Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il documento seguente illustra come installare e configurare l'accesso condizionale locale con i dispositivi registrati.
Prerequisiti dell'infrastruttura
Sono necessari i prerequisiti seguenti.
Requisito | Descrizione |
---|---|
Sottoscrizione di Microsoft Entra con Microsoft Entra ID P1 o P2 | Per abilitare il writeback del dispositivo per l'accesso condizionale in sede, va bene una versione di prova gratuita |
Sottoscrizione di Intune | obbligatorio solo per l'integrazione MDM per gli scenari di conformità dei dispositivi: una versione di valutazione gratuita va bene |
Sincronizzazione Microsoft Entra Connect | Ottenere la versione più recente qui. |
Windows Server 2016 | Build 10586 o versione successiva per AD FS |
Schema di Active Directory di Windows Server 2016 | È necessario il livello di schema 85 o superiore. |
Controller di dominio di Windows Server 2016 | Obbligatorio solo per le distribuzioni con fiducia basata su chiavi di Hello For Business. Per ulteriori informazioni, vedere qui. |
Windows 10 Client | Build 10586 o versione successiva, aggiunto al dominio precedente è necessario solo per gli scenari di aggiunta a un dominio di Windows 10 e Windows Hello for Business |
Account utente Microsoft Entra con licenze Microsoft Entra ID P1 o P2 assegnati | Per la registrazione del dispositivo |
Aggiornare lo schema di Active Directory
Per usare l'accesso condizionale locale con i dispositivi registrati, è prima necessario aggiornare lo schema di AD. Devono essere soddisfatte le condizioni seguenti:
- Lo schema deve essere versione 85 o successiva
- Obbligatorio solo per la foresta a cui è stato aggiunto AD FS
Annotazioni
Se è stato installato Microsoft Entra Connect Sync prima di eseguire l'aggiornamento alla versione dello schema (livello 85 o versione successiva) in Windows Server 2016, è necessario eseguire nuovamente l'installazione di Microsoft Entra Connect Sync e aggiornare lo schema DI AD locale per assicurarsi che la regola di sincronizzazione per msDS-KeyCredentialLink sia configurata.
Verificare il livello dello schema
Per verificare il livello dello schema, eseguire le operazioni seguenti:
- Usare ADSIEdit.exe o LDP.exe e connettersi al contesto di denominazione dello schema.
- In ADSIEdit, fare clic con il pulsante destro del mouse su "CN=Schema,CN=Configuration,DC=<domain>,DC=<com> e selezionare Proprietà. Sostituire il dominio e le parti com con le informazioni sulla foresta.
- Nell'Editor attributi, individuare l'attributo objectVersion e questo indica la tua versione.
È anche possibile usare il cmdlet di PowerShell seguente (sostituire l'oggetto con le informazioni sul contesto di denominazione dello schema):
Get-ADObject "cn=schema,cn=configuration,dc=domain,dc=local" -Property objectVersion
Per altre informazioni sull'aggiornamento, vedere Aggiornare controller di dominio a Windows Server 2016.
Abilitare la registrazione del dispositivo Microsoft Entra
Per configurare questo scenario, è necessario configurare la funzionalità di registrazione del dispositivo in Microsoft Entra ID.
Per fare questo, seguire i passaggi indicati in Configurazione dell'aggiunta a Microsoft Entra nella tua organizzazione.
Configurare AD FS
- Crea una nuova farm AD FS 2016.
- Oppure eseguire la migrazione di una farm ad AD FS 2016 da AD FS 2012 R2
- Distribuire Microsoft Entra Connect Sync usando il percorso personalizzato per connettere AD FS all'ID Microsoft Entra.
Configurare il ripristino dei dispositivi e l'autenticazione dei dispositivi
Annotazioni
Se hai eseguito Microsoft Entra Connect Sync utilizzando Impostazioni rapide, sono stati creati per te gli oggetti AD corretti. Nella maggior parte degli scenari di AD FS, tuttavia, Microsoft Entra Connect Sync è stato eseguito con impostazioni personalizzate per configurare AD FS, quindi sono necessari i passaggi seguenti.
Creare oggetti AD per l'autenticazione del dispositivo AD FS
Se la farm AD FS non è già configurata per l'autenticazione dei dispositivi (può essere visualizzata nella console di gestione di AD FS in Servizio -> Registrazione dei dispositivi), seguire questa procedura per creare gli oggetti e la configurazione corretti di Active Directory Domain Services.
Annotazioni
I comandi seguenti richiedono strumenti di amministrazione di Active Directory, quindi se il server federativo non è anche un controller di dominio, installare prima gli strumenti usando il passaggio 1 riportato di seguito. In caso contrario, è possibile ignorare il passaggio 1.
