Postupy: plánování implementace služby Azure AD JOIN

Služba Azure AD JOIN umožňuje připojit zařízení přímo k Azure AD bez nutnosti připojení k místní službě Active Directory a udržování produktivity uživatelů a jejich zabezpečení. Připojení k Azure AD je připravené pro podnikové nasazení v rámci škálování i v oboru nasazení.

Tento článek poskytuje informace, které potřebujete k plánování vaší implementace služby Azure AD JOIN.

Požadavky

V tomto článku se předpokládá, že jste obeznámeni se správou zařízení v Azure Active Directory.

Plánování implementace

K naplánování vaší implementace služby Azure AD JOIN byste se měli seznámit s těmito kroky:

  • Kontrola scénářů
  • Kontrola infrastruktury identity
  • Posouzení správy zařízení
  • Pochopení důležitých informací o aplikacích a prostředcích
  • Informace o možnostech zřizování
  • Konfigurace roamingu podnikového stavu
  • Konfigurace podmíněného přístupu

Kontrola scénářů

I když se hybridní připojení ke službě Azure AD může pro určité scénáře upřednostnit, Azure AD JOIN vám umožní přejít na model cloudového modelu pomocí Windows. Pokud plánujete modernizovat správu zařízení a omezit náklady na IT související s zařízení, Azure AD JOIN poskytuje skvělou základnu pro dosažení těchto cílů.

Připojení k Azure AD byste měli zvážit, pokud vaše cíle odpovídají následujícím kritériím:

  • přijímáte Microsoft 365 jako sadu produktivity pro vaše uživatele.
  • Chcete spravovat zařízení pomocí řešení pro správu cloudových zařízení.
  • Chcete zjednodušit zřizování zařízení pro geograficky distribuované uživatele.
  • Plánujete modernizovat své aplikační infrastruktury.

Kontrola infrastruktury identity

Připojení k Azure AD funguje s oběma spravovanými i federovaným prostředími.

Spravované prostředí

Spravované prostředí se dá nasadit buď pomocí synchronizace hodnot hash hesel , nebo přes ověřování pomocí bezproblémového jednotného přihlašování.

Tyto scénáře nevyžadují konfiguraci federačního serveru pro ověřování.

Federované prostředí

Federované prostředí by mělo mít zprostředkovatele identity, který podporuje protokoly WS-Trust i WS-Fed:

  • WS-nakrmený: Tento protokol je nutný k připojení zařízení k Azure AD.
  • WS-Trust: Tento protokol se vyžaduje pro přihlášení k zařízení připojenému k Azure AD.

Pokud používáte AD FS, je nutné povolit následující WS-Trust koncové body: /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

Pokud Váš zprostředkovatel identity tyto protokoly nepodporuje, připojení k Azure AD nefunguje nativně.

Poznámka

Připojení k Azure AD v současné době nefunguje s AD FS 2019 nakonfigurovanými externími zprostředkovateli ověřování jako primární metodou ověřování. Služba Azure AD JOIN ve výchozím nastavení používá ověřování hesla jako primární metodu, což má za následek selhání ověřování v tomto scénáři.

Čipové karty a ověřování na základě certifikátu

K připojení zařízení do Azure AD nemůžete použít čipové karty ani ověřování založené na certifikátech. Čipové karty se ale dají použít k přihlášení k zařízením připojeným k Azure AD, pokud jste AD FS nakonfigurovaní.

Doporučení: implementujte Windows Hello pro firmy pro účely silného ověřování bez hesla pro Windows 10 a nad zařízeními.

Konfigurace uživatele

Pokud vytvoříte uživatele v:

  • místní služba Active Directory, je třeba je synchronizovat s Azure AD pomocí Azure AD Connect.
  • Azure AD, nevyžaduje se žádné další nastavení.

Místní hlavní názvy služby (UPN), které se liší od Azure AD UPN, se na zařízeních připojených k Azure AD nepodporují. Pokud uživatelé používají místní hlavní název uživatele (UPN), měli byste naplánovat přechod na použití primárního hlavního názvu uživatele (UPN) ve službě Azure AD.

změny UPN se podporují jenom na začátku aktualizace Windows 10 2004. Uživatelé na zařízeních s touto aktualizací nebudou mít po změně svých názvů UPN žádné problémy. pro zařízení starší než Windows 10 2004 aktualizace mají uživatelé na svých zařízeních problémy jednotného přihlašování a podmíněného přístupu. k vyřešení tohoto problému se musí přihlašovat k Windows pomocí dlaždice "jiný uživatel" pomocí nového hlavního názvu uživatele (UPN).

