Microsoft Entra Connect: Aktivieren des Geräterückschreibens

Die folgende Dokumentation enthält Informationen zum Aktivieren des Features „Geräterückschreiben“ in Microsoft Entra Connect. Das Geräterückschreiben wird in den folgenden Szenarien verwendet:

• Aktivieren von Windows Hello for Business mithilfe der Hybridbereitstellung von Zertifikatvertrauensstellungen
• Aktivieren des bedingten Zugriffs basierend auf Geräten auf von ADFS (2012 R2 oder höher) geschützte Anwendungen (Vertrauensstellungen für vertrauende Seiten).

Dies bietet zusätzliche Sicherheit und die Gewissheit, dass nur vertrauenswürdige Geräte auf die Anwendung zugreifen können. Weitere Informationen zum bedingten Zugriff finden Sie unter Verwalten von Risiken mit bedingtem Zugriff und Einrichten des lokalen bedingten Zugriffs mithilfe der Microsoft Entra-Geräteregistrierung.

Teil 1: Installieren von Microsoft Entra Connect

Installieren Sie Microsoft Entra Connect mit benutzerdefinierten Einstellungen oder Expresseinstellungen. Microsoft empfiehlt, mit allen Benutzern und Gruppen zu beginnen, die erfolgreich synchronisiert wurden, bevor Sie das Geräterückschreiben aktivieren.

Teil 2: Aktivieren des Geräterückschreibens in Microsoft Entra Connect

1. Führen Sie den Installations-Assistenten erneut aus. Wählen Sie auf der Seite "Zusätzliche Aufgaben" die Option " Geräteoptionen konfigurieren " und dann "Weiter" aus.

   

   Hinweis

   Die neuen Optionen zum Konfigurieren von Geräten sind nur ab Version 1.1.819.0 verfügbar.

2. Wählen Sie auf der Seite mit den Geräteoptionen die Option Geräterückschreiben konfigurieren. Die Option zum Deaktivieren des Geräterückschreibens ist erst verfügbar, wenn das Geräterückschreiben aktiviert ist. Wählen Sie die Schaltfläche Weiter aus, um zur nächsten Seite im Assistenten zu wechseln.

3. Auf der Seite „Rückschreiben“ wird die angegebene Domäne als Standardgesamtstruktur für das Geräterückschreiben angezeigt.

4. Die Seite Gerätecontainer enthält eine Option zum Vorbereiten von Active Directory mittels zwei Methoden:

   a) Bereitstellen von Anmeldeinformationen für Unternehmensadministratoren: Wenn die Anmeldeinformationen für Unternehmensadministratoren für die Gesamtstruktur bereitgestellt werden, für die Geräte zurückgeschrieben werden müssen, erstellt Microsoft Entra Connect die Gesamtstruktur während der Konfiguration des Geräterückschreibens automatisch.

   b. PowerShell-Skript herunterladen: Microsoft Entra Connect generiert automatisch ein PowerShell-Skript, das das Active Directory für das Geräterückschreiben vorbereiten kann. Falls die Anmeldeinformationen eines Unternehmensadministrators oder einer Unternehmensadministratorin in Microsoft Entra Connect nicht angegeben werden können, wird vorgeschlagen, das PowerShell-Skript herunterzuladen. Stellen Sie das heruntergeladene PowerShell-Skript CreateDeviceContainer.ps1 für Unternehmensadmins der Gesamtstruktur bereit, in die das Rückschreiben der Geräte erfolgt.

   Zur Vorbereitung der Active Directory-Gesamtstruktur werden die folgenden Vorgänge durchgeführt:

   • Falls sie noch nicht vorhanden sind, werden die neuen Container und Objekte unter „CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn]“ erstellt und konfiguriert.
   • Falls sie noch nicht vorhanden sind, werden die neuen Container und Objekte unter „CN=RegisteredDevices,[___domain-dn]“ erstellt und konfiguriert. Geräteobjekte werden in diesem Container erstellt.
   • Legt die erforderlichen Berechtigungen für das Microsoft Entra Connector-Konto fest, um Geräte in Active Directory zu verwalten.
   • Die Ausführung in nur in einer Gesamtstruktur erforderlich, auch wenn Microsoft Entra Connect in mehreren Gesamtstrukturen installiert wird.

