plánování nasazení zařízení Azure Active Directory

Tento článek vám pomůže vyhodnotit metody pro integraci zařízení s Azure AD, zvolit plán implementace a poskytuje klíčové odkazy na podporované nástroje pro správu zařízení.

Na šířku zařízení, ze kterých se uživatelé přihlásí, se rozbalí. Organizace můžou poskytovat stolní počítače, přenosné počítače, telefony, tablety a další zařízení. Vaši uživatelé můžou přinášet vlastní pole zařízení a přistupovat k informacím z různých míst. V tomto prostředí je vaše úloha jako správce, aby byly prostředky vaší organizace zabezpečené napříč všemi zařízeními.

Azure Active Directory (Azure AD) umožňuje vaší organizaci plnit tyto cíle pomocí správy identit zařízení. Teď můžete svoje zařízení ve službě Azure AD získat a řídit z centrálního umístění v Azure Portal. Získáte tak jednotné prostředí, zvýšené zabezpečení a zkrátíte čas potřebný ke konfiguraci nového zařízení.

Vaše zařízení je možné integrovat do služby Azure AD několika způsoby:

Learn

Než začnete, ujistěte se, že jste obeznámeni s přehledem správy identit zařízení.

Výhody

Klíčové výhody poskytování identity Azure AD pro vaše zařízení:

  • Zvyšte produktivitu – pomocí Azure AD můžou vaši uživatelé dělat bezproblémové přihlašování (SSO) k místním i cloudovým prostředkům, což jim umožní zajistit jejich produktivitu bez ohledu na to, kde jsou.

  • Zvýšení zabezpečení – zařízení Azure AD umožňují použít zásady podmíněného přístupu na prostředky na základě identity zařízení nebo uživatele. Zásady podmíněného přístupu mohou nabídnout dodatečnou ochranu pomocí Azure AD Identity Protection. Předpokladem pro zvýšení zabezpečení pomocí strategie ověřování bez hesla je připojení zařízení k Azure AD.

  • Zlepšení uživatelského prostředí – pomocí identit zařízení ve službě Azure AD můžete svým uživatelům poskytnout snadný přístup k cloudovým prostředkům vaší organizace z osobních i firemních zařízení. správci můžou povolit Enterprise State Roaming pro jednotné prostředí napříč všemi Windows zařízeními.

  • zjednodušení nasazení a správy – správa identit zařízení zjednodušuje proces zavedení zařízení do Azure AD pomocí Windows autopilotního, hromadného zřizovánía samoobslužné služby: funkce OOBE. tato zařízení můžete spravovat pomocí nástrojů pro správu mobilních zařízení (MDM), jako je Microsoft Intune, a jejich identit v Azure Portal.

Školicí materiály

Video: podmíněný přístup s ovládacími prvky zařízení

nejčastější dotazy: nejčastější dotazy týkající se správy zařízení Azure AD a Nastavení a data roamingu

Plánování projektu nasazení

Při určování strategie pro toto nasazení v prostředí zvažte potřeby vaší organizace.

Zapojení správných zúčastněných stran

Když projekty technologie selžou, obvykle to vznikne z důvodu neshodných očekávání na dopad, výsledky a zodpovědnosti. Pokud se chcete těmto nástrah vyhnout, ujistěte se, že jste si jisti, že jste připravují správné zúčastněné strany a že role účastníků v projektu jsou dobře pochopitelné.

Pro tento plán přidejte do svého seznamu následující účastníky:

Role Popis
Správce zařízení Zástupce týmu zařízení, který dokáže ověřit, jestli plán splňuje požadavky na zařízení vaší organizace.
Správce sítě Zástupce ze síťového týmu, který může zajistit, aby splňoval požadavky na síť.
Tým správy zařízení Tým, který spravuje inventář zařízení.
Týmy pro správu specifické pro operační systém Teams, které podporují a spravují konkrétní verze operačního systému. Může se například jednat o tým zaměřený na Mac nebo iOS.

Plán komunikace

Komunikace je zásadní pro úspěch jakékoli nové služby. Proaktivně komunikujte s vašimi uživateli, jak se změní, když se změní, a jak získat podporu, pokud se jim setkávají problémy.

Plánování pilotního projektu

Doporučujeme, aby počáteční konfigurace vaší integrační metody byla v testovacím prostředí, nebo s malou skupinou testovacích zařízení. Podívejte se na osvědčené postupy pro pilotní nasazení.

Nasazení připojení k hybridní službě Azure AD je jednoduché a je 100% úloha správce bez nutnosti zásahu koncového uživatele. Je možné, že budete chtít provést řízené ověřování pro připojení k hybridní službě Azure AD a teprve potom ho v celé organizaci najednou povolit.

Výběr metod integrace

Vaše organizace může v jednom tenantovi Azure AD používat víc metod integrace zařízení. Cílem je zvolit metody, které jsou vhodné pro vaše zařízení zabezpečeně spravovat ve službě Azure AD. Existuje mnoho parametrů, které řídí toto rozhodnutí včetně vlastnictví, typů zařízení, primární cílové skupiny a infrastruktury vaší organizace.

