Plánování nasazení zařízení Azure Active Directory

Tento článek vám pomůže vyhodnotit metody integrace zařízení se službou Azure AD, zvolit plán implementace a poskytuje klíčové odkazy na podporované nástroje pro správu zařízení.

Krajina zařízení uživatele se neustále rozšiřuje. Organizace můžou poskytovat stolní počítače, notebooky, telefony, tablety a další zařízení. Vaši uživatelé můžou přinést vlastní pole zařízení a získat přístup k informacím z různých míst. V tomto prostředí je vaším úkolem jako správce zajistit zabezpečení prostředků organizace na všech zařízeních.

Azure Active Directory (Azure AD) umožňuje vaší organizaci splnit tyto cíle pomocí správy identit zařízení. Zařízení teď můžete získat v Azure AD a ovládat je z centrálního umístění v Azure Portal. Tento proces poskytuje jednotné prostředí, lepší zabezpečení a zkracuje čas potřebný ke konfiguraci nového zařízení.

Existuje několik metod integrace zařízení do Azure AD, které můžou fungovat samostatně nebo společně na základě operačního systému a vašich požadavků:

Learn

Než začnete, ujistěte se, že znáte přehled správy identit zařízení.

Výhody

Klíčové výhody poskytování identity Azure AD pro vaše zařízení:

Plánování projektu nasazení

Při určování strategie pro toto nasazení ve vašem prostředí zvažte potřeby vaší organizace.

Zapojení správných zúčastněných stran

Pokud technologické projekty selžou, obvykle to dělají kvůli neshodě očekávání ohledně dopadu, výsledků a zodpovědností. Abyste se vyhnuli těmto nástrahám, ujistěte se, že jste zapojeni do správných zúčastněných stran a že role účastníků v projektu jsou dobře srozumitelné.

Pro účely tohoto plánu přidejte do seznamu následující zúčastněné strany:

Role Popis
Správce zařízení Zástupce od týmu zařízení, který může ověřit, že plán bude splňovat požadavky vaší organizace.
Správce sítě Zástupce od síťového týmu, který se může ujistit, že splňuje požadavky na síť.
Tým pro správu zařízení Tým, který spravuje inventář zařízení.
Týmy pro správu specifické pro operační systém Teams, které podporují a spravují konkrétní verze operačního systému. Může se jednat například o tým zaměřený na Mac nebo iOS.

Plán komunikace

Komunikace je důležitá pro úspěch jakékoli nové služby. Proaktivně komunikujte s uživateli, jak se jejich prostředí změní, kdy se změní, a jak získat podporu v případě problémů.

Plánování pilotního nasazení

Doporučujeme, aby počáteční konfigurace vaší metody integrace byla v testovacím prostředí nebo s malou skupinou testovacích zařízení. Podívejte se na osvědčené postupy pro pilotní nasazení.

Před povolením připojení v celé organizaci můžete chtít provést cílové nasazení hybridního připojení k Azure AD .

Upozornění

Organizace by měly ve své pilotní skupině obsahovat ukázku uživatelů z různých rolí a profilů. Cílové zavedení vám pomůže identifikovat všechny problémy, které váš plán nemusí vyřešit, než povolíte pro celou organizaci.

Volba metod integrace

Vaše organizace může používat více metod integrace zařízení v jednom tenantovi Azure AD. Cílem je zvolit metody vhodné k bezpečné správě vašich zařízení v Azure AD. Toto rozhodnutí řídí mnoho parametrů, včetně vlastnictví, typů zařízení, primární cílové skupiny a infrastruktury vaší organizace.

Následující informace vám můžou pomoct při rozhodování, které metody integrace se mají použít.

Rozhodovací strom pro integraci zařízení

Pomocí tohoto stromu můžete určit možnosti pro zařízení vlastněná organizací.

Poznámka

Scénáře vlastních zařízení (BYOD) pro osobní nebo vlastní zařízení se v tomto diagramu nezobrazují. Výsledkem je vždy registrace Azure AD.

Decision tree

Srovnávací matice

Zařízení s iOSem a Androidem můžou být zaregistrovaná jenom v Azure AD. V následující tabulce jsou uvedeny důležité informace o Windows klientských zařízeních. Použijte ho jako přehled a podrobně prozkoumejte různé metody integrace.