Posouzení správy zařízení

Podporovaná zařízení

Připojení k Azure AD:

  • se vztahuje na Windows 10 a Windows 11 zařízení.
  • neplatí pro předchozí verze Windows ani jiné operační systémy. pokud máte zařízení Windows 7/8.1, musíte upgradovat aspoň na Windows 10 a nasadit službu Azure AD join.
  • Je podporován pro čip TPM kompatibilní se standardem FIPS 2,0, ale není podporován pro čip TPM 1,2. Pokud vaše zařízení mají čip TPM kompatibilní se standardem FIPS 1,2, je nutné je před pokračováním v rámci služby Azure AD JOIN zakázat. Microsoft neposkytuje žádné nástroje pro zakázání režimu FIPS pro čipy TPM, protože je závislý na výrobci čipu TPM. Požádejte o podporu svého hardwarového výrobce OEM.

Doporučení: vždy používejte nejnovější verzi Windows 10 k využití výhod aktualizovaných funkcí.

Platforma pro správu

Správa zařízení pro zařízení připojená k Azure AD je založená na platformě MDM, jako je třeba Intune, a na CSP pro cloudy MDM. Windows 10 má integrovaného agenta MDM, který funguje se všemi kompatibilními řešeními mdm.

Poznámka

Zásady skupiny se na zařízeních připojených k Azure AD nepodporují, protože nejsou připojené k místní službě Active Directory. Správa zařízení připojených k Azure AD je možná jenom přes MDM.

Existují dva způsoby, jak spravovat zařízení připojená k Azure AD:

  • Jenom MDM – zařízení se spravuje výhradně přes poskytovatele MDM, jako je Intune. Všechny zásady se doručují jako součást procesu registrace MDM. pro zákazníky Azure AD Premium nebo EMS je automatický krok, který je součástí služby Azure AD join.
  • Společná správa – zařízení spravuje poskytovatel MDM a SCCM. V tomto postupu se agent SCCM nainstaluje na zařízení spravované MDM za účelem správy určitých aspektů.

Pokud používáte zásady skupiny, vyhodnoťte svůj objekt zásad skupiny a paritu zásad MDM pomocí zásady skupinych analýz v Microsoft Endpoint Manager.

Zkontrolujte podporované a nepodporované zásady, abyste zjistili, jestli můžete místo zásad skupiny použít řešení MDM. U nepodporovaných zásad Vezměte v úvahu následující skutečnosti:

  • Jsou nutné zásady nepodporované pro zařízení nebo uživatele připojená k Azure AD?
  • Platí nepodporované zásady pro nasazení na základě cloudu?

pokud vaše řešení pro správu mobilních zařízení není dostupné prostřednictvím galerie aplikací Azure AD, můžete ho přidat za proces popsaný v Azure Active Directory integraci s MDM.

Prostřednictvím spolusprávy můžete pomocí nástroje SCCM spravovat určité aspekty vašich zařízení, zatímco zásady se doručují prostřednictvím platformy MDM. Microsoft Intune umožňuje spolusprávu pomocí nástroje SCCM. další informace o spolusprávě pro Windows 10 zařízení najdete v tématu co je spoluspráva?. Pokud používáte jiný produkt MDM než Intune, obraťte se prosím na svého poskytovatele MDM v příslušných scénářích spolusprávy.

Doporučení: Zvažte správu jenom MDM pro zařízení připojená k Azure AD.

Pochopení důležitých informací o aplikacích a prostředcích

Pro lepší činnost koncového uživatele a řízení přístupu doporučujeme migrovat aplikace z místního prostředí do cloudu. Zařízení připojená k Azure AD ale můžou bezproblémově poskytovat přístup k místním i cloudovým aplikacím. Další informace najdete v tématu Jak funguje jednotné přihlašování k místním prostředkům na zařízeních připojených k Azure AD.

V následujících částech jsou uvedeny informace o různých typech aplikací a prostředků.

Cloudové aplikace

Pokud se aplikace přidá do Galerie aplikací Azure AD, uživatelé získají jednotné přihlašování přes zařízení připojená k Azure AD. Není nutná žádná další konfigurace. uživatelé získají jednotné přihlašování v Microsoft Edge i v prohlížečích Chrome. pro Chrome musíte nasadit rozšíření Windows 10 účty.

Všechny aplikace Win32, které:

  • Spoléhání se na žádosti o tokeny na správce webového účtu (WAM) taky přihlašování na zařízeních připojených k Azure AD.
  • Nespoléhání se na WAM může vyzvat uživatele k ověření.

Místní webové aplikace

Pokud jsou vaše aplikace vlastní sestavené a/nebo hostované místně, musíte je přidat do důvěryhodných lokalit prohlížeče:

  • Povolení Windows integrovaného ověřování pro práci
  • Poskytovat uživatelům jednotné přihlašování bez výzvy.

