Configurare l'accesso condizionale locale usando i dispositivi registrati

Il documento seguente illustra come installare e configurare l'accesso condizionale locale con i dispositivi registrati.

Prerequisiti dell'infrastruttura

Sono necessari i prerequisiti seguenti.

Aggiornare lo schema di Active Directory

Per usare l'accesso condizionale locale con i dispositivi registrati, è prima necessario aggiornare lo schema di AD. Devono essere soddisfatte le condizioni seguenti:

• Lo schema deve essere versione 85 o successiva
• Obbligatorio solo per la foresta a cui è stato aggiunto AD FS

Verificare il livello dello schema

Per verificare il livello dello schema, eseguire le operazioni seguenti:

1. Usare ADSIEdit.exe o LDP.exe e connettersi al contesto di denominazione dello schema.
2. In ADSIEdit, fare clic con il pulsante destro del mouse su "CN=Schema,CN=Configuration,DC=<domain>,DC=<com> e selezionare Proprietà. Sostituire il dominio e le parti com con le informazioni sulla foresta.
3. Nell'Editor attributi, individuare l'attributo objectVersion e questo indica la tua versione.

È anche possibile usare il cmdlet di PowerShell seguente (sostituire l'oggetto con le informazioni sul contesto di denominazione dello schema):

Get-ADObject "cn=schema,cn=configuration,dc=domain,dc=local" -Property objectVersion

Per altre informazioni sull'aggiornamento, vedere Aggiornare controller di dominio a Windows Server 2016.

Abilitare la registrazione del dispositivo Microsoft Entra

Per configurare questo scenario, è necessario configurare la funzionalità di registrazione del dispositivo in Microsoft Entra ID.

Per fare questo, seguire i passaggi indicati in Configurazione dell'aggiunta a Microsoft Entra nella tua organizzazione.

Configurare AD FS

1. Crea una nuova farm AD FS 2016.
2. Oppure eseguire la migrazione di una farm ad AD FS 2016 da AD FS 2012 R2
3. Distribuire Microsoft Entra Connect Sync usando il percorso personalizzato per connettere AD FS all'ID Microsoft Entra.

Configurare il ripristino dei dispositivi e l'autenticazione dei dispositivi

Creare oggetti AD per l'autenticazione del dispositivo AD FS

Se la farm AD FS non è già configurata per l'autenticazione dei dispositivi (può essere visualizzata nella console di gestione di AD FS in Servizio -> Registrazione dei dispositivi), seguire questa procedura per creare gli oggetti e la configurazione corretti di Active Directory Domain Services.

1. Eseguire la procedura guidata Aggiungi ruoli e funzionalità e selezionare la funzionalità Strumenti di amministrazione remota del server -> ruolo ->AD DS e AD LDS Tools -> Scegliere sia il modulo Active Directory per Windows PowerShell che gli strumenti di Active Directory Domain Services.

2. Nel server primario di AD FS, assicurarsi di essere collegati come utente dei servizi di dominio di Active Directory con privilegi di Enterprise Admin (EA) e di aprire un prompt di PowerShell con privilegi elevati. Eseguire quindi i comandi di PowerShell seguenti:

Import-module activedirectory PS C:\> Initialize-ADDeviceRegistration -ServiceAccountName "<your service account>" 3. Nella finestra popup premere Sì.

Il psh precedente crea gli oggetti seguenti:

• Contenitore RegisteredDevices sotto la partizione di dominio di Active Directory
• Contenitore del servizio registrazione dispositivi e oggetto in Configurazione --> Servizi --> Configurazione registrazione dispositivo
• Contenitore DKM e oggetto del Servizio di registrazione dei dispositivi in Configurazione --> Servizi --> Configurazione della registrazione dei dispositivi

4. Al termine, verrà visualizzato un messaggio di completamento riuscito.

Creare un punto di connessione del servizio (SCP) in AD

Se prevedete di usare l'aggiunta a un dominio di Windows 10 (con registrazione automatica all'ID Microsoft Entra), come descritto qui, procedete con i comandi seguenti per creare un punto di connessione del servizio in Active Directory Domain Services (AD DS)

