Настройка локального условного доступа с помощью зарегистрированных устройств

  • Статья

В следующем документе описано, как установить и настроить локальный условный доступ с зарегистрированными устройствами.

conditional access

Предварительные требования к инфраструктуре

Перед началом работы с локальным условным доступом требуются следующие требования.

Требование Description
Подписка Microsoft Entra с идентификатором Microsoft Entra ID P1 или P2 Чтобы включить обратную запись устройства для локального условного доступа, бесплатная пробная версия является штрафной.
Подписка Intune требуется только для интеграции MDM для сценариев соответствия устройств — бесплатная пробная версия является отличной
Microsoft Entra Connect Ноябрь 2015 QFE или более поздней версии. Получите последнюю версию здесь.
Windows Server 2016 Сборка 10586 или более поздней версии для AD FS
Схема Active Directory Для Windows Server 2016 Требуется уровень схемы 85 или более поздней версии.
Контроллер домена Windows Server 2016 Это требуется только для развертываний hello for Business key-trust. Дополнительные сведения можно найти здесь.
Клиент Windows 10 Сборка 10586 или более поздней версии, присоединенная к приведенному выше домену, необходима только для присоединения к домену Windows 10 и сценариев Windows Hello для бизнеса только
Учетная запись пользователя Microsoft Entra с назначенной лицензией Microsoft Entra ID P1 или P2 Регистрация устройства

Обновление схемы Active Directory

Чтобы использовать локальный условный доступ с зарегистрированными устройствами, необходимо сначала обновить схему AD. Необходимо выполнить следующие условия: схема должна быть версии 85 или более поздней. Это требуется только для леса, к которому присоединены AD FS.

Примечание.

Если вы установили microsoft Entra Подключение перед обновлением до версии схемы (уровень 85 или более поздней) в Windows Server 2016, необходимо повторно запустить установку Microsoft Entra Подключение и обновить локальную схему AD, чтобы обеспечить настройку правила синхронизации для msDS-KeyCredentialLink.

Проверка уровня схемы

Чтобы проверить уровень схемы, сделайте следующее:

  1. Вы можете использовать ADSIEdit или LDP и подключиться к контексту именования схем.
  2. Используя ADSIEdit, щелкните правой кнопкой мыши "CN=Schema,CN=Configuration,DC=domain,DC>=<<com> и выберите свойства. Замените домен и com-части сведениями о лесу.
  3. В редакторе атрибутов найдите атрибут objectVersion и сообщит вам о вашей версии.

ADSI Edit

Вы также можете использовать следующий командлет PowerShell (замените объект сведениями о контексте именования схем):

Get-ADObject "cn=schema,cn=configuration,dc=domain,dc=local" -Property objectVersion

PowerShell

Дополнительные сведения об обновлении см. в статье об обновлении контроллеров домена до Windows Server 2016.

Включение регистрации устройств Microsoft Entra

Чтобы настроить этот сценарий, необходимо настроить возможность регистрации устройств в идентификаторе Microsoft Entra.

Для этого выполните действия, описанные в разделе "Настройка присоединения Microsoft Entra к вашей организации"

Настройка AD FS

  1. Создайте новую ферму AD FS 2016.
  2. Или перенос фермы в AD FS 2016 из AD FS 2012 R2
  3. Разверните microsoft Entra Подключение с помощью пользовательского пути для подключения AD FS к идентификатору Microsoft Entra.

Настройка обратной записи устройства и проверки подлинности устройства

Примечание.

Если вы запустили Microsoft Entra Подключение с помощью Express Параметры, то для вас были созданы правильные объекты AD. Однако в большинстве сценариев AD FS microsoft Entra Подключение был запущен с помощью пользовательского Параметры для настройки AD FS, поэтому необходимы следующие действия.

Создание объектов AD для проверки подлинности устройств AD FS

Если ферма AD FS еще не настроена для проверки подлинности устройств (это можно увидеть в консоли управления AD FS в разделе "Служба —> регистрация устройств"), выполните следующие действия, чтобы создать правильные объекты и конфигурацию AD DS.

Screenshot that shows the Device Registration Overview screen.

Примечание. Для приведенных ниже команд требуются средства администрирования Active Directory, поэтому если сервер федерации не является контроллером домена, сначала установите средства с помощью шага 1 ниже. В противном случае можно пропустить шаг 1.

