Plánování nasazení zařízení Azure Active Directory
Tento článek vám pomůže vyhodnotit metody integrace zařízení se službou Azure AD, zvolit plán implementace a poskytuje klíčové odkazy na podporované nástroje pro správu zařízení.
Krajina zařízení uživatele se neustále rozšiřuje. Organizace můžou poskytovat stolní počítače, notebooky, telefony, tablety a další zařízení. Vaši uživatelé můžou přinést vlastní pole zařízení a získat přístup k informacím z různých míst. V tomto prostředí je vaším úkolem jako správce zajistit zabezpečení prostředků organizace na všech zařízeních.
Azure Active Directory (Azure AD) umožňuje vaší organizaci splnit tyto cíle pomocí správy identit zařízení. Zařízení teď můžete získat v Azure AD a ovládat je z centrálního umístění v Azure Portal. Tento proces poskytuje jednotné prostředí, lepší zabezpečení a zkracuje čas potřebný ke konfiguraci nového zařízení.
Existuje několik metod integrace zařízení do Azure AD, které můžou fungovat samostatně nebo společně na základě operačního systému a vašich požadavků:
- Zařízení můžete zaregistrovat v Azure AD.
- Připojení zařízení ke službě Azure AD (pouze v cloudu)
- Hybridní připojení zařízení Azure AD k vaší doméně místní Active Directory a Azure AD
Learn
Než začnete, ujistěte se, že znáte přehled správy identit zařízení.
Výhody
Klíčové výhody poskytování identity Azure AD pro vaše zařízení:
Zvýšení produktivity – Uživatelé můžou bez problémů provádět přihlašování k místním a cloudovým prostředkům, což umožňuje produktivitu kdekoli.
Zvýšení zabezpečení – Použití zásad podmíněného přístupu na prostředky na základě identity zařízení nebo uživatele Připojení zařízení k Azure AD je předpokladem pro zvýšení zabezpečení pomocí strategie bez hesla .
Vylepšení uživatelského prostředí – Poskytněte uživatelům snadný přístup ke cloudovým prostředkům vaší organizace z osobních i firemních zařízení. Správci můžou povolit Enterprise State Roaming pro jednotné prostředí na všech Windows zařízeních.
Zjednodušení nasazení a správy – Zjednodušte proces přenesení zařízení do Azure AD pomocí Windows Autopilotu, hromadného zřizování nebo samoobslužného zřizování: Prostředí OOBE (Out of Box Experience). Spravujte zařízení pomocí nástrojů MDM (Mobile Správa zařízení), jako jsou Microsoft Intune, a jejich identit v Azure Portal.
Plánování projektu nasazení
Při určování strategie pro toto nasazení ve vašem prostředí zvažte potřeby vaší organizace.
Zapojení správných zúčastněných stran
Pokud technologické projekty selžou, obvykle to dělají kvůli neshodě očekávání ohledně dopadu, výsledků a zodpovědností. Abyste se vyhnuli těmto nástrahám, ujistěte se, že jste zapojeni do správných zúčastněných stran a že role účastníků v projektu jsou dobře srozumitelné.
Pro účely tohoto plánu přidejte do seznamu následující zúčastněné strany:
| Role | Popis |
|---|---|
| Správce zařízení | Zástupce od týmu zařízení, který může ověřit, že plán bude splňovat požadavky vaší organizace. |
| Správce sítě | Zástupce od síťového týmu, který se může ujistit, že splňuje požadavky na síť. |
| Tým pro správu zařízení | Tým, který spravuje inventář zařízení. |
| Týmy pro správu specifické pro operační systém | Teams, které podporují a spravují konkrétní verze operačního systému. Může se jednat například o tým zaměřený na Mac nebo iOS. |
Plán komunikace
Komunikace je důležitá pro úspěch jakékoli nové služby. Proaktivně komunikujte s uživateli, jak se jejich prostředí změní, kdy se změní, a jak získat podporu v případě problémů.
Plánování pilotního nasazení
Doporučujeme, aby počáteční konfigurace vaší metody integrace byla v testovacím prostředí nebo s malou skupinou testovacích zařízení. Podívejte se na osvědčené postupy pro pilotní nasazení.
Před povolením připojení v celé organizaci můžete chtít provést cílové nasazení hybridního připojení k Azure AD .
Upozornění
Organizace by měly ve své pilotní skupině obsahovat ukázku uživatelů z různých rolí a profilů. Cílové zavedení vám pomůže identifikovat všechny problémy, které váš plán nemusí vyřešit, než povolíte pro celou organizaci.
Volba metod integrace
Vaše organizace může používat více metod integrace zařízení v jednom tenantovi Azure AD. Cílem je zvolit metody vhodné k bezpečné správě vašich zařízení v Azure AD. Toto rozhodnutí řídí mnoho parametrů, včetně vlastnictví, typů zařízení, primární cílové skupiny a infrastruktury vaší organizace.
