Azure AD Connect выполняет следующие функции: включение обратной записи устройствAzure AD Connect: Enabling device writeback

Примечание

Для обратной записи устройств требуется подписка Azure AD Premium.A subscription to Azure AD Premium is required for device writeback.

Следующая документация содержит сведения о том, как включить функцию обратной записи устройств в службе Azure AD Connect.The following documentation provides information on how to enable the device writeback feature in Azure AD Connect. Обратная запись устройств используется в ситуациях,Device Writeback is used in the following scenarios:

Это обеспечивает дополнительную защиту и гарантию того, что доступ к приложениям предоставляется только доверенным устройствам.This provides additional security and assurance that access to applications is granted only to trusted devices. Дополнительные сведения о настройке условного доступа см. в разделе управление рисками с помощью условного доступа и Настройка локального условного доступа, с помощью регистрации устройств Azure Active Directory.For more information on Conditional Access, see Managing Risk with Conditional Access and Setting up On-premises Conditional Access using Azure Active Directory Device Registration.

Важно!

  • Устройства должны находиться в том же лесу, что и пользователи.Devices must be located in the same forest as the users. Поскольку обратная запись устройств должна производиться в один лес, эта функция в настоящий момент не поддерживает развертывание с несколькими лесами пользователей.Since devices must be written back to a single forest, this feature does not currently support a deployment with multiple user forests.
  • В локальный лес Active Directory можно добавить только один объект конфигурации регистрации.Only one device registration configuration object can be added to the on-premises Active Directory forest. Эта функция несовместима с топологией, в которой локальный каталог Active Directory синхронизируется в несколько каталогов Azure AD.This feature is not compatible with a topology where the on-premises Active Directory is synchronized to multiple Azure AD directories.
  • Часть 1. Установка Azure AD ConnectPart 1: Install Azure AD Connect

    Установите Azure AD Connect с использованием стандартных или пользовательских параметров.Install Azure AD Connect using Custom or Express settings. Корпорация Майкрософт рекомендует перед включением обратной записи устройства выполнить синхронизацию всех пользователей и групп.Microsoft recommends to start with all users and groups successfully synchronized before you enable device writeback.

    Часть 2. Включение обратной записи устройств в Azure AD ConnectPart 2: Enable device writeback in Azure AD Connect

    1. Снова запустите мастер установки.Run the installation wizard again. Выберите Настройка параметров устройств на странице "Дополнительные задачи" и нажмите кнопку Далее.Select Configure device options from the Additional Tasks page and click Next.

      Настройка параметров устройств

      Примечание

      Новая функция настройки параметров устройств доступна только в версии 1.1.819.0 и более поздних.The new Configure device options is available only in version 1.1.819.0 and newer.

    2. На странице параметров устройства выберите Настроить обратную запись устройств.On the device options page, select Configure device writeback. Параметр Отключить обратную запись устройств станет доступным после включения обратной записи устройства.Option to Disable device writeback will not be available until device writeback is enabled. Щелкните Далее, чтобы перейти на следующую страницу мастера.Click on Next to move to the next page in the wizard. Выбор операции устройстваChose device operation

    3. На странице обратной записи вы увидите указанный домен в качестве леса обратной записи устройств по умолчанию.On the writeback page, you will see the supplied domain as the default Device writeback forest. Выборочная установка: целевой лес обратной записи устройстваCustom Install device writeback target forest

    4. Страница Контейнер устройств содержит параметр подготовки Active Directory с использованием одного из двух вариантов:Device container page provides option of preparing the active directory by using one of the two available options:

      a.a. Предоставление учетных данных администратора предприятия. Если учетные данные администратора предприятия предоставлены для леса, в который необходимо выполнить обратную запись устройств, Azure AD Connect автоматически подготовит лес во время настройки обратной записи устройства.Provide enterprise administrator credentials: If the enterprise administrator credentials are provided for the forest where devices need to be written back, Azure AD Connect will prepare the forest automatically during the configuration of device writeback.

      2.b. Скачивание сценария PowerShell . Azure AD Connect автоматически создает сценарий PowerShell, который может подготовить Active Directory для обратной записи устройства.Download PowerShell script: Azure AD Connect auto-generates a PowerShell script that can prepare the active directory for device writeback. Если учетные данные администратора предприятия не могут быть предоставлены в Azure AD Connect, предлагаем загрузить сценарий PowerShell.In case the enterprise administrator credentials cannot be provided in Azure AD Connect, it is suggested to download the PowerShell script. Предоставьте загруженный сценарий PowerShell CreateDeviceContainer.psq администратору предприятия леса, в который будет выполнена обратная запись устройств.Provide the downloaded PowerShell script CreateDeviceContainer.psq to the enterprise administrator of the forest where devices will be written back to. Подготовка леса Active DirectoryPrepare active directory forest

      Для подготовки леса Active Directory выполняются следующие операции:The following operations are performed for preparing the active directory forest:

      • Если они больше не существуют, функция создает и настраивает их в разделах CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].If they do not exist already, creates and configures new containers and objects under CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
      • Если они больше не существуют, функция создает и настраивает их в разделе CN=RegisteredDevices,[domain-dn].If they do not exist already, creates and configures new containers and objects under CN=RegisteredDevices,[domain-dn]. Объекты устройства будут созданы в этом контейнере.Device objects will be created in this container.
      • Задает необходимые разрешения для учетной записи Azure AD Connector для управления устройствами в Active Directory.Sets necessary permissions on the Azure AD Connector account, to manage devices on your Active Directory.
      • Предполагает выполнение только в одном лесу, даже если служба Azure AD Connect устанавливается в нескольких лесах.Only needs to run on one forest, even if Azure AD Connect is being installed on multiple forests.

