Azure AD Connect: abilitazione del writeback dei dispositiviAzure AD Connect: Enabling device writeback

Nota

Una sottoscrizione di Azure AD Premium è necessaria per il writeback dei dispositivi.A subscription to Azure AD Premium is required for device writeback.

Il documento seguente illustra come abilitare la funzionalità di writeback dei dispositivi in Azure AD Connect.The following documentation provides information on how to enable the device writeback feature in Azure AD Connect. Writeback dei dispositivi viene utilizzato negli scenari seguenti:Device writeback is used in the following scenarios:

  • Per abilitare l'accesso condizionale in base ai dispositivi alle applicazione protette tramite ADFS 2012 R2 o versioni successive (trust della relying party).Enable conditional access based on devices to ADFS (2012 R2 or higher) protected applications (relying party trusts).

Questo offre maggiore sicurezza e garantisce che l'accesso alle applicazioni venga concesso solo ai dispositivi attendibili.This provides additional security and assurance that access to applications is granted only to trusted devices. Per altre informazioni sull'accesso condizionale, vedere Gestione dei rischi con l'accesso condizionale e Configurazione dell'accesso condizionale locale usando il servizio Registrazione dispositivo di Azure Active Directory.For more information on conditional access, see Managing Risk with Conditional Access and Setting up On-premises Conditional Access using Azure Active Directory Device Registration.

Importante

  • I dispositivi devono trovarsi nella stessa foresta degli utenti.Devices must be located in the same forest as the users. Data la necessità di eseguire il writeback dei dispositivi in una singola foresta, attualmente questa funzionalità non supporta una distribuzione con più foreste utente.Since devices must be written back to a single forest, this feature does not currently support a deployment with multiple user forests.
  • Solo un oggetto di configurazione della registrazione dispositivi può essere aggiunto alla foresta locale di Active Directory.Only one device registration configuration object can be added to the on-premises Active Directory forest. Questa funzionalità non è compatibile con una topologia in Active Directory locale è sincronizzata a più tenant di Azure AD.This feature is not compatible with a topology where the on-premises Active Directory is synchronized to multiple Azure AD tenants.
  • Parte 1: Installare Azure AD ConnectPart 1: Install Azure AD Connect

    1. Installare Azure AD Connect usando le impostazioni personalizzate o rapideInstall Azure AD Connect using Custom or Express settings. È consigliabile iniziare sincronizzando correttamente tutti gli utenti e i gruppi prima di abilitare il writeback dei dispositivi.Microsoft recommends to start with all users and groups successfully synchronized before you enable device writeback.

    Parte 2: Preparare Active DirectoryPart 2: Prepare Active Directory

    Per preparare il writeback dei dispositivi, seguire questa procedura.Use the following steps to prepare for using device writeback.

    1. Dal computer in cui è installato Azure AD, avviare PowerShell con privilegi elevati.From the machine where Azure AD Connect is installed, launch PowerShell in elevated mode.
    2. Se il modulo PowerShell di Active Directory non è installato, installare gli strumenti di amministrazione Server remoto, che contiene il modulo PowerShell di Active Directory e dsacls.exe, che è necessario eseguire lo script.If the Active Directory PowerShell module is NOT installed, install the Remote Server Administration Tools, which contains the AD PowerShell module and dsacls.exe, which is required to run the script. Eseguire il comando seguente:Run the following command:

      Add-WindowsFeature RSAT-AD-Tools
      
    3. Se il modulo di Azure Active Directory per PowerShell NON è installato, scaricarlo e installarlo da Modulo di Azure Active Directory per Windows PowerShell (versione a 64 bit).If the Azure Active Directory PowerShell module is NOT installed, then download and install it from Azure Active Directory Module for Windows PowerShell (64-bit version). Questo componente presenta una dipendenza dall'Assistente per l'accesso, che viene installato con Azure AD Connect.This component has a dependency on the sign-in assistant, which is installed with Azure AD Connect.

    4. Con le credenziali di amministratore dell'organizzazione, eseguire i comandi seguenti e quindi uscire da PowerShell.With enterprise admin credentials, run the following commands and then exit PowerShell.

      Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1'
      
      Initialize-ADSyncDeviceWriteback {Optional:–DomainName [name] Optional:-AdConnectorAccount [account]}
      

    Le credenziali di amministratore dell'organizzazione sono obbligatorie, perché è necessario apportare modifiche allo spazio dei nomi di configurazione.Enterprise admin credentials are required since changes to the configuration namespace are needed. Le autorizzazioni di un amministratore di dominio non sono sufficienti.A domain admin will not have enough permissions.