  1. Запустите мастер добавления ролей и компонентов и выберите функцию удаленного сервера Администратор istration Tools -Role Администратор istration Tools ->>AD DS и AD LDS Tools .> Выберите модуль Active Directory для Windows PowerShell и средства AD DS.

Screenshot that highlights the Active Directory module for Windows PowerShell and the AD DS Tools options.

  1. На основном сервере AD FS убедитесь, что вы вошли в систему в качестве пользователя AD DS с правами Enterprise Администратор (EA) и откройте запрос PowerShell с повышенными привилегиями. Затем выполните следующие команды PowerShell:

    Import-module activedirectory PS C:\> Initialize-ADDeviceRegistration -ServiceAccountName "<your service account>"

  2. Во всплывающем окне нажмите "Да".

Примечание. Если служба AD FS настроена для использования учетной записи GMSA, введите имя учетной записи в формате "domain\accountname$"

Screenshot that shows how to use the listed PowerShell commands.

Приведенный выше PSH создает следующие объекты:

  • Контейнер RegisteredDevices в разделе домена AD
  • Контейнер службы регистрации устройств и объект в разделе "Конфигурация"> — службы —> конфигурация регистрации устройств
  • Контейнер и объект службы регистрации устройств в разделе Configuration --> Services --> Конфигурация регистрации устройств

Screenshot that shows the progress of the objects being created.

  1. После этого появится сообщение об успешном завершении.

Screenshot that shows the successful completion message.

Создание точки Подключение ion (SCP) службы в AD

Если вы планируете использовать присоединение к домену Windows 10 (с автоматическим регистрацией в идентификатор Microsoft Entra ID), как описано здесь, выполните следующие команды, чтобы создать точку подключения службы в AD DS

  1. Откройте Windows PowerShell и выполните следующие действия:

    PS C:>Import-Module -Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1"

Примечание.

При необходимости скопируйте файл AdSyncPrep.psm1 с сервера Microsoft Entra Подключение. Этот файл расположен в program Files\Microsoft Entra Подключение\AdPrep

Screenshot that shows the path to the AdSyncPrep file.

  1. Укажите учетные данные Microsoft Entra Global Администратор istrator.

    PS C:>$aadAdminCred = Get-Credential

Screenshot that shows where to provide the Microsoft Entra Global Administrator credentials.

  1. Выполните следующую команду PowerShell:

    PS C:>Initialize-ADSyncDomainJoinedComputerSync -AdConnectorAccount [AD connector account name] -AzureADCredentials $aadAdminCred

Где [имя учетной записи соединителя AD] — это имя учетной записи, настроенной в Microsoft Entra Подключение при добавлении локального каталога AD DS.

Приведенные выше команды позволяют клиентам Windows 10 найти правильный домен Microsoft Entra для присоединения путем создания объекта service Подключение ionpoint в AD DS.

Подготовка AD для обратной записи устройства

Чтобы убедиться, что объекты и контейнеры AD DS находятся в правильном состоянии для записи устройств с идентификатора Microsoft Entra ID, выполните указанные ниже действия.

  1. Откройте Windows PowerShell и выполните следующие действия:

    PS C:>Initialize-ADSyncDeviceWriteBack -DomainName <AD DS domain name> -AdConnectorAccount [AD connector account name]

Где [имя учетной записи соединителя AD] — это имя учетной записи, настроенной в Microsoft Entra Подключение при добавлении локального каталога AD DS в формате domain\accountname

Приведенная выше команда создает следующие объекты для обратной записи устройства в AD DS, если они еще не существуют, и разрешает доступ к указанному имени учетной записи соединителя AD.

  • Контейнер RegisteredDevices в разделе домена AD
  • Контейнер службы регистрации устройств и объект в разделе "Конфигурация"> — службы —> конфигурация регистрации устройств

Включение обратной записи устройств в Microsoft Entra Подключение

Если вы этого еще не сделали, включите обратную запись устройства в Microsoft Entra Подключение, запустив мастер второй раз и выбрав "Настройка параметров синхронизации", а затем проверка поле для записи устройства и выбор леса, в котором вы выполнили приведенные выше командлеты.

Настройка проверки подлинности устройства в AD FS

С помощью командного окна PowerShell с повышенными привилегиями настройте политику AD FS, выполнив следующую команду.

