Microsoft Entra Connect : Activation de la restauration des paramètres de l'appareil

Remarque

Une souscription à Microsoft Entra ID P1 ou P2 est requis pour la réécriture de l'appareil.

La documentation suivante fournit des informations sur l’activation de la fonctionnalité d’écriture différée de l’appareil dans Microsoft Entra Connect. L’écriture différée des appareils est utilisée dans les scénarios suivants :

• Activer Windows Hello Entreprise à l’aide d’un déploiement hybride de certificats de confiance
• Activer l’accès conditionnel basé sur les appareils pour les applications protégées ADFS (2012 R2 ou version ultérieure) (approbations de la partie de confiance)

Cela fournit une sécurité et une assurance supplémentaires que l’accès aux applications est accordé uniquement aux appareils approuvés. Pour plus d’informations sur l’accès conditionnel, consultez Gestion des risques avec l’accès conditionnel et Configuration de l’accès conditionnel local à l’aide de Microsoft Entra Device Registration.

Important

Les appareils doivent se trouver dans la même forêt que les utilisateurs. Étant donné que les appareils doivent être réécrits dans une forêt unique, cette fonctionnalité ne prend actuellement pas en charge un déploiement avec plusieurs forêts utilisateur.

Un seul objet de configuration d’inscription d’appareil peut être ajouté à la forêt Active Directory locale. Cette fonctionnalité n’est pas compatible avec une topologie dans laquelle Active Directory local est synchronisé avec plusieurs répertoires Microsoft Entra.

Partie 1 : Installer Microsoft Entra Connect

Installez Microsoft Entra Connect à l’aide des paramètres Personnalisés ou Express. Microsoft recommande de commencer avec tous les utilisateurs et groupes correctement synchronisés avant d’activer la restitution d'appareil.

Partie 2 : Activer la rétroécriture de l’appareil dans Microsoft Entra Connect

1. Réexécutez l’Assistant d’installation. Sélectionnez Configurer les options d’appareil dans la page Tâches supplémentaires, puis sélectionnez Suivant.

   

   Remarque

   Les nouvelles options Configurer l’appareil sont disponibles uniquement dans la version 1.1.819.0 et les versions ultérieures.

2. Sur la page Options de l’appareil, sélectionnez Configurer la réécriture d’appareil. L’option permettant de Désactiver la réécriture d'appareil n’est accessible que si la réécriture d’appareil a été activée. Sélectionnez sur Suivant pour passer à la page suivante de l’Assistant.

3. Dans la page de l’écriture différée, vous verrez le domaine fourni en tant que forêt d’écriture différée d’appareil par défaut.

4. La page Conteneur d’appareil offre la possibilité de préparer Active Directory à l’aide de l’une des deux options disponibles :

   a. Fournir des informations d’identification d’administrateur d’entreprise: si les informations d’identification de l’administrateur d’entreprise sont fournies pour la forêt où les appareils doivent être réécrits, Microsoft Entra Connect prépare automatiquement la forêt pendant la configuration de la réécriture de l’appareil.

   b. Télécharger le script PowerShell: Microsoft Entra Connect génère automatiquement un script PowerShell qui peut préparer l’annuaire Active Directory pour la rétroécriture des appareils. Si les informations d’identification de l’administrateur d’entreprise ne peuvent pas être fournies dans Microsoft Entra Connect, il est recommandé de télécharger le script PowerShell. Fournissez le script PowerShell téléchargé CreateDeviceContainer.ps1 à l’administrateur d’entreprise de la forêt dans laquelle les appareils sont réécrits.

