Condividi tramite


Configurare l'accesso condizionale locale usando i dispositivi registrati

Il documento seguente illustra come installare e configurare l'accesso condizionale locale con i dispositivi registrati.

accesso condizionale

Prerequisiti dell'infrastruttura

Sono necessari i prerequisiti seguenti.

Requisito Descrizione
Sottoscrizione di Microsoft Entra con Microsoft Entra ID P1 o P2 Per abilitare il writeback del dispositivo per l'accesso condizionale in sede, va bene una versione di prova gratuita
Sottoscrizione di Intune obbligatorio solo per l'integrazione MDM per gli scenari di conformità dei dispositivi: una versione di valutazione gratuita va bene
Sincronizzazione Microsoft Entra Connect Ottenere la versione più recente qui.
Windows Server 2016 Build 10586 o versione successiva per AD FS
Schema di Active Directory di Windows Server 2016 È necessario il livello di schema 85 o superiore.
Controller di dominio di Windows Server 2016 Obbligatorio solo per le distribuzioni con fiducia basata su chiavi di Hello For Business. Per ulteriori informazioni, vedere qui.
Windows 10 Client Build 10586 o versione successiva, aggiunto al dominio precedente è necessario solo per gli scenari di aggiunta a un dominio di Windows 10 e Windows Hello for Business
Account utente Microsoft Entra con licenze Microsoft Entra ID P1 o P2 assegnati Per la registrazione del dispositivo

Aggiornare lo schema di Active Directory

Per usare l'accesso condizionale locale con i dispositivi registrati, è prima necessario aggiornare lo schema di AD. Devono essere soddisfatte le condizioni seguenti:

  • Lo schema deve essere versione 85 o successiva
  • Obbligatorio solo per la foresta a cui è stato aggiunto AD FS

Annotazioni

Se è stato installato Microsoft Entra Connect Sync prima di eseguire l'aggiornamento alla versione dello schema (livello 85 o versione successiva) in Windows Server 2016, è necessario eseguire nuovamente l'installazione di Microsoft Entra Connect Sync e aggiornare lo schema DI AD locale per assicurarsi che la regola di sincronizzazione per msDS-KeyCredentialLink sia configurata.

Verificare il livello dello schema

Per verificare il livello dello schema, eseguire le operazioni seguenti:

  1. Usare ADSIEdit.exe o LDP.exe e connettersi al contesto di denominazione dello schema.
  2. In ADSIEdit, fare clic con il pulsante destro del mouse su "CN=Schema,CN=Configuration,DC=<domain>,DC=<com> e selezionare Proprietà. Sostituire il dominio e le parti com con le informazioni sulla foresta.
  3. Nell'Editor attributi, individuare l'attributo objectVersion e questo indica la tua versione.

Modifica ADSI

È anche possibile usare il cmdlet di PowerShell seguente (sostituire l'oggetto con le informazioni sul contesto di denominazione dello schema):

Get-ADObject "cn=schema,cn=configuration,dc=domain,dc=local" -Property objectVersion

PowerShell

Per altre informazioni sull'aggiornamento, vedere Aggiornare controller di dominio a Windows Server 2016.

Abilitare la registrazione del dispositivo Microsoft Entra

Per configurare questo scenario, è necessario configurare la funzionalità di registrazione del dispositivo in Microsoft Entra ID.

Per fare questo, seguire i passaggi indicati in Configurazione dell'aggiunta a Microsoft Entra nella tua organizzazione.

Configurare AD FS

  1. Crea una nuova farm AD FS 2016.
  2. Oppure eseguire la migrazione di una farm ad AD FS 2016 da AD FS 2012 R2
  3. Distribuire Microsoft Entra Connect Sync usando il percorso personalizzato per connettere AD FS all'ID Microsoft Entra.

Configurare il ripristino dei dispositivi e l'autenticazione dei dispositivi

Annotazioni

Se hai eseguito Microsoft Entra Connect Sync utilizzando Impostazioni rapide, sono stati creati per te gli oggetti AD corretti. Nella maggior parte degli scenari di AD FS, tuttavia, Microsoft Entra Connect Sync è stato eseguito con impostazioni personalizzate per configurare AD FS, quindi sono necessari i passaggi seguenti.

Creare oggetti AD per l'autenticazione del dispositivo AD FS

Se la farm AD FS non è già configurata per l'autenticazione dei dispositivi (può essere visualizzata nella console di gestione di AD FS in Servizio -> Registrazione dei dispositivi), seguire questa procedura per creare gli oggetti e la configurazione corretti di Active Directory Domain Services.

Screenshot che mostra la schermata di panoramica della registrazione del dispositivo.

Annotazioni

I comandi seguenti richiedono strumenti di amministrazione di Active Directory, quindi se il server federativo non è anche un controller di dominio, installare prima gli strumenti usando il passaggio 1 riportato di seguito. In caso contrario, è possibile ignorare il passaggio 1.

