Postupy: Plánování implementace připojení ke službě Azure AD

Zařízení můžete připojit přímo ke službě Azure Active Directory (Azure AD), aniž byste se museli připojovat k místní službě Active Directory a současně zajistit produktivitu a zabezpečení uživatelů. Připojení ke službě Azure AD je připravené pro nasazení v podnikovém měřítku i pro nasazení s vymezeným oborem. Přístup k místním prostředkům pomocí jednotného přihlašování je k dispozici také pro zařízení připojená k Azure AD. Další informace najdete v tématu Jak funguje jednotné přihlašování k místním prostředkům na zařízeních připojených k Azure AD.

Tento článek obsahuje informace, které potřebujete k naplánování implementace připojení ke službě Azure AD.

Požadavky

Tento článek předpokládá, že znáte úvod do správy zařízení v Azure Active Directory.

Plánování implementace

Pokud chcete naplánovat implementaci připojení ke službě Azure AD, měli byste se seznámit s těmito postupy:

  • Kontrola scénářů
  • Kontrola infrastruktury identit
  • Posouzení správy zařízení
  • Vysvětlení aspektů pro aplikace a prostředky
  • Vysvětlení možností zřizování
  • Konfigurace podnikového státního roamingu
  • Konfigurace podmíněného přístupu

Kontrola scénářů

Připojení ke službě Azure AD umožňuje přechod na cloudový model s Windows. Pokud plánujete modernizovat správu zařízení a snížit náklady na IT související se zařízeními, poskytuje připojení k Azure AD skvělý základ pro dosažení těchto cílů.

Pokud vaše cíle odpovídají následujícím kritériím, zvažte připojení ke službě Azure AD:

  • Microsoft 365 používáte jako sadu pro produktivitu pro vaše uživatele.
  • Chcete spravovat zařízení pomocí cloudového řešení pro správu zařízení.
  • Chcete zjednodušit zřizování zařízení pro geograficky distribuované uživatele.
  • Plánujete modernizovat infrastrukturu aplikací.

Kontrola infrastruktury identit

Připojení ke službě Azure AD funguje ve spravovaných a federovaných prostředích. Myslíme si, že většina organizací se nasadí se spravovanými doménami. Scénáře spravované domény nevyžadují konfiguraci a správu federačního serveru, jako je Služba AD FS (Active Directory Federation Services).

Spravované prostředí

Spravované prostředí je možné nasadit prostřednictvím synchronizace hodnot hash hesel nebo předávacího ověřování s bezproblémovým jednotným přihlašováním.

Federované prostředí

Federované prostředí by mělo mít zprostředkovatele identity, který podporuje protokoly WS-Trust i WS-Fed:

  • WS-Fed: Tento protokol se vyžaduje pro připojení zařízení k Azure AD.
  • Ws-Trust: Tento protokol se vyžaduje pro přihlášení k zařízení připojenému k Azure AD.

Pokud používáte službu AD FS, musíte povolit následující koncové body WS-Trust: /adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

Pokud váš zprostředkovatel identity tyto protokoly nepodporuje, připojení k Azure AD nativně nefunguje.

Poznámka

Připojení k Azure AD v současné době nefunguje se službou AD FS 2019 nakonfigurovanou s externími zprostředkovateli ověřování jako primární metodou ověřování. Jako primární metoda se ve výchozím nastavení připojuje azure AD k ověřování heslem, což v tomto scénáři vede k chybám ověřování.

Konfigurace uživatele

Pokud vytváříte uživatele ve svém:

  • Místní Active Directory je potřeba synchronizovat s Azure AD pomocí služby Azure AD Connect.
  • Azure AD nevyžaduje žádné další nastavení.

Místní hlavní názvy uživatelů (UPN), které se liší od hlavních názvů uživatelů Azure AD, se na zařízeních připojených k Azure AD nepodporují. Pokud vaši uživatelé používají místní hlavní názvu uživatele (UPN), měli byste v Azure AD naplánovat přechod na použití primárního hlavního názvu uživatele (UPN).

Změny hlavního názvu uživatele (UPN) se podporují jenom při spuštění aktualizace Windows 10 2004. Uživatelé na zařízeních s touto aktualizací nebudou mít po změně hlavních názvů uživatelů (UPN) žádné problémy. U zařízení před aktualizací Windows 10 2004 by uživatelé měli na svých zařízeních problémy s jednotným přihlašováním a podmíněným přístupem. Aby tento problém vyřešili, musí se k Windows přihlásit pomocí dlaždice Jiný uživatel pomocí nového hlavního názvu uživatele (UPN).

