Sdílet prostřednictvím

Konfigurace místního podmíněného přístupu pomocí registrovaných zařízení

Následující dokument vás provede instalací a konfigurací místního podmíněného přístupu s registrovanými zařízeními.

podmíněný přístup

Požadavky na infrastrukturu

Jsou vyžadovány následující požadavky.

Požadavek Popis
Předplatné Microsoft Entra s Microsoft Entra ID P1 nebo P2 Pro povolení zpětného zápisu zařízení pro místní podmíněný přístup - stačí bezplatná zkušební verze
Předplatné Intune Vyžaduje se jenom integrace MDM pro scénáře dodržování předpisů zařízením –bezplatná zkušební verze je v pořádku
Microsoft Entra Connect Sync Získejte nejnovější verzi zde.
Windows Server 2016 Build 10586 nebo novější pro SLUŽBU AD FS
Schéma služby Active Directory ve Windows Serveru 2016 Vyžaduje se úroveň schématu 85 nebo vyšší.
Řadič domény s Windows Serverem 2016 Vyžaduje se pouze pro nasazení důvěry klíčů Hello pro Firmy. Více informací naleznete zde.
Klient Windows 10 Pro scénáře Windows 10 připojení k doméně a Windows Hello pro firmy se vyžaduje build 10586 nebo novější, připojený k výše uvedené doméně.
Uživatelský účet Microsoft Entra s přiřazenými licencemi Microsoft Entra ID P1 nebo P2 Registrace zařízení

Aktualizujte schéma služby Active Directory

Pokud chcete používat místní podmíněný přístup s registrovanými zařízeními, musíte nejprve upgradovat schéma AD. Musí být splněny následující podmínky:

  • Schéma by mělo být verze 85 nebo novější.
  • Vyžaduje se pouze pro doménový les, ke kterému je služba AD FS připojená.

Poznámka

Pokud jste nainstalovali Microsoft Entra Connect Sync před upgradem na verzi schématu (úroveň 85 nebo vyšší) ve Windows Serveru 2016, budete muset znovu spustit instalaci Microsoft Entra Connect Sync a aktualizovat místní schéma SLUŽBY AD, abyste zajistili konfiguraci synchronizačního pravidla pro msDS-KeyCredentialLink.

Ověření úrovně schématu

Pokud chcete ověřit úroveň schématu, postupujte takto:

  1. Použijte ADSIEdit.exe nebo LDP.exe a připojte se k kontextu pojmenování schématu.
  2. V ADSIEdit klikněte pravým tlačítkem na "CN=Schema,CN=Configuration,DC=<domain>,DC=<com>" a vyberte vlastnosti. Nahraďte doménu a část com informacemi o lesní struktuře.
  3. V editoru atributů vyhledejte atribut objectVersion a řekne vám, vaše verze.

ADSI Edit

Můžete také použít následující rutinu PowerShellu (nahraďte objekt informacemi o kontextu pojmenování schématu):

Get-ADObject "cn=schema,cn=configuration,dc=domain,dc=local" -Property objectVersion

PowerShell

Další informace o upgradu najdete v tématu Upgrade řadičů domény na windows Server 2016.

Povolení registrace zařízení Microsoft Entra

Pokud chcete tento scénář nakonfigurovat, musíte nakonfigurovat funkci registrace zařízení v Microsoft Entra ID.

Postupujte podle pokynů v části Nastavení připojení Microsoft Entra ve vaší organizaci.

Nastavení služby AD FS

  1. Vytvořte novou farmu AD FS 2016.
  2. Nebo migrovat farmu do AD FS 2016 ze služby AD FS 2012 R2
  3. Nasaďte Microsoft Entra Connect Sync pomocí vlastní cesty pro připojení služby AD FS k Microsoft Entra ID.

Konfigurace zpětného zápisu zařízení a ověřování zařízení

Poznámka

Pokud jste spustili Microsoft Entra Connect Sync pomocí expresního nastavení, byly pro vás vytvořeny správné objekty AD. Ve většině scénářů služby AD FS se ale synchronizace Microsoft Entra Connect spustila s vlastními nastaveními pro konfiguraci služby AD FS, proto jsou nezbytně následující kroky.

Vytvoření objektů AD pro ověřování zařízení AD FS

Pokud vaše farma služby AD FS ještě není nakonfigurovaná pro ověřování zařízení (může se zobrazit v konzole pro správu služby AD FS v části Service –> Device Registration), pomocí následujících kroků vytvořte správné objekty a konfiguraci služby AD DS.

snímek obrazovky s přehledem registrace zařízení

Poznámka

Následující příkazy vyžadují nástroje pro správu služby Active Directory, takže pokud váš federační server není také řadičem domény, nejprve nainstalujte nástroje pomocí kroku 1 níže. Jinak můžete přeskočit krok 1.