1. Aprire Windows PowerShell ed eseguire le operazioni seguenti:

PS C:>Import-Module -Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1"

2. Specificare le credenziali di amministratore per l'accesso condizionale di Microsoft Entra.

PS C:>$aadAdminCred = Get-Credential

3. Eseguire il comando di PowerShell seguente

PS C:>Initialize-ADSyncDomainJoinedComputerSync -AdConnectorAccount [AD connector account name] -AzureADCredentials $aadAdminCred

Dove [nome account connettore AD] è il nome dell'account che si è configurato in Microsoft Entra Connect Sync quando si è aggiunta la directory di Active Directory Domain Services in locale.

I comandi precedenti consentono ai client Windows 10 di trovare il dominio Microsoft Entra corretto da aggiungere creando l'oggetto serviceConnectionpoint in Servizi di dominio Active Directory.

Preparare AD per il writeback dei dispositivi

Per assicurarsi che gli oggetti e i contenitori di Active Directory Domain Services siano nello stato corretto per il writeback dei dispositivi da Microsoft Entra ID, eseguire le operazioni seguenti.

1. Aprire Windows PowerShell ed eseguire le operazioni seguenti:

PS C:>Initialize-ADSyncDeviceWriteBack -DomainName <AD DS domain name> -AdConnectorAccount [AD connector account name]

Dove il [nome account connettore AD] è il nome dell'account configurato in Microsoft Entra Connect Sync quando si aggiunge la directory di Active Directory Domain Services locale nel formato domain\accountname

Il comando precedente crea i seguenti oggetti per il device write-back in AD DS, qualora non esistano già, e consente l'accesso al nome dell'account del connettore AD specificato.

• Contenitore RegisteredDevices nella partizione di dominio di Active Directory
• Contenitore del servizio registrazione dispositivi e oggetto in Configurazione --> Servizi --> Configurazione registrazione dispositivo

Abilitare il Writeback del dispositivo nell'ambito della sincronizzazione Microsoft Entra Connect

Se non è stato fatto in precedenza, abilitare il writeback del dispositivo in Microsoft Entra Connect Sync eseguendo la procedura guidata una seconda volta e selezionando "Personalizza opzioni di sincronizzazione", quindi selezionando la casella relativa al writeback del dispositivo e selezionando la foresta in cui sono stati eseguiti i cmdlet precedenti

Configurare l'autenticazione del dispositivo in AD FS

Usando una finestra di comando di PowerShell con privilegi elevati, configurare i criteri DI AD FS eseguendo il comando seguente

PS C:>Set-AdfsGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true -DeviceAuthenticationMethod All

Verificare la configurazione

Per riferimento, di seguito è riportato un elenco completo dei dispositivi, dei contenitori e delle autorizzazioni di Active Directory Domain Services necessari per il funzionamento del writeback e dell'autenticazione dei dispositivi

• Oggetto di tipo ms-DS-DeviceContainer in CN=RegisteredDevices,DC=<domain>

  • Accesso in lettura all'account del servizio AD FS
  • accesso di lettura e scrittura all'account del connettore Microsoft Entra Connect Sync AD
    
    

• Contenitore CN=Configurazione Registrazione Dispositivo,CN=Servizi,CN=Configurazione,DC=<dominio>

• Servizio Registrazione dispositivi contenitore DKM nel contenitore precedente

• Oggetto di tipo serviceConnectionpoint in CN=<guid>, CN=Registrazione del dispositivo

• Configuration,CN=Services,CN=Configurazione,DC=<domain>

• accesso in lettura/scrittura al nome dell'account del connettore AD specificato nel nuovo oggetto
  
  

• Oggetto di tipo msDS-DeviceRegistrationServiceContainer in CN=Device Registration Services,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain>

• Oggetto di tipo msDS-DeviceRegistrationService nel contenitore precedente

Vedere il funzionamento

Per valutare le nuove attestazioni e i nuovi criteri, registrare prima un dispositivo. Ad esempio, collega Microsoft Entra a un computer Windows 10 utilizzando l'app Impostazioni sotto Sistema -> Informazioni, o configura l'unione a un dominio di Windows 10 con registrazione automatica del dispositivo seguendo i passaggi aggiuntivi qui. Per informazioni sull'aggiunta di dispositivi mobili Windows 10, vedere il documento qui.

