Dela via

Microsoft Entra Connect: Aktivera tillbakaskrivning av enheter

  • Artikel

Not

En prenumeration på Microsoft Entra ID P1 eller P2 krävs för tillbakaskrivning av enheter.

Följande dokumentation innehåller information om hur du aktiverar funktionen för tillbakaskrivning av enheter i Microsoft Entra Connect. Enhetens tillbakaskrivning används i följande scenarier:

Detta ger ytterligare säkerhet och försäkran om att åtkomst till program endast beviljas till betrodda enheter. Mer information om villkorlig åtkomst finns i Hantera risker med villkorlig åtkomst och Konfigurera lokal villkorlig åtkomst med hjälp av Microsoft Entra Device Registration.

Viktig

  • Enheterna måste finnas i samma skog som användarna. Eftersom enheter måste skrivas tillbaka till en enda skog stöder den här funktionen för närvarande inte en distribution med flera användarskogar.
  • Endast ett konfigurationsobjekt för enhetsregistrering kan läggas till i den lokala Active Directory-skogen. Den här funktionen är inte kompatibel med en topologi där den lokala Active Directory synkroniseras till flera Microsoft Entra-kataloger.

    • Del 1: Installera Microsoft Entra Connect

    Installera Microsoft Entra Connect med anpassade inställningar eller Express-inställningar. Microsoft rekommenderar att du börjar med att alla användare och grupper synkroniseras innan du aktiverar tillbakaskrivning av enheter.

    Del 2: Aktivera tillbakaskrivning av enheter i Microsoft Entra Connect

    1. Kör installationsguiden igen. Välj Konfigurera enhetsalternativ på sidan Ytterligare uppgifter och välj Nästa.

      Konfigurera enhetsalternativ

      Notera

      De nya alternativen för att konfigurera enheter är endast tillgängliga i version 1.1.819.0 och senare.

    2. På sidan för enhetsinställningar, välj Konfigurera tillbakaskrivning av enhet. Alternativet att inaktivera tillbakaskrivning av enhet är inte tillgängligt förrän tillbakaskrivning av enhet har aktiverats. Välj på Nästa för att gå till nästa sida i guiden. Välj enhetsåtgärd

    3. På tillbakaskrivningssidan ser du den angivna domänen som standardskog för tillbakaskrivning av enheter. målsatt skog för tillbakaskrivning av enhet vid anpassad installation

    4. På sidan med enhetscontainer kan du förbereda Active Directory genom att använda något av de två tillgängliga alternativen:

      a. Ange företagsadministratörers autentiseringsuppgifter: Om företagsadministratörers autentiseringsuppgifter anges för skogen där enheter behöver skrivas tillbaka, förbereder Microsoft Entra Connect skogen automatiskt under konfigurationen av enhetstillbakaskrivning.

      b. Ladda ned PowerShell-skript: Microsoft Entra Connect skapar automatiskt ett PowerShell-skript som kan förbereda Active Directory för tillbakaskrivning av enheter. Om företagsadministratörens autentiseringsuppgifter inte kan anges i Microsoft Entra Connect föreslås det att du laddar ned PowerShell-skriptet. Ange det nedladdade PowerShell-skriptet CreateDeviceContainer.ps1 till företagsadministratören för skogen där enheterna skrivs tillbaka till. Förbered aktiv katalog-skog

      Följande åtgärder utförs för att förbereda Active Directory-skogen:

      • Om de inte redan finns skapar och konfigurerar du nya containrar och objekt under CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
      • Om de inte redan finns skapar och konfigurerar du nya containrar och objekt under CN=RegisteredDevices,[domain-dn]. Enhetsobjekt skapas i den här containern.
      • Anger nödvändiga behörigheter för Microsoft Entra Connector-kontot för att hantera enheter i Active Directory.
      • Behöver bara köras på en skog, även om Microsoft Entra Connect installeras på flera skogar.

    Kontrollera att enheter synkroniseras till Active Directory

    Tillbakaskrivning av enhet bör nu fungera korrekt. Det kan ta upp till 3 timmar innan enhetsobjekt skrivs tillbaka till AD. Kontrollera att dina enheter synkroniseras korrekt genom att utföra följande steg när synkroniseringsreglerna har slutförts:

    1. Starta Active Directory Administrations-center.

    2. Expandera RegisteredDevices inom domänen som federeras.

      Active Directory Admin Center-registrerade enheter

    3. Aktuella registrerade enheter visas där.

      Lista över registrerade enheter i Active Directory Admin Center

    Aktivera villkorlig åtkomst

    Detaljerade instruktioner för att aktivera det här scenariot finns i Konfigurera lokal villkorlig åtkomst med hjälp av Microsoft Entra-enhetsregistrering.

    Felsökning

    Kryssrutan för tillbakaskrivning är fortfarande inaktiverad

    Om kryssrutan för tillbakaskrivning av enheter inte är aktiverad trots att du har följt föregående steg vägleder följande steg dig genom vad installationsguiden verifierar innan rutan är aktiverad.

    Första saker först:

    • Skogen där enheterna finns måste ha sitt skogsschema uppgraderat till Windows 2012 R2-nivå så att enhetsobjekt och associerade attribut är närvarande.
    • Om installationsguiden redan körs identifieras inga ändringar. I det här fallet, fullfölj installationsguiden och kör den igen.
    • Kontrollera att det konto som du anger i initieringsskriptet faktiskt är rätt användare som används av Active Directory Connector. Kontrollera detta genom att följa dessa steg:
      • Öppna Synchronization Servicepå Start-menyn.
      • Öppna fliken Anslutningar.
      • Leta reda på anslutningsappen med typen Active Directory Domain Services och välj den.
      • Under Åtgärderväljer du Egenskaper.
      • Gå till Anslut till Active Directory Forest. Kontrollera att domänen och användarnamnet som anges på den här skärmen matchar det konto som anges i skriptet. Connector-konto i Sync Service Manager

    Verifiera konfigurationen i Active Directory:

    • Kontrollera att enhetsregistreringstjänsten finns på följande plats (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) under konfigurationens namngivningskontext.

    Felsökning, DeviceRegistrationService i konfigurationsnamnområdet

    • Kontrollera att det bara finns ett konfigurationsobjekt genom att söka i konfigurationsnamnområdet. Om det finns fler än en tar du bort dubbletten.

    Felsök och sök efter duplicerade objekt

    • I objektet Enhetsregistreringstjänst kontrollerar du att attributet msDS-DeviceLocation finns och har ett värde. Leta upp den här platsen och kontrollera att den finns med objectType msDS-DeviceContainer.

    Felsökning av msDS-DeviceLocation

    Felsök, RegisteredDevices-objektklass

    • Kontrollera att kontot som används av Active Directory Connector har nödvändiga behörigheter för containern Registrerade enheter som hittades i föregående steg. Det här är de förväntade behörigheterna för den här containern:

    Felsöka, verifiera behörigheter för container

    • Kontrollera att Active Directory-kontot har behörigheter för CN=Device Registration Configuration,CN=Services,CN=Configuration-objektet.

    Felsöka och verifiera behörigheter för enhetsregistreringskonfiguration

    Ytterligare information

    Nästa steg

    Läs mer om Integrera dina lokala identiteter med Microsoft Entra ID.