Konfigurieren auf den lokalen bedingten Zugriffs mithilfe der registrierten GeräteConfigure On-Premises Conditional Access using registered devices

Das folgende Dokument führt Sie durch das Installieren und Konfigurieren des lokalen bedingten Zugriffs mit registrierten Geräten.The following document will guide you through installing and configuring on-premises conditional access with registered devices.

Für den bedingten Zugriff

Infrastruktur-VoraussetzungenInfrastructure pre-requisites

Die folgenden erforderlichen sind erforderlich, bevor Sie mit dem bedingten Zugriff auf lokale beginnen können.The following per-requisites are required before you can begin with on-premises conditional access.

AnforderungRequirement BeschreibungDescription
Ein Azure AD-Abonnement mit Azure AD PremiumAn Azure AD subscription with Azure AD Premium Gerät Schreibvorgang zurück zum bedingten Zugriff für lokale - aktivieren eine kostenlose Testversion ist in OrdnungTo enable device write back for on premises conditional access - a free trial is fine
Intune-AbonnementIntune subscription nur erforderlich, für die Integration der Verwaltung mobiler Geräte für Geräte die Einhaltung von Vorschriften -eine kostenlose Testversion ist in Ordnungonly required for MDM integration for device compliance scenarios -a free trial is fine
Azure AD ConnectAzure AD Connect November 2015 QFE oder höher.November 2015 QFE or later. Abrufen der neuesten Version hier.Get the latest version here.
Windows Server 2016Windows Server 2016 Build 10586 oder höher für AD FSBuild 10586 or newer for AD FS
Windows Server 2016 Active Directory-schemaWindows Server 2016 Active Directory schema Schemaebene 85 oder höher ist erforderlich.Schema level 85 or higher is required.
Windows Server 2016-DomänencontrollerWindows Server 2016 domain controller Dies ist nur für Hello For Business-Key-Trust-Bereitstellungen erforderlich.This is only required for Hello For Business key-trust deployments. Weitere Informationen finden Sie unter hier.Additional information can be found at here.
Windows 10-clientWindows 10 client Build 10586 oder neueren, mit der oben genannten Domäne verknüpften erforderlich für Windows 10-Domäne beitreten und Microsoft Passport Arbeit nur für SzenariosBuild 10586 or newer, joined to the above domain is required for Windows 10 Domain Join and Microsoft Passport for Work scenarios only
Azure AD-Benutzerkonto mit Azure AD Premium-Lizenz zugewiesenAzure AD user account with Azure AD Premium license assigned Für die Registrierung des GerätsFor registering the device

Aktualisieren Sie Ihre Active Directory-SchemaUpgrade your Active Directory Schema

Um den lokalen bedingten Zugriffs mit registrierten Geräten verwenden, müssen Sie zunächst Ihre Active Directory-Schema aktualisieren.In order to use on-premises conditional access with registered devices, you must first upgrade your AD schema. Die folgenden Bedingungen müssen erfüllt sein:The following conditions must be met: - Das Schema sollte Version 85 oder höher sein.The schema should be version 85 or later - Dies ist nur erforderlich, für die Gesamtstruktur, die mit AD FS verbunden istThis is only required for the forest that AD FS is joined to

Hinweis

Wenn Sie Azure AD Connect vor dem Upgrade auf die Schemaversion (Level 85 oder höher) in Windows Server 2016 installiert haben, müssen Sie benötigen, führen Sie die Azure AD Connect-Installation erneut aus, und aktualisieren Sie das lokale Active Directory-Schema, um sicherzustellen, dass die Synchronisierungsregel für MsDS-KeyCredentialLink konfiguriert ist.If you installed Azure AD Connect prior to upgrading to the schema version (level 85 or greater) in Windows Server 2016, you will need to re-run the Azure AD Connect installation and refresh the on-premises AD schema to ensure the synchronization rule for msDS-KeyCredentialLink is configured.

