Sdílet prostřednictvím

Microsoft Entra Connect: Povolení zpětného zápisu zařízení

  • Článek

Poznámka

Pro zpětný zápis zařízení se vyžaduje předplatné Microsoft Entra ID P1 nebo P2.

Následující dokumentace obsahuje informace o povolení funkce zpětného zápisu zařízení v Microsoft Entra Connect. Zpětný zápis zařízení se používá v následujících scénářích:

To poskytuje další zabezpečení a záruku, že přístup k aplikacím je udělen pouze důvěryhodným zařízením. Další informace o podmíněném přístupu najdete v tématu Řízení rizik pomocí podmíněného přístupu a Nastavení místního podmíněného přístupu pomocí registrace zařízení Microsoft Entra.

Důležitý

  • Zařízení musí být umístěná ve stejné doménové struktuře jako uživatelé. Vzhledem k tomu, že zařízení musí být zapsána zpět do jedné doménové struktury, tato funkce v současné době nepodporuje nasazení s více doménovými strukturami uživatelů.
  • Do místní doménové struktury služby Active Directory je možné přidat pouze jeden objekt konfigurace registrace zařízení. Tato funkce není kompatibilní s topologií, ve které je místní služba Active Directory synchronizovaná s několika adresáři Microsoft Entra.

    • Část 1: Instalace nástroje Microsoft Entra Connect

    Nainstalujte Microsoft Entra Connect pomocí vlastního nebo expresního nastavení. Microsoft doporučuje, aby se všichni uživatelé a skupiny úspěšně synchronizovali, než povolíte zpětný zápis zařízení.

    Část 2: Povolení zpětného zápisu zařízení v Microsoft Entra Connect

    1. Spusťte znovu průvodce instalací. Na stránce Další úlohy zvolte Nastavit možnosti zařízení a klikněte na Další.

      Konfigurace možností zařízení

      Poznámka

      Nové možnosti Konfigurace zařízení jsou dostupné jenom ve verzi 1.1.819.0 a novější.

    2. Na stránce možností zařízení vyberte Konfiguraci zpětného zápisu zařízení. Možnost Zakázat zpětný zápis zařízení není dostupná, dokud nebude povolený zpětný zápis zařízení. Výběrem možnosti Další přejděte na další stránku průvodce. Zvolit operaci zařízení

    3. Na stránce zpětného zápisu uvidíte zadanou doménu jako výchozí les zpětného zápisu zařízení. cílová doménová struktura zpětného zápisu zařízení pro vlastní instalaci

    4. stránka kontejneru zařízení nabízí možnost přípravy služby Active Directory pomocí jedné ze dvou dostupných možností:

      a. Zadejte přihlašovací údaje podnikového správce: Pokud jsou přihlašovací údaje podnikového správce pro doménovou strukturu, kam se mají zařízení zapisovat zpět, Microsoft Entra Connect automaticky připraví doménovou strukturu během konfigurace zpětného zápisu zařízení.

      b. Stáhnout skript PowerShellu: Microsoft Entra Connect automaticky generuje skript PowerShellu, který může připravit službu Active Directory pro zpětný zápis zařízení. V případě, že se přihlašovací údaje podnikového správce nedají zadat ve službě Microsoft Entra Connect, doporučujeme stáhnout skript PowerShellu. Zadejte stažený skript PowerShellu CreateDeviceContainer.ps1 podnikovému správci doménové struktury, do které se zařízení zapisují zpět. Příprava doménové struktury služby Active Directory

      Pro přípravu doménové struktury Active Directory jsou prováděny následující operace:

      • Pokud ještě neexistují, vytvoří a nakonfiguruje nové kontejnery a objekty v části CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
      • Pokud ještě neexistují, vytvoří a nakonfiguruje nové kontejnery a objekty v rámci CN=RegisteredDevices,[domain-dn]. Objekty zařízení se vytvářejí v tomto kontejneru.
      • Nastaví potřebná oprávnění k účtu konektoru Microsoft Entra pro správu zařízení ve službě Active Directory.
      • Stačí spustit jenom v jedné doménové struktuře, i když je microsoft Entra Connect nainstalovaný ve více doménových strukturách.

