Microsoft Entra Bağlan: Cihaz geri yazmayı etkinleştirme

  • Makale

Dekont

Cihaz geri yazma için Microsoft Entra ID P1 veya P2 aboneliği gereklidir.

Aşağıdaki belgelerde, Microsoft Entra Bağlan'da cihaz geri yazma özelliğini etkinleştirme hakkında bilgi sağlanmaktadır. Aşağıdaki senaryolarda Cihaz Geri Yazma kullanılır:

  • Karma sertifika güveni dağıtımı kullanarak İş İçin Windows Hello etkinleştirme
  • ADFS (2012 R2 veya üzeri) korumalı uygulamalara (bağlı olan taraf güvenleri) cihazlara dayalı Koşullu Erişimi etkinleştirin.

Bu işlem, uygulamalara erişimin yalnızca güvenilen cihazlara verilme konusunda ek güvenlik ve güvence sağlar. Koşullu erişim hakkında daha fazla bilgi edinmek için bkz. Koşullu Erişim ile Risk Yönetimi ve Microsoft Entra Cihaz Kaydı hizmetini kullanarak Şirket İçi Uygulamalara Koşullu Erişim.

Önemli

  • Cihazların kullanıcılarla aynı ormanda bulunması gerekir. Cihazların tek bir ormana geri yazılması gerektiğinden, bu özellik şu anda birden çok kullanıcı ormanına sahip bir dağıtımı desteklemez.
  • şirket içi Active Directory ormanına yalnızca bir cihaz kaydı yapılandırma nesnesi eklenebilir. Bu özellik, şirket içi Active Directory birden çok Microsoft Entra diziniyle eşitlendiği bir topolojiyle uyumlu değildir.

    • Bölüm 1: Microsoft Entra Bağlan yükleme

    Özel veya Hızlı ayarlarını kullanarak Microsoft Entra Bağlan yükleyin. Microsoft, cihaz geri yazmayı etkinleştirmeden önce tüm kullanıcıların ve grupların başarıyla eşitlenmesiyle başlamanızı önerir.

    2. Bölüm: Microsoft Entra Bağlan'da cihaz geri yazmayı etkinleştirme

    1. Yükleme sihirbazını yeniden çalıştırın. Ek Görevler sayfasında Cihaz seçeneklerini yapılandır'ı seçin ve İleri'ye tıklayın.

      Configure device options

      Dekont

      Yeni Cihaz yapılandırma seçenekleri yalnızca 1.1.819.0 ve daha yeni sürümlerde kullanılabilir.

    2. Cihaz seçenekleri sayfasında Cihaz geri yazmayı yapılandır'ı seçin. Cihaz geri yazma etkinleştirilene kadar cihaz geri yazmayı devre dışı bırakma seçeneği kullanılamaz. Sihirbazda sonraki sayfaya gitmek için İleri'ye tıklayın. Chose device operation

    3. Geri yazma sayfasında, sağlanan etki alanını varsayılan Cihaz geri yazma ormanı olarak görürsünüz. Custom Install device writeback target forest

    4. Cihaz kapsayıcısı sayfası, kullanılabilir iki seçeneknden birini kullanarak Active Directory'yi hazırlama seçeneği sağlar:

      a. Kuruluş yöneticisi kimlik bilgilerini sağlayın: Cihazların geri yazılması gereken orman için kuruluş yöneticisi kimlik bilgileri sağlanırsa, Microsoft Entra Bağlan, cihaz geri yazma yapılandırması sırasında ormanı otomatik olarak hazırlar.

      b. PowerShell betiğini indirin: Microsoft Entra Bağlan, active directory'yi cihaz geri yazma için hazırlayabilen bir PowerShell betiğini otomatik olarak oluşturur. Kuruluş yöneticisi kimlik bilgilerinin Microsoft Entra Bağlan'da sağlanamıyor olması durumunda PowerShell betiğini indirmeniz önerilir. İndirilen PowerShell betiğini CreateDeviceContainer.ps1 dosyasını cihazların geri yazılacağı ormanın kuruluş yöneticisine sağlayın. Prepare active directory forest

      Active Directory ormanının hazırlanması için aşağıdaki işlemler gerçekleştirilir:

      • Henüz yoksa, CN=Cihaz Kayıt Yapılandırması,CN=Hizmetler,CN=Yapılandırma,[orman-dn] altında yeni kapsayıcılar ve nesneler oluşturur ve yapılandırır.
      • Henüz yoksa, CN=RegisteredDevices,[domain-dn] altında yeni kapsayıcılar ve nesneler oluşturur ve yapılandırır. Bu kapsayıcıda cihaz nesneleri oluşturulacak.
      • Active Directory'nizdeki cihazları yönetmek için Microsoft Entra Bağlan or hesabında gerekli izinleri ayarlar.
      • Microsoft Entra Bağlan birden çok ormana yüklenmiş olsa bile yalnızca bir ormanda çalışması gerekir.

