Azure AD-Verbinding maken: write-back van apparaten inschakelen

Notitie

Een abonnement op Azure AD Premium is vereist voor het terugschrijven van apparaten.

De volgende documentatie bevat informatie over het inschakelen van de functie voor het terugschrijven van apparaten in Azure AD Verbinding maken. Write-back van apparaat wordt gebruikt in de volgende scenario's:

Dit biedt extra beveiliging en zekerheid dat toegang tot toepassingen alleen wordt verleend aan vertrouwde apparaten. Raadpleeg Risico's beheren met Voorwaardelijke toegang en On-premises Voorwaardelijke toegang instellen met behulp van Azure Active Directory Device Registration voor meer informatie over Voorwaardelijke toegang.

Belangrijk

  • Apparaten moeten zich in hetzelfde forest bevinden als de gebruikers. Omdat apparaten moeten worden teruggeschreven naar één forest, biedt deze functie momenteel geen ondersteuning voor een implementatie met meerdere gebruikersforests.
  • Er kan slechts één configuratieobject voor apparaatregistratie worden toegevoegd aan het on-premises Active Directory forest. Deze functie is niet compatibel met een topologie waarbij de on-premises Active Directory wordt gesynchroniseerd met meerdere Azure AD-directory's.
  • Deel 1: Azure AD-Verbinding maken installeren

    Installeer Azure AD Verbinding maken met aangepaste of Express-instellingen. Microsoft raadt aan om te beginnen met alle gebruikers en groepen die zijn gesynchroniseerd voordat u terugschrijven van apparaten inschakelt.

    Deel 2: Write-back van apparaten inschakelen in Azure AD Verbinding maken

    1. Voer de installatiewizard opnieuw uit. Selecteer Apparaatopties configureren op de pagina Extra taken en klik op Volgende.

      Configure device options

      Notitie

      De nieuwe opties apparaat configureren zijn alleen beschikbaar in versie 1.1.819.0 en hoger.

    2. Selecteer Op de pagina Apparaatopties de optie Write-back van apparaten configureren. Optie voor het uitschakelen van terugschrijven van apparaten is pas beschikbaar als apparaat terugschrijven is ingeschakeld. Klik op Volgende om naar de volgende pagina in de wizard te gaan. Chose device operation

    3. Op de terugschrijfpagina ziet u het opgegeven domein als het standaardforest voor terugschrijven van apparaten. Custom Install device writeback target forest

    4. De pagina Apparaatcontainer biedt de mogelijkheid om de Active Directory voor te bereiden met behulp van een van de twee beschikbare opties:

      a. Referenties voor ondernemingsbeheerders opgeven: als de referenties van de ondernemingsbeheerder worden opgegeven voor het forest waarin apparaten moeten worden teruggeschreven, wordt het forest automatisch voorbereid door Azure AD Verbinding maken tijdens de configuratie van het terugschrijven van apparaten.

      b. PowerShell-script downloaden: Azure AD Verbinding maken genereert automatisch een PowerShell-script waarmee de Active Directory kan worden voorbereid voor het terugschrijven van apparaten. Als de referenties van de ondernemingsbeheerder niet kunnen worden opgegeven in Azure AD Verbinding maken, wordt u aangeraden het PowerShell-script te downloaden. Geef het gedownloade PowerShell-script opCreateDeviceContainer.ps1 aan de ondernemingsbeheerder van het forest waarnaar apparaten worden teruggeschreven. Prepare active directory forest

      De volgende bewerkingen worden uitgevoerd voor het voorbereiden van het Active Directory-forest:

      • Als deze nog niet bestaan, maakt en configureert u nieuwe containers en objecten onder CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
      • Als deze nog niet bestaan, maakt en configureert u nieuwe containers en objecten onder CN=RegisteredDevices,[domain-dn]. Apparaatobjecten worden gemaakt in deze container.
      • Hiermee stelt u de benodigde machtigingen in voor het Azure AD Connector-account om apparaten in uw Active Directory te beheren.
      • Hoeft slechts op één forest te worden uitgevoerd, zelfs als Azure AD Verbinding maken wordt geïnstalleerd op meerdere forests.

