Microsoft Entra Подключение: включение обратной записи устройств

Примечание.

Для обратной записи устройства требуется подписка на Microsoft Entra ID P1 или P2.

В следующей документации содержатся сведения о том, как включить функцию обратной записи устройств в Microsoft Entra Подключение. Обратная запись устройств используется в ситуациях,

Это обеспечивает дополнительную защиту и гарантию того, что доступ к приложениям предоставляется только доверенным устройствам. Дополнительные сведения о настройке условного доступа см. в статьях Управление рисками с помощью условного доступа и Настройка локального условного доступа с помощью регистрации устройств в Microsoft Entra.

Важно!

  • Устройства должны находиться в том же лесу, что и пользователи. Поскольку обратная запись устройств должна производиться в один лес, эта функция в настоящий момент не поддерживает развертывание с несколькими лесами пользователей.
  • В локальный лес Active Directory можно добавить только один объект конфигурации регистрации. Эта функция несовместима с топологией, в которой локальная служба Active Directory синхронизируется с несколькими каталогами Microsoft Entra.
  • Часть 1. Установка Microsoft Entra Подключение

    Установите microsoft Entra Подключение с помощью пользовательских или экспресс-параметров. Корпорация Майкрософт рекомендует перед включением обратной записи устройства выполнить синхронизацию всех пользователей и групп.

    Часть 2. Включение обратной записи устройств в Microsoft Entra Подключение

    1. Снова запустите мастер установки. Выберите Настройка параметров устройств на странице "Дополнительные задачи" и нажмите кнопку Далее.

      Configure device options

      Примечание.

      Новая функция настройки параметров устройств доступна только в версии 1.1.819.0 и более поздних.

    2. На странице параметров устройства выберите Настроить обратную запись устройств. Параметр "Отключить обратную запись устройства" не будет доступен до включения обратной записи устройства. Щелкните Далее, чтобы перейти на следующую страницу мастера. Chose device operation

    3. На странице обратной записи вы увидите предоставленный домен в качестве леса обратной записи устройства по умолчанию. Custom Install device writeback target forest

    4. Страница Контейнер устройств содержит параметр подготовки Active Directory с использованием одного из двух вариантов:

      a. Укажите учетные данные администратора предприятия: если учетные данные администратора предприятия предоставляются для леса, где устройства должны быть записаны обратно, Microsoft Entra Подключение автоматически подготовит лес во время настройки обратной записи устройства.

      b. Скачайте скрипт PowerShell: Microsoft Entra Подключение автоматически создает скрипт PowerShell, который может подготовить Active Directory для обратной записи устройства. Если учетные данные администратора предприятия не могут быть предоставлены в Microsoft Entra Подключение, рекомендуется скачать скрипт PowerShell. Предоставьте скачанный сценарий PowerShell CreateDeviceContainer.ps1 администратору предприятия леса, в который будет выполняться запись с устройств. Prepare active directory forest

      Для подготовки леса Active Directory выполняются следующие операции:

      • Если они еще не существуют, создает и настраивает новые контейнеры и объекты в разделе CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
      • Если они еще не существуют, создает и настраивает новые контейнеры и объекты в CN=RegisteredDevices,[domain-dn]. Объекты устройства будут созданы в этом контейнере.
      • Задает необходимые разрешения для учетной записи Microsoft Entra Подключение or для управления устройствами в Active Directory.
      • Необходимо запускать только в одном лесу, даже если microsoft Entra Подключение устанавливается в нескольких лесах.

    Проверка синхронизации устройств с Active Directory

    Функция обратной записи устройств должна теперь работать правильно. Имейте в виду, что обратная запись объектов устройств в AD может выполняться до 3 часов. Проверить, правильно ли синхронизированы устройства после выполнения правила синхронизации, можно так.

    1. Запустите центр администрирования Active Directory.

    2. Разверните раздел RegisteredDevices в домене, который включается в федерацию.

      Active Directory Admin Center Registered Devices

    3. Там будут перечислены зарегистрированные в настоящий момент устройства.

      Active Directory Admin Center Registered Devices List

    Включение условного доступа

    Подробные инструкции по включению этого сценария доступны в разделе "Настройка локального условного доступа" с помощью регистрации устройств Microsoft Entra.

    Устранение неполадок

    Флажок обратной записи по-прежнему отключен

    Если проверка box для обратной записи устройства не включен, даже если вы выполнили описанные выше действия, то следующие действия помогут вам выполнить проверку мастера установки до включения поля.

    Начнем сначала:

    • Лес, где присутствуют устройства, должен иметь схему леса, обновленную до уровня Windows 2012 R2, чтобы присутствовали объект устройства и связанные с ним атрибуты.
    • Если мастер установки уже запущен, все изменения не будут обнаружены. В этом случае завершите работу мастера установки и запустите его снова.
    • Убедитесь, что учетная запись, указанная в сценарии инициализации, соответствует пользователю, используемому соединителем Active Directory. Чтобы проверить это, выполните следующие действия.
      • В меню "Пуск" щелкните Служба синхронизации.
      • Откройте вкладку Соединители .
      • Найдите соединитель с типом "Доменные службы Active Directory" и выберите его.
      • В разделе Действия выберите Свойства.
      • Выберите Подключиться к лесу Active Directory. Убедитесь, что домен и имя пользователя, указанные в этом окне, совпадают с учетной записью, указанной в сценарии. Connector account in Sync Service Manager

    Проверьте конфигурацию Active Directory.

    • Убедитесь, что служба регистрации устройств расположена в контексте именования конфигурации ниже (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration).

    Troubleshoot, DeviceRegistrationService in configuration namespace

    • Убедитесь, что существует только один объект конфигурации, выполнив поиск в пространстве имен конфигурации. Если существует несколько, удалите дубликат.

    Troubleshoot, search for the duplicate objects

    • В объекте службы регистрации устройств убедитесь, что атрибут msDS-DeviceLocation присутствует и для него установлено значение. Подстановка этого расположения и убедитесь, что она присутствует в объекте objectType msDS-DeviceContainer.

    Troubleshoot, msDS-DeviceLocation

    Troubleshoot, RegisteredDevices object class

    • Убедитесь, что учетная запись, используемая соединителем Active Directory, имеет необходимые разрешения для контейнера "Зарегистрированные устройства", обнаруженного на предыдущем шаге. Разрешения для контейнера должны быть следующими:

    Troubleshoot, verify permissions on container

    • Проверьте, что у учетной записи Active Directory есть разрешения для объекта CN=Device Registration Configuration,CN=Services,CN=Configuration.

    Troubleshoot, verify permissions on Device Registration Configuration

    Дополнительная информация

    Следующие шаги

    Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.