    Cihazların Active Directory ile eşitlendiğini doğrulama

    Cihaz geri yazma artık düzgün çalışıyor olmalıdır. Cihaz nesnelerinin AD'ye geri yazılması 3 saate kadar sürebilir. Cihazlarınızın düzgün eşitlendiğini doğrulamak için, eşitleme kuralları tamamlandıktan sonra aşağıdakileri yapın:

    1. Active Directory Yönetim Merkezi'ni başlatın.

    2. Federasyon olan Etki Alanı'nın içindeki RegisteredDevices öğesini genişletin.

      Active Directory Admin Center Registered Devices

    3. Geçerli kayıtlı cihazlar burada listelenir.

      Active Directory Admin Center Registered Devices List

    Koşullu Erişimi Etkinleştirme

    Bu senaryoya olanak tanımak için ayrıntılı yönergeler, Microsoft Entra Cihaz Kaydını kullanarak Şirket İçi Koşullu Erişimi Ayarlama bölümünde bulunabilir.

    Sorun giderme

    Geri yazma onay kutusu hala devre dışı

    Yukarıdaki adımları izlemenize rağmen cihaz geri yazma onay kutusu etkin değilse, aşağıdaki adımlar, kutu etkinleştirilmeden önce yükleme sihirbazının neyi doğruladığınız konusunda size yol gösterir.

    Öncelikle:

    • Cihaz nesnesi ve ilişkili özniteliklerin var olması için cihazların bulunduğu ormanın orman şeması Windows 2012 R2 düzeyine yükseltilmelidir.
    • Yükleme sihirbazı zaten çalışıyorsa, herhangi bir değişiklik algılanamaz. Bu durumda yükleme sihirbazını tamamlayın ve sonra yeniden çalıştırın.
    • Başlatma betiğinde sağladığınız hesabın aslında Active Directory Bağlan or tarafından kullanılan doğru kullanıcı olduğundan emin olun. Bunu doğrulamak için şu adımları izleyin:
      • Başlat menüsünden Eşitleme Hizmeti'ni açın.
      • Bağlan orlar sekmesini açın.
      • Active Directory Etki Alanı Hizmetleri türüne sahip Bağlan bulun ve seçin.
      • Eylemler'in altında Özellikler'i seçin.
      • Active Directory Ormanı'na Bağlan gidin. Bu ekranda belirtilen etki alanı ve kullanıcı adının betikle sağlanan hesapla eşleştiğini doğrulayın. Connector account in Sync Service Manager

    Active Directory'de yapılandırmayı doğrulama:

    • Cihaz Kayıt Hizmeti'nin aşağıdaki konumda (CN=DeviceRegistrationService,CN=Cihaz Kayıt Hizmetleri,CN=Cihaz Kayıt Yapılandırması,CN=Hizmetler,CN=Yapılandırma), yapılandırma adlandırma bağlamında yer aldığını doğrulayın.

    Troubleshoot, DeviceRegistrationService in configuration namespace

    • Yapılandırma ad alanında arama yaparak yalnızca bir yapılandırma nesnesi olduğunu doğrulayın. Birden fazla varsa, yinelenen öğeyi silin.

    Troubleshoot, search for the duplicate objects

    • Cihaz Kayıt Hizmeti nesnesinde msDS-DeviceLocation özniteliğinin mevcut olduğundan ve bir değeri olduğundan emin olun. Bu konumu arayın ve objectType msDS-DeviceContainer ile birlikte bulunduğundan emin olun.

    Troubleshoot, msDS-DeviceLocation

    Troubleshoot, RegisteredDevices object class

    • Active Directory Bağlayıcısı tarafından kullanılan hesabın, önceki adımda bulunan Kayıtlı Cihazlar kapsayıcısı üzerinde gerekli izinlere sahip olduğunu doğrulayın. Bu kapsayıcıda beklenen izinler budur:

    Troubleshoot, verify permissions on container

    • Active Directory hesabının CN=Cihaz Kaydı Yapılandırması,CN=Hizmetler,CN=Yapılandırma nesnesi üzerinde izinleri olduğunu doğrulayın.

    Troubleshoot, verify permissions on Device Registration Configuration

    Ek Bilgi

    Sonraki adımlar

    Şirket içi kimliklerinizi Microsoft Entra Id ile tümleştirme hakkında daha fazla bilgi edinin.