    PowerShell per l'abilitazione del writeback dei dispositivi

    Descrizione:Description:

    • Se non esistono già, crea e configura nuovi contenitori e oggetti in CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].If they do not exist already, creates and configures new containers and objects under CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
    • Se non esistono già, crea e configura nuovi contenitori e oggetti in CN=RegisteredDevices,[domain-dn].If they do not exist already, creates and configures new containers and objects under CN=RegisteredDevices,[domain-dn]. Gli oggetti dispositivo verranno creati in questo contenitore.Device objects will be created in this container.
    • Imposta le autorizzazioni necessarie nell'account Azure AD Connector per gestire i dispositivi nella propria istanza di Active Directory.Sets necessary permissions on the Azure AD Connector account, to manage devices on your Active Directory.
    • Deve essere eseguito in una sola foresta, anche se Azure AD Connect verrà installato in più foreste.Only needs to run on one forest, even if Azure AD Connect is being installed on multiple forests.

    ParametriParameters:

    • DomainName: dominio di Active Directory in cui verranno creati gli oggetti dispositivo.DomainName: Active Directory Domain where device objects will be created. Nota: tutti i dispositivi per una foresta Active Directory specifica verranno creati in un singolo dominio.Note: All devices for a given Active Directory forest will be created in a single domain.
    • AdConnectorAccount: account Active Directory che verrà usato da Azure AD Connect per gestire gli oggetti nella directory.AdConnectorAccount: Active Directory account that will be used by Azure AD Connect to manage objects in the directory. Si tratta dell'account usato dalla sincronizzazione di Azure AD Connect per connettersi ad Active Directory.This is the account used by Azure AD Connect sync to connect to AD. Se è stata eseguita l'installazione usando le impostazioni rapide, è l'account con prefisso MSOL_.If you installed using express settings, it is the account prefixed with MSOL_.

    Parte 3: Abilitare il writeback dei dispositivi in Azure AD ConnectPart 3: Enable device writeback in Azure AD Connect

    Per abilitare il writeback dei dispositivi in Azure AD Connect, seguire questa procedura.Use the following procedure to enable device writeback in Azure AD Connect.

    1. Eseguire nuovamente l'installazione guidata.Run the installation wizard again. Selezionare Personalizzazione delle opzioni di sincronizzazione dalla pagina Attività aggiuntive e fare clic su Avanti.Select customize synchronization options from the Additional Tasks page and click Next. Installazione personalizzata - Personalizzazione delle opzioni di sincronizzazioneCustom Install customize synchronization options
    2. Nella pagina Funzionalità facoltative l'opzione Writeback dispositivi non sarà più disabilitata. Si noti che se le procedure di preparazione di Azure AD Connect non vengono completate, l'opzione Writeback dispositivi risulterà disabilitata nella pagina Funzionalità facoltative.In the Optional Features page, device writeback will no longer be grayed out. Please note that if the Azure AD Connect prep steps are not completed device writeback will be grayed out in the Optional features page. Selezionare la casella per il writeback dei dispositivi e fare clic su Avanti.Check the box for device writeback and click next. Se la casella di controllo risulta ancora disattivata, vedere la sezione Risoluzione dei problemi.If the checkbox is still disabled, see the troubleshooting section. Installazione personalizzata - Funzionalità facoltative di writeback dei dispositiviCustom install Device Writeback optional features
    3. Nella pagina Writeback, il dominio specificato verrà visualizzato come la Foresta di writeback dei dispositivi predefinita.On the writeback page, you will see the supplied domain as the default Device writeback forest. Installazione personalizzata - Foresta di destinazione del writeback dei dispositiviCustom Install device writeback target forest
    4. Completare l'installazione guidata senza ulteriori modifiche di configurazione.Complete the installation of the Wizard with no additional configuration changes. Se necessario fare riferimento a Installazione personalizzata di Azure AD ConnectIf needed, refer to Custom installation of Azure AD Connect.
    5. Se è stata abilitata filtro in Azure AD Connect, quindi assicurarsi che il nuovo contenitore CN = RegisteredDevices è incluso nell'ambito.If you have enabled filtering in Azure AD Connect, then make sure the newly created container CN=RegisteredDevices is included in your scope.

    Parte 4: Verificare i dispositivi siano sincronizzati con Active DirectoryPart 4: Verify Devices are synchronized to Active Directory

    Il writeback dei dispositivi dovrebbe funzionare correttamente.Device writeback should now be working properly. Tenere presente che l'esecuzione del writeback degli oggetti dispositivo in Active Directory può richiedere fino a 3 ore.Be aware that it can take up to 3 hours for device objects to be written-back to AD. Per verificare che i dispositivi da sincronizzare correttamente, eseguire le operazioni seguenti dopo il completamento della sincronizzazione:To verify that your devices are being synced properly, do the following after the sync completes:

    1. Avviare il Centro di amministrazione di Active Directory.Launch Active Directory Administrative Center.
    2. Espandere RegisteredDevices, all'interno del dominio che è stato configurato in parte 2.Expand RegisteredDevices, within the domain that was configured in Part 2.

