Azure AD Connect: abilitazione del writeback dei dispositiviAzure AD Connect: Enabling device writeback

Nota

Una sottoscrizione di Azure AD Premium è necessaria per il writeback dei dispositivi.A subscription to Azure AD Premium is required for device writeback.

Il documento seguente illustra come abilitare la funzionalità di writeback dei dispositivi in Azure AD Connect.The following documentation provides information on how to enable the device writeback feature in Azure AD Connect. Il writeback dei dispositivi viene usato negli scenari seguenti:Device Writeback is used in the following scenarios:

  • Per abilitare l'accesso condizionale in base ai dispositivi alle applicazione protette tramite ADFS 2012 R2 o versioni successive (trust della relying party).Enable conditional access based on devices to ADFS (2012 R2 or higher) protected applications (relying party trusts).

Questo offre maggiore sicurezza e garantisce che l'accesso alle applicazioni venga concesso solo ai dispositivi attendibili.This provides additional security and assurance that access to applications is granted only to trusted devices. Per altre informazioni sull'accesso condizionale, vedere Gestione dei rischi con l'accesso condizionale e Configurazione dell'accesso condizionale locale usando il servizio Registrazione dispositivo di Azure Active Directory.For more information on conditional access, see Managing Risk with Conditional Access and Setting up On-premises Conditional Access using Azure Active Directory Device Registration.

Importante

  • I dispositivi devono trovarsi nella stessa foresta degli utenti.Devices must be located in the same forest as the users. Data la necessità di eseguire il writeback dei dispositivi in una singola foresta, attualmente questa funzionalità non supporta una distribuzione con più foreste utente.Since devices must be written back to a single forest, this feature does not currently support a deployment with multiple user forests.
  • Solo un oggetto di configurazione della registrazione dispositivi può essere aggiunto alla foresta locale di Active Directory.Only one device registration configuration object can be added to the on-premises Active Directory forest. Questa funzionalità non è compatibile con una topologia in cui l'istanza locale di Active Directory è sincronizzata con più directory di Azure AD.This feature is not compatible with a topology where the on-premises Active Directory is synchronized to multiple Azure AD directories.
  • >

    Parte 1: Installare Azure AD ConnectPart 1: Install Azure AD Connect

    Installare Azure AD Connect usando le impostazioni personalizzate o rapideInstall Azure AD Connect using Custom or Express settings. È consigliabile iniziare sincronizzando correttamente tutti gli utenti e i gruppi prima di abilitare il writeback dei dispositivi.Microsoft recommends to start with all users and groups successfully synchronized before you enable device writeback.

    Parte 2: Abilitare il writeback dei dispositivi in Azure AD ConnectPart 2: Enable device writeback in Azure AD Connect

    1. Eseguire nuovamente l'installazione guidata.Run the installation wizard again. Selezionare Configura le opzioni del dispositivo dalla pagina Attività aggiuntive e fare clic su Avanti.Select Configure device options from the Additional Tasks page and click Next.

      Configura le opzioni del dispositivo

      Nota

      Il nuovo Configura le opzioni del dispositivo è disponibile solo nella versione 1.1.819.0 e successive.The new Configure device options is available only in version 1.1.819.0 and newer.

    2. Nella pagina delle opzioni del dispositivo, selezionare Configura il writeback dispositivi.On the device options page, select Configure device writeback. L'opzione Disabilita il writeback dispositivi non sarà disponibile finché non viene abilitato il writeback dei dispositivi.Option to Disable device writeback will not be available until device writeback is enabled. Fare clic su Successivo per spostarsi alla pagina successiva nella procedura guidata.Click on Next to move to the next page in the wizard. Scegliere l'operazione del dispositivoChose device operation

    3. Nella pagina Writeback, il dominio specificato verrà visualizzato come la Foresta di writeback dei dispositivi predefinita.On the writeback page, you will see the supplied domain as the default Device writeback forest. Installazione personalizzata - Foresta di destinazione del writeback dei dispositiviCustom Install device writeback target forest