Posouzení správy zařízení

Podporovaná zařízení

Připojení ke službě Azure AD:

  • Podporuje zařízení s Windows 10 a Windows 11.
  • V předchozích verzích Windows ani jiných operačních systémech se nepodporuje. Pokud máte zařízení s Windows 7/8.1, musíte upgradovat alespoň na Windows 10, abyste mohli nasadit připojení k Azure AD.
  • Podporuje se pro čip TPM kompatibilní se standardem FIPS 2.0, ale nepodporuje se pro ČIP TPM 1.2. Pokud mají vaše zařízení čip TPM kompatibilní s FIPS 1.2, musíte je před pokračováním v připojení k Azure AD zakázat. Microsoft neposkytuje žádné nástroje pro zakázání režimu FIPS pro čipy TPM, protože závisí na výrobci čipu TPM. Obraťte se na hardware OEM a požádejte o podporu.

Doporučení: K využití aktualizovaných funkcí vždy používejte nejnovější verzi Windows.

Platforma pro správu

Správa zařízení pro zařízení připojená k Azure AD je založená na platformě správy mobilních zařízení (MDM), jako je Intune nebo MDM CSP. Počínaje Windows 10 je integrovaný agent MDM, který funguje se všemi kompatibilními řešeními MDM.

Poznámka

Zásady skupiny nejsou podporované v zařízeních připojených k Azure AD, protože nejsou připojené k místní službě Active Directory. Správa zařízení připojených k Azure AD je možná jenom prostřednictvím MDM.

Pro správu zařízení připojených k Azure AD existují dva přístupy:

  • Pouze MDM – Zařízení spravuje výhradně poskytovatel MDM, jako je Intune. Všechny zásady se doručují jako součást procesu registrace MDM. Registrace MDM pro zákazníky Azure AD Premium nebo EMS je automatizovaný krok, který je součástí připojení k Azure AD.
  • Spoluspráva – Zařízení spravuje poskytovatel MDM a Microsoft Endpoint Configuration Manager. V tomto přístupu se agent Microsoft Endpoint Configuration Manageru instaluje do zařízení spravovaného mdm, aby spravoval určité aspekty.

Pokud používáte zásady skupiny, vyhodnoťte paritu zásad zásad skupiny a MDM pomocí analýzy zásad skupiny v Microsoft Endpoint Manageru.

Projděte si podporované a nepodporované zásady a zjistěte, jestli můžete místo zásad skupiny použít řešení MDM. U nepodporovaných zásad zvažte následující otázky:

  • Jsou nepodporované zásady nezbytné pro zařízení nebo uživatele připojené k Azure AD?
  • Platí nepodporované zásady v cloudovém nasazení?

Pokud vaše řešení MDM není dostupné prostřednictvím galerie aplikací Azure AD, můžete ho přidat podle postupu popsaného v integraci Azure Active Directory s MDM.

Prostřednictvím spolusprávy můžete pomocí Microsoft Endpoint Configuration Manageru spravovat určité aspekty vašich zařízení, zatímco zásady se doručují prostřednictvím platformy MDM. Microsoft Intune umožňuje spolusprávu pomocí Microsoft Endpoint Configuration Manageru. Další informace o spolusprávě pro zařízení s Windows 10 nebo novějších najdete v tématu Co je spoluspráva?. Pokud používáte jiný produkt MDM než Intune, obraťte se na svého poskytovatele MDM v příslušných scénářích spolusprávy.

Doporučení: Zvažte správu MDM pouze pro zařízení připojená k Azure AD.

Vysvětlení aspektů pro aplikace a prostředky

Pro lepší uživatelské prostředí a řízení přístupu doporučujeme migrovat aplikace z místního prostředí do cloudu. Zařízení připojená k Azure AD můžou bezproblémově poskytovat přístup k místním i cloudovým aplikacím. Další informace najdete v tématu Jak funguje jednotné přihlašování k místním prostředkům na zařízeních připojených k Azure AD.

V následujících částech jsou uvedeny důležité informace o různých typech aplikací a prostředků.

Cloudové aplikace

Pokud se aplikace přidá do galerie aplikací Azure AD, uživatelé získají jednotné přihlašování prostřednictvím zařízení připojených k Azure AD. Nevyžaduje se žádná jiná konfigurace. Uživatelé získají jednotné přihlašování v prohlížečích Microsoft Edge i Chrome. V prohlížeči Chrome musíte nasadit rozšíření Účty pro Windows 10.

Všechny aplikace Win32, které:

  • Spoléhat na Správce webových účtů (WAM) pro žádosti o tokeny také získat jednotné přihlašování na zařízeních připojených k Azure AD.
  • Nespoléhejte se na WAM, kteří můžou uživatele vyzvat k ověření.

