Table of contents
TOC
Sbalit obsah
Rozbalit obsah

Pomocí podmíněného přístupu podle zařízení na pracovišti

Bill Mathers|Poslední aktualizace: 10.03.2017
|
1 Přispěvatel

Platí pro: Windows Server 2016

Tento dokument popisuje zásady podmíněného přístupu podle zařízení ve scénáři hybridního kde místního adresáře jsou připojeny k Azure AD pomocí Azure AD připojit.

Služba AD FS a hybridní podmíněného přístupu

Služba AD FS poskytuje v prostorách součástí zásady podmíněného přístupu ve scénáři hybridního. Při registraci zařízení podmíněného přístupu k prostředkům cloud Azure AD, Azure AD připojit zařízení k zápisu zpět schopnost zpřístupní informace o registraci zařízení v prostorách pro spotřebovat a vynutit zásady služby AD FS. Tímto způsobem máte jednotného přístupu zásady řízení přístupu pro obě v prostorách a cloudových zdrojů.

Podmíněného přístupu

Registrované zařízení

Existují tři druhy registrovaných zařízení, které jsou reprezentovány jako objekty zařízení v Azure AD a lze je použít také pro podmíněný přístup se službou AD FS v prostorách.

Přidat pracovní nebo školní účetAzure AD spojeníDomian spojení Windows 10
PopisUživatelé přidat jejich pracovní nebo školní účet do svého zařízení BYOD interaktivně. Poznámka: přidat pracovní nebo školní účet je náhradou za firemní připojení v systému Windows 8/8.1Uživatelé připojit své zařízení Windows 10 práce k Azure AD.
Jak se uživatelé přihlásit do zařízeníBez přihlášení k systému Windows pomocí účtu práci a ve škole. Přihlaste se pomocí účtu Microsoft.Přihlásit se k systému Windows jako účet (práci a ve škole) registrovaných zařízení.
Způsob správy zařízeníZásad MDM (s další zápis Intune)Zásad MDM (s další zápis Intune)
Umístění nastavení W10Nastavení – účty – svůj účet – přidat pracovní nebo školní účetNastavení – systému – o – připojení k Azure AD
Také je k dispozici pro iOS a Android zařízení?AnoNe

Další informace o různých způsobech registrace zařízení viz také:

Jak se liší od předchozích verzí Windows 10 uživatelů a zařízení přihlášení

Pro Windows 10 a některé nové prvky registraci zařízení a ověřování AD FS 2016 byste měli vědět o (zvlášť pokud znáte velmi registraci zařízení a "k síti na pracovišti" v předchozích verzích).

Nejprve v systému Windows 10 a služby AD FS v systému Windows Server 2016 registrace zařízení a ověřování již vychází výhradně X509 uživatelský certifikát. Je robustnější a nový protokol, který poskytuje lepší zabezpečení a bezproblémové uživatelské zkušenosti. Hlavní rozdíly jsou, že pro připojit k doméně systému Windows 10 a Azure AD připojit, je X509 certifikát počítače a nové pověření s názvem PRT. Si můžete přečíst vše o zde a zde.

Za druhé, Windows 10 a AD FS 2016 podporují ověřování uživatelů pomocí Microsoft Passport pro práce, které si můžete přečíst o zde a zde.

AD FS 2016 poskytuje bezproblémové zařízení a uživatel na základě PRT a Passport pověření SSO. Pomocí kroků v tomto dokumentu, můžete povolit tyto možnosti a zobrazit jejich fungování.

Zásady řízení přístupu zařízení

Zařízení lze použít například v jednoduchá pravidla pro řízení přístupu služby AD FS:

  • Povolit přístup pouze z registrovaných zařízení
  • Požadovat ověření multi faktor, když zařízení není registrován.

Tato pravidla lze pak společně s jinými faktory, jako je přístup k umístění v síti a multi faktor ověřování, vytváření zásad podmíněného přístupu pro bohaté, jako:

  • Požadovat ověření multi faktor pro neregistrované zařízení přístup z mimo podnikovou síť, s výjimkou členy určité skupiny nebo skupin

S AD FS 2016 tyto zásady lze nakonfigurovat konkrétně požadovat také úroveň důvěryhodnosti konkrétní zařízení: buď ověření, spravované, nebo kompatibilní s.

Další informace o konfiguraci služby AD FS přístup k řízení zásad naleznete v tématu pravidla řízení přístupu ve službě AD FS.