   Les opérations suivantes sont effectuées pour préparer la forêt Active Directory :

   • S’ils n’existent pas encore, crée et configure de nouveaux conteneurs et objets sous CN=Device Registration Configuration, CN=Services, CN=Configuration, [forest-dn].
   • S’il n’existe pas encore, crée et configure de nouveaux conteneurs et objets sous CN=RegisteredDevices,[domain-dn]. Les objets d’appareil sont créés dans ce conteneur.
   • Définit les autorisations nécessaires sur le compte Microsoft Entra Connector pour gérer les appareils sur votre Active Directory.
   • Doit uniquement s’exécuter sur une forêt, même si Microsoft Entra Connect est installé sur plusieurs forêts.

Vérifier que les appareils sont synchronisés avec Active Directory

L’écriture différée des appareils doit désormais fonctionner correctement. La réécriture des objets des appareils dans AD peut prendre jusqu’à 3 heures. Pour vérifier que vos appareils sont correctement synchronisés, effectuez les étapes suivantes une fois les règles de synchronisation terminées :

1. Lancez le Centre d’administration Active Directory.

2. Développez RegisteredDevices au sein du domaine en cours de fédération.

   

3. Les appareils inscrits actuels sont répertoriés ici.

   

Activer l’accès conditionnel

Des instructions détaillées pour activer ce scénario sont disponibles dans Configuration de l’accès conditionnel local à l’aide de Microsoft Entra Device Registration.

Dépannage

La case à cocher de l'écriture différée est toujours désactivée.

Si la case à cocher pour le retour d'écriture de l'appareil n’est pas activée même si vous avez suivi les étapes précédentes, les étapes suivantes vous guident à travers ce que l'Assistant d'installation vérifie avant que la case ne soit activée.

Tout d’abord :

• La forêt où les appareils sont présents doit avoir le schéma de forêt mis à niveau vers le niveau Windows 2012 R2 afin que l’objet d’appareil et les attributs associés soient présents.
• Si l’Assistant Installation est déjà en cours d’exécution, aucune modification n’est détectée. Dans ce cas, terminez l'Assistant installation et exécutez-le à nouveau.
• Vérifiez que le compte que vous fournissez dans le script d’initialisation est en fait l’utilisateur approprié utilisé par le connecteur Active Directory. Pour vérifier cela, procédez comme suit :
  • Dans le menu Démarrer, ouvrez Service de Synchronisation.
  • Ouvrez l’onglet Connecteurs .
  • Recherchez le connecteur avec le type Services de domaine Active Directory et sélectionnez-le.
  • Sous Actions, sélectionnez Propriétés.
  • Accédez à Se connecter à la forêt Active Directory. Vérifiez que le domaine et le nom d’utilisateur spécifiés sur cet écran correspondent au compte fourni au script. compte Sync Service Manager

Vérifiez la configuration dans Active Directory :

• Vérifiez que le Service d’inscription de l’appareil se trouve à l’emplacement suivant (CN = DeviceRegistrationService, CN = Services d’inscription de périphérique, CN = Inscription de l’appareil, CN = Services, CN = Configuration) dans le contexte d’appellation de configuration.

• Vérifiez qu’il n’existe qu’un seul objet de configuration en recherchant l’espace de noms de configuration. S’il en existe plusieurs, supprimez le doublon.

• Sur l’objet Device Registration Service, vérifiez que l’attribut msDS-DeviceLocation est présent et a une valeur. Recherchez cet emplacement et vérifiez qu’il est présent avec l’objectType msDS-DeviceContainer.

• Vérifiez que le compte utilisé par le connecteur Active Directory dispose des autorisations requises sur le conteneur Appareils inscrits trouvé à l’étape précédente. Il s’agit des autorisations attendues sur ce conteneur :

• Vérifiez que le compte Active Directory dispose d’autorisations sur l’objet CN=Device Registration Configuration,CN=Services,CN=Configuration.

Informations supplémentaires

• Gestion du Risque avec l’Accès Conditionnel
• Configuration de l'accès conditionnel sur site à l'aide de Microsoft Entra Device Registration

Étapes suivantes

En savoir plus sur l'intégration de vos identités sur site avec Microsoft Entra ID.