    Ověření synchronizace zařízení se službou Active Directory

    Zpětný zápis zařízení by teď měl správně fungovat. Zápis objektů zařízení do AD může trvat až 3 hodiny. Pokud chcete ověřit, že se zařízení správně synchronizují, proveďte následující kroky po dokončení pravidel synchronizace:

    1. Spusťte Centrum správy služby Active Directory.

    2. Rozbalte Položku RegisteredDevices v rámci federované domény.

      zaregistrovaná zařízení v Centru pro správu služby Active Directory

    3. Aktuální registrovaná zařízení jsou tam uvedená.

      seznam registrovaných zařízení v Centru pro správu služby Active Directory

    Povolení podmíněného přístupu

    Podrobné pokyny k povolení tohoto scénáře jsou k dispozici v rámci Nastavení místního podmíněného přístupu pomocí microsoft Entra Device Registration.

    Řešení problémů

    Zaškrtávací políčko zpětného zápisu je stále deaktivované.

    Pokud není políčko zpětného zápisu zařízení povolené, i když jste postupovali podle předchozích kroků, následující kroky vás provedou tím, co průvodce instalací ověřuje před povolením tohoto políčka.

    První věci:

    • Doménová struktura, ve které jsou zařízení přítomna, musí mít schéma doménové struktury upgradované na úroveň Windows 2012 R2, aby objekt zařízení a přidružené atributy byly přítomny .
    • Pokud je průvodce instalací již spuštěný, žádné změny se nezjistí. V takovém případě dokončete průvodce instalací a spusťte ho znovu.
    • Ujistěte se, že účet, který zadáte ve skriptu inicializace, je ve skutečnosti správným uživatelem používaným konektorem služby Active Directory. Pokud to chcete ověřit, postupujte takto:
      • V nabídce Start otevřete Synchronizační služba.
      • Otevřete záložku Konektory .
      • Vyhledejte konektor s typem Active Directory Domain Services a vyberte ho.
      • V části Akcevyberte Vlastnosti.
      • Přejděte na Připojit k doménové struktuře služby Active Directory. Ověřte, že doména a uživatelské jméno zadané na této obrazovce odpovídají účtu zadanému skriptu. účet konektoru v Sync Service Manageru

    Ověření konfigurace ve službě Active Directory:

    • Ověřte, že se služba Device Registration Service nachází v následujícím umístění (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) v konfiguračním pojmenovacím kontextu.

    Řešení potíží, DeviceRegistrationService v oboru názvů konfigurace

    • Ověřte, že je v jmenném prostoru konfigurace pouze jeden objekt konfigurace. Pokud existuje více než jeden, odstraňte duplikát.

    Řešení potíží vyhledejte duplicitní objekty

    • V objektu Device Registration Service se ujistěte, že je atribut msDS-DeviceLocation k dispozici a má hodnotu. Vyhledejte toto umístění a ujistěte se, že je k dispozici u objectType msDS-DeviceContainer.

    Odstraňování potíží, msDS-DeviceLocation

    Řešení potíží, třída objektu RegisteredDevices

    • Ověřte, že účet používaný konektorem služby Active Directory má požadovaná oprávnění ke kontejneru Registrovaných zařízení nalezených v předchozím kroku. Toto jsou očekávaná oprávnění pro tento kontejner:

    Řešení potíží, ověření oprávnění pro kontejneru

    • Ověřte, že účet služby Active Directory má oprávnění k objektu CN=Device Registration Configuration,CN=Services,CN=Configuration.

    Řešení potíží, ověření oprávnění v konfiguraci registrace zařízení

    Další informace

    Další kroky

    Zjistěte více o integraci vašich místních identit s Microsoft Entra ID .