  1. Eseguire la procedura guidata Aggiungi ruoli e funzionalità e selezionare la funzionalità Strumenti di amministrazione remota del server -> ruolo ->AD DS e AD LDS Tools -> Scegliere sia il modulo Active Directory per Windows PowerShell che gli strumenti di Active Directory Domain Services.

Screenshot che evidenzia il modulo Active Directory per Windows PowerShell e le opzioni degli strumenti di Active Directory Domain Services (AD DS).

  1. Nel server primario di AD FS, assicurarsi di essere collegati come utente dei servizi di dominio di Active Directory con privilegi di Enterprise Admin (EA) e di aprire un prompt di PowerShell con privilegi elevati. Eseguire quindi i comandi di PowerShell seguenti:

Import-module activedirectory PS C:\> Initialize-ADDeviceRegistration -ServiceAccountName "<your service account>" 3. Nella finestra popup premere Sì.

Annotazioni

Se il servizio AD FS è configurato per l'uso di un account GMSA, immettere il nome dell'account nel formato "domain\accountname$"

Screenshot che mostra come usare i comandi di PowerShell elencati.

Il psh precedente crea gli oggetti seguenti:

  • Contenitore RegisteredDevices sotto la partizione di dominio di Active Directory
  • Contenitore del servizio registrazione dispositivi e oggetto in Configurazione --> Servizi --> Configurazione registrazione dispositivo
  • Contenitore DKM e oggetto del Servizio di registrazione dei dispositivi in Configurazione --> Servizi --> Configurazione della registrazione dei dispositivi

Screenshot che mostra lo stato di avanzamento degli oggetti creati.

  1. Al termine, verrà visualizzato un messaggio di completamento riuscito.

Screenshot che mostra il messaggio di completamento riuscito.

Creare un punto di connessione del servizio (SCP) in AD

Se prevedete di usare l'aggiunta a un dominio di Windows 10 (con registrazione automatica all'ID Microsoft Entra), come descritto qui, procedete con i comandi seguenti per creare un punto di connessione del servizio in Active Directory Domain Services (AD DS)

  1. Aprire Windows PowerShell ed eseguire le operazioni seguenti:

PS C:>Import-Module -Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1"

Annotazioni

Se necessario, copiare il file AdSyncPrep.psm1 dal server di sincronizzazione Microsoft Entra Connect. Questo file si trova in Programmi\Microsoft Entra Connect\AdPrep

Screenshot che mostra il percorso del file AdSyncPrep.

  1. Specificare le credenziali di amministratore per l'accesso condizionale di Microsoft Entra.

PS C:>$aadAdminCred = Get-Credential

Screenshot che mostra dove specificare le credenziali dell'amministratore dell'accesso condizionale di Microsoft Entra.

  1. Eseguire il comando di PowerShell seguente

PS C:>Initialize-ADSyncDomainJoinedComputerSync -AdConnectorAccount [AD connector account name] -AzureADCredentials $aadAdminCred

Dove [nome account connettore AD] è il nome dell'account che si è configurato in Microsoft Entra Connect Sync quando si è aggiunta la directory di Active Directory Domain Services in locale.

I comandi precedenti consentono ai client Windows 10 di trovare il dominio Microsoft Entra corretto da aggiungere creando l'oggetto serviceConnectionpoint in Servizi di dominio Active Directory.

Preparare AD per il writeback dei dispositivi

Per assicurarsi che gli oggetti e i contenitori di Active Directory Domain Services siano nello stato corretto per il writeback dei dispositivi da Microsoft Entra ID, eseguire le operazioni seguenti.

  1. Aprire Windows PowerShell ed eseguire le operazioni seguenti:

PS C:>Initialize-ADSyncDeviceWriteBack -DomainName <AD DS domain name> -AdConnectorAccount [AD connector account name]

Dove il [nome account connettore AD] è il nome dell'account configurato in Microsoft Entra Connect Sync quando si aggiunge la directory di Active Directory Domain Services locale nel formato domain\accountname

Il comando precedente crea i seguenti oggetti per il device write-back in AD DS, qualora non esistano già, e consente l'accesso al nome dell'account del connettore AD specificato.

  • Contenitore RegisteredDevices nella partizione di dominio di Active Directory
  • Contenitore del servizio registrazione dispositivi e oggetto in Configurazione --> Servizi --> Configurazione registrazione dispositivo

Abilitare il Writeback del dispositivo nell'ambito della sincronizzazione Microsoft Entra Connect

Se non è stato fatto in precedenza, abilitare il writeback del dispositivo in Microsoft Entra Connect Sync eseguendo la procedura guidata una seconda volta e selezionando "Personalizza opzioni di sincronizzazione", quindi selezionando la casella relativa al writeback del dispositivo e selezionando la foresta in cui sono stati eseguiti i cmdlet precedenti

Configurare l'autenticazione del dispositivo in AD FS

Usando una finestra di comando di PowerShell con privilegi elevati, configurare i criteri DI AD FS eseguendo il comando seguente