Überprüfen Sie Ihre SchemaebeneVerify your schema level

Um Ihre Schemaebene zu überprüfen, führen Sie folgende Schritte aus:To verify your schema level, do the following:

  1. Sie können verwenden Sie ADSIEdit oder "Ldp" und der Schema-Namenskontext verbinden.You can use ADSIEdit or LDP and connect to the Schema Naming Context.
  2. Verwenden ADSIEdit, mit der rechten Maustaste auf "CN = Schema, CN = Configuration, DC =, DC = , und wählen Sie Eigenschaften.Using ADSIEdit, right-click on "CN=Schema,CN=Configuration,DC=,DC= and select properties. Relpace-Domäne und die COM-Teile mit Ihren Gesamtstrukturinformationen.Relpace domain and the com portions with your forest information.
  3. Unter der Attribut-Editor, suchen Sie das Attribut ObjectVersion und teilt es Ihnen, Ihre Version.Under the Attribute Editor locate the objectVersion attribute and it will tell you, your version.

ADSI-Editor

Sie können auch das folgende PowerShell-Cmdlet (ersetzen Sie das Objekt mit Ihrem Schema, das Benennen von Kontextinformationen) verwenden:You can also use the following PowerShell cmdlet (replace the object with your schema naming context information):

Get-ADObject "cn=schema,cn=configuration,dc=domain,dc=local" -Property objectVersion
    

PowerShell

Weitere Informationen zum Upgrade finden Sie unter Aktualisieren von Domänencontrollern auf Windows Server 2016.For additional information on upgrading, see Upgrade Domain Controllers to Windows Server 2016.

Aktivieren von Azure AD-GeräteregistrierungEnable Azure AD Device Registration

Um dieses Szenario zu konfigurieren, müssen Sie die Gerätefunktion für die Registrierung in Azure AD konfigurieren.To configure this scenario, you must configure the device registration capability in Azure AD.

Zu diesem Zweck die Schritte unter Einrichten von Azure AD Join in Ihrer OrganisationTo do this, follow the steps under Setting up Azure AD Join in your organization

Einrichten von AD FSSetup AD FS

  1. Erstellen Sie die einem neue AD FS 2016-Farm.Create the a new AD FS 2016 farm.
  2. Oder migrieren einer Farm mit AD FS 2016 von AD FS 2012 R2Or migrate a farm to AD FS 2016 from AD FS 2012 R2
  3. Bereitstellen von Azure AD Connect mit, dass der Pfad der benutzerdefinierten AD FS mit Azure AD verbinden.Deploy Azure AD Connect using the Custom path to connect AD FS to Azure AD.

Konfigurieren von Gerät schreiben zurück und GeräteauthentifizierungConfigure Device Write Back and Device Authentication

Hinweis

Wenn Sie Azure AD Connect mit Expresseinstellungen ausgeführt haben, haben die richtigen AD-Objekte für Sie erstellt wurde.If you ran Azure AD Connect using Express Settings, the correct AD objects have been created for you. Jedoch in den meisten Szenarien für AD FS, Azure AD Connect ausgeführt wurde mit benutzerdefinierten Einstellungen zum Konfigurieren von AD FS, sodass die unten aufgeführten Schritte sind erforderlich.However, in most AD FS scenarios, Azure AD Connect was run with Custom Settings to configure AD FS, so the below steps are necessary.

Erstellen von AD-Objekten für die AD FS-GerätauthentifizierungCreate AD objects for AD FS Device Authentication

Sollte die AD FS-Farm noch nicht für die Geräteauthentifizierung konfiguriert sein (was Sie in der AD FS-Verwaltungskonsole unter Dienste > Geräteregistrierung prüfen können), erstellen Sie die richtigen AD DS-Objekte und Konfigurationen mithilfe der folgenden Schritte.If your AD FS farm is not already configured for Device Authentication (you can see this in the AD FS Management console under Service -> Device Registration), use the following steps to create the correct AD DS objects and configuration.

Geräteregistrierung

Hinweis: Die folgenden Befehle erfordern Active Directory-Verwaltungstools. Ist Ihr Verbundserver nicht auch ein Domänencontroller, müssen Sie zunächst die Tools installieren, wie unten in Schritt 1 angegeben.Note: The below commands require Active Directory administration tools, so if your federation server is not also a domain controller, first install the tools using step 1 below. Andernfalls können Sie Schritt 1 überspringen.Otherwise you can skip step 1.

