Útmutató: az Azure AD JOIN megvalósításának megtervezéseHow to: Plan your Azure AD join implementation

Az Azure AD JOIN lehetővé teszi, hogy közvetlenül az Azure AD-hez csatlakozzon, anélkül, hogy a helyszíni Active Directoryhoz kellene csatlakoznia, miközben a felhasználók produktív és biztonságos módon tartanak.Azure AD join allows you to join devices directly to Azure AD without the need to join to on-premises Active Directory while keeping your users productive and secure. Az Azure AD JOIN a nagyvállalati szintű és a hatókörön belüli üzemelő példányok esetében is készen áll.Azure AD join is enterprise-ready for both at-scale and scoped deployments.

Ez a cikk az Azure AD JOIN megvalósításának megtervezéséhez szükséges információkat tartalmazza.This article provides you with the information you need to plan your Azure AD join implementation.

ElőfeltételekPrerequisites

Ez a cikk azt feltételezi, hogy ismeri a Azure Active Directory eszköz-felügyeletének bevezetését.This article assumes that you are familiar with the Introduction to device management in Azure Active Directory.

A megvalósítás megtervezésePlan your implementation

Az Azure AD JOIN megvalósításának megtervezéséhez Ismerkedjen meg a következővel:To plan your Azure AD join implementation, you should familiarize yourself with:

  • Forgatókönyvek áttekintéseReview your scenarios
  • Az identitás-infrastruktúra áttekintéseReview your identity infrastructure
  • Az eszközök kezelésének felméréseAssess your device management
  • Az alkalmazásokkal és erőforrásokkal kapcsolatos megfontolások ismertetéseUnderstand considerations for applications and resources
  • A kiépítési lehetőségek megismeréseUnderstand your provisioning options
  • Vállalati állapot barangolásának konfigurálásaConfigure enterprise state roaming
  • Feltételes hozzáférés konfigurálásaConfigure Conditional Access

Forgatókönyvek áttekintéseReview your scenarios

Előfordulhat, hogy a hibrid Azure AD-csatlakozás bizonyos helyzetekben előnyben részesített, és lehetővé teszi, hogy az Azure AD JOIN segítségével áttérjen a Windowsos Felhőbeli első modellre.While Hybrid Azure AD join may be preferred for certain scenarios, Azure AD join enables you to transition towards a cloud-first model with Windows. Ha azt tervezi, hogy modernizálja az eszközök felügyeletét, és csökkenti az eszközhöz kapcsolódó informatikai költségeket, az Azure AD JOIN nagyszerű alapot biztosít a célkitűzések megvalósításához.If you are planning to modernize your devices management and reduce device-related IT costs, Azure AD join provides a great foundation towards achieving those objectives.

Ha a célok a következő feltételekkel vannak összehangolva, érdemes megfontolnia az Azure AD Joint:You should consider Azure AD join if your goals align with the following criteria:

  • A felhasználók számára a termelékenységi csomag Microsoft 365t alkalmazza.You are adopting Microsoft 365 as the productivity suite for your users.
  • Felhőalapú eszközkezelés megoldással szeretné felügyelni az eszközöket.You want to manage devices with a cloud device management solution.
  • Szeretné leegyszerűsíteni az eszközök kiosztását a földrajzilag elosztott felhasználók számára.You want to simplify device provisioning for geographically distributed users.
  • Azt tervezi, hogy modernizálja az alkalmazás-infrastruktúrát.You plan to modernize your application infrastructure.

Az identitás-infrastruktúra áttekintéseReview your identity infrastructure

Az Azure AD JOIN mindkét, felügyelt és összevont környezettel működik.Azure AD join works with both, managed and federated environments.

Felügyelt környezetManaged environment

A felügyelt környezetek jelszó-kivonatos szinkronizálással vagy a zökkenőmentes egyszeri bejelentkezéses hitelesítéssel is üzembe helyezhetők.A managed environment can be deployed either through Password Hash Sync or Pass Through Authentication with Seamless Single Sign On.

Ezekhez a forgatókönyvekhez nem szükséges összevonási kiszolgálót konfigurálni a hitelesítéshez.These scenarios don't require you to configure a federation server for authentication.

Összevont környezetFederated environment

Egy összevont környezetnek rendelkeznie kell egy olyan identitás-szolgáltatóval, amely támogatja a WS-Trust és a WS-fed protokollokat:A federated environment should have an identity provider that supports both WS-Trust and WS-Fed protocols:

  • Ws-Fed: Ez a protokoll az eszköz Azure AD-hez való csatlakoztatásához szükséges.WS-Fed: This protocol is required to join a device to Azure AD.
  • Ws-Trust: Ez a protokoll egy Azure AD-hez csatlakoztatott eszközre való bejelentkezéshez szükséges.WS-Trust: This protocol is required to sign in to an Azure AD joined device.

AD FS használatakor engedélyeznie kell a következő WS-Trust végpontokat: /adfs/services/trust/2005/usernamemixedWhen you're using AD FS, you need to enable the following WS-Trust endpoints: /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

Ha az identitás-szolgáltató nem támogatja ezeket a protokollokat, az Azure AD JOIN nem működik natív módon.If your identity provider does not support these protocols, Azure AD join does not work natively.