Ověřená zařízení

Ověřená zařízení jsou registrované zařízení, které nejsou zapsány v MDM (Intune a 3. strana MDMs pro 10 Windows Intune pouze pro iOS a Android).

Ověřená zařízení budou mít isManaged AD FS deklarace s hodnotou FALSE. (Že zařízení, které nejsou vůbec registrované bude chybět toto tvrzení.) Ověřená zařízení (a všech registrovaných) bude mít isKnown AD FS deklarace s hodnotou TRUE.

Spravovaná zařízení:

Spravované zařízení jsou registrované zapsaných MDM.

Spravovaná zařízení bude mít isManaged AD FS deklarace s hodnotou TRUE.

Zařízení vyhovuje (MDM nebo zásady skupiny)

Registrovaná zařízení, která nejsou zapsány pouze s MDM ale splňuje zásady MDM jsou kompatibilní zařízení. (Informací o dodržování předpisů pochází s MDM a je zapsána do Azure AD.)

Zařízení kompatibilní s bude mít isCompliant AD FS deklarace s hodnotou TRUE.

Úplný seznam zařízení AD FS 2016 a nároky podmíněného přístupu, viz odkaz.

Konfigurace na místní podmíněný přístup pomocí registrovaných zařízení (TP5)

Předpoklady infrastruktury

  1. Předplatné Azure AD s Azure AD Premium (chcete povolit zápis zařízení zpátky na místní podmíněný přístup – bezplatnou zkušební verzi je v pořádku)
  2. Předplatné služby Intune (jen požadované pro integraci správy mobilních zařízení pro zařízení scénáře dodržování předpisů – bezplatnou zkušební verzi je v pořádku)
  3. Azure AD Connect (QFE. listopadu 2015 nebo novější)
  4. Windows Server 2016 build 10586 nebo novější pro službu AD FS
  5. Schéma služby Active Directory Windows serveru 2016 (úroveň schématu 85 nebo vyšší) (požadováno pro atribut msDS-IsCompliant pro scénáře dodržování předpisů zařízení)
  6. Řadič domény Windows serveru 2016 (vyžaduje jenom pro Microsoft Passport pro práci)
  7. Windows 10 klienta build 10586 nebo novější, připojený k výše uvedené doméně (požadováno pro scénáře práce jenom pro připojení k doméně systému Windows 10 a Microsoft Passport)
  8. Azure AD uživatelský účet s Azure AD Premium licence přiřazeny (pro registraci zařízení)

Povolit registraci zařízení Azure AD

Chcete-li tento scénář, musíte nakonfigurovat možnosti registrace zařízení v Azure AD.
Chcete-li to provést, postupujte podle postupu nastavení Azure AD připojit v organizaci

Instalace služby AD FS

  1. Vytvořit nové farmy AD FS 2016.
  2. Nebo migrace farmy AD FS 2016 z AD FS 2012 R2
  3. Nasazení Azure AD připojit pomocí vlastní cestu pro připojení služby AD FS k Azure AD.

Konfigurace ověřování zařízení a zařízení zápis zpět

Poznámka: Pokud jste spustili Azure AD připojit pomocí nastavení Express, správné AD objekty vytvořené pro vás. Ve většině případů služba AD FS však Azure AD připojit byla spuštěna s vlastní nastavení konfigurace služby AD FS, tak se pod kroky jsou nezbytné.

Vytvořit objekty AD pro ověřovací zařízení služby AD FS

Pokud farmy služby AD FS není již nakonfigurován pro ověřování zařízení (patrné je to v konzole pro správu AD FS v rámci služby registrace zařízení ->), postupujte podle následujících kroků k vytvoření správné služba AD DS objekty a konfigurace.

Poznámka: Níže příkazy vyžadují nástroje pro správu služby Active Directory, takže pokud federační server je také řadič domény, nainstalujte nejprve nástroje, pomocí kroku 1 níže. V opačném případě můžete přeskočit krok 1.

