Delen via

Microsoft Entra Connect: Terugschrijven van apparaten inschakelen

  • Artikel

Notitie

Een abonnement op Microsoft Entra ID P1 of P2 is vereist voor het terugschrijven van apparaten.

De volgende documentatie bevat informatie over het inschakelen van de functie voor terugschrijven van apparaten in Microsoft Entra Connect. Terugschrijven van apparaten wordt gebruikt in de volgende scenario's:

Dit biedt extra beveiliging en zekerheid dat alleen toegang tot toepassingen wordt verleend aan vertrouwde apparaten. Zie Risico's beheren met voorwaardelijke toegang en Voorwaardelijke toegang instellen met microsoft Entra Device Registrationvoor meer informatie over voorwaardelijke toegang.

Belangrijk

  • Apparaten moeten zich in hetzelfde forest bevinden als de gebruikers. Omdat apparaten moeten worden teruggeschreven naar één forest, biedt deze functie momenteel geen ondersteuning voor een implementatie met meerdere gebruikersforests.
  • Er kan slechts één configuratieobject voor apparaatregistratie worden toegevoegd aan het on-premises Active Directory-forest. Deze functie is niet compatibel met een topologie waarbij de on-premises Active Directory wordt gesynchroniseerd met meerdere Microsoft Entra-mappen.

    • Deel 1: Microsoft Entra Connect installeren

    Installeer Microsoft Entra Connect met aangepaste of Express-instellingen. Microsoft raadt aan om te beginnen met alle gebruikers en groepen die zijn gesynchroniseerd voordat u terugschrijven van apparaten inschakelt.

    Deel 2: Writeback van apparaten inschakelen in Microsoft Entra Connect

    1. Voer de installatiewizard opnieuw uit. Selecteer Configureer apparaatopties op de pagina Aanvullende taken, en selecteer Volgende.

      Apparaatopties configureren

      Notitie

      De nieuwe apparaatopties configureren is alleen beschikbaar in versie 1.1.819.0 en hoger.

    2. Selecteer op de pagina apparaatopties Apparaat-terugschrijven configureren. De optie om Terugschrijven van apparaat uit te schakelen is niet beschikbaar totdat terugschrijven van het apparaat is ingeschakeld. Selecteer Volgende om naar de volgende pagina in de wizard te gaan. Apparaatbewerking kiezen

    3. Op de terugschrijfpagina ziet u het opgegeven domein als het standaardforest voor terugschrijven van apparaten. Aangepaste installatie voor apparaat-writeback-doelbos

    4. pagina Apparaatcontainer biedt de mogelijkheid om de Active Directory voor te bereiden met behulp van een van de twee beschikbare opties:

      een. Referenties voor ondernemingsbeheerders opgeven: Wanneer de referenties van de ondernemingsbeheerder worden opgegeven voor het domein waarin apparaten moeten worden teruggeschreven, bereidt Microsoft Entra Connect het domein automatisch voor tijdens de configuratie van het terugschrijven van apparaten.

      b. PowerShell-script downloaden: Microsoft Entra Connect voert automatisch een PowerShell-script uit waarmee de Active Directory kan worden voorbereid voor write-back van apparaten. Als de referenties van de ondernemingsbeheerder niet kunnen worden opgegeven in Microsoft Entra Connect, wordt u aangeraden het PowerShell-script te downloaden. Geef het gedownloade PowerShell-script op CreateDeviceContainer.ps1 aan de ondernemingsbeheerder van het forest waarnaar apparaten worden teruggeschreven. Active Directory-forests voorbereiden

      De volgende bewerkingen worden uitgevoerd voor het voorbereiden van het Active Directory-forest:

      • Als deze nog niet bestaan, maakt en configureert u nieuwe containers en objecten onder CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
      • Als deze nog niet bestaan, maakt en configureert u nieuwe containers en objecten onder CN=RegisteredDevices,[domain-dn]. Apparaatobjecten worden in deze container gemaakt.
      • Hiermee stelt u de benodigde machtigingen in voor het Microsoft Entra Connector-account om apparaten in uw Active Directory te beheren.
      • Hoeft maar op één forest te draaien, zelfs als Microsoft Entra Connect op meerdere forests wordt geïnstalleerd.