  1. Führen Sie den Assistenten Hinzufügen von Rollen und Features aus, und wählen Sie Remoteserver-Verwaltungstools -> Rollenverwaltungstools -> AD DS und AD LDS-Tools -> Wählen Sie sowohl Active Directory-Modul für Windows PowerShell als auch AD DS-Tools.Run the Add Roles & Features wizard and select feature Remote Server Administration Tools -> Role Administration Tools -> AD DS and AD LDS Tools -> Choose both the Active Directory module for Windows PowerShell and the AD DS Tools.

Geräteregistrierung

  1. Stellen Sie sicher auf dem primären AD FS-Server Sie sind angemeldet als AD DS-Benutzer mit Berechtigungen für Enterprise Administrator (EA), und öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten Powershell.On your AD FS primary server, ensure you are logged in as AD DS user with Enterprise Admin (EA ) privileges and open an elevated powershell prompt. Führen Sie dann die folgenden PowerShell-Befehle aus:Then, execute the following PowerShell commands:

    Import-module activedirectory
    PS C:\> Initialize-ADDeviceRegistration -ServiceAccountName "<your service account>"

  2. Drücken im Popupfenster "Ja" aus.On the pop-up window hit Yes.

Hinweis: Wenn Ihr AD FS-Dienst ein GMSA-Konto verwenden kann, geben Sie den Kontonamen im Format „Domäne\Kontoname$” ein.Note: If your AD FS service is configured to use a GMSA account, enter the account name in the format "domain\accountname$"

Geräteregistrierung

Die obigen PSH-Befehle erstellen folgende Objekte:The above PSH creates the following objects:

  • RegisteredDevices-Container in der AD-DomänenpartitionRegisteredDevices container under the AD domain partition
  • Device Registration Service-Container und Objekte unter Konfiguration --> Dienste--> GeräteregistrierungskonfigurationDevice Registration Service container and object under Configuration --> Services --> Device Registration Configuration
  • Device Registration Service Container DKM-Container und Objekte unter Konfiguration --> Dienste--> GeräteregistrierungskonfigurationDevice Registration Service DKM container and object under Configuration --> Services --> Device Registration Configuration

Geräteregistrierung

  1. Anschließend wird eine Meldung über den erfolgreichen Abschluss angezeigt.Once this is done, you will see a successful completion message.

Geräteregistrierung

Erstellen der Dienstverbindungspunkt (SCP) in ADCreate Service Connection Point (SCP) in AD

Wenn Sie den Windows 10-Domänenbeitritt (mit automatischer Registrierung bei Azure AD) wie hier beschrieben verwenden möchten, führen Sie die folgenden Befehle zum Erstellen eines Dienstverbindungspunkts in AD DS aus:If you plan to use Windows 10 domain join (with automatic registration to Azure AD) as described here, execute the following commands to create a service connection point in AD DS

  1. Öffnen Sie Windows PowerShell, und führen Sie Folgendes aus:Open Windows PowerShell and execute the following:

    PS C:>Import-Module -Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1"

Hinweis: bei Bedarf kopieren Sie die AdSyncPrep.psm1-Datei von Ihrem Azure AD Connect-Server.Note: if necessary, copy the AdSyncPrep.psm1 file from your Azure AD Connect server. Sie finden diese Datei unter Programme\Microsoft Azure Active Directory Connect\AdPrep.This file is located in Program Files\Microsoft Azure Active Directory Connect\AdPrep

Geräteregistrierung

  1. Bereitstellen der Azure AD-Anmeldedaten eines globalen AdministratorsProvide your Azure AD global administrator credentials

    PS C:>$aadAdminCred = Get-Credential

Geräteregistrierung

  1. Führen Sie folgenden PowerShell-Befehl aus:Run the following PowerShell command

    PS C:>Initialize-ADSyncDomainJoinedComputerSync -AdConnectorAccount [AD connector account name] -AzureADCredentials $aadAdminCred

[AD connector account name] steht für den Namen des Kontos, das Sie in Azure AD Connect beim Hinzufügen der lokales AD DS-Verzeichnisses konfiguriert haben.Where the [AD connector account name] is the name of the account you configured in Azure AD Connect when adding your on-premises AD DS directory.

