Microsoft Entra Bağlan: Cihaz geri yazmayı etkinleştirme
Dekont
Cihaz geri yazma için Microsoft Entra ID P1 veya P2 aboneliği gereklidir.
Aşağıdaki belgelerde, Microsoft Entra Bağlan'da cihaz geri yazma özelliğini etkinleştirme hakkında bilgi sağlanmaktadır. Aşağıdaki senaryolarda Cihaz Geri Yazma kullanılır:
- Karma sertifika güveni dağıtımı kullanarak İş İçin Windows Hello etkinleştirme
- ADFS (2012 R2 veya üzeri) korumalı uygulamalara (bağlı olan taraf güvenleri) cihazlara dayalı Koşullu Erişimi etkinleştirin.
Bu işlem, uygulamalara erişimin yalnızca güvenilen cihazlara verilme konusunda ek güvenlik ve güvence sağlar. Koşullu erişim hakkında daha fazla bilgi edinmek için bkz. Koşullu Erişim ile Risk Yönetimi ve Microsoft Entra Cihaz Kaydı hizmetini kullanarak Şirket İçi Uygulamalara Koşullu Erişim.
Önemli
Bölüm 1: Microsoft Entra Bağlan yükleme
Özel veya Hızlı ayarlarını kullanarak Microsoft Entra Bağlan yükleyin. Microsoft, cihaz geri yazmayı etkinleştirmeden önce tüm kullanıcıların ve grupların başarıyla eşitlenmesiyle başlamanızı önerir.
2. Bölüm: Microsoft Entra Bağlan'da cihaz geri yazmayı etkinleştirme
Yükleme sihirbazını yeniden çalıştırın. Ek Görevler sayfasında Cihaz seçeneklerini yapılandır'ı seçin ve İleri'ye tıklayın.
Dekont
Yeni Cihaz yapılandırma seçenekleri yalnızca 1.1.819.0 ve daha yeni sürümlerde kullanılabilir.
Cihaz seçenekleri sayfasında Cihaz geri yazmayı yapılandır'ı seçin. Cihaz geri yazma etkinleştirilene kadar cihaz geri yazmayı devre dışı bırakma seçeneği kullanılamaz. Sihirbazda sonraki sayfaya gitmek için İleri'ye tıklayın.
Geri yazma sayfasında, sağlanan etki alanını varsayılan Cihaz geri yazma ormanı olarak görürsünüz.
Cihaz kapsayıcısı sayfası, kullanılabilir iki seçeneknden birini kullanarak Active Directory'yi hazırlama seçeneği sağlar:
a. Kuruluş yöneticisi kimlik bilgilerini sağlayın: Cihazların geri yazılması gereken orman için kuruluş yöneticisi kimlik bilgileri sağlanırsa, Microsoft Entra Bağlan, cihaz geri yazma yapılandırması sırasında ormanı otomatik olarak hazırlar.
b. PowerShell betiğini indirin: Microsoft Entra Bağlan, active directory'yi cihaz geri yazma için hazırlayabilen bir PowerShell betiğini otomatik olarak oluşturur. Kuruluş yöneticisi kimlik bilgilerinin Microsoft Entra Bağlan'da sağlanamıyor olması durumunda PowerShell betiğini indirmeniz önerilir. İndirilen PowerShell betiğini CreateDeviceContainer.ps1 dosyasını cihazların geri yazılacağı ormanın kuruluş yöneticisine sağlayın.
Active Directory ormanının hazırlanması için aşağıdaki işlemler gerçekleştirilir:
- Henüz yoksa, CN=Cihaz Kayıt Yapılandırması,CN=Hizmetler,CN=Yapılandırma,[orman-dn] altında yeni kapsayıcılar ve nesneler oluşturur ve yapılandırır.
- Henüz yoksa, CN=RegisteredDevices,[domain-dn] altında yeni kapsayıcılar ve nesneler oluşturur ve yapılandırır. Bu kapsayıcıda cihaz nesneleri oluşturulacak.
- Active Directory'nizdeki cihazları yönetmek için Microsoft Entra Bağlan or hesabında gerekli izinleri ayarlar.
