通过

Microsoft Entra Connect:启用设备写回

  • 项目

注意

设备写回需要订阅 Microsoft Entra ID P1 或 P2。

以下文档提供有关如何在 Microsoft Entra Connect 中启用设备写回功能的信息。 设备写回用于以下场景:

  • 使用混合证书信任部署启用 Windows Hello 企业版
  • 对于受 ADFS(2012 R2 或更高版本)保护的应用程序(信赖方信任),启用基于设备的条件访问。

这提供了额外的安全性和保证,即仅向受信任的设备授予对应用程序的访问权限。 有关条件访问的详细信息,请参阅 使用条件访问 管理风险,使用 Microsoft Entra 设备注册设置本地条件访问。

重要

  • 设备必须与用户位于同一林中。 由于设备必须写回到单个林,此功能当前不支持具有多个用户林的部署。
  • 只能将一个设备注册配置对象添加到本地 Active Directory 林。 此功能与本地 Active Directory 同步到多个Microsoft Entra 目录的拓扑不兼容。

    • 第 1 部分:安装 Microsoft Entra Connect

    使用自定义或快速设置安装 Microsoft Entra Connect。 Microsoft 建议在启用设备写回之前,首先让所有用户和组成功完成同步。

    第 2 部分:在 Microsoft Entra Connect 中启用设备写回

    1. 再次运行安装向导。 从“其他任务”页中选择“配置设备选项”,并选择“下一步”

      配置设备选项

      注意

      新的配置设备选项仅在版本 1.1.819.0 及更新版本中可用。

    2. 在设备选项页上,选择“配置设备写回”。 在启用“设备写回”之前,“禁用设备写回”选项不可用。 选择“下一步”移到向导中的下一页选择设备操作

    3. 在“写回”页中,会看到提供的域是默认的设备写回林。 自定义安装设备写回目标林

    4. 设备容器页提供了使用以下两个可用选项之一准备活动目录的选项:

      a. 提供企业管理员凭据:如果为需要设备写回的林提供企业管理员凭据,Microsoft Entra Connect 将在配置设备写回期间自动准备林。

      b. 下载 PowerShell 脚本:Microsoft Entra Connect 会自动生成 PowerShell 脚本,该脚本可以为设备写回准备 Active Directory。 如果企业管理员凭据无法在 Microsoft Entra Connect 中提供,建议下载 PowerShell 脚本。 将下载的 PowerShell 脚本 CreateDeviceContainer.ps1 提供给设备将写回到的林的企业管理员准备 Active Directory 林

      执行以下操作来准备 Active Directory 林:

      • 如果它们尚不存在,请在 CN=Device Registration Configuration、CN=Services、CN=Configuration、[forest-dn] 下创建和配置新的容器和对象。
      • 如果它们尚不存在,请在 CN=RegisteredDevices,[domain-dn] 下创建和配置新的容器和对象。 在此容器中创建设备对象。
      • 设置对 Microsoft Entra Connector 帐户的必要权限,以管理 Active Directory 上的设备。
      • 即使 Microsoft Entra Connect 安装在多个林中,也只需要在一个林中运行。

    验证设备是否已同步到 Active Directory

    设备写回现在应在正常运行。 设备对象可能需要长达 3 小时才能写回到 Active Directory (AD)。 若要验证设备是否已正确同步,请在同步规则完成后执行以下步骤:

    1. 启动 Active Directory 管理中心。

    2. 在要联合的域中展开 RegisteredDevices。

      Active Directory 管理中心注册的设备

    3. 其中列出了当前注册的设备。

      Active Directory 管理中心注册的设备列表

    启用条件访问

    使用 Microsoft Entra 设备注册设置本地条件访问中提供了有关实现此场景的详细说明。

    故障排除

    回写复选框仍处于禁用状态

    如果未启用设备写回复选框,即使已执行上述步骤,以下步骤还是会引导你在启用此框之前,完成安装向导要验证的程序。

    首先:

    • 设备所在的林必须将林架构升级到 Windows 2012 R2 级别,以便显示设备对象和相关属性。
    • 如果安装向导已在运行,则不会检测到任何更改。 在这种情况下,请完成安装向导,然后再次运行它。
    • 请确保在初始化脚本中提供的帐户实际上是 Active Directory 连接器使用的正确用户。 若要验证这一点,请执行以下步骤:
      • 从“开始”菜单中,打开 同步服务
      • 打开 连接器 选项卡。
      • 找到类型为 Active Directory 域服务的连接器,并选择它。
      • 操作下,选择 属性
      • 转到“连接到 Active Directory 林”。 验证此屏幕上指定的域和用户名是否与提供给脚本的帐户匹配。 同步服务管理器 中的 连接器帐户

    验证 Active Directory 中的配置:

    • 验证设备注册服务是否位于配置命名上下文下的以下位置 (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration)。

    故障排除,配置命名空间中的 DeviceRegistrationService

    • 通过搜索配置命名空间来验证是否只有一个配置对象。 如果有多个,请删除重复的。

    故障排除, 搜索重复对象

    • 在设备注册服务对象上,确保属性 msDS-DeviceLocation 存在并具有值。 查找此位置并确保它与 objectType msDS-DeviceContainer 一起存在。

    故障排除,msDS-DeviceLocation

    故障排除,RegisteredDevices 对象类

    • 请确认 Active Directory 连接器所用的帐户对前一步找到的已注册设备容器拥有必要的权限。 这是此容器的预期权限:

    故障排除,验证容器 的权限

    • 验证 Active Directory 帐户是否具有对 CN=设备注册配置、CN=Services、CN=Configuration 对象的权限。

    故障排除,对设备注册配置 的权限进行验证

    其他信息

    后续步骤

    详细了解如何将本地标识与 Microsoft Entra ID 集成