Überprüfen, ob die Geräte mit Active Directory synchronisiert werden

Das Geräterückschreiben sollte jetzt ordnungsgemäß ausgeführt werden. Es kann bis zu 3 Stunden dauern, bis Geräteobjekte wieder in AD geschrieben werden. Führen Sie die folgenden Schritte nach Abschluss der Synchronisierungsregeln aus, um zu überprüfen, ob Ihre Geräte ordnungsgemäß synchronisiert werden:

1. Starten Sie das Active Directory-Verwaltungscenter.

2. Erweitern Sie „RegisteredDevices“ innerhalb der Verbunddomäne.

   

3. Aktuelle registrierte Geräte sind dort aufgeführt.

   

Aktivieren des bedingten Zugriffs

Ausführliche Informationen zum Aktivieren dieses Szenarios finden Sie unter Einrichten des lokalen bedingten Zugriffs mithilfe der Microsoft Entra-Geräteregistrierung.

Problembehandlung

Kontrollkästchen für das Rückschreiben ist weiterhin deaktiviert

Wenn das Kontrollkästchen für das Geräterückschreiben nicht aktiviert ist, obwohl Sie die vorherigen Schritte befolgt haben, führen die folgenden Schritte Sie durch, was der Installations-Assistent überprüft, bevor das Kontrollkästchen aktiviert wird.

Zuerst die wichtigen Dinge:

• Das Schema der Gesamtstruktur mit den Geräten muss auf Windows 2012 R2 aktualisiert werden, damit das Geräteobjekt und die zugehörigen Attribute vorhanden sind.
• Wenn der Installationsassistent bereits läuft, werden keine Änderungen erkannt. Schließen Sie den Installations-Assistenten in diesem Fall ab, und führen Sie ihn dann erneut aus.
• Stellen Sie sicher, dass das von Ihnen im Initialisierungsskript bereitgestellte Konto tatsächlich der richtige Benutzer ist, der vom Active Directory Connector verwendet wird. Gehen Sie dazu wie folgt vor:
  • Öffnen Sie im Startmenü den Synchronisierungsdienst.
  • Öffnen Sie die Registerkarte Connectors.
  • Suchen Sie nach dem Connector mit dem Typ „Active Directory-Domänendienste“, und wählen Sie ihn aus.
  • Klicken Sie unter Aktionen auf Eigenschaften.
  • Navigieren Sie zu Mit Active Directory-Gesamtstruktur verbinden. Stellen Sie sicher, dass die Domäne und der Benutzername, die auf diesem Bildschirm angegeben sind, mit dem im Skript angegebenen Konto übereinstimmen.

Überprüfen der Konfiguration in Active Directory:

• Überprüfen Sie, ob sich der Geräteregistrierungsdienst unter dem Konfigurationsnamenskontext am folgenden Ort befindet: (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration).

• Stellen Sie sicher, dass nur ein Konfigurationsobjekt vorhanden ist, indem Sie den Konfigurationsnamespace durchsuchen. Löschen Sie das Duplikat, falls mehr als ein Objekt vorhanden ist.

• Stellen Sie für das Geräteregistrierungsdienst-Objekt sicher, dass msDS-DeviceLocation für das Attribut vorhanden ist und über einen Wert verfügt. Suchen Sie diesen Speicherort, und vergewissern Sie sich, dass er vorhanden ist und über „objectType msDS-DeviceContainer“ verfügt.

• Überprüfen Sie, ob das vom Active Directory Connector verwendete Konto über die erforderlichen Berechtigungen für den Container „Registrierte Geräte“ aus dem vorherigen Schritt verfügt. Dies sind die erwarteten Berechtigungen für diesen Container:

• Stellen Sie sicher, dass das Active Directory-Konto über Berechtigungen für das Objekt „CN=Device Registration Configuration,CN=Services,CN=Configuration“ verfügt.

Zusatzinformation

• Kontrollieren von Risiken mit bedingtem Zugriff
• Einrichten eines lokalen bedingten Zugriffs mithilfe der Microsoft Entra-Geräteregistrierung

Nächste Schritte

Weitere Informationen finden Sie unter Integrieren Ihrer lokalen Identitäten in Microsoft Entra ID.