Microsoft Entra 連線:啟用裝置回寫

  • 發行項

注意

裝置回寫需要 Microsoft Entra ID P1 或 P2 的訂用帳戶。

下列檔提供如何在 Microsoft Entra 連線中啟用裝置回寫功能的相關資訊。 裝置回寫用於下列案例:

  • 使用混合式憑證信任部署啟用 Windows Hello 企業版
  • 根據裝置對 ADFS(2012 R2 或更高版本)保護的應用程式(信賴憑證者信任)啟用條件式存取。

這提供額外的安全性,確保只授權信任的裝置才能存取應用程式。 如需條件式存取的詳細資訊,請參閱使用條件式存取管理風險使用 Microsoft Entra 裝置註冊設定內部部署條件式存取

重要

  • 裝置必須位於與使用者相同的樹系中。 由於裝置必須寫回單一樹系,此功能目前不支援使用多個使用者樹系進行部署。
  • 只有一個裝置註冊設定物件可以新增至內部部署的 Active Directory樹系。 此功能與拓撲不相容,其中內部部署的 Active Directory會同步至多個 Microsoft Entra 目錄。

    • 第 1 部分:安裝 Microsoft Entra 連線

    使用自訂或快速設定安裝 Microsoft Entra 連線。 Microsoft 建議您先從所有使用者和群組開始成功同步處理,再啟用裝置回寫。

    第 2 部分:在 Microsoft Entra 中啟用裝置回寫連線

    1. 再次執行安裝精靈。 從 [其他工作] 頁面選取 [ 設定裝置選項 ],然後按 [ 下一步 ]。

      Configure device options

      注意

      新的設定裝置選項僅適用于 1.1.819.0 版和更新版本。

    2. 在 [裝置選項] 頁面上,選取 [ 設定裝置回 寫]。 停用裝置回寫的選項在啟用裝置回 寫之前將無法使用。 按一下 [ 下一步] 以移至精靈中的下一頁。 Chose device operation

    3. 在 [回寫] 頁面上,您會看到提供的網域作為預設的裝置回寫樹系。 Custom Install device writeback target forest

    4. 裝置容器 頁面提供使用兩個可用選項之一來準備 Active Directory 的選項:

      a. 提供企業系統管理員認證 :如果為需要回寫裝置的樹系提供企業系統管理員認證,Microsoft Entra 連線會在設定裝置回寫期間自動準備樹系。

      b. 下載 PowerShell 腳本 :Microsoft Entra 連線自動產生 PowerShell 腳本,以準備 Active Directory 以進行裝置回寫。 如果 Microsoft Entra 連線中無法提供企業系統管理員認證,建議您下載 PowerShell 腳本。 將下載的 PowerShell 腳本 CreateDeviceContainer.ps1 提供給將回寫裝置之樹系的企業系統管理員。 Prepare active directory forest

      執行下列作業來準備 Active Directory 樹系:

      • 如果它們不存在,請在 CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn] 底下建立及設定新的容器和物件。
      • 如果它們還不存在,請在 CN=RegisteredDevices,[domain-dn] 下建立並設定新的容器和物件。 裝置物件將會在此容器中建立。
      • 設定 Microsoft Entra 連線or 帳戶的必要許可權,以管理 Active Directory 上的裝置。
      • 只需要在一個樹系上執行,即使 Microsoft Entra 連線安裝在多個樹系上也一樣。

    確認裝置已同步處理至 Active Directory

    裝置回寫現在應該正常運作。 請注意,將裝置物件寫回 AD 最多可能需要 3 小時的時間。 若要確認您的裝置已正確同步處理,請在同步處理規則完成之後執行下列動作:

    1. 啟動 Active Directory 管理中心。

    2. 在同盟網域內展開 RegisteredDevices。

      Active Directory Admin Center Registered Devices

    3. 目前已註冊的裝置將會列在那裡。

      Active Directory Admin Center Registered Devices List

    啟用條件式存取

    如需啟用此案例的詳細指示,請參閱 使用 Microsoft Entra 裝置註冊 設定內部部署條件式存取。

    疑難排解

    回寫核取方塊仍然停用

    如果您已遵循上述步驟,但未啟用裝置回寫的核取方塊,下列步驟將引導您完成啟用方塊之前所驗證的安裝精靈。

    首先:

    • 存有裝置的樹系必須將樹系結構描述升級到 Windows 2012 R2 層級,以便讓裝置物件和相關聯的屬性存在。
    • 如果安裝精靈已在執行中,則不會偵測到任何變更。 在此情況下,請先完成安裝精靈,然後再執行一次。
    • 請確定您在初始化腳本中提供的帳戶實際上是 Active Directory 連線or 所使用的正確使用者。 若要確認這一點,請遵循下列步驟:
      • 從 [開始] 功能表中,開啟 [ 同步處理服務 ]。
      • 開啟 [連線ors] 索引 標籤。
      • 尋找類型為 Active Directory 網域服務 的 連線or,然後加以選取。
      • 在 [動作] 底下 ,選取 [ 屬性 ]。
      • 移至 [連線至 Active Directory 樹系 ]。 確認此畫面上指定的網域和使用者名稱符合提供給腳本的帳戶。 Connector account in Sync Service Manager

    確認 Active Directory 中的組態:

    • 確認裝置註冊服務位於組態命名內容下方 (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) 底下的位置。

    Troubleshoot, DeviceRegistrationService in configuration namespace

    • 藉由搜尋組態命名空間,確認只有一個組態物件。 如果有多個,請刪除重複專案。

    Troubleshoot, search for the duplicate objects

    • 在「裝置註冊服務」物件上,確定 msDS-DeviceLocation 屬性存在且具有值。 查閱此位置,並確定其存在 objectType msDS-DeviceContainer。

    Troubleshoot, msDS-DeviceLocation

    Troubleshoot, RegisteredDevices object class

    • 確認 Active Directory 連接器所使用的帳戶,具備上一個步驟所找到之「註冊的裝置」容器的必要權限。 這是此容器的預期許可權:

    Troubleshoot, verify permissions on container

    • 確認 Active Directory 帳戶具備 CN=Device Registration Configuration,CN=Services,CN=Configuration 物件的權限。

    Troubleshoot, verify permissions on Device Registration Configuration

    其他資訊

    下一步

    深入瞭解 整合內部部署身分識別與 Microsoft Entra ID