Místní webové aplikace

Pokud jsou vaše aplikace vytvořené a/nebo hostované místně, musíte je přidat do důvěryhodných webů prohlížeče, aby:

  • Povolení integrovaného ověřování systému Windows pro práci
  • Poskytněte uživatelům prostředí jednotného přihlašování bez výzvy.

Pokud používáte službu AD FS, přečtěte si téma Ověření a správa jednotného přihlašování pomocí služby AD FS.

Doporučení: Zvažte hostování v cloudu (například v Azure) a integraci se službou Azure AD, abyste měli lepší prostředí.

Místní aplikace, které se spoléhají na starší protokoly

Uživatelé z zařízení připojených k Azure AD získají jednotné přihlašování, pokud má zařízení přístup k řadiči domény.

Poznámka

Zařízení připojená k Azure AD můžou bezproblémově poskytovat přístup k místním i cloudovým aplikacím. Další informace najdete v tématu Jak funguje jednotné přihlašování k místním prostředkům na zařízeních připojených k Azure AD.

Doporučení: Nasaďte proxy aplikace Azure AD , abyste těmto aplikacím umožnili zabezpečený přístup.

Sdílené složky místní sítě

Uživatelé mají jednotné přihlašování ze zařízení připojených k Azure AD, když má zařízení přístup k místnímu řadiči domény. Zjistěte, jak to funguje.

Tiskárny

Pokud chcete mít cloudové řešení pro správu tisku bez místních závislostí, doporučujeme nasadit univerzální tisk .

Místní aplikace, které se spoléhají na ověřování počítačů

Zařízení připojená k Azure AD nepodporují místní aplikace, které se spoléhají na ověřování počítačů.

Doporučení: Zvažte vyřazení těchto aplikací a přechod na jejich moderní alternativy.

Vzdálená plocha

Připojení ke vzdálené ploše k zařízením připojeným k Azure AD vyžaduje, aby hostitelský počítač byl připojený k Azure AD nebo hybridní připojení k Azure AD. Vzdálená plocha z nepřipotřebného nebo jiného zařízení než Windows se nepodporuje. Další informace najdete v tématu Připojení ke vzdálenému počítači připojenému k Azure AD.

Od aktualizace Windows 10 2004 můžou uživatelé také používat vzdálenou plochu z zaregistrovaného zařízení s Windows 10 nebo novějším azure AD na jiné zařízení připojené k Azure AD.

Ověřování pomocí protokolu RADIUS a Wi-Fi

Zařízení připojená k Azure AD v současné době nepodporují ověřování RADIUS pro připojení k Wi-Fi přístupovým bodům, protože radius spoléhá na přítomnost místního počítačového objektu. Jako alternativu můžete použít certifikáty nabízené přes Intune nebo přihlašovací údaje uživatele k ověření ve Wi-Fi.

Vysvětlení možností zřizování

Poznámka: Zařízení připojená k Azure AD není možné nasadit pomocí nástroje Pro přípravu systému (Sysprep) nebo podobných nástrojů pro vytváření ibitové kopie.

Zařízení připojená k Azure AD můžete zřídit pomocí následujících přístupů:

  • Samoobslužné služby v prostředí OOBE/Settings – V režimu samoobslužné služby uživatelé procházejí procesem připojení k Azure AD buď během prostředí OOBE (Windows Out of Box Experience) nebo z nastavení Windows. Další informace najdete v tématu Připojení pracovního zařízení k síti vaší organizace.
  • Windows Autopilot – Windows Autopilot umožňuje předem nakonfigurovat zařízení pro plynulejší prostředí připojení Ke službě Azure AD v operačním prostředí. Další informace najdete v přehledu Windows Autopilotu.
  • Hromadná registrace – Hromadná registrace umožňuje správci řízené připojení k Azure AD pomocí nástroje hromadného zřizování ke konfiguraci zařízení. Další informace najdete v tématu Hromadná registrace zařízení s Windows.

Tady je porovnání těchto tří přístupů.

Prvek Samoobslužné nastavení Windows Autopilot Hromadná registrace
Vyžadování interakce uživatele k nastavení Ano Ano Ne
Vyžadování úsilí v IT Ne Ano Ano
Použitelné postupy Nastavení OOBE & Jen prostředí prvního spuštění počítače Jen prostředí prvního spuštění počítače
Práva místního správce udělená primárnímu uživateli Ano, ve výchozím nastavení Konfigurovatelné Ne
Vyžadovat podporu výrobce OEM zařízení Ne Ano Ne
Podporované verze 1511+ 1709+ 1703+

Vyberte přístup nebo přístupy k nasazení tak, že si projděte předchozí tabulku a zkontrolujte následující aspekty pro přijetí některého z těchto přístupů:

  • Jsou vaši uživatelé technicky zkušení, aby si prošli nastavení sami?
    • Samoobslužná služba může těmto uživatelům nejlépe fungovat. Zvažte Windows Autopilot, abyste vylepšili uživatelské prostředí.
  • Jsou vaši uživatelé vzdálení nebo v podnikovém prostředí?
    • Samoobslužná služba nebo Autopilot fungují nejlépe pro vzdálené uživatele pro bezproblémové nastavení.
  • Dáváte přednost konfiguraci řízenou uživatelem nebo spravovanou správcem?
    • Hromadná registrace funguje lépe pro nasazení řízené správcem a před předáním uživatelům zařízení.
  • Kupujete zařízení od 1-2 OEMS nebo máte širokou distribuci zařízení OEM?
    • Pokud nakupujete od omezených OEM, kteří také podporují Autopilot, můžete využít užší integraci s Autopilotem.

Konfigurace nastavení zařízení

Azure Portal umožňuje řídit nasazení zařízení připojených k Azure AD ve vaší organizaci. Pokud chcete nakonfigurovat související nastavení, vyberte Devices > Device settingsna stránce Azure Active Directory možnost . Další informace

Uživatelé můžou připojovat zařízení do Azure AD

Tuto možnost nastavte na všechny nebo vybrané na základě rozsahu nasazení a nastavte zařízení připojené k Azure AD.

Users may join devices to Azure AD

Další místní správci na zařízeních připojených do Azure AD

Zvolte Vybrané a vybere uživatele, které chcete přidat do skupiny místních správců na všech zařízeních připojených k Azure AD.

Additional local administrators on Azure AD joined devices

Vyžadování vícefaktorového ověřování (MFA) pro připojení zařízení

Pokud potřebujete, aby uživatelé při připojování zařízení k Azure AD museli provádět vícefaktorové ověřování, vyberte Ano .

Require multi-factor Auth to join devices

Doporučení: Pomocí akce uživatele Zaregistrujte nebo připojte zařízení v podmíněném přístupu k vynucování vícefaktorového ověřování pro připojení zařízení.

Konfigurace nastavení mobility

Než budete moct nakonfigurovat nastavení mobility, budete možná muset nejdřív přidat poskytovatele MDM.

Přidání poskytovatele MDM:

  1. Na stránce Azure Active Directory v části Spravovat vyberte Mobility (MDM and MAM).

  2. Vyberte Přidat aplikaci.

  3. Ze seznamu vyberte svého poskytovatele MDM.

    Screenshot of the Azure Active Directory Add an application page. Several M D M providers are listed.

Výběrem poskytovatele MDM nakonfigurujte související nastavení.

Obor uživatele MDM

Vyberte některé nebo všechny na základě rozsahu nasazení.

MDM user scope

Na základě vašeho oboru se stane jedna z následujících věcí:

  • Uživatel je v oboru MDM: Pokud máte předplatné Azure AD Premium, registrace MDM se automatizuje spolu s připojením k Azure AD. Všichni uživatelé s vymezeným oborem musí mít odpovídající licenci pro mdm. Pokud registrace MDM v tomto scénáři selže, připojení k Azure AD se vrátí zpět.
  • Uživatel není v oboru MDM: Pokud uživatelé nejsou v oboru MDM, připojení k Azure AD se dokončí bez registrace MDM. Výsledkem tohoto oboru je nespravované zařízení.

Adresy URL MDM

Existují tři adresy URL, které souvisejí s konfigurací MDM:

  • Adresa URL podmínek použití MDM
  • Adresa URL zjišťování MDM
  • Adresa URL s předpisy služby MDM

Screenshot of part of the Azure Active Directory M D M configuration section, with U R L fields for M D M terms of use, discovery, and compliance.

Každá adresa URL má předdefinovanou výchozí hodnotu. Pokud jsou tato pole prázdná, požádejte o další informace zprostředkovatele MDM.

Nastavení MAM

MAM se nevztahuje na připojení ke službě Azure AD.

Konfigurace podnikového stavového roamingu

Pokud chcete povolit roaming stavu do Azure AD, aby uživatelé mohli synchronizovat svá nastavení napříč zařízeními, přečtěte si téma Povolení služby Enterprise State Roaming v Azure Active Directory.

Doporučení: Povolte toto nastavení i pro hybridní zařízení připojená k Azure AD.

Konfigurace podmíněného přístupu

Pokud máte pro zařízení připojená k Azure AD nakonfigurovaného poskytovatele MDM, označí ho poskytovatel příznakem, jakmile je zařízení pod správou.

Compliant device

Pomocí této implementace můžete vyžadovat spravovaná zařízení pro přístup ke cloudovým aplikacím pomocí podmíněného přístupu.

Další kroky