    Controleren of apparaten zijn gesynchroniseerd met Active Directory

    Terugschrijven van apparaten moet nu goed werken. Het kan maximaal 3 uur duren voordat apparaatobjecten naar Active Directory zijn teruggeschreven. Voer de volgende stappen uit nadat de synchronisatieregels zijn voltooid om te controleren of uw apparaten correct worden gesynchroniseerd:

    1. Start het Active Directory Beheercentrum.

    2. Vouw RegisteredDevices uit, binnen het domein dat wordt gefedereerd.

      geregistreerde apparaten in het Active Directory-beheercentrum

    3. De huidige geregistreerde apparaten worden daar vermeld.

      lijst met geregistreerde apparaten in het Active Directory-beheercentrum

    Voorwaardelijke toegang inschakelen

    Gedetailleerde instructies voor het inschakelen van dit scenario zijn beschikbaar in On-premises voorwaardelijke toegang instellen met microsoft Entra-apparaatregistratie.

    Probleemoplossing

    Het selectievakje Terugschrijven is nog steeds uitgeschakeld

    Als het selectievakje voor het terugschrijven van apparaten niet is ingeschakeld, zelfs niet als u de vorige stappen hebt gevolgd, doorloopt u de volgende stappen om te zien wat de installatiewizard controleert voordat het vak is ingeschakeld.

    Eerste dingen eerst:

    • Het forest waarin de apparaten aanwezig zijn, moet het forestschema hebben bijgewerkt naar Windows 2012 R2-niveau, zodat het apparaatobject en de bijbehorende kenmerken beschikbaar zijn.
    • Als de installatiewizard al wordt uitgevoerd, worden er geen wijzigingen gedetecteerd. In dit geval voltooit u de installatiewizard en voert u deze opnieuw uit.
    • Zorg ervoor dat het account dat u in het initialisatiescript opgeeft, de juiste gebruiker is die wordt gebruikt door de Active Directory-connector. Voer de volgende stappen uit om dit te controleren:
      • Open in het menu Start Synchronization Service.
      • Open het tabblad Connectors.
      • Zoek de connector met het type Active Directory Domain Services en selecteer deze.
      • Selecteer onder Actiesde optie Eigenschappen.
      • Ga naar Verbinding maken met Active Directory-forest. Controleer of het domein en de gebruikersnaam die op dit scherm zijn opgegeven, overeenkomen met het account dat aan het script is opgegeven. Connector-account in Sync Service Manager-

    Configuratie controleren in Active Directory:

    • Controleer of de Device Registration Service zich op de volgende locatie bevindt (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) onder de naamgevingscontext van de configuratie.

    Problemen oplossen, DeviceRegistrationService in configuratienamespace

    • Controleer of er slechts één configuratieobject is door de configuratienaamruimte te doorzoeken. Als er meer dan één is, verwijdert u het duplicaat.

    Problemen oplossen, zoek naar de dubbele objecten

    • Controleer in het object Device Registration Service of het kenmerk msDS-DeviceLocation aanwezig is en een waarde heeft. Zoek deze locatie op en zorg ervoor dat deze aanwezig is met de objectType msDS-DeviceContainer.

    Problemen oplossen, msDS-DeviceLocation

    Problemen oplossen, objectklasse RegisteredDevices

    • Controleer of het account dat door de Active Directory-connector wordt gebruikt, de vereiste machtigingen heeft voor de container Geregistreerde apparaten die in de vorige stap is gevonden. Dit zijn de verwachte machtigingen voor deze container:

    Problemen oplossen, machtigingen voor container- controleren

    • Controleer of het Active Directory-account machtigingen heeft voor de CN=Apparaatregistratieconfiguratie,CN=Services,CN=Configuratieobject.

    problemen oplossen, machtigingen voor apparaatregistratieconfiguratie controleren

    Aanvullende informatie

    Volgende stappen

    Meer informatie over uw on-premises identiteiten integreren met Microsoft Entra ID.