Поделиться через

Microsoft Entra Connect: включение функции обратной записи устройств

  • Статья

Заметка

Для обратной записи устройства требуется подписка на Microsoft Entra ID P1 или P2.

В следующей документации содержатся сведения о том, как включить функцию обратной записи устройств в Microsoft Entra Connect. Обратная запись устройства используется в следующих сценариях:

Это обеспечивает дополнительную безопасность и гарантирует, что доступ к приложениям предоставляется только доверенным устройствам. Дополнительные сведения об условном доступе см.: Управление рисками с помощью условного доступа и Настройка локального условного доступа с использованием регистрации устройств Microsoft Entra.

Важный

  • Устройства должны находиться в том же лесу, что и пользователи. Так как устройства должны быть записаны обратно в один лес, в настоящее время эта функция не поддерживает развертывание с несколькими пользовательскими лесами.
  • В локальный лес Active Directory можно добавить только один объект конфигурации регистрации устройств. Эта функция несовместима с топологией, в которой локальная служба Active Directory синхронизируется с несколькими каталогами Microsoft Entra.

    • Часть 1. Установка Microsoft Entra Connect

    Установите Microsoft Entra Connect с помощью пользовательских или экспресс-параметров. Корпорация Майкрософт рекомендует начать с успешной синхронизации всех пользователей и групп перед включением обратной записи устройства.

    Часть 2. Включение обратной записи устройств в Microsoft Entra Connect

    1. Снова запустите мастер установки. Выберите "Настройка параметров устройства" на странице "Дополнительные задачи" и выберите "Далее".

      Настройка параметров устройства

      Заметка

      Параметры настройки устройства доступны только в версии 1.1.819.0 и новее.

    2. На странице параметров устройства выберите Настроить обратную запись устройства. Параметр Отключить обратную запись устройства недоступен до включения обратной записи устройства. Нажмите кнопку Далее, чтобы перейти на следующую страницу мастера. Выбор операции устройства

    3. На странице обратной записи вы увидите предоставленный домен в качестве леса обратной записи устройства по умолчанию. целевой лес обратной записи устройства

    4. страница контейнера устройств предоставляет возможность подготовки Active Directory с помощью одного из двух доступных вариантов:

      a. Укажите учетные данные администратора предприятия. Если учетные данные администратора предприятия предоставляются для леса, где устройства должны быть записаны обратно, Microsoft Entra Connect автоматически подготавливает лес во время настройки обратной записи устройства.

      b. Загрузка скрипта PowerShell: Microsoft Entra Connect автоматически создает скрипт PowerShell, который может подготовить Active Directory для обратной записи устройств. Если учетные данные администратора предприятия не могут быть предоставлены в Microsoft Entra Connect, рекомендуется скачать скрипт PowerShell. Предоставьте скачанный скрипт PowerShell CreateDeviceContainer.ps1 администратору доменного леса предприятия, в который устройства записываются обратно. Подготовьте лес Active Directory

      Для подготовки леса Active Directory выполняются следующие операции:

      • Если они еще не существуют, создает и настраивает новые контейнеры и объекты в разделе CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
      • Если они еще не существуют, создает и настраивает новые контейнеры и объекты в CN=RegisteredDevices,[domain-dn]. Объекты устройств создаются в этом контейнере.
      • Устанавливает необходимые разрешения для учетной записи Microsoft Entra Connector, чтобы управлять устройствами в Active Directory.
      • Необходимо запускать только в одном лесу, даже если Microsoft Entra Connect устанавливается в нескольких лесах.

    Проверка синхронизации устройств с Active Directory

    Обратная запись устройства теперь должна работать корректно. Для записи объектов устройств в AD может потребоваться до 3 часов. Чтобы убедиться, что устройства синхронизированы правильно, выполните следующие действия после завершения правил синхронизации.

    1. Запустите Центр администрирования Active Directory.

    2. Разверните RegisteredDevices внутри федератизированного домена.

      Active Directory Admin Center Центр управления зарегистрированными устройствами

    3. Здесь перечислены текущие зарегистрированные устройства.

      список зарегистрированных устройств Active Directory Admin Center

    Включение условного доступа

    Подробные инструкции по включению этого сценария доступны в разделе "Настройка локального условного доступа с помощью регистрации устройств Microsoft Entra".

    Устранение неполадок

    Флажок обратной записи по-прежнему отключен

    Если флажок обратной записи устройства не включен, даже если вы выполнили предыдущие шаги, следующие шаги помогут вам понять, что проверяет мастер установки перед включением флажка.

    Во-первых, сначала:

    • Лес, в котором присутствуют устройства, должен иметь схему леса, обновленную до уровня Windows 2012 R2, чтобы объект устройства и связанные атрибуты присутствовали.
    • Если мастер установки уже запущен, все изменения не обнаружены. В этом случае завершите мастер установки и снова запустите его.
    • Убедитесь, что учетная запись, указанная в скрипте инициализации, фактически является правильным пользователем, используемым соединителем Active Directory. Чтобы проверить это, выполните следующие действия.
      • В меню "Пуск" откройте службу синхронизации .
      • Откройте вкладку соединителей.
      • Найдите соединитель с типом доменных служб Active Directory и выберите его.
      • В разделе Действиявыберите Свойства.
      • Перейдите к Подключение к лесу Active Directory. Убедитесь, что домен и имя пользователя, указанные на этом экране, соответствуют учетной записи, предоставленной скрипту. учетная запись соединителя в службе синхронизации Service Manager

    Проверьте конфигурацию в Active Directory:

    • Убедитесь, что служба регистрации устройств находится в следующем местоположении (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) в контексте именования конфигурации.

    Устранение неполадок, DeviceRegistrationService в пространстве имен конфигурации

    • Убедитесь, что существует только один объект конфигурации, выполнив поиск в пространстве имен конфигурации. Если существует несколько, удалите дубликат.

    Устранение неполадок, поиск повторяющихся объектов

    • В объекте службы регистрации устройств убедитесь, что атрибут msDS-DeviceLocation присутствует и имеет значение. Просмотрите это расположение и убедитесь, что оно связано с объектным типом msDS-DeviceContainer.

    Устранение неполадок, msDS-DeviceLocation

    Устранение неполадок, класс объектов RegisteredDevices

    • Убедитесь, что учетная запись, используемая соединителем Active Directory, имеет необходимые разрешения на контейнер зарегистрированных устройств, найденных на предыдущем шаге. Это ожидаемые разрешения для этого контейнера:

    Устранить неполадки, проверить разрешения на контейнере

    • Убедитесь, что учетная запись Active Directory имеет разрешения для объекта CN=Device Registration Configuration, CN=Services,CN=Configuration.

    Устраните неполадки, проверьте разрешения на конфигурацию регистрации устройств

    Дополнительные сведения

    Дальнейшие действия

    Узнайте больше о интеграции ваших локальных удостоверений с Microsoft Entra ID.