    4. La pagina Contenitore di dispositivi consente di preparare la active directory tramite una delle due opzioni disponibili:Device container page provides option of preparing the active directory by using one of the two available options:

      a.a. Fornire le credenziali di amministratore di enterprise: se le credenziali di amministratore di enterprise vengono fornite per la foresta in cui i dispositivi devono essere riscritti, Azure AD Connect preparerà foresta automaticamente durante la configurazione di writeback dispositivi.Provide enterprise administrator credentials: If the enterprise administrator credentials are provided for the forest where devices need to be written back, Azure AD Connect will prepare the forest automatically during the configuration of device writeback.

      b.b. Scarica lo script di PowerShell: Azure AD Connect genera automaticamente uno script di PowerShell che può preparare la active directory per il writeback dispositivi.Download PowerShell script: Azure AD Connect auto-generates a PowerShell script that can prepare the active directory for device writeback. Nel caso in cui non sia possibile fornire le credenziali di amministratore di enterprise in Azure AD Connect, si consiglia di scaricare lo script di PowerShell.In case the enterprise administrator credentials cannot be provided in Azure AD Connect, it is suggested to download the PowerShell script. Fornire lo script di PowerShell scaricato CreateDeviceContainer.psq all'amministratore dell'enterprise della foresta in cui verrà eseguito il writeback dei dispositivi.Provide the downloaded PowerShell script CreateDeviceContainer.psq to the enterprise administrator of the forest where devices will be written back to. Preparare la foresta active directoryPrepare active diretory forest

      Per preparare la foresta active directory vengono eseguite le operazioni seguenti:The following operations are performed for preparing the active directory forest:

      • Se non esistono già, crea e configura nuovi contenitori e oggetti in CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].If they do not exist already, creates and configures new containers and objects under CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
      • Se non esistono già, crea e configura nuovi contenitori e oggetti in CN=RegisteredDevices,[domain-dn].If they do not exist already, creates and configures new containers and objects under CN=RegisteredDevices,[domain-dn]. Gli oggetti dispositivo verranno creati in questo contenitore.Device objects will be created in this container.
      • Imposta le autorizzazioni necessarie nell'account Azure AD Connector per gestire i dispositivi nella propria istanza di Active Directory.Sets necessary permissions on the Azure AD Connector account, to manage devices on your Active Directory.
      • Deve essere eseguito in una sola foresta, anche se Azure AD Connect verrà installato in più foreste.Only needs to run on one forest, even if Azure AD Connect is being installed on multiple forests.

    Verificare che i dispositivi siano sincronizzati con Active DirectoryVerify Devices are synchronized to Active Directory

    Il writeback dei dispositivi dovrebbe funzionare correttamente.Device writeback should now be working properly. Tenere presente che l'esecuzione del writeback degli oggetti dispositivo in Active Directory può richiedere fino a 3 ore.Be aware that it can take up to 3 hours for device objects to be written-back to AD. Per verificare che i dispositivi siano sincronizzati correttamente, al termine dell'esecuzione delle regole di sincronizzazione seguire questa procedura:To verify that your devices are being synced properly, do the following after the sync rules complete:

    1. Avviare il Centro di amministrazione di Active Directory.Launch Active Directory Administrative Center.
    2. Espandere RegisteredDevices all'interno del dominio che verrà federato.Expand RegisteredDevices, within the Domain that is being federated.

      Interfaccia di amministrazione di Active Directory - Dispositivi registrati

    3. I dispositivi attualmente registrati saranno elencati qui.Current registered devices will be listed there.

      Interfaccia di amministrazione di Active Directory - Elenco dei dispositivi registrati

    Abilitare l'accesso condizionaleEnable conditional access

    Per informazioni dettagliate su come abilitare questo scenario, vedere Configurazione dell'accesso condizionale locale usando il servizio Registrazione dispositivo di Azure Active Directory.Detailed instructions to enable this scenario are available within Setting up On-premises Conditional Access using Azure Active Directory Device Registration.

    risoluzione dei problemiTroubleshooting

    La casella di controllo del writeback è ancora disabilitataThe writeback checkbox is still disabled

    Se la casella di controllo per il writeback dei dispositivi non è ancora abilitata anche se sono stati seguiti i passaggi precedenti, la procedura seguente consentirà di verificare le caratteristiche dell'installazione guidata prima dell'abilitazione della casella.If the checkbox for device writeback is not enabled even though you have followed the steps above, the following steps will guide you through what the installation wizard is verifying before the box is enabled.