      Interfaccia di amministrazione di Active Directory - Dispositivi registrati

    3. I dispositivi attualmente registrati saranno elencati qui.Current registered devices will be listed there.

      Interfaccia di amministrazione di Active Directory - Elenco dei dispositivi registrati

    Abilitare l'accesso condizionaleEnable conditional access

    Per informazioni dettagliate su come abilitare questo scenario, vedere Configurazione dell'accesso condizionale locale usando il servizio Registrazione dispositivo di Azure Active Directory.Detailed instructions to enable this scenario are available within Setting up On-premises Conditional Access using Azure Active Directory Device Registration.

    risoluzione dei problemiTroubleshooting

    La casella di controllo del writeback è ancora disabilitataThe writeback checkbox is still disabled

    Se la casella di controllo per il writeback dei dispositivi non è ancora abilitata anche se sono stati seguiti i passaggi precedenti, la procedura seguente consentirà di verificare le caratteristiche dell'installazione guidata prima dell'abilitazione della casella.If the checkbox for device writeback is not enabled even though you have followed the steps above, the following steps will guide you through what the installation wizard is verifying before the box is enabled.

    Attività iniziali:First things first:

    • Assicurarsi che almeno una foresta disponga di Windows Server 2012 R2.Make sure at least one forest has Windows Server 2012R2. Il tipo di oggetto del dispositivo deve essere presente.The device object type must be present.
    • Se l'installazione guidata è già in esecuzione, non verranno rilevate tutte le modifiche.If the installation wizard is already running, then any changes will not be detected. In questo caso, completare l'installazione guidata ed eseguirla nuovamente.In this case, complete the installation wizard and run it again.
    • Assicurarsi che l'account specificato nello script di inizializzazione sia effettivamente l'utente corretto usato da Active Directory Connector.Make sure the account you provide in the initialization script is actually the correct user used by the Active Directory Connector. A questo scopo, seguire questa procedura:To verify this, follow these steps:

      • Avviare Servizio di sincronizzazionedal menu Start.From the start menu, open Synchronization Service.
      • Aprire la scheda Connettori .Open the Connectors tab.
      • Trovare il connettore con il tipo Servizi di dominio di Active Directory e selezionarlo.Find the Connector with type Active Directory Domain Services and select it.
      • In Azioni selezionare Proprietà.Under Actions, select Properties.
      • Passare a Connetti a Foresta Active Directory.Go to Connect to Active Directory Forest. Verificare che il dominio e il nome utente specificati in questa schermata corrispondano all'account specificato per lo script.Verify that the domain and user name specified on this screen match the account provided to the script.

        Account del connettore in Gestione servizio di sincronizzazione

    Verificare la configurazione in Active Directory:Verify configuration in Active Directory:

    • Verificare che il servizio registrazione dispositivo si trova nel percorso seguente (CN DeviceRegistrationService, CN = = dispositivo registrazione Services, CN = Device Registration Configuration, CN = Services, CN = Configuration) nel contesto dei nomi di configurazione.Verify that the Device Registration Service is located in the location below (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) under the configuration naming context.

    Risoluzione dei problemi, DeviceRegistrationService nello spazio dei nomi di configurazione

    • Verificare che sia presente un solo oggetto di configurazione cercando lo spazio dei nomi di configurazione.Verify there is only one configuration object by searching the configuration namespace. Se sono presenti più oggetti, eliminare il duplicato.If there is more than one, delete the duplicate.

    Risoluzione dei problemi, cercare gli oggetti duplicati

    • Assicurarsi che nell'oggetto Device Registration Service sia presente l'attributo msDS-DeviceLocation con un valore associato.On the Device Registration Service object, make sure the attribute msDS-DeviceLocation is present and has a value. Cercare la posizione e assicurarsi che sia presente con il tipo di oggetto msDS-DeviceContainer.Lookup this location and make sure it is present with the objectType msDS-DeviceContainer.

    Risoluzione dei problemi, msDS-DeviceLocation

    Risoluzione dei problemi, classe di oggetti RegisteredDevices

    • Verificare che l'account usato da Active Directory Connector disponga delle autorizzazioni necessarie per il contenitore Dispositivi registrati trovato nel passaggio precedente.Verify the account used by the Active Directory Connector has required permissions on the Registered Devices container found by the previous step. Si tratta delle autorizzazioni previste per questo contenitore:This is the expected permissions on this container:

    Risoluzione dei problemi, verificare le autorizzazioni per il contenitore

    • Verificare che l'account Active Directory disponga delle autorizzazioni nell'oggetto CN=Device Registration Configuration,CN=Services,CN=Configuration.Verify the Active Directory account has permissions on the CN=Device Registration Configuration,CN=Services,CN=Configuration object.

    Risoluzione dei problemi, verificare le autorizzazioni per la configurazione della registrazione dispositivo

    Informazioni aggiuntiveAdditional Information

    Passaggi successiviNext steps

    Altre informazioni su Integrazione delle identità locali con Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.