Die oben aufgeführten Befehle erstellen das Objekt serviceConnectionpoint in AD DS und ermöglichen es damit den Windows 10-Clients, die ihnen zugeordnete Azure AD-Domäne zu finden.The above commands enable Windows 10 clients to find the correct Azure AD domain to join by creating the serviceConnectionpoint object in AD DS.

Vorbereiten von AD für GeräterückschreibungPrepare AD for Device Write Back

Führen Sie folgende Schritte aus, um sicherzustellen, dass sich AD DS-Objekte und Container im richtigen Zustand für die Geräterückschreibung aus Azure AD befinden.To ensure AD DS objects and containers are in the correct state for write back of devices from Azure AD, do the following.

  1. Öffnen Sie Windows PowerShell, und führen Sie Folgendes aus:Open Windows PowerShell and execute the following:

    PS C:>Initialize-ADSyncDeviceWriteBack -DomainName <AD DS domain name> -AdConnectorAccount [AD connector account name]

[AD connector account name] steht für den Namen des Kontos, das Sie in Azure AD Connect beim Hinzufügen der lokales AD DS-Verzeichnisses im Format Domäne\Kontoname konfiguriert haben.Where the [AD connector account name] is the name of the account you configured in Azure AD Connect when adding your on-premises AD DS directory in domain\accountname format

Der obige Befehl erstellt die folgenden Objekte zum Geräterückschreiben in AD DS, sofern sie nicht bereits vorhanden sind, und ermöglicht den Zugriff auf den angegebenen Kontonamen für den AD-Connector:The above command creates the following objects for device write back to AD DS, if they do not exist already, and allows access to the specified AD connector account name

  • RegisteredDevices-Container in der AD-DomänenpartitionRegisteredDevices container in the AD domain partition
  • Device Registration Service-Container und Objekte unter Konfiguration --> Dienste--> GeräteregistrierungskonfigurationDevice Registration Service container and object under Configuration --> Services --> Device Registration Configuration

Aktivieren der Geräterückschreibung in Azure AD ConnectEnable Device Write Back in Azure AD Connect

Aktivieren Sie die Geräterückschreibung in Azure AD Connect (sofern sie nicht bereits aktiviert ist), indem Sie den Assistenten ein zweites Mal ausführen und Synchronisierungsoptionen anpassen wählen. Dann aktivieren Sie das Kontrollkästchen für die Geräterückschreibung und wählen die Gesamtstruktur, in der Sie die oben genannten Cmdlets ausgeführt haben.If you have not done so before, enable device write back in Azure AD Connect by running the wizard a second time and selecting "Customize Synchronization Options", then checking the box for device write back and selecting the forest in which you have run the above cmdlets

Konfigurieren der Geräteauthentifizierung in AD FSConfigure Device Authentication in AD FS

Konfigurieren Sie eine AD FS-Richtlinie in einem PowerShell-Befehlsfenster mit erweiterten Rechten durch folgenden Befehl:Using an elevated PowerShell command window, configure AD FS policy by executing the following command

PS C:>Set-AdfsGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true -DeviceAuthenticationMethod All

Überprüfen der KonfigurationCheck your configuration

Als Referenz sind in der nachstehenden umfassenden Liste AD DS-Geräte, Container und Berechtigungen aufgeführt, die zur Authentifizierung und Geräterückschreibung erforderlich sind.For your reference, below is a comprehensive list of the AD DS devices, containers and permissions required for device write-back and authentication to work

  • Objekt vom Typ ms-DS-DeviceContainer für CN=RegisteredDevices,DC=<domain>object of type ms-DS-DeviceContainer at CN=RegisteredDevices,DC=<domain>