Per la valutazione più semplice, accedere ad AD FS usando un'applicazione di test che mostra un elenco di attestazioni. Sarà possibile visualizzare nuove attestazioni, tra cui isManaged, isCompliante trusttype. Se abiliti Windows Hello for Business, vedrai anche l'attestazione prt .

Configurare scenari aggiuntivi

Registrazione automatica per computer Windows 10 collegati a un dominio

Per abilitare la registrazione automatica dei dispositivi per i computer windows 10 aggiunti a un dominio, seguire i passaggi 1 e 2 qui.

1. Verificare che il punto di connessione del servizio in Servizi di dominio Active Directory esista e disponga delle autorizzazioni appropriate ( questo oggetto è stato creato in precedenza, ma non fa male a verificare due volte).
2. Verificare che AD FS sia configurato correttamente
3. Verificare che il sistema AD FS disponga degli endpoint corretti abilitati e delle regole di attestazione configurate.
4. Configurare le impostazioni di Criteri di gruppo necessarie per la registrazione automatica dei computer associati a un dominio

Windows Hello per le aziende

Per informazioni sull'abilitazione di Windows 10 con Windows Hello for Business, vedere Abilitare Windows Hello for Business nell'organizzazione.

Registrazione MDM automatica

Per abilitare la registrazione automatica MDM dei dispositivi registrati, seguire questa procedura .

Risoluzione dei problemi

1. Se viene visualizzato un errore relativo a un oggetto su Initialize-ADDeviceRegistration già esistente nello stato errato, ad esempio "L'oggetto servizio DRS è stato trovato senza tutti gli attributi necessari", è possibile che siano stati eseguiti in precedenza i comandi di Microsoft Entra Connect Sync PowerShell e abbiate una configurazione parziale in AD DS. Provare a eliminare manualmente gli oggetti in CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=<domain> e riprovare.
2. Per i client Windows 10 collegati a un dominio
3. Per verificare che l'autenticazione del dispositivo funzioni, effettuare l'accesso al client unito al dominio come account utente di test. Per attivare rapidamente il provisioning, bloccare e sbloccare il desktop almeno una volta.
4. Istruzioni per verificare la presenza del collegamento delle credenziali della chiave STK nell'oggetto Servizi di dominio Active Directory (la sincronizzazione deve comunque essere eseguita due volte?)
5. Se viene visualizzato un errore durante il tentativo di registrare un computer Windows con il messaggio che il dispositivo è già stato registrato, ma non riesci a disiscrivere o hai già disiscritto il dispositivo, potrebbe essere presente un frammento di configurazione della registrazione del dispositivo nel Registro di sistema. Per analizzare e rimuovere questo, seguire questa procedura:
6. Nel computer Windows aprire Regedit e passare a HKLM\Software\Microsoft\Enrollments
7. In questa chiave sono presenti sottochiavi nel formato GUID. Passare alla sottochiave con ~17 valori e con "EnrollmentType" di "6" [unito a MDM] o "13" (unito a Microsoft Entra)
8. Modificare EnrollmentType su 0
9. Provare di nuovo l'iscrizione o la registrazione del dispositivo

Articoli correlati

• Protezione dell'accesso a Office 365 e ad altre app connesse a Microsoft Entra ID
• Criteri dei dispositivi di accesso condizionale per i servizi di Office 365
• Configurazione dell'accesso condizionale locale tramite Registrazione del dispositivo Microsoft Entra
• Connettere i dispositivi collegati a un dominio a Microsoft Entra ID per le esperienze di Windows 10