다음을 통해 공유

Microsoft Entra Connect:启用设备写回

  • 아티클

注意

设备写回需要订阅 Microsoft Entra ID P1 或 P2。

以下文档提供有关如何在 Azure AD Connect 中启用设备写回功能的信息。 设备写回用于以下方案:

  • 使用混合证书信任部署启用 Windows Hello 企业版
  • 对于受 ADFS(2012 R2 或更高版本)保护的应用程序(信赖方信任),启用基于设备的条件访问。

这可以提供额外的安全性,确保只有受信任的设备才能访问应用程序。 有关条件性访问的详细信息,请参阅使用条件性访问管理风险使用 Microsoft Entra Device Registration 设置本地条件访问

重要

  • 设备必须位于用户所在的同一个林中。 由于设备必须写回到单个林,此功能当前不支持具有多个用户林的部署。
  • 只能将一个设备注册配置对象添加到本地 Active Directory 林。 此功能与本地 Active Directory 同步到多个 Microsoft Entra 目录的拓扑不兼容。

    • 第 1 部分:安装 Microsoft Entra Connect

    使用自定义或快速设置安装 Microsoft Entra Connect。 Microsoft 建议在启用设备写回之前,首先让所有用户和组成功完成同步。

    第 2 部分:在 Microsoft Entra Connect 中启用设备写回

    1. 再次运行安装向导。 从“其他任务”页中选择“配置设备选项”,并选择“下一步”。

      配置设备选项

      注意

      新的配置设备选项仅在版本 1.1.819.0 及较新版本中可用。

    2. 在设备选项页上,选择“配置设备写回”。 选项“禁用设备写回”将不可用,直到启用“设备写回”。 选择“下一步”移到向导中的下一页。 选择设备操作

    3. 在写回页中,会看到提供的域是默认的设备写回林。 自定义安装 - 设备写回目标林

    4. “设备容器”页提供了使用以下两个可用选项之一准备活动目录的选项:

      a. 提供企业管理员凭据:如果为需要设备写回的林提供企业管理员凭据,Microsoft Entra Connect 会在配置设备写回期间自动准备林。

      b. 下载 PowerShell 脚本:Microsoft Entra Connect 会自动生成 PowerShell 脚本,该脚本可以为设备写回准备 Active Directory。 如果无法在 Microsoft Entra Connect 中提供企业管理员凭据,则建议下载 PowerShell 脚本。 将下载的 PowerShell 脚本 CreateDeviceContainer.ps1 提供给设备会写回到的林的企业管理员。 准备 Active Directory 林

      执行以下操作来准备 Active Directory 林:

      • 该命令会在 CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn] 下创建并配置新的容器和对象(如果不存在)。
      • 该命令会在 CN=RegisteredDevices,[domain-dn] 下创建并配置新的容器和对象(如果不存在)。 会在此容器中创建设备对象。
      • 在 Microsoft Entra 连接器帐户中设置必要的权限,以便管理 Active Directory 上的设备。
      • 即使 Microsoft Entra Connect 安装在多个林中,也只需要在一个林中运行。

    验证设备是否已同步到 Active Directory

    设备写回现在应在正常运行。 将设备对象写回到 Active Directory 最长可能需要 3 个小时。 若要验证设备是否已正确同步,请在同步规则完成之后执行以下步骤:

    1. 启动 Active Directory 管理中心。

    2. 在要联合的域中展开 RegisteredDevices。

      Active Directory 管理中心 - 已注册的设备

    3. 其中会列出当前已注册的设备。

      Active Directory 管理中心 - 已注册的设备列表

    启用条件访问

    使用 Microsoft Entra Device Registration 设置本地条件访问中提供了有关启用此方案的详细说明。

    疑难解答

    写回复选框仍处于禁用状态

    如果未启用设备写回复选框,即使已遵循上述步骤,以下步骤还是会在启用此框之前引导完成安装向导正在验证的程序。

    首先:

    • 设备所在的林必须将林架构升级到 Windows 2012 R2 级别,以便显示设备对象和相关属性。
    • 如果安装向导已在运行,则不会检测到任何更改。 在此情况下,请先完成安装向导,再试一次。
    • 确保在初始化脚本中提供的帐户是 Active Directory 连接器实际使用的正确用户。 若要验证,请执行以下步骤:
      • 从“开始”菜单打开“同步服务”。
      • 打开“连接器”选项卡。
      • 查找类型为 Active Directory 域服务的连接器并选择它。
      • 在“操作”下面,选择“属性”。
      • 转到“连接到 Active Directory 林”。 检查此屏幕上指定的域和用户名是否与提供给脚本的帐户匹配。 同步服务管理器中的连接器帐户

    在 Active Directory 中验证配置:

    • 检查设备注册服务是否位于配置命名上下文下面的以下位置:(CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration)。

    故障排除,配置命名空间中的 DeviceRegistrationService

    • 搜索配置命名空间以验证是否只有一个配置对象。 如果存在多个对象,请删除重复项。

    排除故障,搜索重复的对象

    • 对于设备注册服务对象,请确保 msDS-DeviceLocation 属性存在且具有值。 查找此位置,并确保它存在且 objectType 为 msDS-DeviceContainer。

    故障排除,msDS-DeviceLocation

    故障排除,RegisteredDevices 对象类

    • 验证 Active Directory 连接器使用的帐户是否具有上一步骤所找到的“注册的设备”容器的所需权限。 这是此容器上所需的权限:

    故障排除,验证对容器的权限

    • 验证 Active Directory 帐户是否具有对 CN=Device Registration Configuration,CN=Services,CN=Configuration 对象的权限。

    排除故障,验证对设备注册配置的权限

    其他信息

    后续步骤

    详细了解如何将本地标识与 Microsoft Entra ID 集成