Compartilhar via

Microsoft Entra Connect: Habilitação do write-back de dispositivo

Observação

Uma assinatura do Microsoft Entra ID P1 ou P2 é necessária para o write-back de dispositivo.

A documentação a seguir fornece informações sobre como habilitar o recurso de write-back do dispositivo no Microsoft Entra Connect. Write-back de dispositivo é usado nas seguintes situações:

Isso fornece segurança adicional e a garantia de que o acesso aos aplicativos é concedido somente a dispositivos confiáveis. Para saber mais sobre o acesso condicional, consulte Gerenciar riscos com o acesso condicional e Configurar o acesso condicional local pelo Registro de Dispositivos do Microsoft Entra.

Importante

  • Os dispositivos devem estar localizados na mesma floresta que os usuários. Como o write-back dos dispositivos deve ser feito em uma única floresta, esse recurso não é compatível com uma implantação com várias florestas de usuário.
  • Somente um objeto de configuração de registro de dispositivo pode ser adicionado à floresta local do Active Directory. Esse recurso não é compatível com uma topologia onde o Active Directory local é sincronizado a vários diretórios do Microsoft Entra.

    • Parte 1: instalar o Microsoft Entra Connect

    Instale o Microsoft Entra Connect usando configurações expressas ou personalizadas. A Microsoft recomenda começar com todos os usuários e grupos sincronizados com êxito antes de habilitar o write-back do dispositivo.

    Parte 2: Habilitar o write-back de dispositivo no Microsoft Entra Connect

    1. Execute o assistente de instalação novamente. Selecione Configurar opções de dispositivo na página Tarefas Adicionais e selecione Avançar.

      Configurar opções do dispositivo

      Observação

      As novas opções de dispositivo de configuração estão disponíveis somente na versão 1.1.819.0 e mais recente.

    2. Na página de opções de dispositivo, selecione Configurar write-back de dispositivo. A opção de desabilitar o write-back do dispositivo não está disponível até que o write-back do dispositivo esteja habilitado. Selecione Avançar para ir para a próxima página no assistente. Escolha operação do dispositivo

    3. Na página de write-back, você verá o domínio fornecido como a Floresta de write-back de dispositivo padrão. Floresta de destino do write-back de dispositivo na Instalação Personalizada

    4. A página Contêiner de dispositivo fornece a opção de preparação do Active Directory, usando uma das duas opções disponíveis:

      a. Fornecer credenciais de administrador corporativo: se as credenciais de administrador corporativo forem fornecidas para a floresta em que os dispositivos precisam ser gravados novamente, o Microsoft Entra Connect preparará a floresta automaticamente durante a configuração do write-back de dispositivo.

      b. Baixe o script do PowerShell: o Microsoft Entra Connect gera automaticamente um script do PowerShell que pode preparar o active directory para write-back do dispositivo. As credenciais de administrador de empresa não podem ser fornecidas no Microsoft Entra Connect, recomenda-se realizar o download do script do PowerShell. Forneça o script do PowerShell baixado CreateDeviceContainer.ps1 ao administrador corporativo da floresta em que os dispositivos são gravados novamente. Preparar a floresta do active directory

      As seguintes operações são executadas para preparar a floresta do active directory:

      • Se ainda não existirem, ele criará e configurará novos contêineres e objetos em CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
      • Se não existir, cria e configura novos contêineres e objetos em CN=RegisteredDevices,[___domain-dn]. Os objetos do dispositivo são criados neste contêiner.
      • Define as permissões necessárias na conta do Microsoft Entra Connector para gerenciar os dispositivos no seu Active Directory.
      • Só precisa ser executado em uma floresta, mesmo que o Microsoft Entra Connect esteja instalado em várias florestas.

    Verifique se que dispositivos estão sincronizados com o Active Directory

    O write-back de dispositivo deve estar funcionando corretamente agora. Pode levar até 3 horas para que os objetos do dispositivo sejam gravados novamente no AD. Para verificar se os dispositivos estão sendo sincronizados corretamente, execute as seguintes etapas após a conclusão das regras de sincronização:

    1. Inicie o Centro Administrativo do Active Directory.

    2. Expanda RegisteredDevices, dentro do Domínio que está sendo federado.

      Dispositivos registrados do Centro de Administração do Active Directory

    3. Os dispositivos registrados atuais estão listados lá.

      Lista de dispositivos registrados do Centro de Administração do Active Directory

    Habilitar o Acesso Condicional

    Instruções detalhadas para habilitar esse cenário estão disponíveis em Definindo o acesso condicional local usando o registro do dispositivo do Microsoft Entra.

    Resolução de problemas

    A caixa de seleção de write-back ainda está desabilitada

    Se a caixa de seleção para write-back do dispositivo não estiver habilitada, mesmo se você tiver seguido as etapas anteriores, as etapas seguir guiarão você através do que o assistente de instalação estiver verificando antes de a caixa ser habilitada.

    Primeiro as prioridades:

    • A floresta em que os dispositivos estão presentes precisa ter o esquema de floresta atualizado para o nível do Windows 2012 R2, de modo que o objeto de dispositivo e os atributos associados estejam presentes.
    • Se o assistente de instalação já estiver em execução, as alterações não serão detectadas. Nesse caso, conclua o assistente de instalação e execute-o novamente.
    • Verifique se a conta fornecida no script de inicialização é, na verdade, o usuário correto usado pelo Active Directory Connector. Para fazer isso, siga essas etapas:
      • No menu Iniciar, abra Serviço de sincronização.
      • Abra a guia Conectores.
      • Localize o conector com o tipo de Serviços de Domínio do Active Directory e selecione-o.
      • Em Ações, selecione Propriedades.
      • Vá para Conectar-se à floresta do Active Directory. Verifique o nome de usuário e domínio especificado nessa correspondência de tela a conta fornecida para o script. Conta de conector no Gerenciador de Serviços de Sincronização

    Verifique a configuração no Active Directory:

    • Verifique se o Serviço de Registro de Dispositivo está localizado no seguinte local (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) no contexto de nomenclatura de configuração.

    Resolver problema, DeviceRegistrationService no namespace de configuração

    • Verifique se há apenas um objeto de configuração pesquisando o namespace de configuração. Se houver mais de um, exclua a cópia.

    Solucionar problemas, procurar por objetos duplicados

    • No objeto do serviço de registro de dispositivo, verifique se o atributo msDS-DeviceLocation está presente e tem um valor. Localize este local e verifique se ele está presente com o tipo de objeto msDS-DeviceContainer.

    Resolver problema, msDS-DeviceLocation

    Resolver problema, classe de objeto RegisteredDevices

    • Verifique se a conta usada pelo conector do Active Directory tem as permissões necessárias no contêiner dos Dispositivos Registrados encontradas pela etapa anterior. Permissões esperadas neste contêiner:

    Resolver problema, verificar permissões no contêiner

    • Verifique se a conta do Active Directory tem permissões no objeto CN = Configuração do registro de dispositivo, CN = Services, CN= Configuração.

    Solucionar problemas, verificar permissões na configuração de registro do dispositivo

    Informações adicionais

    Próximas etapas

    Saiba mais sobre Integrar suas identidades locais com o Microsoft Entra ID.

    • Last updated on