- Microsoft Entra Bağlan birden çok ormana yüklenmiş olsa bile yalnızca bir ormanda çalışması gerekir.
Cihazların Active Directory ile eşitlendiğini doğrulama
Cihaz geri yazma artık düzgün çalışıyor olmalıdır. Cihaz nesnelerinin AD'ye geri yazılması 3 saate kadar sürebilir. Cihazlarınızın düzgün eşitlendiğini doğrulamak için, eşitleme kuralları tamamlandıktan sonra aşağıdakileri yapın:
Active Directory Yönetim Merkezi'ni başlatın.
Federasyon olan Etki Alanı'nın içindeki RegisteredDevices öğesini genişletin.
Geçerli kayıtlı cihazlar burada listelenir.
Koşullu Erişimi Etkinleştirme
Bu senaryoya olanak tanımak için ayrıntılı yönergeler, Microsoft Entra Cihaz Kaydını kullanarak Şirket İçi Koşullu Erişimi Ayarlama bölümünde bulunabilir.
Sorun giderme
Geri yazma onay kutusu hala devre dışı
Yukarıdaki adımları izlemenize rağmen cihaz geri yazma onay kutusu etkin değilse, aşağıdaki adımlar, kutu etkinleştirilmeden önce yükleme sihirbazının neyi doğruladığınız konusunda size yol gösterir.
Öncelikle:
- Cihaz nesnesi ve ilişkili özniteliklerin var olması için cihazların bulunduğu ormanın orman şeması Windows 2012 R2 düzeyine yükseltilmelidir.
- Yükleme sihirbazı zaten çalışıyorsa, herhangi bir değişiklik algılanamaz. Bu durumda yükleme sihirbazını tamamlayın ve sonra yeniden çalıştırın.
- Başlatma betiğinde sağladığınız hesabın aslında Active Directory Bağlan or tarafından kullanılan doğru kullanıcı olduğundan emin olun. Bunu doğrulamak için şu adımları izleyin:
- Başlat menüsünden Eşitleme Hizmeti'ni açın.
- Bağlan orlar sekmesini açın.
- Active Directory Etki Alanı Hizmetleri türüne sahip Bağlan bulun ve seçin.
- Eylemler'in altında Özellikler'i seçin.
- Active Directory Ormanı'na Bağlan gidin. Bu ekranda belirtilen etki alanı ve kullanıcı adının betikle sağlanan hesapla eşleştiğini doğrulayın.
Active Directory'de yapılandırmayı doğrulama:
- Cihaz Kayıt Hizmeti'nin aşağıdaki konumda (CN=DeviceRegistrationService,CN=Cihaz Kayıt Hizmetleri,CN=Cihaz Kayıt Yapılandırması,CN=Hizmetler,CN=Yapılandırma), yapılandırma adlandırma bağlamında yer aldığını doğrulayın.
- Yapılandırma ad alanında arama yaparak yalnızca bir yapılandırma nesnesi olduğunu doğrulayın. Birden fazla varsa, yinelenen öğeyi silin.
- Cihaz Kayıt Hizmeti nesnesinde msDS-DeviceLocation özniteliğinin mevcut olduğundan ve bir değeri olduğundan emin olun. Bu konumu arayın ve objectType msDS-DeviceContainer ile birlikte bulunduğundan emin olun.
- Active Directory Bağlayıcısı tarafından kullanılan hesabın, önceki adımda bulunan Kayıtlı Cihazlar kapsayıcısı üzerinde gerekli izinlere sahip olduğunu doğrulayın. Bu kapsayıcıda beklenen izinler budur:
- Active Directory hesabının CN=Cihaz Kaydı Yapılandırması,CN=Hizmetler,CN=Yapılandırma nesnesi üzerinde izinleri olduğunu doğrulayın.
Ek Bilgi
- Koşullu Erişim ile Riski Yönetme
- Microsoft Entra Cihaz Kaydını Kullanarak Şirket İçi Koşullu Erişimi Ayarlama
Sonraki adımlar
Şirket içi kimliklerinizi Microsoft Entra Id ile tümleştirme hakkında daha fazla bilgi edinin.