  1. Spusťte Průvodce přidáním rolí a funkce a nástroje pro vzdálenou správu serveru vyberte funkcí -> Nástroje pro správu rolí -> služby AD DS a AD LDS nástroje -> zvolte obou modulu Active Directory pro prostředí Windows PowerShell a nástroje služby AD DS.
  2. Na primárním serveru služby AD FS ujistěte, že jste přihlášeni jako služby AD DS uživatel s oprávněními Enterprise Admin (EA) a otevřete řádku se zvýšenými oprávněními prostředí powershell. Potom spusťte následující příkazy prostředí PowerShell:
    1. Import-module AD
    2. PS C:\ >Initialize-ADDeviceRegistration – ServiceAccountName "<název účtu služby AD FS>"
    3. Poznámka: Pokud služby AD FS je nakonfigurovaný na použití účtu GMSA, zadejte název účtu ve formátu "domain\accountname$"
    4. Výše uvedené PSH vytvoří následující objekty
      1. RegisteredDevices kontejner v rámci oddílu domény AD
      2. Zařízení registrace služby kontejner a objekt v části Konfigurace služby-->--> Konfigurace registrace zařízení
      3. Zařízení registrace služby DKM kontejner a objekt v části Konfigurace služby-->--> Konfigurace registrace zařízení

Vytvořit ve službě Active Directory spojovací bod služby (SCP)

Pokud chcete používat připojení k doméně Windows 10 (s automatickou registraci k Azure AD) popsané zde, spusťte následující příkazy k vytvoření spojovacího bodu služby v služba AD DS

  1. PS C: > Import-Module-Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1"
    {v případě potřeby zkopírujte AdSyncPrep.psm1 soubor ze serveru Azure AD Connect}
  2. PS C: > $aadAdminCred = Get-Credential
    {Zadejte vaše pověření globální správce Azure AD, jako je adminuser@contoso.onmicrosoft.com}
  3. PS C: > Initialize-ADSyncDomainJoinedComputerSync – AdConnectorAccount [název účtu konektoru AD] - AzureADCredentials $aadAdminCred
    na. Kde [AD konektoru název účtu] je název účtu, který jste nakonfigurovali v Azure AD Connect při přidávání, že jste na adresář místní služby AD DS
  4. Výše uvedené příkazy Povolit klientům Windows 10 najít správné domény Azure AD připojit pomocí vytváření serviceConnectionpoint objektu v služba AD DS.

Příprava zápisu zařízení zpět AD

Chcete-li zajistit, aby služba AD DS objekty a kontejnery jsou ve správném stavu pro zápis na zadní straně zařízení v Azure AD, postupujte takto:

  1. PS C: > inicializovat ADSyncDeviceWriteBack – DomainName <název domény služby AD DS> – AdConnectorAccount [název účtu konektoru AD]
    1. Kde [AD konektoru název účtu] je název účtu, který jste nakonfigurovali v Azure AD Connect při přidávání, že jste na adresář místní služby AD DS ve formátu domain\accountname
    2. Výše uvedený příkaz vytvoří následující objekty pro zápis zařízení zpět do služba AD DS, pokud již neexistují a umožňuje přístup k zadanému názvu účtu AD konektor
      1. RegisteredDevices kontejner v oddílu domény AD
      2. Zařízení registrace služby kontejner a objekt v části Konfigurace služby-->--> Konfigurace registrace zařízení

Povolit zápis zařízení v Azure AD připojit

Pokud jste tak ještě neučinili, povolte zápisu zařízení zpátky v Azure AD Connect spuštěním průvodce podruhé a výběrem "Přizpůsobit možnosti synchronizace", a pak zaškrtnete políčko pro zápis zařízení zpět a výběrem doménové struktury, ve kterém jste spustili výše uvedené rutiny

Konfigurace zařízení ověřování ve službě AD FS

Spuštěním následujícího příkazu pomocí okno příkazového prostředí PowerShell se zvýšenými oprávněními, nakonfigurujte zásady služby AD FS
PS C: > Set-AdfsGlobalAuthenticationPolicy – DeviceAuthenticationEnabled $true

Zkontrolujte konfiguraci

Váš odkaz níže je podrobný seznam zařízení v služba AD DS, kontejnery a oprávnění nutná pro zpětný zápis zařízení a ověření pro práci