    • Lesezugriff auf das AD FS-Dienstkontoread access to the AD FS service account
    • Lese- und Schreibzugriff auf das Synchronisierung-AD-Konnektorkonto von Azure AD Connectread/write access to the Azure AD Connect sync AD connector account
  • Container CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain>Container CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain>

  • Container Device Registration Service DKM unter dem obigen ContainerContainer Device Registration Service DKM under the above container

Geräteregistrierung

  • Objekt vom Typ serviceConnectionpoint für CN =<guid>, CN = Device Registrationobject of type serviceConnectionpoint at CN=<guid>, CN=Device Registration

  • Configuration,CN=Services,CN=Configuration,DC=<domain>Configuration,CN=Services,CN=Configuration,DC=<domain>

    • Lese- und Schreibzugriff auf den angegebenen AD-Konnektorkontonamen für das neue Objektread/write access to the specified AD connector account name on the new object
  • object of type msDS-DeviceRegistrationServiceContainer at CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=&ltdomain>object of type msDS-DeviceRegistrationServiceContainer at CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=&ltdomain>

  • Objekt vom Typ msDS-DeviceRegistrationService im obigen Containerobject of type msDS-DeviceRegistrationService in the above container

Sehen Sie die FunktionsweiseSee it work

Um die neue Ansprüche und Richtlinien auszuwerten, müssen Sie zuerst registrieren Sie ein Gerät.To evaluate the new claims and policies, first register a device. Z. B. können Sie Azure AD Join zu ein Windows 10-Computer mithilfe der Einstellungen-app unter System ->, oder Sie können Windows 10-Domänenbeitritt einrichten, bei der automatischen geräteregistrierung die zusätzlichen Schritte hier.For example, you can Azure AD Join a Windows 10 computer using the Settings app under System -> About, or you can setup Windows 10 domain join with automatic device registration following the additional steps here. Informationen zum Verknüpfen von Windows 10 mobile Geräte finden Sie im Dokument hier.For information on joining Windows 10 mobile devices, see the document here.

Für die Evaluierung der einfachste melden Sie sich bei AD FS mit einer testanwendung, die eine Liste von Ansprüchen angezeigt wird.For easiest evaluation, sign on to AD FS using a test application that shows a list of claims. Sie werden damit neue Ansprüche wie z.B. IsManaged IsCompliant und Trusttype sichtbar.You will be able to see new claims including isManaged, isCompliant, and trusttype. Wenn Sie für die Arbeit Microsoft Passport aktivieren, sehen Sie auch den Anspruch Prt.If you enable Microsoft Passport for work, you will also see the prt claim.

Konfigurieren Sie zusätzliche SzenarienConfigure Additional Scenarios

Automatische Registrierung für Windows 10 Domäne eingebundenen ComputernAutomatic Registration for Windows 10 Domain Joined computers

Aktivieren der automatischen geräteregistrierung für Windows 10-Domäne eingebundenen Computer, führen Sie die Schritte 1 und 2 hier.To enable automatic device registration for Windows 10 domain joined computers, follow steps 1 and 2 here.
Dies hilft Ihnen Folgendes:This will help you achieve the following:

  1. Sicherzustellen, dass Ihr Dienstverbindungspunkt im AD DS vorhanden ist und über die richtigen Berechtigungen verfügt (wir diese oben stehendes Objekt erstellt, aber es ist nicht Schaden überprüfen).Ensure your service connection point in AD DS exists and has the proper permissions (we created this object above, but it does not hurt to double check).
  2. Stellen Sie sicher, dass AD FS ordnungsgemäß konfiguriert istEnsure AD FS is configured properly
  3. Stellen Sie sicher, dass Ihre AD FS-System die korrekten Endpunkte aktiviert ist und von Anspruchsregeln konfiguriertEnsure your AD FS system has the correct endpoints enabled and claim rules configured
  4. Konfigurieren Sie die gruppenrichtlinieneinstellungen für die automatische geräteregistrierung von in Domänen eingebundene Computer erforderlich sindConfigure the group policy settings required for automatic device registration of domain joined computers

Microsoft Passport for WorkMicrosoft Passport for Work

Weitere Informationen zum Aktivieren von Windows 10 in Microsoft Passport for Work, finden Sie unter Microsoft Passport for Work in Ihrer Organisation aktivieren.For information on enabling Windows 10 with Microsoft Passport for Work, see Enable Microsoft Passport for Work in your organization.

