Partilhar via

Microsoft Entra Connect: Ativando o write-back do dispositivo

Observação

É necessária uma subscrição do Microsoft Entra ID P1 ou P2 para write-back do dispositivo.

A documentação a seguir fornece informações sobre como habilitar o recurso de write-back do dispositivo no Microsoft Entra Connect. O Device Writeback é usado nos seguintes cenários:

Isso fornece segurança adicional e garantia de que o acesso aos aplicativos é concedido apenas a dispositivos confiáveis. Para obter mais informações sobre o Acesso Condicional, consulte Gerir o Risco com Acesso Condicional e Configurar o Acesso Condicional Local usando o Registro de Dispositivo do Microsoft Entra.

Importante

  • Os dispositivos devem estar localizados na mesma floresta que os usuários. Como os dispositivos devem ser gravados de volta em uma única floresta, esse recurso atualmente não oferece suporte a uma implantação com várias florestas de usuário.
  • Apenas um objeto de configuração de registro de dispositivo pode ser adicionado à floresta do Ative Directory local. Esse recurso não é compatível com uma topologia em que o Ative Directory local é sincronizado com vários diretórios do Microsoft Entra.

    • Parte 1: Instalar o Microsoft Entra Connect

    Instale o Microsoft Entra Connect usando as configurações Custom ou Express. A Microsoft recomenda começar com todos os usuários e grupos sincronizados com êxito antes de habilitar o write-back do dispositivo.

    Parte 2: Ativar retorno de escrita de dispositivo no Microsoft Entra Connect

    1. Execute o assistente de instalação novamente. Selecione Configurar opções de dispositivo na página Tarefas Adicionais e selecione Seguinte.

      Configurar opções de dispositivo

      Observação

      As novas opções Configurar dispositivo estão disponíveis apenas na versão 1.1.819.0 e mais recente.

    2. Na página de opções do dispositivo, selecione Configurar a escrita de retorno do dispositivo. A opção Desativar o write-back do dispositivo não está disponível até que o write-back do dispositivo esteja habilitado. Selecione Avançar para avançar para a próxima página do assistente. Escolha a operação do dispositivo

    3. Na página de write-back, você verá o domínio fornecido como a floresta de write-back de dispositivo padrão. Floresta de destino para write-back do dispositivo para instalação personalizada

    4. A página de contêiner de dispositivo fornece a opção de preparar o Active Directory usando uma das duas opções específicas disponíveis:

      um. Fornecer credenciais de administrador corporativo: Se as credenciais de administrador empresarial forem fornecidas para a floresta onde os dispositivos precisam ser gravados de volta, o Microsoft Entra Connect prepara a floresta automaticamente durante a configuração do write-back do dispositivo.

      b) Download PowerShell script: O Microsoft Entra Connect gera automaticamente um script do PowerShell que pode preparar o Active Directory para a regravação do dispositivo. Caso as credenciais de administrador corporativo não possam ser fornecidas no Microsoft Entra Connect, sugere-se baixar o script do PowerShell. Forneça o script de PowerShell baixado CreateDeviceContainer.ps1 ao administrador da empresa da floresta onde os dispositivos são escritos de volta. Preparar a floresta do Active Directory

      As seguintes operações são executadas para preparar a floresta do Ative Directory:

      • Se ainda não existirem, cria e configura novos contêineres e objetos em CN=Device Registration Configuration,CN=Services,CN=Configuration,[forest-dn].
      • Se eles ainda não existirem, cria e configura novos contêineres e objetos em CN=RegisteredDevices,[___domain-dn]. Os objetos de dispositivo são criados neste contêiner.
      • Define as permissões necessárias na conta do Microsoft Entra Connector para gerenciar dispositivos no Ative Directory.
      • Só precisa ser executado em uma floresta, mesmo que o Microsoft Entra Connect esteja sendo instalado em várias florestas.

    Verifique se os dispositivos estão sincronizados com o Ative Directory

    O write-back do dispositivo agora deve estar funcionando corretamente. Pode levar até 3 horas para que os objetos do dispositivo sejam gravados de volta no AD. Para verificar se seus dispositivos estão sendo sincronizados corretamente, execute as seguintes etapas após a conclusão das regras de sincronização:

    1. Inicie o Centro Administrativo do Ative Directory.

    2. Expanda RegisteredDevices, dentro do Domínio que está sendo federado.

      Centro de Administração do Active Directory Dispositivos Registados

    3. Os dispositivos registrados atuais estão listados lá.

      Lista de Dispositivos Registrados do Centro de Administração do Ative Directory

    Ativar acesso condicional

    Instruções detalhadas para habilitar esse cenário estão disponíveis em Configurando o Acesso Condicional Local usando o Microsoft Entra Device Registration.

    Solução de problemas

    A caixa de seleção de escrita reversa ainda está desativada

    Se a caixa de seleção para write-back do dispositivo não estiver habilitada, mesmo que você tenha seguido as etapas anteriores, as etapas a seguir o guiarão pelo que o assistente de instalação está verificando antes que a caixa seja habilitada.

    Primeiras coisas primeiro:

    • A floresta onde os dispositivos estão presentes deve ter o esquema de floresta atualizado para o nível do Windows 2012 R2 para que o objeto de dispositivo e os atributos associados estejam presentes.
    • Se o assistente de instalação já estiver em execução, as alterações não serão detetadas. Nesse caso, conclua o assistente de instalação e execute-o novamente.
    • Verifique se a conta fornecida no script de inicialização é realmente o usuário correto usado pelo Conector do Ative Directory. Para verificar isso, execute as seguintes etapas:
      • No menu Iniciar, abra Serviço de Sincronização.
      • Abra a guia Conectores.
      • Localize o conector do tipo Active Directory Domain Services e selecione-o.
      • Em Ações, selecione Propriedades.
      • Vá para Ligar-se a Active Directory Forest. Verifique se o domínio e o nome de usuário especificados nesta tela correspondem à conta fornecida ao script. conta do Connector no Sync Service Manager

    Verifique a configuração no Ative Directory:

    • Verifique se o Serviço de Registo de Dispositivo está localizado no seguinte local (CN=DeviceRegistrationService,CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration) sob o contexto de nomes de configuração.

    Resolver problemas, DeviceRegistrationService no namespace de configuração

    • Verifique se há apenas um objeto de configuração pesquisando o namespace de configuração. Se houver mais de um, exclua a duplicata.

    Solução de problemas, procure os objetos duplicados

    • No objeto Serviço de Registro de Dispositivo, verifique se o atributo msDS-DeviceLocation está presente e tem um valor. Procure esse local e verifique se ele está presente com o objectType msDS-DeviceContainer.

    Resolução de problemas, msDS-DeviceLocation

    Resolução de problemas, classe de objeto RegisteredDevices

    • Verifique se a conta usada pelo Conector do Ative Directory tem as permissões necessárias no contêiner Dispositivos Registrados encontrado na etapa anterior. Estas são as permissões esperadas neste contêiner:

    Solução de problemas, verifique as permissões no contêiner

    • Verifique se a conta do Ative Directory tem permissões no objeto CN=Device Registration Configuration,CN=Services,CN=Configuration.

    Resolução de problemas, verifique as permissões na Configuração de Registro de Dispositivo

    Informação Adicional

    Próximos passos

    Saiba mais sobre Integrando as suas identidades no local com o Microsoft Entra ID.