Následující informace vám pomohou rozhodnout, jaké metody integrace použít.

Rozhodovací strom pro integraci zařízení

Pomocí tohoto stromu můžete určit možnosti pro zařízení vlastněná organizací.

Poznámka

V tomto diagramu nejsou k disBYOD žádné scénáře osobní nebo vlastní zařízení (). Vždycky mají za následek registraci v Azure AD.

Rozhodovací strom

Srovnávací matice

zařízení s iOS a Androidem můžou být jenom registrovaná v Azure AD. následující tabulka uvádí nejdůležitější požadavky na Windows klientských zařízeních. Použijte ho jako přehled a podrobněji si prozkoumejte různé metody integrace.

Aspekty Registrováno v Azure AD Připojení k Azure AD Hybridní připojení k Azure AD
Klientské operační systémy
Zařízení s Windows 10 Zaškrtnutí těchto hodnot. Zaškrtnutí těchto hodnot. Zaškrtnutí těchto hodnot.
Windows zařízení nižší úrovně (Windows 8.1 nebo Windows 7) Zaškrtnutí těchto hodnot.
Možnosti přihlášení
Místní přihlašovací údaje pro koncové uživatele Zaškrtnutí těchto hodnot.
Heslo Zaškrtnutí těchto hodnot. Zaškrtnutí těchto hodnot. Zaškrtnutí těchto hodnot.
PIN kód zařízení Zaškrtnutí těchto hodnot.
Windows Hello Zaškrtnutí těchto hodnot.
Windows Hello pro firmy Zaškrtnutí těchto hodnot. Zaškrtnutí těchto hodnot.
Bezpečnostní klíče FIDO 2,0 Zaškrtnutí těchto hodnot. Zaškrtnutí těchto hodnot.
Microsoft Authenticator Aplikace (nejedná se o heslo) Zaškrtnutí těchto hodnot. Zaškrtnutí těchto hodnot. Zaškrtnutí těchto hodnot.
Klíčové funkce
Jednotné přihlašování ke cloudovým prostředkům Zaškrtnutí těchto hodnot. Zaškrtnutí těchto hodnot. Zaškrtnutí těchto hodnot.
Jednotné přihlašování k místním prostředkům Zaškrtnutí těchto hodnot. Zaškrtnutí těchto hodnot.
Podmíněný přístup
(Vyžadovat, aby zařízení byla označená jako vyhovující)
(Musí se spravovat přes MDM)
Zaškrtnutí těchto hodnot. Zaškrtnutí těchto hodnot. Zaškrtnutí těchto hodnot.
Podmíněný přístup
(Vyžadovat zařízení připojená k hybridní službě Azure AD)
Zaškrtnutí těchto hodnot.
samoobslužné resetování hesla z přihlašovací obrazovky Windows Zaškrtnutí těchto hodnot. Zaškrtnutí těchto hodnot.
Windows Hello Resetovat PIN Zaškrtnutí těchto hodnot. Zaškrtnutí těchto hodnot.
roaming stavu Enterprise napříč zařízeními Zaškrtnutí těchto hodnot. Zaškrtnutí těchto hodnot.

Registrace Azure AD

Registrovaná zařízení se často spravují pomocí Microsoft Intune. Zařízení se registrují v Intune mnoha různými způsoby v závislosti na operačním systému.

Zařízení registrovaná v Azure AD poskytují podporu pro vlastní zařízení (BYOD) a zařízení vlastněná podnikem pro jednotné přihlašování ke cloudovým prostředkům. Přístup k prostředkům je založen na zásadách podmíněného přístupu Azure AD, které se používají pro zařízení a uživatele.

Registrace zařízení

Registrovaná zařízení se často spravují pomocí Microsoft Intune. Zařízení se registrují v Intune mnoha různými způsoby v závislosti na operačním systému.

Mobilní zařízení BYOD a vlastněná podnikem jsou registrována uživateli, kteří si instalují aplikaci Portál společnosti.

Pokud je registrace zařízení nejlepší volbou pro vaši organizaci, podívejte se na následující zdroje informací:

Připojení k Azure AD

Připojení k Azure AD umožňuje přejít k modelu cloudového modelu pomocí Windows. Nabízí skvělou základnu, pokud plánujete modernizovat správu zařízení a omezit náklady na IT související s tímto zařízením. připojení k Azure AD funguje jenom s Windows 10mi zařízeními. Zvažte jako první volbu pro nová zařízení.

Zařízení připojená k Azure AD se ale můžou přihlašuje k místním prostředkům v případě, že jsou v síti organizace, můžou se ověřit na místních serverech, jako jsou soubory, tisk a další aplikace.

Pokud je to nejlepší možnost pro vaši organizaci, podívejte se na následující zdroje informací:

Zřizování služby Azure AD JOIN k vašim zařízením

Při zřizování služby Azure AD JOIN máte k dispozici následující přístupy:

Pokud máte na zařízení nainstalovaný systém Windows 10 Professional nebo Windows 10 Enterprise, výchozím prostředím pro zařízení vlastněná společností bude proces instalace.