    Проверка синхронизации устройств с Active DirectoryVerify Devices are synchronized to Active Directory

    Функция обратной записи устройств должна теперь работать правильно.Device writeback should now be working properly. Имейте в виду, что обратная запись объектов устройств в AD может выполняться до 3 часов.Be aware that it can take up to 3 hours for device objects to be written-back to AD. Проверить, правильно ли синхронизированы устройства после выполнения правила синхронизации, можно так.To verify that your devices are being synced properly, do the following after the sync rules complete:

    1. Запустите центр администрирования Active Directory.Launch Active Directory Administrative Center.

    2. Разверните раздел RegisteredDevices в домене, который включается в федерацию.Expand RegisteredDevices, within the Domain that is being federated.

      Центр администрирования Active Directory: зарегистрированные устройства

    3. Там будут перечислены зарегистрированные в настоящий момент устройства.Current registered devices will be listed there.

      Центр администрирования Active Directory: список зарегистрированных устройств

    Включение условного доступаEnable Conditional Access

    Подробные инструкции о включении этого сценария см. в статье Настройка локального условного доступа с помощью регистрации устройств в Azure Active Directory.Detailed instructions to enable this scenario are available within Setting up On-premises Conditional Access using Azure Active Directory Device Registration.

    Устранение неполадокTroubleshooting

    Флажок обратной записи по-прежнему отключенThe writeback checkbox is still disabled

    Если флажок для обратной записи устройства не включен, несмотря на то, что были выполнены шаги, описанные выше, с помощью описанных ниже действий вы сможете проверить то, что проверяет мастер установки перед включением флажка.If the checkbox for device writeback is not enabled even though you have followed the steps above, the following steps will guide you through what the installation wizard is verifying before the box is enabled.

    Начнем сначала:First things first:

    • Лес, где присутствуют устройства, должен иметь схему леса, обновленную до уровня Windows 2012 R2, чтобы присутствовали объект устройства и связанные с ним атрибуты.The forest where the devices are present must have the forest schema upgraded to Windows 2012 R2 level so that the device object and associated attributes are present .
    • Если мастер установки уже запущен, то изменения не будут обнаружены.If the installation wizard is already running, then any changes will not be detected. В этом случае завершите работу мастера установки и запустите его снова.In this case, complete the installation wizard and run it again.
    • Убедитесь, что учетная запись, указанная в сценарии инициализации, соответствует пользователю, используемому соединителем Active Directory.Make sure the account you provide in the initialization script is actually the correct user used by the Active Directory Connector. Чтобы это проверить, выполните следующие действия.To verify this, follow these steps:
      • В меню "Пуск" щелкните Служба синхронизации.From the start menu, open Synchronization Service.
      • Откройте вкладку Соединители .Open the Connectors tab.
      • Найдите соединитель с типом "Доменные службы Active Directory" и выберите его.Find the Connector with type Active Directory Domain Services and select it.
      • В разделе Действия выберите Свойства.Under Actions, select Properties.
      • Выберите Подключиться к лесу Active Directory.Go to Connect to Active Directory Forest. Убедитесь, что домен и имя пользователя, указанные в этом окне, совпадают с учетной записью, указанной в сценарии.Verify that the domain and user name specified on this screen match the account provided to the script. Учетная запись соединителя в диспетчере службы синхронизацииConnector account in Sync Service Manager

    Проверьте конфигурацию Active Directory.Verify configuration in Active Directory:

    • Убедитесь, что служба регистрации устройств расположена в контексте именования конфигурации ниже (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration).Verify that the Device Registration Service is located in the location below (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) under configuration naming context.

    Устранение неполадок, служба регистрации устройств в пространстве имен конфигурации

    • Убедитесь, что имеется только один объект конфигурации, выполнив поиск в пространстве имен конфигурации.Verify there is only one configuration object by searching the configuration namespace. Если объектов несколько, удалите дубликаты.If there is more than one, delete the duplicate.

    Устранение неполадок, поиск дубликатов объектов

    • В объекте службы регистрации устройств убедитесь, что атрибут msDS-DeviceLocation присутствует и для него установлено значение.On the Device Registration Service object, make sure the attribute msDS-DeviceLocation is present and has a value. Найдите указанное расположение и убедитесь, что оно существует с типом объекта msDS-DeviceContainer.Lookup this location and make sure it is present with the objectType msDS-DeviceContainer.

    Устранение неполадок, расположение устройств msDS

    Устранение неполадок, класс объекта зарегистрированных устройств

    • Убедитесь, что учетная запись, используемая соединителем Active Directory, имеет необходимые разрешения для контейнера "Зарегистрированные устройства", обнаруженного на предыдущем шаге.Verify the account used by the Active Directory Connector has required permissions on the Registered Devices container found by the previous step. Разрешения для контейнера должны быть следующими:This is the expected permissions on this container:

    Устранение неполадок, проверка разрешений в контейнере

    • Проверьте, что у учетной записи Active Directory есть разрешения для объекта CN=Device Registration Configuration,CN=Services,CN=Configuration.Verify the Active Directory account has permissions on the CN=Device Registration Configuration,CN=Services,CN=Configuration object.

    Устранение неполадок, проверка разрешений в конфигурации регистрации устройства

    Дополнительная информацияAdditional Information

    Дальнейшие действияNext steps

    Узнайте больше об интеграции локальных удостоверений с Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.