PS C:>Set-AdfsGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true -DeviceAuthenticationMethod All

Проверка конфигурации

Ниже приведен полный список устройств, контейнеров и разрешений, необходимых для обратной записи устройства и проверки подлинности для работы.

  • Объект типа ms-DS-DeviceContainer at CN=RegisteredDevices,DC=<domain>

    • Доступ на чтение к учетной записи службы AD FS
    • доступ на чтение и запись к учетной записи соединителя Microsoft Entra Подключение Sync AD

  • Container CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain>

  • DKM службы регистрации устройств контейнеров в приведенном выше контейнере

Device Registration

  • Объект службы типов Подключение ionpoint at CN=<guid>, CN=Device Registration

  • Конфигурация,CN=Services,CN=Configuration,DC=<domain>

    • доступ на чтение и запись к указанному имени учетной записи соединителя AD в новом объекте

  • Объект типа msDS-DeviceRegistrationServiceContainer at CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain>

  • Объект типа msDS-DeviceRegistrationService в приведенном выше контейнере

См. его работу

Чтобы оценить новые утверждения и политики, сначала зарегистрируйте устройство. Например, вы можете присоединиться к компьютеру с Windows 10 с помощью приложения Параметры в разделе "Системная> информация" или настроить присоединение домена Windows 10 с автоматической регистрацией устройств, выполнив следующие дополнительные действия. Сведения о присоединении мобильных устройств Windows 10 см . здесь.

Для простой оценки войдите в AD FS с помощью тестового приложения, отображающего список утверждений. Вы сможете видеть новые утверждения, включая isManaged, isCompliant и trusttype. Если включить Windows Hello для бизнеса, вы также увидите утверждение prt.

Настройка дополнительных сценариев

Автоматическая регистрация компьютеров, присоединенных к домену Windows 10

Чтобы включить автоматическую регистрацию устройств для компьютеров, присоединенных к домену Windows 10, выполните действия 1 и 2. Это поможет вам достичь следующих целей:

  1. Убедитесь, что точка подключения службы в AD DS существует и имеет соответствующие разрешения (мы создали этот объект выше, но это не вредит двойному проверка).
  2. Убедитесь, что AD FS настроен правильно
  3. Убедитесь, что в системе AD FS настроены правильные конечные точки и настроены правила утверждений.
  4. Настройка параметров групповой политики, необходимых для автоматической регистрации устройств присоединенных к домену компьютеров

Windows Hello для бизнеса

Сведения о включении Windows 10 с Windows Hello для бизнеса см. в статье "Включение Windows Hello для бизнеса в организации".

Автоматическая регистрация MDM

Чтобы включить автоматическую регистрацию MDM зарегистрированных устройств, чтобы использовать утверждение isCompliant в политике управления доступом, выполните указанные ниже действия .

Устранение неполадок

  1. Если вы получите сообщение об ошибке об Initialize-ADDeviceRegistration объекте, уже существующем в неправильном состоянии, например "Объект службы DRS найден без всех обязательных атрибутов", возможно, вы выполнили команды Microsoft Entra Подключение PowerShell ранее и имеют частичную конфигурацию в AD DS. Попробуйте удалить объекты вручную в разделе CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain> и повторите попытку.
  2. Для клиентов, присоединенных к домену Windows 10
    1. Чтобы убедиться, что проверка подлинности устройства работает, войдите в клиент, присоединенный к домену, в качестве тестовой учетной записи пользователя. Чтобы быстро активировать подготовку, заблокируйте и разблокируйте рабочий стол по крайней мере один раз.
    2. Инструкции по проверка ссылки на учетные данные ключа STK в объекте AD DS (синхронизация по-прежнему выполняется дважды?)
  3. Если вы получите ошибку при попытке зарегистрировать компьютер Windows, который устройство уже зарегистрировано, но вы не можете или уже отрегистрировали устройство, у вас может быть фрагмент конфигурации регистрации устройств в реестре. Чтобы изучить и удалить это, выполните следующие действия.
    1. На компьютере Windows откройте Regedit и перейдите к HKLM\Software\Microsoft\Enrollments
    2. В этом разделе будет много вложенных ключей в форме GUID. Перейдите к подразделу, который имеет ~17 значений в нем и имеет "EnrollmentType" из "6" [MDM joined] или "13" (Microsoft Entra joined)
    3. Измените EnrollmentType на 0
    4. Повторите попытку регистрации или регистрации устройства