Automatische MDM-RegistrierungAutomatic MDM enrollment

Führen Sie die Schritte, um automatische MDM-Registrierung von registrierten Geräten aktivieren, damit Sie den Anspruch IsCompliant in Ihre Access-Control-Richtlinie verwenden können, hier.To enable automatic MDM enrollment of registered devices so that you can use the isCompliant claim in your access control policy, follow the steps here.

ProblembehandlungTroubleshooting

  1. Wenn Sie eine Fehlermeldung erhalten, auf Initialize-ADDeviceRegistration meldet, die ein Objekt, das bereits in den falschen Status auf, wie z. B. "die drs-Dienstobjekt wurde ohne aller erforderlichen Attribute gefunden", Sie können Azure AD Connect-Powershell-Befehle bereits zuvor ausgeführt haben und haben Sie eine partielle Konfiguration in AD DS.if you get an error on Initialize-ADDeviceRegistration that complains about an object already existing in the wrong state, such as "The drs service object has been found without all the required attributes", you may have executed Azure AD Connect powershell commands previously and have a partial configuration in AD DS. Versuchen Sie es manuell unter die Objekte zu löschen CN = Device Registration Configuration, CN = Services, CN = Configuration, DC =<Domäne> und versuchen Sie es erneut.Try deleting manually the objects under CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain> and trying again.
  2. Für Windows 10-Domäne eingebundene clientsFor Windows 10 domain joined clients
    1. Um sicherzustellen, dass die Geräteauthentifizierung funktioniert, melden Sie sich bei des Domäne eingebundenen Clients als ein Testbenutzerkonto.To verify that device authentication is working, sign on to the domain joined client as a test user account. Zum Auslösen der Bereitstellung schnell Sperren Sie und entsperren Sie den Desktop mindestens einmal aus.To trigger provisioning quickly, lock and unlock the desktop at least one time.
    2. Anweisungen zu prüfen, Stk schlüsselanmeldeinformationen, die auf einen link auf AD DS-Objekt (Synchronisierung weiterhin muss zweimal ausgeführt?)Instructions to check for stk key credential link on AD DS object (does sync still have to run twice?)
  3. Wenn einen Fehler bei versuchen, einen Windows-Computer zu registrieren, die das Gerät wurde bereits registriert, aber Sie haben bereits das Gerät abgemeldet oder können nicht angezeigt wird, müssen Sie ein Fragment der Gerätekonfiguration für die Registrierung in der Registrierung möglicherweise.If you get an error upon trying to register a Windows computer that the device was already enrolled, but you are unable or have already unenrolled the device, you may have a fragment of device enrollment configuration in the registry. Um zu untersuchen, und entfernen, verwenden Sie die folgenden Schritte aus:To investigate and remove this, use the following steps:
    1. Klicken Sie auf dem Windows-Computer, öffnen Sie "regedit", und navigieren Sie zu HKLM\Software\Microsoft\EnrollmentsOn the Windows computer, open Regedit and navigate to HKLM\Software\Microsoft\Enrollments
    2. Unter diesem Schlüssel stehen viele Unterschlüssel im GUID-Format.Under this key, there will be many subkeys in the GUID form. Navigieren Sie zu den Unterschlüssel den ~ 17 Werte enthält, und verfügt über "EnrollmentType" von "6" [MDM verknüpft] oder "13" (Azure AD eingebunden)Navigate to the subkey which has ~17 values in it and has "EnrollmentType" of "6" [MDM joined] or "13" (Azure AD joined)
    3. Ändern Sie EnrollmentType zu 0Modify EnrollmentType to 0
    4. Wiederholen Sie die Registrierung des Geräts oder der RegistrierungTry the device enrollment or registration again