    Attività iniziali:First things first:

    • Assicurarsi che almeno una foresta disponga di Windows Server 2012 R2.Make sure at least one forest has Windows Server 2012R2. Il tipo di oggetto del dispositivo deve essere presente.The device object type must be present.
    • Se l'installazione guidata è già in esecuzione, non verranno rilevate tutte le modifiche.If the installation wizard is already running, then any changes will not be detected. In questo caso, completare l'installazione guidata ed eseguirla nuovamente.In this case, complete the installation wizard and run it again.
    • Assicurarsi che l'account specificato nello script di inizializzazione sia effettivamente l'utente corretto usato da Active Directory Connector.Make sure the account you provide in the initialization script is actually the correct user used by the Active Directory Connector. A questo scopo, seguire questa procedura:To verify this, follow these steps:
      • Avviare Servizio di sincronizzazionedal menu Start.From the start menu, open Synchronization Service.
      • Aprire la scheda Connettori .Open the Connectors tab.
      • Trovare il connettore con il tipo Servizi di dominio di Active Directory e selezionarlo.Find the Connector with type Active Directory Domain Services and select it.
      • In Azioni selezionare Proprietà.Under Actions, select Properties.
      • Passare a Connetti a Foresta Active Directory.Go to Connect to Active Directory Forest. Verificare che il dominio e il nome utente specificati in questa schermata corrispondano all'account specificato per lo script.Verify that the domain and user name specified on this screen match the account provided to the script. Account connettore in Synchronization Service ManagerConnector account in Sync Service Manager

    Verificare la configurazione in Active Directory:Verify configuration in Active Directory:

    • Verificare che il servizio Registrazione dispositivo si trovi nel percorso seguente (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) nel contesto dei nomi di configurazione.Verify that the Device Registration Service is located in the location below (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) under configuration naming context.

    Risoluzione dei problemi, DeviceRegistrationService nello spazio dei nomi di configurazione

    • Verificare che sia presente un solo oggetto di configurazione cercando lo spazio dei nomi di configurazione.Verify there is only one configuration object by searching the configuration namespace. Se sono presenti più oggetti, eliminare il duplicato.If there is more than one, delete the duplicate.

    Risoluzione dei problemi, cercare gli oggetti duplicati

    • Assicurarsi che nell'oggetto Device Registration Service sia presente l'attributo msDS-DeviceLocation con un valore associato.On the Device Registration Service object, make sure the attribute msDS-DeviceLocation is present and has a value. Cercare la posizione e assicurarsi che sia presente con il tipo di oggetto msDS-DeviceContainer.Lookup this location and make sure it is present with the objectType msDS-DeviceContainer.

    Risoluzione dei problemi, msDS-DeviceLocation

    Risoluzione dei problemi, classe di oggetti RegisteredDevices

    • Verificare che l'account usato da Active Directory Connector disponga delle autorizzazioni necessarie per il contenitore Dispositivi registrati trovato nel passaggio precedente.Verify the account used by the Active Directory Connector has required permissions on the Registered Devices container found by the previous step. Si tratta delle autorizzazioni previste per questo contenitore:This is the expected permissions on this container:

    Risoluzione dei problemi, verificare le autorizzazioni per il contenitore

    • Verificare che l'account Active Directory disponga delle autorizzazioni nell'oggetto CN=Device Registration Configuration,CN=Services,CN=Configuration.Verify the Active Directory account has permissions on the CN=Device Registration Configuration,CN=Services,CN=Configuration object.

    Risoluzione dei problemi, verificare le autorizzazioni per la configurazione della registrazione dispositivo

    Informazioni aggiuntiveAdditional Information

    Passaggi successiviNext steps

    Altre informazioni su Integrazione delle identità locali con Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.