Microsoft Entra Connect:启用设备写回

  • 项目

注意

设备写回需要订阅 Microsoft Entra ID P1 或 P2。

以下文档提供有关如何在 Azure AD Connect 中启用设备写回功能的信息。 设备写回用于以下方案:

  • 使用混合证书信任部署启用 Windows Hello 企业版
  • 对于受 ADFS(2012 R2 或更高版本)保护的应用程序(信赖方信任),启用基于设备的条件访问。

这可以提供额外的安全性,确保只有受信任的设备才能访问应用程序。 有关条件性访问的详细信息,请参阅使用条件性访问管理风险使用 Microsoft Entra Device Registration 设置本地条件访问

重要

  • 设备必须位于用户所在的同一个林中。 由于设备必须写回到单个林,此功能当前不支持具有多个用户林的部署。
  • 只能将一个设备注册配置对象添加到本地 Active Directory 林。 此功能与本地 Active Directory 同步到多个 Microsoft Entra 目录的拓扑不兼容。

    • 第 1 部分:安装 Microsoft Entra Connect

    使用自定义或快速设置安装 Microsoft Entra Connect。 Microsoft 建议在启用设备写回之前,首先让所有用户和组成功完成同步。

    第 2 部分:在 Microsoft Entra Connect 中启用设备写回

    1. 再次运行安装向导。 从“其他任务”页中选择“配置设备选项”,并单击“下一步”。

      Configure device options

      注意

      新的配置设备选项仅在版本 1.1.819.0 及较新版本中可用。

    2. 在设备选项页上,选择“配置设备写回”。 选项“禁用设备写回”将不可用,直到启用“设备写回”。 单击“下一步”移到向导中的下一页。 Chose device operation

    3. 在写回页中,会看到提供的域是默认的设备写回林。 Custom Install device writeback target forest

    4. “设备容器”页提供了使用以下两个可用选项之一准备活动目录的选项:

      a. 提供企业管理员凭据:如果为需要设备写回的林提供企业管理员凭据,Microsoft Entra Connect 将在配置设备写回期间自动准备林。

      b. 下载 PowerShell 脚本:Microsoft Entra Connect 会自动生成 PowerShell 脚本,该脚本可以为设备写回准备 Active Directory。 如果无法在 Microsoft Entra Connect 中提供企业管理员凭据,则建议下载 PowerShell 脚本。 将下载的 PowerShell 脚本 CreateDeviceContainer.ps1 提供给设备将写回到的林的企业管理员。 Prepare active directory forest

      执行以下操作来准备 Active Directory 林:

      • 该命令会在 CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn] 下创建并配置新的容器和对象(如果不存在)。
      • 该命令会在 CN=RegisteredDevices,[domain-dn] 下创建并配置新的容器和对象(如果不存在)。 将在此容器中创建设备对象。
      • 在 Microsoft Entra 连接器帐户中设置必要的权限,以便管理 Active Directory 上的设备。
      • 即使 Microsoft Entra Connect 安装在多个林中,也只需要在一个林中运行。

    验证设备是否已同步到 Active Directory

    设备写回现在应在正常运行。 请注意,将设备对象写回到 Active Directory 最长可能需要 3 个小时。 若要验证设备是否已正确同步,请在同步规则完成之后执行以下操作:

    1. 启动 Active Directory 管理中心。

    2. 在要联合的域中展开 RegisteredDevices。

      Active Directory Admin Center Registered Devices

    3. 其中会列出当前已注册的设备。

      Active Directory Admin Center Registered Devices List

    启用条件访问

    使用 Microsoft Entra Device Registration 设置本地条件访问中提供了有关启用此方案的详细说明。

    疑难解答

    写回复选框仍处于禁用状态

    如果未启用设备写回复选框,即使已遵循上述步骤,以下步骤还是会在启用此框之前引导完成安装向导正在验证的程序。

    首先:

    • 设备所在的林必须将林架构升级到 Windows 2012 R2 级别,以便显示设备对象和相关属性。
    • 如果安装向导已在运行,则不会检测到任何更改。 在此情况下,请先完成安装向导,再试一次。
    • 确保在初始化脚本中提供的帐户是 Active Directory 连接器实际使用的正确用户。 若要验证,请执行以下步骤:
      • 从“开始”菜单打开“同步服务”。
      • 打开“连接器”选项卡。
      • 查找类型为 Active Directory 域服务的连接器并选择它。
      • 在“操作”下面,选择“属性”。
      • 转到“连接到 Active Directory 林”。 检查此屏幕上指定的域和用户名是否与提供给脚本的帐户匹配。 Connector account in Sync Service Manager

    在 Active Directory 中验证配置:

    • 检查设备注册服务是否位于配置命名上下文下面的以下位置:(CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration)。

    Troubleshoot, DeviceRegistrationService in configuration namespace

    • 搜索配置命名空间以验证是否只有一个配置对象。 如果存在多个对象,请删除重复项。

    Troubleshoot, search for the duplicate objects

    • 对于设备注册服务对象,请确保 msDS-DeviceLocation 属性存在且具有值。 查找此位置,并确保它存在且 objectType 为 msDS-DeviceContainer。

    Troubleshoot, msDS-DeviceLocation

    Troubleshoot, RegisteredDevices object class

    • 验证 Active Directory 连接器使用的帐户是否具有上一步骤所找到的“注册的设备”容器的所需权限。 这是此容器上所需的权限:

    Troubleshoot, verify permissions on container

    • 验证 Active Directory 帐户是否具有对 CN=Device Registration Configuration,CN=Services,CN=Configuration 对象的权限。

    Troubleshoot, verify permissions on Device Registration Configuration

    其他信息

    后续步骤

    详细了解如何将本地标识与 Microsoft Entra ID 集成