Microsoft Entra Připojení: Povolení zpětného zápisu zařízení

  • Článek

Poznámka:

Pro zpětný zápis zařízení se vyžaduje předplatné Microsoft Entra ID P1 nebo P2.

Následující dokumentace obsahuje informace o povolení funkce zpětného zápisu zařízení v Microsoft Entra Připojení. Zpětný zápis zařízení se používá v následujících scénářích:

To poskytuje další zabezpečení a jistotu, že přístup k aplikacím je udělen pouze důvěryhodným zařízením. Další informace o podmíněném přístupu najdete v článcích Správa rizik pomocí podmíněného přístupu a Nastavení místního podmíněného přístupu pomocí služby Microsoft Entra Device Registration.

Důležité

  • Zařízení musí být umístěná ve stejné doménové struktuře jako uživatelé. Vzhledem k tomu, že zařízení musí být zapsána zpět do jedné doménové struktury, tato funkce v současné době nepodporuje nasazení s více doménovými strukturami uživatelů.
  • Do doménové struktury místní Active Directory lze přidat pouze jeden objekt konfigurace registrace zařízení. Tato funkce není kompatibilní s topologií, ve které je místní Active Directory synchronizován do více adresářů Microsoft Entra.

    • Část 1: Instalace nástroje Microsoft Entra Připojení

    Nainstalujte Microsoft Entra Připojení pomocí vlastního nebo expresního nastavení. Microsoft doporučuje začít se všemi uživateli a skupinami úspěšně synchronizovat před povolením zpětného zápisu zařízení.

    Část 2: Povolení zpětného zápisu zařízení v Microsoft Entra Připojení

    1. Spusťte znovu průvodce instalací. Na stránce Další úlohy vyberte Konfigurovat možnosti zařízení a klikněte na Další.

      Configure device options

      Poznámka:

      Nové možnosti Konfigurace zařízení jsou dostupné jenom ve verzi 1.1.819.0 a novější.

    2. Na stránce možností zařízení vyberte Konfigurovat zpětný zápis zařízení. Možnost Zakázat zpětný zápis zařízení nebude dostupná, dokud nebude povolený zpětný zápis zařízení. Kliknutím na tlačítko Další přejdete na další stránku průvodce. Chose device operation

    3. Na stránce zpětného zápisu uvidíte zadanou doménu jako výchozí doménovou strukturu zpětného zápisu zařízení. Custom Install device writeback target forest

    4. Stránka kontejneru zařízení poskytuje možnost přípravy služby Active Directory pomocí jedné ze dvou dostupných možností:

      a. Zadejte přihlašovací údaje podnikového správce: Pokud jsou přihlašovací údaje podnikového správce pro doménovou strukturu, ve které je potřeba zařízení zapsat zpět, Microsoft Entra Připojení automaticky připraví doménovou strukturu během konfigurace zpětného zápisu zařízení.

      b. Stáhnout powershellový skript: Microsoft Entra Připojení automaticky vygeneruje skript PowerShellu, který může připravit active directory pro zpětný zápis zařízení. V případě, že se přihlašovací údaje podnikového správce nedají zadat v Microsoft Entra Připojení, doporučujeme stáhnout skript PowerShellu. Zadejte stažený skript PowerShellu CreateDeviceContainer.ps1 podnikovému správci doménové struktury, do které se budou zařízení zapisovat zpět. Prepare active directory forest

      Pro přípravu doménové struktury služby Active Directory se provádějí následující operace:

      • Pokud ještě neexistují, vytvoří a nakonfiguruje nové kontejnery a objekty v části CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
      • Pokud ještě neexistují, vytvoří a nakonfiguruje nové kontejnery a objekty v rámci CN=RegisteredDevices,[domain-dn]. Objekty zařízení se vytvoří v tomto kontejneru.
      • Nastaví potřebná oprávnění k účtu Microsoft Entra Připojení or ke správě zařízení ve službě Active Directory.
      • Stačí spustit jenom v jedné doménové struktuře, i když je microsoft Entra Připojení nainstalovaný ve více doménových strukturách.

    Ověření synchronizace zařízení se službou Active Directory

    Zpětný zápis zařízení by teď měl správně fungovat. Mějte na paměti, že zápis objektů zařízení do AD může trvat až 3 hodiny. Pokud chcete ověřit, že se zařízení správně synchronizují, proveďte následující kroky po dokončení pravidel synchronizace:

    1. Spusťte Centrum správy služby Active Directory.

    2. Rozbalte Položku RegisteredDevices v rámci federované domény.

      Active Directory Admin Center Registered Devices

    3. V seznamu budou uvedena aktuální registrovaná zařízení.

      Active Directory Admin Center Registered Devices List

    Povolení podmíněného přístupu

    Podrobné pokyny k povolení tohoto scénáře jsou k dispozici v rámci nastavení místního podmíněného přístupu pomocí registrace zařízení Microsoft Entra.

    Řešení problému

    Zaškrtávací políčko zpětného zápisu je stále zakázané.

    Pokud není políčko zpětného zápisu zařízení povolené, i když jste postupovali podle výše uvedených kroků, následující kroky vás provedou tím, co průvodce instalací ověřuje, než je toto políčko povolené.

    První věci:

    • V doménové struktuře, ve které se zařízení nacházejí, je potřeba upgradovat schéma doménové struktury na úroveň Windows 2012 R2, aby byly k dispozici objekty zařízení a přidružené atributy.
    • Pokud už průvodce instalací běží, žádné změny se nezjistí. V takovém případě dokončete průvodce instalací a spusťte ho znovu.
    • Ujistěte se, že účet, který zadáte ve skriptu inicializace, je ve skutečnosti správným uživatelem používaným službou Active Directory Připojení or. Pokud to chcete ověřit, postupujte takto:
      • V nabídce Start otevřete synchronizační službu.
      • Otevřete kartu Připojení orů.
      • Vyhledejte Připojení or s typem Doména služby Active Directory Services a vyberte ho.
      • V části Akce vyberte Vlastnosti.
      • Přejděte do Připojení do doménové struktury služby Active Directory. Ověřte, že doména a uživatelské jméno zadané na této obrazovce odpovídají účtu zadanému skriptu. Connector account in Sync Service Manager

    Ověření konfigurace ve službě Active Directory:

    • Ověřte, že se služba Device Registration Service nachází v níže uvedeném umístění (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) v rámci názvového kontextu konfigurace.

    Troubleshoot, DeviceRegistrationService in configuration namespace

    • Ověřte, že je v oboru názvů konfigurace pouze jeden objekt konfigurace. Pokud existuje více než jeden, odstraňte duplikát.

    Troubleshoot, search for the duplicate objects

    • Ujistěte se, že objekt služby Device Registration Service obsahuje atribut msDS-DeviceLocation s nějakou hodnotou. Vyhledejte toto umístění a ujistěte se, že je k dispozici u objectType msDS-DeviceContainer.

    Troubleshoot, msDS-DeviceLocation

    Troubleshoot, RegisteredDevices object class

    • Ověřte, že účet používaný konektorem Active Directory má požadovaná oprávnění ke kontejneru zaregistrovaných zařízení zjištěnému v předchozím kroku. Toto jsou očekávaná oprávnění pro tento kontejner:

    Troubleshoot, verify permissions on container

    • Ověřte, že má účet Active Directory oprávnění k objektu CN=Device Registration Configuration,CN=Services,CN=Configuration.

    Troubleshoot, verify permissions on Device Registration Configuration

    Další informace

    Další kroky

    Přečtěte si další informace o integraci místních identit s ID Microsoft Entra.