    Controleren of apparaten zijn gesynchroniseerd met Active Directory

    Terugschrijven van apparaten zou nu goed moeten werken. Houd er rekening mee dat het maximaal 3 uur kan duren voordat apparaatobjecten worden teruggeschreven naar AD. Als u wilt controleren of uw apparaten correct worden gesynchroniseerd, gaat u als volgt te werk nadat de synchronisatieregels zijn voltooid:

    1. Start het Active Directory-beheercentrum.

    2. Vouw RegisteredDevices uit binnen het domein dat wordt gefedereerd.

      Active Directory Admin Center Registered Devices

    3. De huidige geregistreerde apparaten worden daar vermeld.

      Active Directory Admin Center Registered Devices List

    Voorwaardelijke toegang inschakelen

    Gedetailleerde instructies voor het inschakelen van dit scenario zijn beschikbaar bij het instellen van on-premises voorwaardelijke toegang met behulp van Azure Active Directory Apparaatregistratie.

    Problemen oplossen

    Het selectievakje Terugschrijven is nog steeds uitgeschakeld

    Als het selectievakje voor terugschrijven van apparaten niet is ingeschakeld, ook al hebt u de bovenstaande stappen gevolgd, worden de volgende stappen u begeleid bij het controleren van wat de installatiewizard controleert voordat het vak is ingeschakeld.

    Eerste dingen eerst:

    • Voor het forest waar de apparaten aanwezig zijn, moet het forestschema worden bijgewerkt naar het niveau Windows 2012 R2, zodat het apparaatobject en de bijbehorende kenmerken aanwezig zijn.
    • Als de installatiewizard al wordt uitgevoerd, worden eventuele wijzigingen niet gedetecteerd. Voltooi in dit geval de installatiewizard en voer deze opnieuw uit.
    • Zorg ervoor dat het account dat u in het initialisatiescript opgeeft, de juiste gebruiker is die wordt gebruikt door de Active Directory-connector. Volg deze stappen om dit te controleren:
      • Open de synchronisatieservice in het menu Start.
      • Open het tabblad Connectors .
      • Zoek de connector met het type Active Directory Domain Services en selecteer deze.
      • Selecteer onder Actiesde optie Eigenschappen.
      • Ga naar Verbinding maken naar Active Directory-forest. Controleer of het domein en de gebruikersnaam die op dit scherm zijn opgegeven, overeenkomen met het account dat aan het script is opgegeven. Connector account in Sync Service Manager

    Configuratie controleren in Active Directory:

    • Controleer of Device Registration Service zich op de onderstaande locatie (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) onder configuratienaamgevingscontext bevindt.

    Troubleshoot, DeviceRegistrationService in configuration namespace

    • Controleer of er slechts één configuratieobject is door te zoeken in de configuratienaamruimte. Als er meer dan één is, verwijdert u het duplicaat.

    Troubleshoot, search for the duplicate objects

    • Zorg ervoor dat in het object Device Registration Service het kenmerk msDS-DeviceLocation aanwezig is en een waarde heeft. Zoek deze locatie op en zorg ervoor dat deze aanwezig is met het objectType msDS-DeviceContainer.

    Troubleshoot, msDS-DeviceLocation

    Troubleshoot, RegisteredDevices object class

    • Controleer of het account dat wordt gebruikt door de Active Directory-connector de vereiste machtigingen heeft voor de container Geregistreerde apparaten die u in de vorige stap hebt gevonden. Dit zijn de verwachte machtigingen voor deze container:

    Troubleshoot, verify permissions on container

    • Controleer of het Active Directory-account machtigingen heeft voor het object CN=Device Registration Configuration,CN=Services,CN=Configuration.

    Troubleshoot, verify permissions on Device Registration Configuration

    Aanvullende informatie

    Volgende stappen

    Lees meer over het integreren van uw on-premises identiteiten met Azure Active Directory.