PS C:>Set-AdfsGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true -DeviceAuthenticationMethod All

Verificare la configurazione

Per riferimento, di seguito è riportato un elenco completo dei dispositivi, dei contenitori e delle autorizzazioni di Active Directory Domain Services necessari per il funzionamento del writeback e dell'autenticazione dei dispositivi

  • Oggetto di tipo ms-DS-DeviceContainer in CN=RegisteredDevices,DC=<domain>

    • Accesso in lettura all'account del servizio AD FS
    • accesso di lettura e scrittura all'account del connettore Microsoft Entra Connect Sync AD

  • Contenitore CN=Configurazione Registrazione Dispositivo,CN=Servizi,CN=Configurazione,DC=<dominio>

  • Servizio Registrazione dispositivi contenitore DKM nel contenitore precedente

Registrazione del dispositivo

  • Oggetto di tipo serviceConnectionpoint in CN=<guid>, CN=Registrazione del dispositivo

  • Configuration,CN=Services,CN=Configurazione,DC=<domain>

  • accesso in lettura/scrittura al nome dell'account del connettore AD specificato nel nuovo oggetto

  • Oggetto di tipo msDS-DeviceRegistrationServiceContainer in CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain>

  • Oggetto di tipo msDS-DeviceRegistrationService nel contenitore precedente

Vedere il funzionamento

Per valutare le nuove attestazioni e i nuovi criteri, registrare prima un dispositivo. Ad esempio, collega Microsoft Entra a un computer Windows 10 utilizzando l'app Impostazioni sotto Sistema -> Informazioni, o configura l'unione a un dominio di Windows 10 con registrazione automatica del dispositivo seguendo i passaggi aggiuntivi qui. Per informazioni sull'aggiunta di dispositivi mobili Windows 10, vedere il documento qui.

Per la valutazione più semplice, accedere ad AD FS usando un'applicazione di test che mostra un elenco di attestazioni. Sarà possibile visualizzare nuove attestazioni, tra cui isManaged, isCompliante trusttype. Se abiliti Windows Hello for Business, vedrai anche l'attestazione prt .

Configurare scenari aggiuntivi

Registrazione automatica per computer Windows 10 collegati a un dominio

Per abilitare la registrazione automatica dei dispositivi per i computer windows 10 aggiunti a un dominio, seguire i passaggi 1 e 2 qui.

  1. Verificare che il punto di connessione del servizio in Servizi di dominio Active Directory esista e disponga delle autorizzazioni appropriate ( questo oggetto è stato creato in precedenza, ma non fa male a verificare due volte).
  2. Verificare che AD FS sia configurato correttamente
  3. Verificare che il sistema AD FS disponga degli endpoint corretti abilitati e delle regole di attestazione configurate.
  4. Configurare le impostazioni di Criteri di gruppo necessarie per la registrazione automatica dei computer associati a un dominio

Windows Hello per le aziende

Per informazioni sull'abilitazione di Windows 10 con Windows Hello for Business, vedere Abilitare Windows Hello for Business nell'organizzazione.

Registrazione MDM automatica

Per abilitare la registrazione automatica MDM dei dispositivi registrati, seguire questa procedura .

Risoluzione dei problemi

  1. Se viene visualizzato un errore relativo a un oggetto su Initialize-ADDeviceRegistration già esistente nello stato errato, ad esempio "L'oggetto servizio DRS è stato trovato senza tutti gli attributi necessari", è possibile che siano stati eseguiti in precedenza i comandi di Microsoft Entra Connect Sync PowerShell e abbiate una configurazione parziale in AD DS. Provare a eliminare manualmente gli oggetti in CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain> e riprovare.
  2. Per i client Windows 10 collegati a un dominio
  3. Per verificare che l'autenticazione del dispositivo funzioni, effettuare l'accesso al client unito al dominio come account utente di test. Per attivare rapidamente il provisioning, bloccare e sbloccare il desktop almeno una volta.
  4. Istruzioni per verificare la presenza del collegamento delle credenziali della chiave STK nell'oggetto Servizi di dominio Active Directory (la sincronizzazione deve comunque essere eseguita due volte?)
  5. Se viene visualizzato un errore durante il tentativo di registrare un computer Windows con il messaggio che il dispositivo è già stato registrato, ma non riesci a disiscrivere o hai già disiscritto il dispositivo, potrebbe essere presente un frammento di configurazione della registrazione del dispositivo nel Registro di sistema. Per analizzare e rimuovere questo, seguire questa procedura:
  6. Nel computer Windows aprire Regedit e passare a HKLM\Software\Microsoft\Enrollments
  7. In questa chiave sono presenti sottochiavi nel formato GUID. Passare alla sottochiave con ~17 valori e con "EnrollmentType" di "6" [unito a MDM] o "13" (unito a Microsoft Entra)
  8. Modificare EnrollmentType su 0
  9. Provare di nuovo l'iscrizione o la registrazione del dispositivo