Microsoft Entra Připojení: Povolení zpětného zápisu zařízení
Poznámka:
Pro zpětný zápis zařízení se vyžaduje předplatné Microsoft Entra ID P1 nebo P2.
Následující dokumentace obsahuje informace o povolení funkce zpětného zápisu zařízení v Microsoft Entra Připojení. Zpětný zápis zařízení se používá v následujících scénářích:
- Povolení Windows Hello pro firmy pomocí nasazení důvěryhodnosti hybridního certifikátu
- Povolte podmíněný přístup na základě zařízení pro aplikace chráněné službou ADFS (2012 R2 nebo vyšší) (vztahy důvěryhodnosti předávající strany).
To poskytuje další zabezpečení a jistotu, že přístup k aplikacím je udělen pouze důvěryhodným zařízením. Další informace o podmíněném přístupu najdete v článcích Správa rizik pomocí podmíněného přístupu a Nastavení místního podmíněného přístupu pomocí služby Microsoft Entra Device Registration.
Důležité
Část 1: Instalace nástroje Microsoft Entra Připojení
Nainstalujte Microsoft Entra Připojení pomocí vlastního nebo expresního nastavení. Microsoft doporučuje začít se všemi uživateli a skupinami úspěšně synchronizovat před povolením zpětného zápisu zařízení.
Část 2: Povolení zpětného zápisu zařízení v Microsoft Entra Připojení
Spusťte znovu průvodce instalací. Na stránce Další úlohy vyberte Konfigurovat možnosti zařízení a klikněte na Další.
Poznámka:
Nové možnosti Konfigurace zařízení jsou dostupné jenom ve verzi 1.1.819.0 a novější.
Na stránce možností zařízení vyberte Konfigurovat zpětný zápis zařízení. Možnost Zakázat zpětný zápis zařízení nebude dostupná, dokud nebude povolený zpětný zápis zařízení. Kliknutím na tlačítko Další přejdete na další stránku průvodce.
Na stránce zpětného zápisu uvidíte zadanou doménu jako výchozí doménovou strukturu zpětného zápisu zařízení.
Stránka kontejneru zařízení poskytuje možnost přípravy služby Active Directory pomocí jedné ze dvou dostupných možností:
a. Zadejte přihlašovací údaje podnikového správce: Pokud jsou přihlašovací údaje podnikového správce pro doménovou strukturu, ve které je potřeba zařízení zapsat zpět, Microsoft Entra Připojení automaticky připraví doménovou strukturu během konfigurace zpětného zápisu zařízení.
b. Stáhnout powershellový skript: Microsoft Entra Připojení automaticky vygeneruje skript PowerShellu, který může připravit active directory pro zpětný zápis zařízení. V případě, že se přihlašovací údaje podnikového správce nedají zadat v Microsoft Entra Připojení, doporučujeme stáhnout skript PowerShellu. Zadejte stažený skript PowerShellu CreateDeviceContainer.ps1 podnikovému správci doménové struktury, do které se budou zařízení zapisovat zpět.
Pro přípravu doménové struktury služby Active Directory se provádějí následující operace:
- Pokud ještě neexistují, vytvoří a nakonfiguruje nové kontejnery a objekty v části CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
- Pokud ještě neexistují, vytvoří a nakonfiguruje nové kontejnery a objekty v rámci CN=RegisteredDevices,[domain-dn]. Objekty zařízení se vytvoří v tomto kontejneru.
- Nastaví potřebná oprávnění k účtu Microsoft Entra Připojení or ke správě zařízení ve službě Active Directory.
- Stačí spustit jenom v jedné doménové struktuře, i když je microsoft Entra Připojení nainstalovaný ve více doménových strukturách.
Ověření synchronizace zařízení se službou Active Directory
Zpětný zápis zařízení by teď měl správně fungovat. Mějte na paměti, že zápis objektů zařízení do AD může trvat až 3 hodiny. Pokud chcete ověřit, že se zařízení správně synchronizují, proveďte následující kroky po dokončení pravidel synchronizace:
Spusťte Centrum správy služby Active Directory.
Rozbalte Položku RegisteredDevices v rámci federované domény.
V seznamu budou uvedena aktuální registrovaná zařízení.
Povolení podmíněného přístupu
Podrobné pokyny k povolení tohoto scénáře jsou k dispozici v rámci nastavení místního podmíněného přístupu pomocí registrace zařízení Microsoft Entra.
Řešení problému
Zaškrtávací políčko zpětného zápisu je stále zakázané.
Pokud není políčko zpětného zápisu zařízení povolené, i když jste postupovali podle výše uvedených kroků, následující kroky vás provedou tím, co průvodce instalací ověřuje, než je toto políčko povolené.
První věci:
- V doménové struktuře, ve které se zařízení nacházejí, je potřeba upgradovat schéma doménové struktury na úroveň Windows 2012 R2, aby byly k dispozici objekty zařízení a přidružené atributy.
- Pokud už průvodce instalací běží, žádné změny se nezjistí. V takovém případě dokončete průvodce instalací a spusťte ho znovu.
- Ujistěte se, že účet, který zadáte ve skriptu inicializace, je ve skutečnosti správným uživatelem používaným službou Active Directory Připojení or. Pokud to chcete ověřit, postupujte takto:
- V nabídce Start otevřete synchronizační službu.
- Otevřete kartu Připojení orů.
- Vyhledejte Připojení or s typem Doména služby Active Directory Services a vyberte ho.
- V části Akce vyberte Vlastnosti.
- Přejděte do Připojení do doménové struktury služby Active Directory. Ověřte, že doména a uživatelské jméno zadané na této obrazovce odpovídají účtu zadanému skriptu.
Ověření konfigurace ve službě Active Directory:
- Ověřte, že se služba Device Registration Service nachází v níže uvedeném umístění (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) v rámci názvového kontextu konfigurace.
- Ověřte, že je v oboru názvů konfigurace pouze jeden objekt konfigurace. Pokud existuje více než jeden, odstraňte duplikát.
- Ujistěte se, že objekt služby Device Registration Service obsahuje atribut msDS-DeviceLocation s nějakou hodnotou. Vyhledejte toto umístění a ujistěte se, že je k dispozici u objectType msDS-DeviceContainer.
- Ověřte, že účet používaný konektorem Active Directory má požadovaná oprávnění ke kontejneru zaregistrovaných zařízení zjištěnému v předchozím kroku. Toto jsou očekávaná oprávnění pro tento kontejner:
- Ověřte, že má účet Active Directory oprávnění k objektu CN=Device Registration Configuration,CN=Services,CN=Configuration.
Další informace
- Správa rizik pomocí podmíněného přístupu
- Nastavení místního podmíněného přístupu pomocí registrace zařízení Microsoft Entra
Další kroky
Přečtěte si další informace o integraci místních identit s ID Microsoft Entra.