Microsoft Entra Connect: Ativando o write-back do dispositivo
Nota
É necessária uma subscrição do Microsoft Entra ID P1 ou P2 para write-back do dispositivo.
A documentação a seguir fornece informações sobre como habilitar o recurso de write-back do dispositivo no Microsoft Entra Connect. A Repetição de Escrita de Dispositivos é utilizada nos seguintes cenários:
- Habilitar o Windows Hello for Business usando a implantação de certificado híbrido de confiança
- Habilite o Acesso Condicional com base em dispositivos para aplicativos protegidos pelo ADFS (2012 R2 ou superior) (confianças de terceira parte confiável).
O Acesso Condicional proporciona uma segurança adicional e a garantia de que o acesso às aplicações é concedido apenas a dispositivos fidedignos. Para obter mais informações sobre o Acesso Condicional, veja Gerir o Risco com o Acesso Condicional e Configurar o Acesso Condicional No Local com o Registo de Dispositivos do Microsoft Entra.
Importante
Parte 1: Instalar o Microsoft Entra Connect
Instale o Microsoft Entra Connect usando as configurações Custom ou Express. A Microsoft recomenda começar com todos os usuários e grupos sincronizados com êxito antes de habilitar o write-back do dispositivo.
Parte 2: Habilitar write-back de dispositivo no Microsoft Entra Connect
Execute o assistente de instalação novamente. Selecione Configurar opções de dispositivo na página Tarefas Adicionais e clique em Avançar.
Nota
As novas opções Configurar dispositivo estão disponíveis apenas na versão 1.1.819.0 e mais recente.
Na página de opções do dispositivo, selecione Configurar write-back do dispositivo. A opção Desativar write-back do dispositivo não estará disponível até que o write-back do dispositivo esteja ativado. Clique em Avançar para ir para a próxima página no assistente.
Na página de write-back, você verá o domínio fornecido como a floresta de write-back de dispositivo padrão.
A página de contêiner de dispositivo fornece a opção de preparar o Ative Directory usando uma das duas opções disponíveis:
a. Fornecer credenciais de administrador corporativo: Se as credenciais de administrador corporativo forem fornecidas para a floresta onde os dispositivos precisam ser gravados de volta, o Microsoft Entra Connect preparará a floresta automaticamente durante a configuração do write-back do dispositivo.
b. Baixar script do PowerShell: o Microsoft Entra Connect gera automaticamente um script do PowerShell que pode preparar o diretório ativo para write-back do dispositivo. Caso as credenciais de administrador corporativo não possam ser fornecidas no Microsoft Entra Connect, sugere-se baixar o script do PowerShell. Forneça o script do PowerShell baixado CreateDeviceContainer.ps1 ao administrador corporativo da floresta onde os dispositivos serão gravados novamente.
As seguintes operações são executadas para preparar a floresta do Ative Directory:
- Se ainda não existirem, cria e configura novos contêineres e objetos em CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
- Se eles ainda não existirem, cria e configura novos contêineres e objetos em CN=RegisteredDevices,[domain-dn]. Os objetos de dispositivo serão criados neste contêiner.
- Define as permissões necessárias na conta do Microsoft Entra Connector para gerenciar dispositivos no Ative Directory.
- Só precisa ser executado em uma floresta, mesmo que o Microsoft Entra Connect esteja sendo instalado em várias florestas.
Verifique se os dispositivos estão sincronizados com o Ative Directory
O write-back do dispositivo agora deve estar funcionando corretamente. Lembre-se de que pode levar até 3 horas para que os objetos do dispositivo sejam gravados de volta no AD. Para verificar se os dispositivos estão sendo sincronizados corretamente, faça o seguinte após a conclusão das regras de sincronização:
Inicie o Centro de Administração do Active Directory.
Expanda RegisteredDevices, dentro do Domínio que está sendo federado.
Os dispositivos registrados atuais serão listados lá.
Ativar acesso condicional
Instruções detalhadas para habilitar esse cenário estão disponíveis em Configurando o Acesso Condicional Local usando o Registro de Dispositivo do Microsoft Entra.
Resolução de problemas
A caixa de seleção write-back ainda está desativada
Se a caixa de seleção para write-back do dispositivo não estiver ativada, mesmo que você tenha seguido as etapas acima, as etapas a seguir irão guiá-lo pelo que o assistente de instalação está verificando antes que a caixa seja habilitada.
Primeiras coisas primeiro:
- A floresta onde os dispositivos estão presentes tem de ter o esquema de floresta atualizado para o nível Windows 2012 R2 para que o objeto do dispositivo e os atributos associados estejam presentes.
- Se o assistente de instalação já estiver em execução, as alterações não serão detetadas. Neste caso, conclua o assistente de instalação e volte a executá-lo.
- Verifique se a conta fornecida no script de inicialização é realmente o usuário correto usado pelo Conector do Ative Directory. Para verificar isso, execute as seguintes etapas:
- No menu Iniciar, abra o Serviço de Sincronização.
- Abra a guia Conectores .
- Localize o Conector com o tipo Serviços de Domínio Ative Directory e selecione-o.
- Em Ações, selecione Propriedades.
- Vá para Conectar-se à Floresta do Ative Directory. Verifique se o domínio e o nome de usuário especificados nesta tela correspondem à conta fornecida ao script.
Verifique a configuração no Ative Directory:
- Verifique se o Serviço de Registo de Dispositivos está localizado na localização abaixo (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) no contexto de nomenclatura de configuração.
- Verifique se há apenas um objeto de configuração pesquisando o namespace de configuração. Se houver mais de um, exclua a duplicata.
- No objeto do Serviço de Registo de Dispositivos, confirme que o atributo msDS-DeviceLocation está presente e tem um valor. Pesquise esse local e verifique se ele está presente com o objectType msDS-DeviceContainer.
- Verifique se a conta utilizada pelo Ative Directory Connector exigiu permissões no contentor de Dispositivos Registados encontrado no passo anterior. Estas são as permissões esperadas neste contêiner:
- Verifique se a conta do Active Directory tem permissões no objeto CN=Device Registration Configuration,CN=Services,CN=Configuration.
Informações adicionais
- Gerenciando riscos com acesso condicional
- Configurando o Acesso Condicional Local usando o Registro de Dispositivo do Microsoft Entra
Próximos passos
Saiba mais sobre como integrar suas identidades locais com a ID do Microsoft Entra.