Aspekty Registrováno v Azure AD Připojeno ke službě Azure AD Připojeno k hybridní službě Azure AD
Klientské operační systémy
Windows 11 nebo Windows 10 zařízení Checkmark for these values. Checkmark for these values. Checkmark for these values.
Windows zařízení nižší úrovně (Windows 8.1 nebo Windows 7) Checkmark for these values.
Možnosti přihlášení
Místní přihlašovací údaje koncového uživatele Checkmark for these values.
Heslo Checkmark for these values. Checkmark for these values. Checkmark for these values.
PIN kód zařízení Checkmark for these values.
Windows Hello Checkmark for these values.
Windows Hello pro firmy Checkmark for these values. Checkmark for these values.
Klíče zabezpečení FIDO 2.0 Checkmark for these values. Checkmark for these values.
aplikace Microsoft Authenticator (bez hesla) Checkmark for these values. Checkmark for these values. Checkmark for these values.
Klíčové funkce
Jednotné přihlašování ke cloudovým prostředkům Checkmark for these values. Checkmark for these values. Checkmark for these values.
Jednotné přihlašování k místním prostředkům Checkmark for these values. Checkmark for these values.
Podmíněný přístup
(Vyžadovat, aby zařízení byla označena jako kompatibilní)
(Musí být spravován pomocí MDM)
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Podmíněný přístup
(Vyžadovat hybridní zařízení připojená k Azure AD)
Checkmark for these values.
Samoobslužné resetování hesla z přihlašovací obrazovky Windows Checkmark for these values. Checkmark for these values.
resetování pin kódu Windows Hello Checkmark for these values. Checkmark for these values.

Registrace Azure AD

Registrovaná zařízení se často spravují pomocí Microsoft Intune. Zařízení jsou zaregistrovaná v Intune několika způsoby v závislosti na operačním systému.

Zaregistrovaná zařízení Azure AD poskytují podporu pro přineste si vlastní zařízení (BYOD) a zařízení vlastněná společností pro jednotné přihlašování ke cloudovým prostředkům. Přístup k prostředkům je založený na zásadách podmíněného přístupu Azure AD použitých na zařízení a uživatele.

Registrace zařízení

Registrovaná zařízení se často spravují pomocí Microsoft Intune. Zařízení jsou zaregistrovaná v Intune několika způsoby v závislosti na operačním systému.

Zařízení BYOD a mobilní zařízení vlastněné společností jsou zaregistrované uživateli, kteří instalují aplikaci Portál společnosti.

Pokud je registrace zařízení nejlepší volbou pro vaši organizaci, projděte si následující zdroje informací:

Připojení k Azure AD

Připojení ke službě Azure AD umožňuje přechod na cloudový model s Windows. Poskytuje skvělý základ, pokud plánujete modernizovat správu zařízení a snížit náklady na IT související se zařízeními. Připojení k Azure AD funguje jenom s Windows 10 nebo novějšími zařízeními. Zvažte ji jako první volbu pro nová zařízení.

Zařízení připojená k Azure AD můžou jednotné přihlašování k místním prostředkům , když jsou v síti organizace, můžou se ověřovat u místních serverů, jako jsou soubory, tisk a další aplikace.

Pokud je tato možnost pro vaši organizaci nejvhodnější, projděte si následující zdroje informací:

Zřizování zařízení připojených k Azure AD

Pokud chcete zřídit zařízení pro připojení ke službě Azure AD, máte následující přístupy:

Pokud máte na zařízení nainstalovaný systém Windows 10 Professional nebo Windows 10 Enterprise, výchozím prostředím pro zařízení vlastněná společností bude proces instalace.

Po pečlivém porovnání těchto přístupů zvolte postup nasazení.

Můžete určit, že připojení k Azure AD je nejlepším řešením pro zařízení v jiném stavu. Následující tabulka ukazuje, jak změnit stav zařízení.