  1. Spusťte průvodce Přidat role & funkce a vyberte funkci Nástroje pro vzdálenou správu serveru –>Nástroje pro správu rolí –>AD DS a nástroje služby AD LDS –>. Zvolte modul Active Directory pro Windows PowerShell a nástroje AD DS.

Snímek obrazovky, který zvýrazňuje modul Active Directory pro Windows PowerShell a nástroje AD DS.

  1. Na primárním serveru služby AD FS se ujistěte, že jste přihlášeni jako uživatel služby AD DS s oprávněními Enterprise Admin (EA) a otevřete výzvu PowerShellu se zvýšenými oprávněními. Pak spusťte následující příkazy PowerShellu:

Import-module activedirectory PS C:\> Initialize-ADDeviceRegistration -ServiceAccountName "<your service account>" 3. V automaticky otevíraných oknech stiskněte Ano.

Poznámka

Pokud je služba AD FS nakonfigurovaná tak, aby používala účet GMSA, zadejte název účtu ve formátu doména\název_účtu$.

snímek obrazovky, který ukazuje, jak používat uvedené příkazy PowerShellu

Výše uvedený PSH vytvoří následující objekty:

  • Kontejner RegisteredDevices v rámci oddílu domény AD
  • Kontejner a objekt služby Device Registration Service v části Konfigurace –> Services –> Konfigurace registrace zařízení
  • Kontejner a objekt služby registrace zařízení (DKM) pod Konfigurace --> Služby --> Konfigurace registrace zařízení

Snímek obrazovky znázorňující průběh vytvářených objektů

  1. Po dokončení se zobrazí zpráva o úspěšném dokončení.

Snímek obrazovky, který zobrazuje zprávu o úspěšném dokončení

Vytvoření spojovacího bodu služby (SCP) v AD

Pokud plánujete používat připojení k doméně Windows 10 (s automatickou registrací do Microsoft Entra ID), jak je popsáno zde, spusťte následující příkazy pro vytvoření spojovacího bodu služby ve službě AD DS.

  1. Otevřete Windows PowerShell a spusťte následující příkaz:

PS C:>Import-Module -Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1"

Poznámka

V případě potřeby zkopírujte soubor AdSyncPrep.psm1 ze serveru Microsoft Entra Connect Sync. Tento soubor se nachází ve složce Program Files\Microsoft Entra Connect\AdPrep.

snímek obrazovky znázorňující cestu k souboru AdSyncPrep

  1. Zadejte své přihlašovací údaje správce podmíněného přístupu Microsoft Entra.

PS C:>$aadAdminCred = Get-Credential

snímek obrazovky, který ukazuje, kde zadat přihlašovací údaje správce podmíněného přístupu Microsoft Entra

  1. Spusťte následující příkaz PowerShellu.

PS C:>Initialize-ADSyncDomainJoinedComputerSync -AdConnectorAccount [AD connector account name] -AzureADCredentials $aadAdminCred

Kde [název účtu konektoru AD] je název účtu, který jste nakonfigurovali v Nástroji Microsoft Entra Connect Sync při přidávání místního adresáře služby AD DS.

Výše uvedené příkazy umožňují klientům s Windows 10 najít správnou doménu Microsoft Entra pro připojení vytvořením objektu serviceConnectionpoint ve službě AD DS.

Příprava AD pro zpětný zápis zařízení

Pokud chcete zajistit, aby objekty a kontejnery služby AD DS byly ve správném stavu pro zpětný zápis zařízení z ID Microsoft Entra, postupujte následovně.

  1. Otevřete Windows PowerShell a spusťte následující příkaz:

PS C:>Initialize-ADSyncDeviceWriteBack -DomainName <AD DS domain name> -AdConnectorAccount [AD connector account name]

Kde [název účtu konektoru AD] je název účtu, který jste nakonfigurovali v Nástroji Microsoft Entra Connect Sync při přidávání místního adresáře služby AD DS ve formátu domény\název_účtu.

Výše uvedený příkaz vytvoří následující objekty pro zpětný zápis zařízení do služby AD DS, pokud ještě neexistují, a povolí přístup k zadanému názvu účtu konektoru AD.

  • Kontejner RegisteredDevices v oddílu domény AD
  • Kontejner a objekt služby Device Registration Service v části Konfigurace –> Services –> Konfigurace registrace zařízení

Povolení zpětného zápisu zařízení v synchronizaci Microsoft Entra Connect

Pokud jste to ještě neudělali, povolte ve službě Microsoft Entra Connect Sync zpětný zápis zařízení tak, že znovu spustíte průvodce a vyberete „Přizpůsobit možnosti synchronizace“, pak zaškrtnete políčko pro zpětný zápis zařízení a vyberete doménovou strukturu, ve které jste spustili výše uvedené příkazy cmdlet.

Konfigurace ověřování zařízení ve službě AD FS

Pomocí příkazového okna PowerShellu se zvýšenými oprávněními nakonfigurujte zásady služby AD FS spuštěním následujícího příkazu.

