Microsoft Entra Connect:启用设备写回
注意
设备写回需要订阅 Microsoft Entra ID P1 或 P2。
以下文档提供有关如何在 Azure AD Connect 中启用设备写回功能的信息。 设备写回用于以下方案:
- 使用混合证书信任部署启用 Windows Hello 企业版
- 对于受 ADFS(2012 R2 或更高版本)保护的应用程序(信赖方信任),启用基于设备的条件访问。
这可以提供额外的安全性,确保只有受信任的设备才能访问应用程序。 有关条件性访问的详细信息,请参阅使用条件性访问管理风险和使用 Microsoft Entra Device Registration 设置本地条件访问。
重要
第 1 部分:安装 Microsoft Entra Connect
使用自定义或快速设置安装 Microsoft Entra Connect。 Microsoft 建议在启用设备写回之前,首先让所有用户和组成功完成同步。
第 2 部分:在 Microsoft Entra Connect 中启用设备写回
再次运行安装向导。 从“其他任务”页中选择“配置设备选项”,并单击“下一步”。
注意
新的配置设备选项仅在版本 1.1.819.0 及较新版本中可用。
在设备选项页上,选择“配置设备写回”。 选项“禁用设备写回”将不可用,直到启用“设备写回”。 单击“下一步”移到向导中的下一页。
在写回页中,会看到提供的域是默认的设备写回林。
“设备容器”页提供了使用以下两个可用选项之一准备活动目录的选项:
a. 提供企业管理员凭据:如果为需要设备写回的林提供企业管理员凭据,Microsoft Entra Connect 将在配置设备写回期间自动准备林。
b. 下载 PowerShell 脚本:Microsoft Entra Connect 会自动生成 PowerShell 脚本,该脚本可以为设备写回准备 Active Directory。 如果无法在 Microsoft Entra Connect 中提供企业管理员凭据,则建议下载 PowerShell 脚本。 将下载的 PowerShell 脚本 CreateDeviceContainer.ps1 提供给设备将写回到的林的企业管理员。
执行以下操作来准备 Active Directory 林:
- 该命令会在 CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn] 下创建并配置新的容器和对象(如果不存在)。
- 该命令会在 CN=RegisteredDevices,[domain-dn] 下创建并配置新的容器和对象(如果不存在)。 将在此容器中创建设备对象。
- 在 Microsoft Entra 连接器帐户中设置必要的权限,以便管理 Active Directory 上的设备。
- 即使 Microsoft Entra Connect 安装在多个林中,也只需要在一个林中运行。
验证设备是否已同步到 Active Directory
设备写回现在应在正常运行。 请注意,将设备对象写回到 Active Directory 最长可能需要 3 个小时。 若要验证设备是否已正确同步,请在同步规则完成之后执行以下操作:
启动 Active Directory 管理中心。
在要联合的域中展开 RegisteredDevices。
其中会列出当前已注册的设备。
启用条件访问
使用 Microsoft Entra Device Registration 设置本地条件访问中提供了有关启用此方案的详细说明。
疑难解答
写回复选框仍处于禁用状态
如果未启用设备写回复选框,即使已遵循上述步骤,以下步骤还是会在启用此框之前引导完成安装向导正在验证的程序。
首先:
- 设备所在的林必须将林架构升级到 Windows 2012 R2 级别,以便显示设备对象和相关属性。
- 如果安装向导已在运行,则不会检测到任何更改。 在此情况下,请先完成安装向导,再试一次。
- 确保在初始化脚本中提供的帐户是 Active Directory 连接器实际使用的正确用户。 若要验证,请执行以下步骤:
- 从“开始”菜单打开“同步服务”。
- 打开“连接器”选项卡。
- 查找类型为 Active Directory 域服务的连接器并选择它。
- 在“操作”下面,选择“属性”。
- 转到“连接到 Active Directory 林”。 检查此屏幕上指定的域和用户名是否与提供给脚本的帐户匹配。
在 Active Directory 中验证配置:
- 检查设备注册服务是否位于配置命名上下文下面的以下位置:(CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration)。
- 搜索配置命名空间以验证是否只有一个配置对象。 如果存在多个对象,请删除重复项。
- 对于设备注册服务对象,请确保 msDS-DeviceLocation 属性存在且具有值。 查找此位置,并确保它存在且 objectType 为 msDS-DeviceContainer。
- 验证 Active Directory 连接器使用的帐户是否具有上一步骤所找到的“注册的设备”容器的所需权限。 这是此容器上所需的权限:
- 验证 Active Directory 帐户是否具有对 CN=Device Registration Configuration,CN=Services,CN=Configuration 对象的权限。
其他信息
后续步骤
详细了解如何将本地标识与 Microsoft Entra ID 集成。