  1. Objekt typu ms-DS-DeviceContainer na CN = RegisteredDevices, DC =<domény>
    na. Přístup ke čtení pro účet služby AD FS
    b. Pro čtení i zápis přístup k účtu AD konektor synchronizace Azure AD Connect
  2. Kontejneru CN = zařízení registrace Configuration, CN = Services, CN = Configuration, DC =<domény>
  3. Kontejner zařízení registrace služby DKM podle výše uvedeného kontejneru
  4. Objekt serviceConnectionpoint typ CN =<guid>, CN = Device Registration Configuration, CN = Services, CN = Configuration, DC =<domény>
    na. Přístup pro čtení i zápis na zadaný název účtu AD konektor na nový objekt
  5. Objekt typu msDS-DeviceRegistrationServiceContainer na KN služby registrace zařízení, CN = konfigurace registrace zařízení, CN = Services, CN = Configuration, DC = = & ltdomain >
  6. Objekt typu msDS-DeviceRegistrationService v kontejneru nad

Zobrazit práci

Vyhodnotit nové nároky a zásad, nejprve zaregistrujte zařízení. Například můžete Azure AD spojení pomocí aplikace nastavení v systému Windows 10 počítač -> o, nebo můžete nastavit připojení k doméně Windows 10 zařízení automatické registrace dalších kroků zde. Informace o připojení Windows 10 mobilní zařízení, naleznete v dokumentu zde.

Pro nejjednodušší hodnocení přihlásit se do služby AD FS pomocí testovací aplikace, který zobrazuje seznam pohledávek. Budete moci zobrazit nové nároky včetně isManaged, isCompliant a trusttype. Pokud povolíte Microsoft Passport pro práci, zobrazí se také prt nárok.

Úplný seznam AD FS 2016 podmíněného přístupu, zařízení a Windows 10 najdete v odkazu.

Konfigurovat další scénáře

Automatické registrace Windows 10 domény připojen k počítači

Chcete-li povolit automatické zařízení registrace domény Windows 10 připojené počítače, postupujte podle kroků 1 a 2 zde.
To vám pomůže dosáhnout následující:

  1. Zajistit váš spojovací bod služby v služba AD DS existuje a má příslušné oprávnění (jsme vytvořili tento objekt nad, ale to není vyhledávání nepříznivě ovlivnit znovu zkontrolovat).
  2. Zkontrolujte, zda že je správně nakonfigurována služba AD FS.
  3. Zajistit že správné koncové body, které jsou povoleny má systém služby AD FS a konfigurace pravidel deklarací
  4. Konfigurace nastavení zásad skupiny pro automatické zařízení registrace počítače domény připojen

Služby Microsoft Passport pro práci

Informace o povolení Windows 10 se Microsoft Passport pro práci v povolit služby Microsoft Passport pro práci v organizaci.

Automatický zápis MDM

Chcete-li povolit automatický zápis registrovaného zařízení MDM isCompliant tvrzení lze použít v aplikace kontroly přístupu, postupujte zde.

Poradce při potížích

  1. Pokud se zobrazí chyba na Initialize-ADDeviceRegistration complains o objektu už existujících v chybném stavu, například "Drs, které objekt služby bylo zjištěno bez všechny požadované atributy", může mít spuštěna Azure AD Connect dříve příkazy prostředí powershell a mít částečná konfigurace ve službě AD DS. Zkuste ručně odstranit objekty v části CN = Device Registration Configuration, CN = Services, CN = Configuration, DC =<domény> a opakujte akci.
  2. Windows 10 domény připojen k klienti
    1. Chcete-li ověřit, že ověřování zařízení pracuje, přihlášení k doméně připojen jako testovací uživatelský účet klienta. Spustit Rychlé zřizování, uzamčení a odemčení ploše alespoň jednou.
    2. Pokyny k vyhledání klíče pověření stk odkaz na objekt služba AD DS (nebude synchronizace je třeba spustit dvakrát?)
  3. Pokud obdržíte chybu při pokusu o registraci zařízení byl již zapsán, ale nemůžete nebo jste již unenrolled zařízení počítače systému Windows, bude pravděpodobně fragment konfigurace zařízení pro zápis v registru. Chcete-li prozkoumat a odstranit to, použijte následující kroky:
    1. Na počítač se systémem Windows spusťte Regedit a přejděte na HKLM\Software\Microsoft\Enrollments
    2. Pod tento klíč bude mnoho podklíčů ve formátu identifikátoru GUID. Přejděte na podklíč, který má ~ 17 hodnoty v ní a má "EnrollmentType" "6" [MDM.] nebo "13" (připojený k Azure AD)
    3. Změnit EnrollmentType k 0
    4. Znovu zařízení přihlášení nebo registrace

Související články

Odkaz

Úplný seznam nových tvrzení AD FS 2016 a zařízení

© 2017 Microsoft