Aktuální stav zařízení Požadovaný stav zařízení Postupy
Připojená k místní doméně Připojeno ke službě Azure AD Před připojením k Azure AD odpojte zařízení z místní domény.
Připojení k Hybridní službě Azure AD Připojeno ke službě Azure AD Před připojením k Azure AD odpojte zařízení z místní domény a z Azure AD.
Registrováno v Azure AD Připojeno ke službě Azure AD Zrušení registrace zařízení před připojením ke službě Azure AD

Hybridní připojení k Azure AD

Pokud máte místní Active Directory prostředí a chcete připojit stávající počítače připojené k doméně k Azure AD, můžete tuto úlohu provést pomocí hybridního připojení k Azure AD. Podporuje širokou škálu Windows zařízení, včetně Windows aktuálních i Windows zařízení nižší úrovně.

Většina organizací už má zařízení připojená k doméně a spravuje je prostřednictvím Zásady skupiny nebo System Center Configuration Manager (SCCM). V takovém případě doporučujeme nakonfigurovat hybridní připojení Ke službě Azure AD, abyste mohli začít získávat výhody při používání stávajících investic.

Pokud je hybridní připojení k Azure AD nejvhodnější volbou pro vaši organizaci, podívejte se na následující zdroje informací:

Zřizování hybridního připojení Azure AD k vašim zařízením

Zkontrolujte infrastrukturu identit. Azure AD Připojení poskytuje průvodce ke konfiguraci hybridního připojení ke službě Azure AD pro:

Pokud instalace požadované verze služby Azure AD Připojení není pro vás dostupná, podívejte se, jak ručně nakonfigurovat hybridní připojení ke službě Azure AD.

Poznámka

Místní zařízení připojené k doméně Windows 10 nebo novější se pokusí automaticky připojit ke službě Azure AD, aby se ve výchozím nastavení stalo hybridním připojeným k Azure AD. To bude úspěšné pouze v případě, že jste nastavili správné prostředí.

Můžete určit, že hybridní připojení Azure AD je nejlepším řešením pro zařízení v jiném stavu. Následující tabulka ukazuje, jak změnit stav zařízení.

Aktuální stav zařízení Požadovaný stav zařízení Postupy
Připojená k místní doméně Připojení k Hybridní službě Azure AD K připojení k Azure použijte Azure AD Connect nebo AD FS.
Připojené k místní pracovní skupině nebo nové Připojení k Hybridní službě Azure AD Podporuje se Windows Autopilot. Jinak musí být zařízení připojené k místní doméně, než se připojí k hybridní službě Azure AD.
Připojeno ke službě Azure AD Připojeno k hybridní službě Azure AD Odpojte se od Azure AD, která ji umístí do místní pracovní skupiny nebo nového stavu.
Registrováno v Azure AD Připojeno k hybridní službě Azure AD Závisí na verzi Windows. Podívejte se na tyto aspekty.

správu zařízení

Po registraci nebo připojení zařízení ke službě Azure AD použijte Azure Portal jako centrální místo pro správu identit zařízení. Stránka Azure Active Directory zařízení umožňuje:

Ujistěte se, že udržujete prostředí čisté tím, že spravujete zastaralá zařízení, a zaměřte se na správu aktuálních zařízení.

Podporované nástroje pro správu zařízení

Správci můžou zabezpečit a dále řídit zaregistrovaná a připojená zařízení pomocí jiných nástrojů pro správu zařízení. Tyto nástroje poskytují způsob, jak vynutit konfigurace, jako je vyžadování šifrování úložiště, složitost hesla, instalace softwaru a aktualizace softwaru.

Projděte si podporované a nepodporované platformy pro integrovaná zařízení:

Nástroje pro správu zařízení Registrováno v Azure AD Připojeno ke službě Azure AD Připojeno k hybridní službě Azure AD
Mobilní Správa zařízení (MDM)
Příklad: Microsoft Intune
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Spoluspráva s Microsoft Intune a Microsoft Endpoint Configuration Manager
(Windows 10 nebo novější)
Checkmark for these values. Checkmark for these values.
Zásady skupiny
(pouze Windows)
Checkmark for these values.

Doporučujeme zvážit Microsoft Intune správu mobilních aplikací (MAM) se správou registrovaných zařízení s iOSem nebo Androidem nebo bez správy zařízení.

Správci mohou také nasadit platformy infrastruktury virtuálních klientských počítačů hostující Windows operační systémy ve svých organizacích, aby zjednodušili správu a snížili náklady prostřednictvím konsolidace a centralizace prostředků.

Další kroky