Pokud používáte AD FS, podívejte se na stránku Ověření a správa jednotného přihlašování pomocí AD FS.

Doporučení: Zvažte hostování v cloudu (například Azure) a integraci s Azure AD pro lepší prostředí.

Místní aplikace spoléhající na starší protokoly

Uživatelé získali jednotné přihlašování ze zařízení připojených k Azure AD, pokud má zařízení přístup k řadiči domény.

Poznámka

Zařízení připojená k Azure AD mohou bezproblémově poskytovat přístup k místním i cloudovým aplikacím. Další informace najdete v tématu Jak funguje jednotné přihlašování k místním prostředkům na zařízeních připojených k Azure AD.

Doporučení: Nasaďte Aplikace Azure AD proxy pro povolení zabezpečeného přístupu pro tyto aplikace.

Místní síťové sdílené složky

Uživatelé mají jednotné přihlašování ze zařízení připojených k Azure AD, když má zařízení přístup k místnímu řadiči domény. Zjistěte, jak to funguje.

Tiskárny

Doporučujeme nasadit Univerzální tisk mít cloudové řešení pro správu tisku bez jakýchkoli místních závislostí.

Místní aplikace, které spoléhají na ověřování počítače

Zařízení připojená k Azure AD nepodporují místní aplikace, které spoléhají na ověřování počítače.

Doporučení: Zvažte vyřazení těchto aplikací a přechod na jejich moderní alternativy.

Vzdálená plocha

Připojení ke vzdálené ploše k zařízením připojeným k Azure AD vyžaduje, aby hostitelský počítač byl buď připojený k Azure AD, nebo k hybridní službě Azure AD. Vzdálená plocha z nesouvislého nebo Windows zařízení není podporována. Další informace najdete v tématu připojení Připojení ke vzdálenému počítači připojenému ke službě Azure AD.

Od Windows 10 2004 mohou uživatelé také používat vzdálenou plochu z registrovaného zařízení Azure AD Windows 10 zařízení připojeného k Azure AD.

Ověřování pomocí protokolu RADIUS Wi-Fi ověřování

Zařízení připojená k Azure AD v současné době nepodporují ověřování RADIUS pro připojení Wi-Fi přístupových bodů, protože RADIUS spoléhá na přítomnost místního počítačového objektu. Jako alternativu můžete k ověření přístupu k Wi-Fi použít certifikáty nabízené přes Intune nebo přihlašovací údaje uživatele.

Principy možností zřizování

Poznámka: Zařízení připojená ke službě Azure AD není možné nasadit pomocí nástroje pro přípravu systému (Sysprep) ani podobných nástrojů pro bitové kopie.

Připojení ke službě Azure AD můžete zřídit následujícími způsoby:

  • Samoobslužná služba při spuštění počítače / Nastavení – V samoobslužných režimech uživatelé prochují procesem připojení ke službě Azure AD, a to buď během Windows Prostředí při spuštění počítače, nebo z Windows Nastavení. Další informace najdete v tématu Připojení pracovního zařízení k síti vaší organizace.
  • Windows Autopilot – Windows Autopilot umožňuje předběžné konfiguraci zařízení pro plynulejší prostředí při OOBE, aby bylo možné provést připojení ke službě Azure AD. Další informace najdete v tématu Přehled Windows Autopilotu.
  • Hromadná registrace – Hromadná registrace umožňuje připojení ke službě Azure AD řízené správcem pomocí nástroje pro hromadné zřizování ke konfiguraci zařízení. Další informace najdete v tématu Hromadná registrace pro Windows zařízení.

Tady je porovnání těchto tří přístupů

Prvek Samoobslužné nastavení Windows Autopilot Hromadná registrace
Vyžadování zásahu uživatele k nastavení Yes Yes No
Vyžadovat IT úsilí No Yes Ano
Použitelné postupy OOBE & Nastavení Jen prostředí prvního spuštění počítače Jen prostředí prvního spuštění počítače
Práva místního správce udělená primárnímu uživateli Ano, ve výchozím nastavení Konfigurovatelné Ne
Vyžadování podpory OEM zařízení No Yes No
Podporované verze 1511+ 1709+ 1703+

Přístup nebo přístupy k nasazení si můžete vybrat tak, že si prohlédněte výše uvedenou tabulku a prohlédněte si následující aspekty pro přijetí obou přístupů:

  • Jsou vaši uživatelé technicky zdatní, aby si toto nastavení prošli sami?
    • Samoobslužná služba může těmto uživatelům nejlépe fungovat. Zvažte Windows Autopilot, abyste vylepši uživatelské prostředí.
  • Jsou vaši uživatelé vzdálení nebo v podnikovém prostředí?
    • Samoobslužná služba nebo Autopilot funguje nejlépe pro vzdálené uživatele a nabízí bezproblémové nastavení.
  • Dáváte přednost konfiguraci řízené uživatelem nebo spravovanou správcem?
    • Hromadná registrace funguje lépe pro nasazení řízená správcem a nastavení zařízení před předáním uživatelům.
  • Kupujete zařízení od 1 do 2 OEMS, nebo máte širokou distribuci zařízení OEM?
    • Pokud nakupujete od omezených OEM, kteří také podporují Autopilot, můžete těžit z užší integrace s Autopilotem.

