Microsoft Entra 連線:啟用裝置回寫
注意
裝置回寫需要 Microsoft Entra ID P1 或 P2 的訂用帳戶。
下列檔提供如何在 Microsoft Entra 連線中啟用裝置回寫功能的相關資訊。 裝置回寫用於下列案例:
- 使用混合式憑證信任部署啟用 Windows Hello 企業版
- 根據裝置對 ADFS(2012 R2 或更高版本)保護的應用程式(信賴憑證者信任)啟用條件式存取。
這提供額外的安全性,確保只授權信任的裝置才能存取應用程式。 如需條件式存取的詳細資訊,請參閱使用條件式存取管理風險和使用 Microsoft Entra 裝置註冊設定內部部署條件式存取。
重要
第 1 部分:安裝 Microsoft Entra 連線
使用自訂或快速設定安裝 Microsoft Entra 連線。 Microsoft 建議您先從所有使用者和群組開始成功同步處理,再啟用裝置回寫。
第 2 部分:在 Microsoft Entra 中啟用裝置回寫連線
再次執行安裝精靈。 從 [其他工作] 頁面選取 [ 設定裝置選項 ],然後按 [ 下一步 ]。
注意
新的設定裝置選項僅適用于 1.1.819.0 版和更新版本。
在 [裝置選項] 頁面上,選取 [ 設定裝置回 寫]。 停用裝置回寫的選項在啟用裝置回 寫之前將無法使用。 按一下 [ 下一步] 以移至精靈中的下一頁。
在 [回寫] 頁面上,您會看到提供的網域作為預設的裝置回寫樹系。
裝置容器 頁面提供使用兩個可用選項之一來準備 Active Directory 的選項:
a. 提供企業系統管理員認證 :如果為需要回寫裝置的樹系提供企業系統管理員認證,Microsoft Entra 連線會在設定裝置回寫期間自動準備樹系。
b. 下載 PowerShell 腳本 :Microsoft Entra 連線自動產生 PowerShell 腳本,以準備 Active Directory 以進行裝置回寫。 如果 Microsoft Entra 連線中無法提供企業系統管理員認證,建議您下載 PowerShell 腳本。 將下載的 PowerShell 腳本 CreateDeviceContainer.ps1 提供給將回寫裝置之樹系的企業系統管理員。
執行下列作業來準備 Active Directory 樹系:
- 如果它們不存在,請在 CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn] 底下建立及設定新的容器和物件。
- 如果它們還不存在,請在 CN=RegisteredDevices,[domain-dn] 下建立並設定新的容器和物件。 裝置物件將會在此容器中建立。
- 設定 Microsoft Entra 連線or 帳戶的必要許可權,以管理 Active Directory 上的裝置。
- 只需要在一個樹系上執行,即使 Microsoft Entra 連線安裝在多個樹系上也一樣。
確認裝置已同步處理至 Active Directory
裝置回寫現在應該正常運作。 請注意,將裝置物件寫回 AD 最多可能需要 3 小時的時間。 若要確認您的裝置已正確同步處理,請在同步處理規則完成之後執行下列動作:
啟動 Active Directory 管理中心。
在同盟網域內展開 RegisteredDevices。
目前已註冊的裝置將會列在那裡。
啟用條件式存取
如需啟用此案例的詳細指示,請參閱 使用 Microsoft Entra 裝置註冊 設定內部部署條件式存取。
疑難排解
回寫核取方塊仍然停用
如果您已遵循上述步驟,但未啟用裝置回寫的核取方塊,下列步驟將引導您完成啟用方塊之前所驗證的安裝精靈。
首先:
- 存有裝置的樹系必須將樹系結構描述升級到 Windows 2012 R2 層級,以便讓裝置物件和相關聯的屬性存在。
- 如果安裝精靈已在執行中,則不會偵測到任何變更。 在此情況下,請先完成安裝精靈,然後再執行一次。
- 請確定您在初始化腳本中提供的帳戶實際上是 Active Directory 連線or 所使用的正確使用者。 若要確認這一點,請遵循下列步驟:
- 從 [開始] 功能表中,開啟 [ 同步處理服務 ]。
- 開啟 [連線ors] 索引 標籤。
- 尋找類型為 Active Directory 網域服務 的 連線or,然後加以選取。
- 在 [動作] 底下 ,選取 [ 屬性 ]。
- 移至 [連線至 Active Directory 樹系 ]。 確認此畫面上指定的網域和使用者名稱符合提供給腳本的帳戶。
確認 Active Directory 中的組態:
- 確認裝置註冊服務位於組態命名內容下方 (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) 底下的位置。
- 藉由搜尋組態命名空間,確認只有一個組態物件。 如果有多個,請刪除重複專案。
- 在「裝置註冊服務」物件上,確定 msDS-DeviceLocation 屬性存在且具有值。 查閱此位置,並確定其存在 objectType msDS-DeviceContainer。
- 確認 Active Directory 連接器所使用的帳戶,具備上一個步驟所找到之「註冊的裝置」容器的必要權限。 這是此容器的預期許可權:
- 確認 Active Directory 帳戶具備 CN=Device Registration Configuration,CN=Services,CN=Configuration 物件的權限。