- Eseguire la procedura guidata Aggiungi ruoli e funzionalità e selezionare la funzionalità Strumenti di amministrazione remota del server -> ruolo ->AD DS e AD LDS Tools -> Scegliere sia il modulo Active Directory per Windows PowerShell che gli strumenti di Active Directory Domain Services.
- Nel server primario di AD FS, assicurarsi di essere collegati come utente dei servizi di dominio di Active Directory con privilegi di Enterprise Admin (EA) e di aprire un prompt di PowerShell con privilegi elevati. Eseguire quindi i comandi di PowerShell seguenti:
Import-module activedirectory
PS C:\> Initialize-ADDeviceRegistration -ServiceAccountName "<your service account>"
3. Nella finestra popup premere Sì.
Annotazioni
Se il servizio AD FS è configurato per l'uso di un account GMSA, immettere il nome dell'account nel formato "domain\accountname$"
Il psh precedente crea gli oggetti seguenti:
- Contenitore RegisteredDevices sotto la partizione di dominio di Active Directory
- Contenitore del servizio registrazione dispositivi e oggetto in Configurazione --> Servizi --> Configurazione registrazione dispositivo
- Contenitore DKM e oggetto del Servizio di registrazione dei dispositivi in Configurazione --> Servizi --> Configurazione della registrazione dei dispositivi
- Al termine, verrà visualizzato un messaggio di completamento riuscito.
Creare un punto di connessione del servizio (SCP) in AD
Se prevedete di usare l'aggiunta a un dominio di Windows 10 (con registrazione automatica all'ID Microsoft Entra), come descritto qui, procedete con i comandi seguenti per creare un punto di connessione del servizio in Active Directory Domain Services (AD DS)
- Aprire Windows PowerShell ed eseguire le operazioni seguenti:
PS C:>Import-Module -Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1"
Annotazioni
Se necessario, copiare il file AdSyncPrep.psm1 dal server di sincronizzazione Microsoft Entra Connect. Questo file si trova in Programmi\Microsoft Entra Connect\AdPrep
- Specificare le credenziali di amministratore per l'accesso condizionale di Microsoft Entra.
PS C:>$aadAdminCred = Get-Credential
- Eseguire il comando di PowerShell seguente
PS C:>Initialize-ADSyncDomainJoinedComputerSync -AdConnectorAccount [AD connector account name] -AzureADCredentials $aadAdminCred
Dove [nome account connettore AD] è il nome dell'account che si è configurato in Microsoft Entra Connect Sync quando si è aggiunta la directory di Active Directory Domain Services in locale.
I comandi precedenti consentono ai client Windows 10 di trovare il dominio Microsoft Entra corretto da aggiungere creando l'oggetto serviceConnectionpoint in Servizi di dominio Active Directory.
Preparare AD per il writeback dei dispositivi
Per assicurarsi che gli oggetti e i contenitori di Active Directory Domain Services siano nello stato corretto per il writeback dei dispositivi da Microsoft Entra ID, eseguire le operazioni seguenti.
- Aprire Windows PowerShell ed eseguire le operazioni seguenti:
PS C:>Initialize-ADSyncDeviceWriteBack -DomainName <AD DS domain name> -AdConnectorAccount [AD connector account name]
Dove il [nome account connettore AD] è il nome dell'account configurato in Microsoft Entra Connect Sync quando si aggiunge la directory di Active Directory Domain Services locale nel formato domain\accountname
Il comando precedente crea i seguenti oggetti per il device write-back in AD DS, qualora non esistano già, e consente l'accesso al nome dell'account del connettore AD specificato.