Konfigurace nastavení zařízení

Tento Azure Portal umožňuje řídit nasazení zařízení připojených k Azure AD ve vaší organizaci. Pokud chcete nakonfigurovat související nastavení, na Azure Active Directory vyberte Devices > Device settings . Další informace

Uživatelé můžou připojovat zařízení do Azure AD

Tuto možnost nastavte na Vše nebo Vybrané na základě rozsahu nasazení a toho, komu chcete povolit nastavení zařízení připojeného k Azure AD.

Uživatelé můžou připojovat zařízení do Azure AD

Další místní správci na zařízeních připojených do Azure AD

Zvolte Vybraní a na všech zařízeních připojených ke službě Azure AD vyberte uživatele, které chcete přidat do místní skupiny správců.

Další místní správci na zařízeních připojených do Azure AD

Vyžadování vícefaktorového ověřování (MFA) pro připojení zařízení

Vyberte Ano, pokud požadujete, aby uživatelé při připojování zařízení ke službě Azure AD měli více ověřování.

Vyžadování vícefaktorového ověřování pro připojení zařízení

Doporučení: K vynucování vícefa pro připojení zařízení použijte akci uživatele Registrace nebo připojení zařízení v podmíněném přístupu.

Konfigurace nastavení mobility

Před konfigurací nastavení mobility možná budete muset nejprve přidat poskytovatele MDM.

Přidání poskytovatele MDM:

  1. Na stránce Azure Active Directory klikněte v části Spravovat na Mobility (MDM and MAM) .

  2. Klikněte na Přidat aplikaci.

  3. V seznamu vyberte svého poskytovatele MDM.

    Snímek obrazovky Azure Active Directory stránce Přidat aplikaci Je uvedeno několik poskytovatelů M D M.

Vyberte poskytovatele MDM a nakonfigurujte související nastavení.

Obor uživatele MDM

Na základě rozsahu nasazení vyberte Některé nebo Vše.

Obor uživatele MDM

V závislosti na vašem rozsahu se stane jedna z následujících akcí:

  • Uživatel je v oboru MDM: Pokud máte předplatné Azure AD Premium, registrace MDM se automatizuje společně s připojením ke službě Azure AD. Všichni uživatelé s vymezenou oborem musí mít příslušnou licenci pro mdm. Pokud v tomto scénáři registrace MDM selže, vrátí se zpět také připojení ke službě Azure AD.
  • Uživatel není v oboru MDM: Pokud uživatelé nejsou v oboru MDM, připojení ke službě Azure AD se dokončí bez jakékoli registrace MDM. Výsledkem je nespravované zařízení.

Adresy URL MDM

S konfigurací MDM souvisejí tři adresy URL:

  • Adresa URL podmínek použití MDM
  • Adresa URL zjišťování MDM
  • Adresa URL s předpisy služby MDM

Snímek obrazovky s částí Azure Active Directory konfigurace M D M s poli U R L pro podmínky použití, zjišťování a dodržování předpisů pro MDM

Každá adresa URL má předdefinovanou výchozí hodnotu. Pokud jsou tato pole prázdná, požádejte o další informace svého poskytovatele MDM.

Nastavení MAM

MAM se nevztahuje na připojení ke službě Azure AD.

Konfigurace služby Enterprise State Roaming

Pokud chcete povolit službu State Roaming do služby Azure AD, aby uživatelé mohli synchronizovat svá nastavení mezi zařízeními, podívejte se na Enterprise služby Azure Active Directory.

Doporučení: Toto nastavení povolte i pro zařízení připojená k hybridní službě Azure AD.

Konfigurace podmíněného přístupu

Pokud máte pro zařízení připojená k Azure AD nakonfigurovaného poskytovatele MDM, označí ho jako vyhovující, jakmile bude zařízení pod s právy správy.

Odpovídající zařízení

Tuto implementaci můžete použít k vyžadování spravovaných zařízení pro přístup ke cloudovým aplikacím pomocí podmíněného přístupu.

Další kroky