共用方式為

Microsoft Entra Connect:啟用裝置回寫功能

  • 發行項

注意

裝置回寫需要 Microsoft Entra ID P1 或 P2 的訂閱。

下列檔提供如何在 Microsoft Entra Connect 中啟用裝置回寫功能的資訊。 裝置回寫用於下列案例:

  • 使用混合式憑證信任部署 啟用 windows Hello 企業版
  • 根據裝置對 ADFS(2012 R2 或更高版本)保護的應用程式(信賴憑證者信任)啟用條件式存取。

這可提供額外的安全性和保證,僅將應用程式存取權授與信任的裝置。 如需條件式存取的詳細資訊,請參閱 Microsoft使用條件式存取管理風險使用 entra 裝置註冊設定內部部署條件式存取。

重要

  • 裝置必須位於與使用者相同的樹系中。 由於裝置必須寫回單一樹系,此功能目前不支援使用多個使用者樹系進行部署。
  • 只有一個裝置註冊設定物件可以新增至內部部署 Active Directory 樹系。 此功能與內部部署 Active Directory 同步到多個 Microsoft Entra 目錄的網路拓撲不相容。

    • 第 1 部分:安裝 Microsoft Entra Connect

    使用自定義或快速設定安裝Microsoft Entra Connect。 Microsoft 建議您在成功完成所有的使用者和群組的同步後,再啟用裝置回寫。

    第2部分:Microsoft 在 Entra Connect 中啟用裝置回寫

    1. 再次執行安裝精靈。 從 [其他工作] 頁面中選取 [設定裝置選項],然後選取 [下一步]

      設定裝置選項

      注意

      新的設定裝置選項僅適用於 1.1.819.0 版和更新版本。

    2. 在 [裝置選項] 頁面上,選取 [設定裝置回寫停用裝置回寫 的選項在啟用裝置回寫之前無法使用。 選取 「下一步」 以前往精靈中的下一頁。 選擇裝置作業

    3. 在 [回寫] 頁面上,您會看到提供的網域作為預設的裝置回寫樹系。 自訂安裝裝置回寫目標樹系

    4. 裝置容器 頁面提供使用兩個可用選項之一來準備 Active Directory 的選項:

      一個。 提供企業系統管理員認證:如果為需要回寫裝置的樹系提供企業系統管理員認證,Microsoft Entra Connect 會在裝置回寫設定期間自動準備樹系。

      b. 下載 PowerShell 腳本:Microsoft Entra Connect 會自動產生 PowerShell 腳本,以準備 Active Directory 以進行裝置回寫。 如果企業系統管理員認證無法在 Microsoft Entra Connect 中提供,建議您下載 PowerShell 腳本。 將下載的 PowerShell 腳本 CreateDeviceContainer.ps1 提供給裝置回寫到之樹系的企業管理員。 準備 Active Directory 樹系

      進行下列作業以準備 Active Directory 樹系:

      • 如果它們不存在,請在 CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn] 底下建立及設定新的容器和物件。
      • 如果它們還不存在,請在 CN=RegisteredDevices,[domain-dn] 下建立並設定新的容器和物件。 裝置物件會在此容器中建立。
      • 設定 Microsoft Entra Connector 帳戶的必要許可權,以管理 Active Directory 上的裝置。
      • 只需要在一個樹系上執行,即使Microsoft Entra Connect 安裝在多個樹系上也一樣。

    確認裝置已同步至 Active Directory

    裝置回寫現在應該能正常運作。 將裝置物件寫回AD最多可能需要3小時的時間。 若要確認您的裝置已正確同步處理,請在同步處理規則完成之後執行下列步驟:

    1. 啟動 Active Directory 管理中心。

    2. 在被聯邦化的網域內擴充 RegisteredDevices。

      Active Directory 系統管理中心註冊的裝置

    3. 目前已註冊的裝置會列在那裡。

      Active Directory 系統管理中心已註冊的裝置清單

    啟用條件式存取

    如需啟用此情境的詳細指示,請參閱 在 Microsoft Entra 裝置註冊中設定本機條件式存取

    故障排除

    回寫複選框仍然停用

    如果您已遵循先前的步驟,但裝置回寫的複選框尚未啟用,則下列步驟將指引您了解安裝精靈在啟用該選項之前所檢查的項目。

    首先:

    • 裝置所在的樹系必須將樹系架構升級至 Windows 2012 R2 層級,讓裝置對象和相關聯的屬性存在。
    • 如果安裝精靈已在執行中,則不會偵測到任何變更。 在此情況下,請完成安裝精靈,然後再次執行。
    • 請確定您在初始化腳本中提供的帳戶實際上是 Active Directory 連接器所使用的正確使用者。 若要確認這一點,請遵循下列步驟:
      • 從 [開始] 選單中,開啟 [同步處理服務 ]。
      • 開啟 連接器 索引標籤。
      • 尋找類型為 Active Directory Domain Services 的連接器,然後加以選取。
      • 在 [動作] 下,選取 [屬性]。
      • 移至 [連線到 Active Directory 樹系]。 確認此畫面上指定的網域和用戶名稱符合提供給腳本的帳戶。 在同步服務管理器 中的 連接器帳戶

    確認 Active Directory 中的組態:

    • 確認裝置註冊服務位於下列位置 (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration)底下的組態命名內容。

    疑難解答,組態命名空間中的DeviceRegistrationService

    • 藉由搜尋組態命名空間,確認只有一個組態物件。 如果有多個,請刪除重複專案。

    疑難解答,搜尋重複的物件

    • 在 [裝置註冊服務] 物件上,確定 msDS-DeviceLocation 屬性存在且具有值。 查閱此位置,並確認其是否存在於 objectType msDS-DeviceContainer 中。

    疑難解答,msDS-DeviceLocation

    疑難解答、RegisteredDevices 物件類別

    • 確認 Active Directory 連接器所使用的帳戶具有上一個步驟所找到之已註冊裝置容器的必要許可權。 這是此容器的預期許可權:

    疑難排解並確認容器 的許可權

    • 確認 Active Directory 帳戶具有 CN=Device Registration Configuration、CN=Services、CN=Configuration 對象的許可權。

    疑難解答,確認裝置註冊設定 的許可權

    其他資訊

    後續步驟

    深入瞭解 整合內部部署身分識別與 Microsoft Entra ID