Microsoft Entra Connect: habilitando o write-back do dispositivo

Observação

Uma assinatura na P1 ou P2 da ID do Microsoft Entra ou é necessária para o write-back do dispositivo.

A documentação a seguir fornece informações sobre como habilitar o recurso de write-back do dispositivo no Microsoft Entra Connect. Write-back de dispositivo é usado nas seguintes situações:

Isso fornece segurança adicional e a garantia de que o acesso aos aplicativos é concedido somente a dispositivos confiáveis. Para saber mais sobre o acesso condicional, consulte Gerenciar riscos com o acesso condicional e Configurar o acesso condicional local pelo Registro de Dispositivos do Microsoft Entra.

Importante

  • Os dispositivos devem estar localizados na mesma floresta que os usuários. Como o write-back dos dispositivos deve ser feito em uma única floresta, esse recurso não é compatível com uma implantação com várias florestas de usuário.
  • Somente um objeto de configuração de registro de dispositivo pode ser adicionado à floresta local do Active Directory. Esse recurso não é compatível com uma topologia onde o Active Directory local é sincronizado a vários diretórios do Microsoft Entra.
  • Parte 1: instalar o Microsoft Entra Connect

    Instale o Microsoft Entra Connect usando configurações expressas ou personalizadas. A Microsoft recomenda iniciar com todos os usuários e grupos sincronizados com êxito antes de habilitar o write-back do dispositivo.

    Parte 2: habilitar o dispositivo write-back no Microsoft Entra Connect

    1. Execute o assistente de instalação novamente. Selecione Configurar opções de dispositivo na página Tarefas Adicionais e clique em Avançar.

      Configure device options

      Observação

      As novas opções de dispositivo de configuração estão disponíveis somente na versão 1.1.819.0 e mais recente.

    2. Na página de opções do dispositivo, selecione Configurar o write-back de dispositivo. Opção Desabilitar write-back de dispositivo não estará disponível até que o write-back do dispositivo esteja habilitado. Clique em Próximo para mover para a próxima página do assistente. Chose device operation

    3. Na página de write-back, você verá o domínio fornecido como a floresta de write-back de dispositivo padrão. Custom Install device writeback target forest

    4. A página Contêiner de dispositivo fornece a opção de preparação do active directory, usando uma das duas opções disponíveis:

      a. Forneça credenciais de administrador de empresa: se as credenciais de administrador de empresa forem fornecidas para a floresta em que os dispositivos precisam ser gravados, o Microsoft Entra Connect irá preparar a floresta automaticamente durante a configuração do Write-back de dispositivo.

      b. Baixe o script do PowerShell: o Microsoft Entra Connect gera automaticamente um script do PowerShell que pode preparar o active directory para write-back do dispositivo. As credenciais de administrador de empresa não podem ser fornecidas no Microsoft Entra Connect, recomenda-se realizar o download do script do PowerShell. Informe o script do PowerShell baixado, CreateDeviceContainer.ps1, ao administrador de empresa da floresta em que os dispositivos serão gravados novamente. Prepare active directory forest

      As seguintes operações são executadas para preparar a floresta do active directory:

      • Se ainda não existirem, ele criará e configurará novos contêineres e objetos em CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
      • Se não existir, cria e configura novos contêineres e objetos em CN=RegisteredDevices,[domain-dn]. Objetos de dispositivo serão criados neste contêiner.
      • Define as permissões necessárias na conta do Microsoft Entra Connector para gerenciar os dispositivos no seu Active Directory.
      • Só precisa ser executado em uma floresta, mesmo que o Microsoft Entra Connect esteja instalado em várias florestas.

    Verifique se que dispositivos estão sincronizados com o Active Directory

    O write-back do dispositivo agora deve estar funcionando corretamente. Pode levar até 3 horas para que os objetos do dispositivo sejam gravados no Active Directory. Para verificar se os dispositivos estão sendo sincronizados corretamente, faça o seguinte, depois de concluir as regras de sincronização:

    1. Inicie o Centro Administrativo do Active Directory.

    2. Expanda RegisteredDevices dentro do domínio que está sendo federado.

      Active Directory Admin Center Registered Devices

    3. Dispositivos registrados atuais serão listados lá.

      Active Directory Admin Center Registered Devices List

    Habilitar o Acesso Condicional

    Instruções detalhadas para habilitar esse cenário estão disponíveis em Definindo o acesso condicional local usando o registro do dispositivo do Microsoft Entra.

    Solução de problemas

    A caixa de seleção de write-back é desabilitada

    Se a caixa de seleção para write-back do dispositivo não estiver habilitada, mesmo se você tiver seguido as etapas acima, as etapas seguir o guiarão através do que o assistente de instalação estiver verificando antes de a caixa ser habilitada.

    Primeiro as prioridades:

    • A floresta em que os dispositivos estão presentes precisa ter o esquema de floresta atualizado para o nível do Windows 2012 R2, de modo que o objeto de dispositivo e os atributos associados estejam presentes.
    • Se já estiver executando o assistente de instalação, as alterações não serão detectadas. Nesse caso, conclua o assistente de instalação e execute-o novamente.
    • Verifique se a conta fornecida no script de inicialização é, na verdade, o usuário correto usado pelo Active Directory Connector. Para fazer isso, siga essas etapas:
      • No menu Iniciar, abra Serviço de sincronização.
      • Abra a guia Conectores .
      • Localize o conector com o tipo de Serviços de Domínio do Active Directory e selecione-o.
      • Em Ações, selecione Propriedades.
      • Vá para Conectar-se à floresta do Active Directory. Verifique o nome de usuário e domínio especificado nessa correspondência de tela a conta fornecida para o script. Connector account in Sync Service Manager

    Verifique a configuração no Active Directory:

    • Verifique se o serviço de registro do dispositivo está localizado no local abaixo (CN = DeviceRegistrationService, CN = Serviços de registro de dispositivo, CN = Configuração do registro de dispositivo, CN = Services, CN = Configuration) no contexto de nomenclatura da configuração.

    Troubleshoot, DeviceRegistrationService in configuration namespace

    • Verifique se há apenas um objeto de configuração pesquisando o namespace de configuração. Se houver mais de um, exclua a cópia.

    Troubleshoot, search for the duplicate objects

    • No objeto do serviço de registro de dispositivo, verifique se o atributo msDS-DeviceLocation está presente e tem um valor. Pesquise esse local e verifique se ele está presente com o atributo msDS-DeviceContainer objectType.

    Troubleshoot, msDS-DeviceLocation

    Troubleshoot, RegisteredDevices object class

    • Verifique se a conta usada pelo conector do Active Directory tem as permissões necessárias no contêiner dos Dispositivos Registrados encontradas pela etapa anterior. Permissões esperadas neste contêiner:

    Troubleshoot, verify permissions on container

    • Verifique se a conta do Active Directory tem permissões no objeto CN = Configuração do registro de dispositivo, CN = Services, CN= Configuração.

    Troubleshoot, verify permissions on Device Registration Configuration

    Informações adicionais

    Próximas etapas

    Saiba mais sobre Integrar suas identidades locais com o Microsoft Entra ID.