Následující informace vám můžou pomoct při rozhodování, které metody integrace se mají použít.
Rozhodovací strom pro integraci zařízení
Pomocí tohoto stromu můžete určit možnosti pro zařízení vlastněná organizací.
Poznámka
Scénáře vlastních zařízení (BYOD) pro osobní nebo vlastní zařízení se v tomto diagramu nezobrazují. Výsledkem je vždy registrace Azure AD.
Srovnávací matice
Zařízení s iOSem a Androidem můžou být zaregistrovaná jenom v Azure AD. V následující tabulce jsou uvedeny důležité informace o Windows klientských zařízeních. Použijte ho jako přehled a podrobně prozkoumejte různé metody integrace.
| Aspekty | Registrováno v Azure AD | Připojeno ke službě Azure AD | Připojeno k hybridní službě Azure AD |
|---|---|---|---|
| Klientské operační systémy | |||
| Windows 11 nebo Windows 10 zařízení |  |
|
|
| Windows zařízení nižší úrovně (Windows 8.1 nebo Windows 7) | |
||
| Možnosti přihlášení | |||
| Místní přihlašovací údaje koncového uživatele | |
||
| Heslo | |
|
|
| PIN kód zařízení | |
||
| Windows Hello | |
||
| Windows Hello pro firmy | |
|
|
| Klíče zabezpečení FIDO 2.0 | |
|
|
| aplikace Microsoft Authenticator (bez hesla) | |
|
|
| Klíčové funkce | |||
| Jednotné přihlašování ke cloudovým prostředkům | |
|
|
| Jednotné přihlašování k místním prostředkům | |
|
|
| Podmíněný přístup (Vyžadovat, aby zařízení byla označena jako kompatibilní) (Musí být spravován pomocí MDM) |
|
|
|
| Podmíněný přístup (Vyžadovat hybridní zařízení připojená k Azure AD) |
|
||
| Samoobslužné resetování hesla z přihlašovací obrazovky Windows | |
|
|
| resetování pin kódu Windows Hello | |
|
Registrace Azure AD
Registrovaná zařízení se často spravují pomocí Microsoft Intune. Zařízení jsou zaregistrovaná v Intune několika způsoby v závislosti na operačním systému.
Zaregistrovaná zařízení Azure AD poskytují podporu pro přineste si vlastní zařízení (BYOD) a zařízení vlastněná společností pro jednotné přihlašování ke cloudovým prostředkům. Přístup k prostředkům je založený na zásadách podmíněného přístupu Azure AD použitých na zařízení a uživatele.
Registrace zařízení
Registrovaná zařízení se často spravují pomocí Microsoft Intune. Zařízení jsou zaregistrovaná v Intune několika způsoby v závislosti na operačním systému.
Zařízení BYOD a mobilní zařízení vlastněné společností jsou zaregistrované uživateli, kteří instalují aplikaci Portál společnosti.
Pokud je registrace zařízení nejlepší volbou pro vaši organizaci, projděte si následující zdroje informací:
- Tento přehled zaregistrovaných zařízení v Azure AD
- Tato dokumentace koncového uživatele k registraci osobního zařízení v síti vaší organizace.
Připojení k Azure AD
Připojení ke službě Azure AD umožňuje přechod na cloudový model s Windows. Poskytuje skvělý základ, pokud plánujete modernizovat správu zařízení a snížit náklady na IT související se zařízeními. Připojení k Azure AD funguje jenom s Windows 10 nebo novějšími zařízeními. Zvažte ji jako první volbu pro nová zařízení.
Zařízení připojená k Azure AD můžou jednotné přihlašování k místním prostředkům , když jsou v síti organizace, můžou se ověřovat u místních serverů, jako jsou soubory, tisk a další aplikace.
Pokud je tato možnost pro vaši organizaci nejvhodnější, projděte si následující zdroje informací:
- Tento přehled zařízení připojených k Azure AD
- Seznamte se s plánem implementace připojení ke službě Azure AD.
Zřizování zařízení připojených k Azure AD
Pokud chcete zřídit zařízení pro připojení ke službě Azure AD, máte následující přístupy:
- Samoobslužná služba: Windows 10 prostředí pro první spuštění
Pokud máte na zařízení nainstalovaný systém Windows 10 Professional nebo Windows 10 Enterprise, výchozím prostředím pro zařízení vlastněná společností bude proces instalace.
Po pečlivém porovnání těchto přístupů zvolte postup nasazení.