PS C:>Set-AdfsGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true -DeviceAuthenticationMethod All

Kontrola konfigurace

Pro vaše informace níže najdete úplný seznam zařízení, kontejnerů a oprávnění služby AD DS, které jsou vyžadovány, aby zpětný zápis zařízení a ověřování správně fungovaly.

  • Objekt typu ms-DS-DeviceContainer v CN=RegisteredDevices,DC=<doména>

    • Přístup pro čtení k účtu služby AD FS
    • přístup k účtu konektoru AD pro čtení a zápis ve službě Microsoft Entra Connect Sync

  • Container CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<doména>

  • Služba registrace zařízení DKM v rámci výše uvedeného kontejneru

Registrace zařízení

  • Objekt typu bod připojení služby na CN=<guid>, CN=Registrace zařízení

  • Konfigurace,CN=Services,CN=Configuration,DC=<doména>

  • přístup pro čtení a zápis k zadanému názvu účtu konektoru AD v novém objektu

  • Objekt typu msDS-DeviceRegistrationServiceContainer at CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain>

  • Objekt typu msDS-DeviceRegistrationService ve výše uvedeném kontejneru

Podívejte se, jak to funguje

Pro vyhodnocení nových nároků a zásad nejprve zaregistrujte zařízení. Například se Microsoft Entra připojuje k počítači s Windows 10 pomocí aplikace Nastavení v části Systém -> O produktu nebo můžete nastavit připojení k doméně na Windows 10 s automatickou registrací zařízení podle dalších kroků zde. Informace o připojení mobilních zařízení s Windows 10 najdete v dokumentu zde.

Pro nejjednodušší vyhodnocení se přihlaste ke službě AD FS pomocí testovací aplikace, která zobrazuje seznam deklarací identity. Uvidíte nové nároky, včetně isManaged, isComplianta trusttype. Pokud povolíte Windows Hello pro firmy, zobrazí se také prt deklarace identity.

Konfigurace dalších scénářů

Automatická registrace pro počítače připojené k doméně s Windows 10

Pokud chcete povolit automatickou registraci zařízení pro počítače připojené k doméně s Windows 10, postupujte podle kroků 1 a 2 zde.

  1. Ujistěte se, že váš spojovací bod služby ve službě AD DS existuje a má správná oprávnění (vytvořili jsme tento objekt výše, ale neuškodí vám při dvojité kontrole).
  2. Ujistěte se, že je služba AD FS správně nakonfigurovaná.
  3. Ujistěte se, že váš systém AD FS má povolené správné koncové body a nakonfigurovaná pravidla prohlášení.
  4. Konfigurace nastavení zásad skupiny vyžadovaných pro automatickou registraci zařízení počítačů připojených k doméně

Windows Hello pro firmy

Informace o povolení Windows 10 s Windows Hello pro firmy najdete v tématu Povolení Windows Hello pro firmy ve vaší organizaci.

Automatická registrace MDM

Pokud chcete povolit automatickou registraci zaregistrovaných zařízení MDM, postupujte podle kroků tady.

Řešení problémů

  1. Pokud se u Initialize-ADDeviceRegistration zobrazí chyba, která si stěžuje na objekt, který už existuje v nesprávném stavu, například "Objekt služby DRS byl nalezen bez všech požadovaných atributů", možná jste dříve spustili příkazy PowerShellu microsoft Entra Connect Sync a měli částečnou konfiguraci ve službě AD DS. Zkuste odstranit objekty ručně v části CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<doména> a zkuste to znovu.
  2. Pro klienty Windows 10 připojené k doméně
  3. Pokud chcete ověřit, že ověřování zařízení funguje, přihlaste se k klientovi připojenému k doméně jako testovací uživatelský účet. Pro rychlou aktivaci zřizování zamkněte a odemkněte počítač alespoň jednou.
  4. Pokyny ke kontrole odkazu na přihlašovací údaje klíče STK u objektu služby AD DS (musí se synchronizace pořád spouštět dvakrát?)
  5. Pokud se při pokusu o registraci počítače s Windows, který je už zaregistrovaný, zobrazí chyba, ale zařízení se vám nepodařilo nebo jste ho ještě nezaregistrovali, možná máte v registru fragment konfigurace registrace zařízení. Chcete-li toto prošetřit a odstranit, použijte následující kroky:
  6. Na počítači s Windows otevřete Regedit a přejděte na HKLM\Software\Microsoft\Enrollments
  7. Pod tímto klíčem jsou podklíče ve formuláři GUID. Přejděte do podklíče, který obsahuje přibližně 17 hodnot a má "EnrollmentType" s "6" (MDM joined) nebo "13" (Microsoft Entra joined).
  8. Upravte EnrollmentType na 0
  9. Zkuste aktivaci zařízení nebo registraci zopakovat.