Po pečlivém porovnání těchto přístupůvyberte svůj postup nasazení.

Můžete určit, že je připojení k Azure AD nejlepším řešením pro zařízení. Toto zařízení se už může nacházet v jiném stavu. Tady jsou pokyny k upgradu.

Aktuální stav zařízení Požadovaný stav zařízení Postupy
Připojené k místní doméně Připojení k Azure AD Před připojením k Azure AD odpojte zařízení od místní domény.
Připojení k hybridní službě Azure AD Připojení k Azure AD Před připojením k Azure AD odpojte zařízení od místní domény a ze služby Azure AD.
Registrováno v Azure AD Připojení k Azure AD Zrušení registrace zařízení před připojením k Azure AD

Hybridní připojení k Azure AD

Pokud máte místní prostředí Active Directory a chcete se připojit k počítačům připojeným k doméně služby Active Directory do služby Azure AD, můžete k tomu využít hybridní službu Azure AD JOIN. podporuje širokou škálu Windows zařízení, včetně Windows současných i Windows zařízeních nižší úrovně.

většina organizací už má zařízení připojená k doméně a spravuje je přes Zásady skupiny nebo System Center Configuration Manager (SCCM). V takovém případě doporučujeme nakonfigurovat službu hybridního připojení k Azure AD, abyste začali získávat výhody a využili stávající investice.

Pokud je pro vaši organizaci nejlepší možností připojení k hybridní službě Azure AD, přečtěte si následující zdroje informací:

Zřizování hybridního připojení služby Azure AD k vašim zařízením

Projděte si infrastrukturu identity. Azure AD Connect poskytuje průvodce pro konfiguraci hybridního připojení ke službě Azure AD pro:

pokud se instalace požadované verze Azure AD Connect pro vás nepoužívá, přečtěte si téma postup ruční konfigurace hybridního připojení k Azure AD.

Poznámka

místní zařízení Windows 10 připojené k doméně se pokusí automaticky připojit k azure ad, aby se ve výchozím nastavení připojilo k hybridní službě azure ad. To bude úspěšné jenom v případě, že jste nastavili správné prostředí.

Můžete určit, že je pro zařízení nejlepší řešení Azure AD JOIN a že toto zařízení už může být v jiném stavu. Tady jsou pokyny k upgradu.

Aktuální stav zařízení Požadovaný stav zařízení Postupy
Připojení k místní doméně Připojení k hybridní službě Azure AD Použití Azure AD Connect nebo AD FS pro připojení k Azure
Místní pracovní skupina je připojená nebo nová. Připojení k hybridní službě Azure AD podporováno Windowsm autopilotem. Jinak musí být zařízení připojená k místní doméně před připojením k hybridní službě Azure AD.
Připojené k Azure AD Připojení k hybridní službě Azure AD Odpojte se od Azure AD, který ho vloží do místní pracovní skupiny nebo nového stavu.
Registrované v Azure AD Připojení k hybridní službě Azure AD závisí na Windows verzi. Podívejte se na tyto informace.

správu zařízení

Jakmile vaše zařízení zaregistrujete nebo připojíte k Azure AD, použijte Azure Portal jako centrální místo ke správě identit zařízení. stránka Azure Active Directory zařízení vám umožní:

Ujistěte se, že prostředí vyčistíte tím, že budete Spravovat zastaralá zařízenía Zaměřte se na prostředky na správu aktuálních zařízení.

Podporované nástroje pro správu zařízení

Správci můžou tato registrovaná a připojená zařízení zabezpečit a dále řídit pomocí dalších nástrojů pro správu zařízení. Tyto nástroje poskytují způsob, jak vyhovět konfiguracím vyžadovaným v organizaci, jako je třeba šifrování úložiště, složitost hesla, instalace softwaru a aktualizace softwaru.

Zkontrolujte podporované a nepodporované platformy pro integrovaná zařízení:

Nástroje pro správu zařízení Registrováno v Azure AD Připojení k Azure AD Hybridní připojení k Azure AD
Správa mobilních zařízení (MDM)
Příklad: Microsoft Intune
Zaškrtnutí těchto hodnot. Zaškrtnutí těchto hodnot. Zaškrtnutí těchto hodnot.
spoluspráva pomocí Microsoft Intune a Microsoft Endpoint Configuration Manager
(Windows 10 a novější)
Zaškrtnutí těchto hodnot. Zaškrtnutí těchto hodnot.
Zásady skupiny
(jenom Windows)
Zaškrtnutí těchto hodnot.

doporučujeme, abyste při správě zařízení se systémem iOS nebo Android zvážili Microsoft Intune správu mobilních aplikací (MAM) se systémem nebo bez ní.

správci můžou nasadit platformy infrastruktury virtuálních klientských počítačů (VDI) , které hostují operační systémy Windows ve svých organizacích, aby se zjednodušila správa a snížila náklady prostřednictvím konsolidace a centralizace prostředků.

Řešení problémů s identitami zařízení

pokud dochází k problémům s dokončením hybridního připojení služby Azure AD pro zařízení Windows připojená k doméně, přečtěte si téma:

Další kroky