Můžete určit, že připojení k Azure AD je nejlepším řešením pro zařízení v jiném stavu. Následující tabulka ukazuje, jak změnit stav zařízení.
| Aktuální stav zařízení | Požadovaný stav zařízení | Postupy |
|---|---|---|
| Připojená k místní doméně | Připojeno ke službě Azure AD | Před připojením k Azure AD odpojte zařízení z místní domény. |
| Připojení k Hybridní službě Azure AD | Připojeno ke službě Azure AD | Před připojením k Azure AD odpojte zařízení z místní domény a z Azure AD. |
| Registrováno v Azure AD | Připojeno ke službě Azure AD | Zrušení registrace zařízení před připojením ke službě Azure AD |
Hybridní připojení k Azure AD
Pokud máte místní Active Directory prostředí a chcete připojit stávající počítače připojené k doméně k Azure AD, můžete tuto úlohu provést pomocí hybridního připojení k Azure AD. Podporuje širokou škálu Windows zařízení, včetně Windows aktuálních i Windows zařízení nižší úrovně.
Většina organizací už má zařízení připojená k doméně a spravuje je prostřednictvím Zásady skupiny nebo System Center Configuration Manager (SCCM). V takovém případě doporučujeme nakonfigurovat hybridní připojení Ke službě Azure AD, abyste mohli začít získávat výhody při používání stávajících investic.
Pokud je hybridní připojení k Azure AD nejvhodnější volbou pro vaši organizaci, podívejte se na následující zdroje informací:
- Tento přehled hybridních zařízení připojených k Azure AD
- Seznamte se s plánem implementace hybridního připojení ke službě Azure AD .
Zřizování hybridního připojení Azure AD k vašim zařízením
Zkontrolujte infrastrukturu identit. Azure AD Připojení poskytuje průvodce ke konfiguraci hybridního připojení ke službě Azure AD pro:
Pokud instalace požadované verze služby Azure AD Připojení není pro vás dostupná, podívejte se, jak ručně nakonfigurovat hybridní připojení ke službě Azure AD.
Poznámka
Místní zařízení připojené k doméně Windows 10 nebo novější se pokusí automaticky připojit ke službě Azure AD, aby se ve výchozím nastavení stalo hybridním připojeným k Azure AD. To bude úspěšné pouze v případě, že jste nastavili správné prostředí.
Můžete určit, že hybridní připojení Azure AD je nejlepším řešením pro zařízení v jiném stavu. Následující tabulka ukazuje, jak změnit stav zařízení.
| Aktuální stav zařízení | Požadovaný stav zařízení | Postupy |
|---|---|---|
| Připojená k místní doméně | Připojení k Hybridní službě Azure AD | K připojení k Azure použijte Azure AD Connect nebo AD FS. |
| Připojené k místní pracovní skupině nebo nové | Připojení k Hybridní službě Azure AD | Podporuje se Windows Autopilot. Jinak musí být zařízení připojené k místní doméně, než se připojí k hybridní službě Azure AD. |
| Připojeno ke službě Azure AD | Připojeno k hybridní službě Azure AD | Odpojte se od Azure AD, která ji umístí do místní pracovní skupiny nebo nového stavu. |
| Registrováno v Azure AD | Připojeno k hybridní službě Azure AD | Závisí na verzi Windows. Podívejte se na tyto aspekty. |
správu zařízení
Po registraci nebo připojení zařízení ke službě Azure AD použijte Azure Portal jako centrální místo pro správu identit zařízení. Stránka Azure Active Directory zařízení umožňuje:
- Nakonfigurujte nastavení zařízení.
- Abyste mohli spravovat Windows zařízení, musíte být místním správcem. Azure AD aktualizuje toto členství pro zařízení připojená k Azure AD a automaticky přidává uživatele s rolí správce zařízení jako správci do všech připojených zařízení.
Ujistěte se, že udržujete prostředí čisté tím, že spravujete zastaralá zařízení, a zaměřte se na správu aktuálních zařízení.
Podporované nástroje pro správu zařízení
Správci můžou zabezpečit a dále řídit zaregistrovaná a připojená zařízení pomocí jiných nástrojů pro správu zařízení. Tyto nástroje poskytují způsob, jak vynutit konfigurace, jako je vyžadování šifrování úložiště, složitost hesla, instalace softwaru a aktualizace softwaru.
Projděte si podporované a nepodporované platformy pro integrovaná zařízení:
| Nástroje pro správu zařízení | Registrováno v Azure AD | Připojeno ke službě Azure AD | Připojeno k hybridní službě Azure AD |
|---|---|---|---|
| Mobilní Správa zařízení (MDM) Příklad: Microsoft Intune |
|
|
|
| Spoluspráva s Microsoft Intune a Microsoft Endpoint Configuration Manager (Windows 10 nebo novější) |
|
|
|
| Zásady skupiny (pouze Windows) |
|
Doporučujeme zvážit Microsoft Intune správu mobilních aplikací (MAM) se správou registrovaných zařízení s iOSem nebo Androidem nebo bez správy zařízení.
Správci mohou také nasadit platformy infrastruktury virtuálních klientských počítačů hostující Windows operační systémy ve svých organizacích, aby zjednodušili správu a snížili náklady prostřednictvím konsolidace a centralizace prostředků.