- Contenitore RegisteredDevices nella partizione di dominio di Active Directory
- Contenitore del servizio registrazione dispositivi e oggetto in Configurazione --> Servizi --> Configurazione registrazione dispositivo
Abilitare il Writeback del dispositivo nell'ambito della sincronizzazione Microsoft Entra Connect
Se non è stato fatto in precedenza, abilitare il writeback del dispositivo in Microsoft Entra Connect Sync eseguendo la procedura guidata una seconda volta e selezionando "Personalizza opzioni di sincronizzazione", quindi selezionando la casella relativa al writeback del dispositivo e selezionando la foresta in cui sono stati eseguiti i cmdlet precedenti
Configurare l'autenticazione del dispositivo in AD FS
Usando una finestra di comando di PowerShell con privilegi elevati, configurare i criteri DI AD FS eseguendo il comando seguente
PS C:>Set-AdfsGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true -DeviceAuthenticationMethod All
Verificare la configurazione
Per riferimento, di seguito è riportato un elenco completo dei dispositivi, dei contenitori e delle autorizzazioni di Active Directory Domain Services necessari per il funzionamento del writeback e dell'autenticazione dei dispositivi
Oggetto di tipo ms-DS-DeviceContainer in CN=RegisteredDevices,DC=<domain>
- Accesso in lettura all'account del servizio AD FS
- accesso di lettura e scrittura all'account del connettore Microsoft Entra Connect Sync AD
Contenitore CN=Configurazione Registrazione Dispositivo,CN=Servizi,CN=Configurazione,DC=<dominio>
Servizio Registrazione dispositivi contenitore DKM nel contenitore precedente
Oggetto di tipo serviceConnectionpoint in CN=<guid>, CN=Registrazione del dispositivo
Configuration,CN=Services,CN=Configurazione,DC=<domain>
accesso in lettura/scrittura al nome dell'account del connettore AD specificato nel nuovo oggetto
Oggetto di tipo msDS-DeviceRegistrationServiceContainer in CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain>
Oggetto di tipo msDS-DeviceRegistrationService nel contenitore precedente
Vedere il funzionamento
Per valutare le nuove attestazioni e i nuovi criteri, registrare prima un dispositivo. Ad esempio, collega Microsoft Entra a un computer Windows 10 utilizzando l'app Impostazioni sotto Sistema -> Informazioni, o configura l'unione a un dominio di Windows 10 con registrazione automatica del dispositivo seguendo i passaggi aggiuntivi qui. Per informazioni sull'aggiunta di dispositivi mobili Windows 10, vedere il documento qui.
Per la valutazione più semplice, accedere ad AD FS usando un'applicazione di test che mostra un elenco di attestazioni. Sarà possibile visualizzare nuove attestazioni, tra cui isManaged
, isCompliant
e trusttype
. Se abiliti Windows Hello for Business, vedrai anche l'attestazione prt
.
Configurare scenari aggiuntivi
Registrazione automatica per computer Windows 10 collegati a un dominio
Per abilitare la registrazione automatica dei dispositivi per i computer windows 10 aggiunti a un dominio, seguire i passaggi 1 e 2 qui.
- Verificare che il punto di connessione del servizio in Servizi di dominio Active Directory esista e disponga delle autorizzazioni appropriate ( questo oggetto è stato creato in precedenza, ma non fa male a verificare due volte).
- Verificare che AD FS sia configurato correttamente
- Verificare che il sistema AD FS disponga degli endpoint corretti abilitati e delle regole di attestazione configurate.
- Configurare le impostazioni di Criteri di gruppo necessarie per la registrazione automatica dei computer associati a un dominio
Windows Hello per le aziende
Per informazioni sull'abilitazione di Windows 10 con Windows Hello for Business, vedere Abilitare Windows Hello for Business nell'organizzazione.
Registrazione MDM automatica
Per abilitare la registrazione automatica MDM dei dispositivi registrati, seguire questa procedura .
Risoluzione dei problemi
- Se viene visualizzato un errore relativo a un oggetto su
Initialize-ADDeviceRegistration
già esistente nello stato errato, ad esempio "L'oggetto servizio DRS è stato trovato senza tutti gli attributi necessari", è possibile che siano stati eseguiti in precedenza i comandi di Microsoft Entra Connect Sync PowerShell e abbiate una configurazione parziale in AD DS. Provare a eliminare manualmente gli oggetti in CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain> e riprovare. - Per i client Windows 10 collegati a un dominio
- Per verificare che l'autenticazione del dispositivo funzioni, effettuare l'accesso al client unito al dominio come account utente di test. Per attivare rapidamente il provisioning, bloccare e sbloccare il desktop almeno una volta.
- Istruzioni per verificare la presenza del collegamento delle credenziali della chiave STK nell'oggetto Servizi di dominio Active Directory (la sincronizzazione deve comunque essere eseguita due volte?)
- Se viene visualizzato un errore durante il tentativo di registrare un computer Windows con il messaggio che il dispositivo è già stato registrato, ma non riesci a disiscrivere o hai già disiscritto il dispositivo, potrebbe essere presente un frammento di configurazione della registrazione del dispositivo nel Registro di sistema. Per analizzare e rimuovere questo, seguire questa procedura:
- Nel computer Windows aprire Regedit e passare a HKLM\Software\Microsoft\Enrollments
- In questa chiave sono presenti sottochiavi nel formato GUID. Passare alla sottochiave con ~17 valori e con "EnrollmentType" di "6" [unito a MDM] o "13" (unito a Microsoft Entra)
- Modificare EnrollmentType su 0
- Provare di nuovo l'iscrizione o la registrazione del dispositivo
Articoli correlati
- Protezione dell'accesso a Office 365 e ad altre app connesse a Microsoft Entra ID
- Criteri dei dispositivi di accesso condizionale per i servizi di Office 365
- Configurazione dell'accesso condizionale locale tramite Registrazione del dispositivo Microsoft Entra
- Connettere i dispositivi collegati a un dominio a Microsoft Entra ID per le esperienze di Windows 10