Microsoft Entra Connect：啟用裝置回寫

注意

裝置回寫需要 Microsoft Entra ID P1 或 P2 的訂用帳戶。

以下文件提供有關在 Microsoft Entra Connect 中啟用裝置回寫功能的資訊。 裝置回寫用於下列案例：

• 使用混合式憑證信任部署來啟用商務用 Windows Hello
• 對 ADFS (2012 R2 或更高版本) 保護的應用程式 (信賴憑證者信任)，根據裝置啟用條件式存取。

這提供額外的安全性，確保只授權信任的裝置才能存取應用程式。 如需條件式存取的詳細資訊，請參閱使用條件式存取管理風險和使用 Microsoft Entra 裝置註冊設定內部部署條件式存取。

重要

裝置必須位於使用者所在的樹系中。 由於裝置必須回寫到單一樹系中，因此這項功能目前並不支援利用多重使用者樹系的部署。

只有一個裝置註冊設定物件可以新增至內部部署 Active Directory 樹系。 這項功能與會將內部部署 Active Directory 同步至多個 Microsoft Entra 目錄的拓撲不相容。

第 1 部分：安裝 Microsoft Entra Connect

使用自訂或快速設定安裝 Microsoft Entra Connect。 Microsoft 建議您在啟用裝置回寫之前，首先讓所有使用者和群組成功完成同步處理。

第 2 部分：在 Microsoft Entra Connect 中啟用密碼回寫

1. 再次執行安裝精靈。 選取 [其他工作] 頁面中的 [設定裝置選項]，然後按 [下一步]。

   

   注意

   新的設定裝置選項僅適用於 1.1.819.0 版和更新版本。

2. 在裝置選項頁面上，選取 [設定裝置回寫]。 直到啟用裝置回寫以後，才可使用 [停用裝置回寫] 選項。 按 [下一步] 移至精靈的下一頁。

3. 在 [回寫] 頁面中，您會看到提供的網域已成為預設的裝置回寫樹系。

4. [裝置容器] 頁面使用下列其中一個可用選項來提供準備 Active Directory 的選項：

   a. 提供企業系統管理員認證：如果針對裝置需要回寫的樹系提供企業系統管理員認證，則 Microsoft Entra Connect 會在裝置回寫的設定期間自動準備樹系。

   b. 下載 PowerShell 指令碼：Microsoft Entra Connect 會自動產生 PowerShell 指令碼，以便針對裝置回寫準備 Active Directory。 為了避免無法在 Microsoft Entra Connect 中提供企業系統管理員認證，建議下載 PowerShell 指令碼。 將下載的 PowerShell 指令碼 CreateDeviceContainer.ps1 提供給要回寫裝置之樹系的企業系統管理員。

   執行下列作業以準備 Active Directory 樹系：

   • 如果尚未存在，請在 CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn] 下方建立並設定新的容器和物件。
   • 如果尚未存在，請在 CN=RegisteredDevices,[domain-dn] 下方建立並設定新的容器和物件。 裝置物件將會在此容器中建立。
   • 請在 Microsoft Entra Connector 帳戶上設定必要的權限，以便管理 Active Directory 上的裝置。
   • 即使 Microsoft Entra Connect 安裝在多個樹系上，也只需要在一個樹系上執行。

確認裝置已同步處理至 Active Directory

裝置回寫現在應該正常運作。 請注意，裝置物件寫回至 Active Directory 可能需要 3 小時。 若要確認您的裝置已正確同步化，請在同步化規則完成之後執行下列作業：

1. 啟動 Active Directory 管理中心。

2. 在同盟的網域中，展開 RegisteredDevices。

   

3. 此處會列出目前已註冊的裝置。

   

啟用條件式存取

如需如何啟用此案例的詳細指示，請參閱 使用 Microsoft Entra 裝置註冊設定內部部署條件式存取。

疑難排解

回寫核取方塊仍然停用

如果未啟用裝置回寫的核取方塊，即使您已遵循上述步驟，下列步驟還是會在啟用此方塊之前，引導您完成安裝精靈正在驗證的程序。

首先：

• 存有裝置的樹系必須將樹系結構描述升級到 Windows 2012 R2 層級，以便讓裝置物件和相關聯的屬性存在。
• 如果安裝精靈已經在執行中，則將不會偵測到任何變更。 在此情況下，請先完成安裝精靈，然後再執行一次。
• 確定您在初始化指令碼中提供的帳戶是 Active Directory 連接器實際使用的正確使用者。 若要確認，請依照下列步驟執行：
  • 從 [開始] 功能表開啟 [同步處理服務] 。
  • 開啟 [連接器] 索引標籤。
  • 尋找類型為 Active Directory 網域服務的連接器並加以選取。
  • 選取 [動作] 下方的 [屬性]。
  • 前往 [連線至 Active Directory 樹系] 。 請確認此畫面上所指定的網域和使用者名稱，與提供給指令碼的帳戶相符。

確認 Active Directory 中的組態：

• 確認裝置註冊服務位於組態命名內容下方 (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) 底下的位置。

• 搜尋組態命名空間來確認只有一個組態物件。 如果有一個以上的物件，請刪除重複項目。

• 在「裝置註冊服務」物件上，確定 msDS-DeviceLocation 屬性存在且具有值。 查閱此位置，並確定其存在，且 objectType 為 msDS-DeviceContainer。

• 確認 Active Directory 連接器所使用的帳戶，具備上一個步驟所找到之「註冊的裝置」容器的必要權限。 這是此容器的預期權限：

• 確認 Active Directory 帳戶具備 CN=Device Registration Configuration,CN=Services,CN=Configuration 物件的權限。

其他資訊

• 使用條件式存取管理風險
• 使用 Microsoft Entra 裝置註冊設定內部部署條件式存取

下一步

深入了解將內部部署身分識別與 Microsoft Entra ID 整合。