera detta genom att följa dessa steg:
- Öppna Synkroniseringstjänsten på Start-menyn.
- Öppna fliken Anslut orer.
- Leta upp Anslut eller med typen Active Directory-domän Services och välj den.
- Under Åtgärder väljer du Egenskaper.
- Gå till Anslut till Active Directory-skogen. Kontrollera att domänen och användarnamnet som anges på den här skärmen matchar det konto som anges i skriptet.
Verifiera konfigurationen i Active Directory:
- Kontrollera att registreringstjänsten för enheter finns på platsen nedan (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) under konfigurationens namngivningskontext.
- Kontrollera att det bara finns ett konfigurationsobjekt genom att söka i konfigurationsnamnområdet. Om det finns fler än en tar du bort dubbletten.
- Se till att attributet msDS-DeviceLocation finns för Device Registration Service-objektet och att det har ett värde. Leta upp den här platsen och kontrollera att den finns med objectType msDS-DeviceContainer.
- Kontrollera att kontot som Active Directory Connector använder har de behörigheter som krävs för containern Registrerade enheter som du letade rätt på i föregående steg. Det här är de förväntade behörigheterna för den här containern:
- Kontrollera att Active Directory-kontot har behörigheter för objektet CN=Device Registration Configuration,CN=Services,CN=Configuration.
Ytterligare Information
- Hantera risker med villkorsstyrd åtkomst
- Konfigurera lokal villkorlig åtkomst med hjälp av Enhetsregistrering i Microsoft Entra
Nästa steg
Läs mer om att integrera dina lokala identiteter med Microsoft Entra-ID.