Azure AD Připojení: Povolení zpětného zápisu zařízení

Poznámka

Pro zpětný zápis zařízení se vyžaduje předplatné Azure AD Premium.

Následující dokumentace obsahuje informace o povolení funkce zpětného zápisu zařízení v Azure AD Připojení. Zpětný zápis zařízení se používá v následujících scénářích:

To poskytuje další zabezpečení a jistotu, že přístup k aplikacím je udělen pouze důvěryhodným zařízením. Další informace o podmíněném přístupu najdete v článcích Správa rizik pomocí podmíněného přístupu a Nastavení místního podmíněného přístupu pomocí služby Azure Active Directory Device Registration.

Důležité

  • Zařízení musí být umístěná ve stejné doménové struktuře jako uživatelé. Vzhledem k tomu, že zařízení musí být zapsána zpět do jedné doménové struktury, tato funkce v současné době nepodporuje nasazení s více doménovými strukturami uživatelů.
  • Do doménové struktury místní Active Directory lze přidat pouze jeden objekt konfigurace registrace zařízení. Tato funkce není kompatibilní s topologií, ve které se místní Active Directory synchronizuje s několika adresáři Azure AD.
  • Část 1: Instalace Připojení Azure AD

    Nainstalujte službu Azure AD Připojení pomocí vlastních nebo expresních nastavení. Microsoft doporučuje začít se všemi uživateli a skupinami úspěšně synchronizovat před povolením zpětného zápisu zařízení.

    Část 2: Povolení zpětného zápisu zařízení v Azure AD Připojení

    1. Spusťte průvodce instalací znovu. Na stránce Další úlohy vyberte Konfigurovat možnosti zařízení a klikněte na Další.

      Configure device options

      Poznámka

      Nové možnosti Konfigurovat zařízení jsou dostupné jenom ve verzi 1.1.819.0 a novější.

    2. Na stránce možností zařízení vyberte Konfigurovat zpětný zápis zařízení. Možnost zakázat zpětný zápis zařízení nebude k dispozici, dokud nebude povolen zpětný zápis zařízení. Kliknutím na další stránku v průvodci přejdete na další stránku. Chose device operation

    3. Na stránce zpětného zápisu uvidíte zadanou doménu jako výchozí doménovou strukturu zpětného zápisu zařízení. Custom Install device writeback target forest

    4. Stránka kontejneru zařízení nabízí možnost přípravy služby Active Directory pomocí jedné ze dvou dostupných možností:

      a. Zadejte přihlašovací údaje podnikového správce: Pokud jsou přihlašovací údaje podnikového správce pro doménovou strukturu, ve které je potřeba zařízení zapsat zpět, služba Azure AD Připojení automaticky připraví doménovou strukturu během konfigurace zpětného zápisu zařízení.

      b. Stáhněte si skript PowerShellu: Azure AD Připojení automaticky vygeneruje skript PowerShellu, který může připravit active directory pro zpětný zápis zařízení. V případě, že se přihlašovací údaje podnikového správce nedají zadat v Azure AD Připojení, doporučujeme stáhnout skript PowerShellu. Zadejte stažený skript PowerShelluCreateDeviceContainer.ps1 podnikovému správci doménové struktury, do které se zařízení zapíšou. Prepare active directory forest

      Při přípravě doménové struktury služby Active Directory se provádějí následující operace:

      • Pokud ještě neexistují, vytvoří a nakonfiguruje nové kontejnery a objekty v části CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
      • Pokud ještě neexistují, vytvoří a nakonfiguruje nové kontejnery a objekty v rámci CN=RegisteredDevices,[domain-dn]. Objekty zařízení se vytvoří v tomto kontejneru.
      • Nastaví potřebná oprávnění k účtu konektoru Azure AD pro správu zařízení ve službě Active Directory.
      • Musí běžet jenom v jedné doménové struktuře, i když je služba Azure AD Připojení nainstalovaná ve více doménových strukturách.

    Ověření synchronizace zařízení se službou Active Directory

    Zpětný zápis zařízení by teď měl správně fungovat. Mějte na paměti, že může trvat až 3 hodiny, než se objekty zařízení zapisují zpět do AD. Pokud chcete ověřit, že se zařízení správně synchronizují, proveďte následující kroky po dokončení pravidel synchronizace:

    1. Spusťte Centrum správy služby Active Directory.

    2. Rozbalte RegisteredDevices v rámci federované domény.

      Active Directory Admin Center Registered Devices

    3. Aktuální registrovaná zařízení tam budou uvedená.

      Active Directory Admin Center Registered Devices List

    Povolení podmíněného přístupu

    Podrobné pokyny k povolení tohoto scénáře jsou k dispozici v rámci nastavení místního podmíněného přístupu pomocí Azure Active Directory registrace zařízení.

    Řešení potíží

    Zaškrtávací políčko zpětného zápisu je stále zakázané.

    Pokud políčko zpětného zápisu zařízení není povolené, i když jste postupovali podle výše uvedených kroků, následující kroky vás provedou tím, co průvodce instalací ověřuje před povolením tohoto políčka.

    První věci:

    • V doménové struktuře, ve které se zařízení nacházejí, je potřeba upgradovat schéma doménové struktury na úroveň Windows 2012 R2, aby byly k dispozici objekty zařízení a přidružené atributy.
    • Pokud je průvodce instalací již spuštěný, žádné změny se nezjistí. V takovém případě dokončete průvodce instalací a spusťte ho znovu.
    • Ujistěte se, že účet, který zadáte ve skriptu inicializace, je ve skutečnosti správným uživatelem používaným konektorem služby Active Directory. Chcete-li to ověřit, postupujte takto:
      • V nabídce Start otevřete synchronizační službu.
      • Otevřete kartu Konektory .
      • Najděte konektor s typem Active Directory Domain Services a vyberte ho.
      • V části Akce vyberte Vlastnosti.
      • Přejděte na Připojení do doménové struktury služby Active Directory. Ověřte, že doména a uživatelské jméno zadané na této obrazovce odpovídají účtu zadanému skriptu. Connector account in Sync Service Manager

    Ověření konfigurace ve službě Active Directory:

    • Ověřte, že se služba Device Registration Service nachází v níže uvedeném umístění (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) v rámci názvového kontextu konfigurace.

    Troubleshoot, DeviceRegistrationService in configuration namespace

    • Prohledejte obor názvů konfigurace a ověřte, že existuje pouze jeden objekt konfigurace. Pokud existuje více než jeden, odstraňte duplicitní objekt konfigurace.

    Troubleshoot, search for the duplicate objects

    • Ujistěte se, že objekt služby Device Registration Service obsahuje atribut msDS-DeviceLocation s nějakou hodnotou. Vyhledejte toto umístění a ujistěte se, že existuje objekt typu msDS-DeviceContainer.

    Troubleshoot, msDS-DeviceLocation

    Troubleshoot, RegisteredDevices object class

    • Ověřte, že účet používaný konektorem Active Directory má požadovaná oprávnění ke kontejneru zaregistrovaných zařízení zjištěnému v předchozím kroku. Toto jsou očekávaná oprávnění pro tento kontejner:

    Troubleshoot, verify permissions on container

    • Ověřte, že má účet Active Directory oprávnění k objektu CN=Device Registration Configuration,CN=Services,CN=Configuration.

    Troubleshoot, verify permissions on Device Registration Configuration

    Další informace

    Další kroky

    Přečtěte si další informace o Integrování místních identit do služby Azure Active Directory.