Megjegyzés

Az Azure AD JOIN jelenleg nem működik, mert a külső hitelesítő szolgáltatókkal konfigurált AD FS 2019 elsődleges hitelesítési módszer.Currently, Azure AD join does not work with AD FS 2019 configured with external authentication providers as the primary authentication method. Az Azure AD-hez való csatlakozás alapértelmezett értéke a jelszó-hitelesítés elsődleges módszerként, amely hitelesítési hibákat eredményez ebben a forgatókönyvbenAzure AD join defaults to password authentication as the primary method, which results in authentication failures in this scenario

Intelligens kártyák és tanúsítványalapú hitelesítésSmartcards and certificate-based authentication

Az eszközök Azure AD-hez való csatlakoztatásához nem használhat intelligens kártyát vagy tanúsítványalapú hitelesítést.You can't use smartcards or certificate-based authentication to join devices to Azure AD. Ha azonban AD FS van konfigurálva, az intelligens kártyák használatával bejelentkezhet az Azure AD-hez csatlakoztatott eszközökre.However, smartcards can be used to sign in to Azure AD joined devices if you have AD FS configured.

Javaslat: A Windows Hello for Business implementálása erős, jelszó nélküli hitelesítésre Windows 10-es eszközökre.Recommendation: Implement Windows Hello for Business for strong, password-less authentication to Windows 10 devices.

Felhasználói konfigurációUser configuration

Ha a következőket hozza létre a felhasználók számára:If you create users in your:

  • Helyszíni Active Directory a Azure ad Connecthasználatával szinkronizálnia kell őket az Azure ad-vel.On-premises Active Directory, you need to synchronize them to Azure AD using Azure AD Connect.
  • Az Azure ad-ben nincs szükség további beállításra.Azure AD, no additional setup is required.

Az Azure AD UPN-től eltérő helyszíni UPN-ket az Azure AD-hez csatlakoztatott eszközök nem támogatják.On-premises UPNs that are different from Azure AD UPNs are not supported on Azure AD joined devices. Ha a felhasználók helyszíni UPN-t használnak, érdemes megtervezni, hogy az elsődleges UPN-t használják az Azure AD-ben.If your users use an on-premises UPN, you should plan to switch to using their primary UPN in Azure AD.

Az eszközök kezelésének felméréseAssess your device management

Támogatott eszközökSupported devices

Azure AD-csatlakozás:Azure AD join:

  • Csak Windows 10-es eszközökre alkalmazható.Is only applicable to Windows 10 devices.
  • Nem alkalmazható a Windows korábbi verzióira vagy más operációs rendszerekre.Is not applicable to previous versions of Windows or other operating systems. Windows 7/8.1 rendszerű eszközök esetén az Azure AD JOIN üzembe helyezéséhez frissítenie kell a Windows 10-es verzióra.If you have Windows 7/8.1 devices, you must upgrade to Windows 10 to deploy Azure AD join.
  • A támogatja a FIPS-kompatibilis TPM 2,0, de a TPM 1,2 esetében nem támogatott.Is supported for FIPS-compliant TPM 2.0 but not supported for TPM 1.2. Ha az eszközei rendelkeznek FIPS-kompatibilis TPM 1,2-mel, le kell tiltania azokat az Azure AD JOIN szolgáltatásban való továbblépés előtt.If your devices have FIPS-compliant TPM 1.2, you must disable them before proceeding with Azure AD join. A Microsoft nem biztosít olyan eszközöket, amelyekkel letiltható a TPM FIPS üzemmódja, mert a TPM-gyártótól függ.Microsoft does not provide any tools for disabling FIPS mode for TPMs as it is dependent on the TPM manufacturer. Támogatásért forduljon a hardver OEM-hez.Please contact your hardware OEM for support.

Javaslat: A frissített funkciók kihasználásához mindig a legújabb Windows 10-es verziót használja.Recommendation: Always use the latest Windows 10 release to take advantage of updated features.

Felügyeleti platformManagement platform

Az Azure AD-hez csatlakoztatott eszközök MDM platformon, például az Intune-on és a MDM-beli kriptográfiai szolgáltatásokon alapulnak.Device management for Azure AD joined devices is based on an MDM platform such as Intune, and MDM CSPs. A Windows 10 tartalmaz egy beépített MDM-ügynököt, amely minden kompatibilis MDM-megoldással működik.Windows 10 has a built-in MDM agent that works with all compatible MDM solutions.

Megjegyzés

A csoportházirendek nem támogatottak az Azure AD-hez csatlakoztatott eszközökön, mivel azok nem csatlakoznak a helyszíni Active Directoryhoz.Group policies are not supported in Azure AD joined devices as they are not connected to on-premises Active Directory. Az Azure AD-hez csatlakoztatott eszközök kezelése csak a MDM keresztül lehetségesManagement of Azure AD joined devices is only possible through MDM

Az Azure AD-hez csatlakoztatott eszközök kezelésének két módja van:There are two approaches for managing Azure AD joined devices:

  • Csak Mdm – az eszközöket kizárólag olyan Mdm-szolgáltatók felügyelik, mint az Intune.MDM-only - A device is exclusively managed by an MDM provider like Intune. Az összes szabályzatot a MDM regisztrációs folyamatának részeként továbbítja a rendszer.All policies are delivered as part of the MDM enrollment process. Prémium szintű Azure AD-vagy EMS-ügyfelek esetén a MDM egy olyan automatizált lépés, amely egy Azure AD-csatlakozás részét képezi.For Azure AD Premium or EMS customers, MDM enrollment is an automated step that is part of an Azure AD join.
  • Közös felügyelet – az eszközt egy Mdm-szolgáltató és egy SCCM kezeli.Co-management - A device is managed by an MDM provider and SCCM. Ebben a megközelítésben a SCCM-ügynök egy MDM által felügyelt eszközre van telepítve bizonyos szempontok felügyeletéhez.In this approach, the SCCM agent is installed on an MDM-managed device to administer certain aspects.

Ha csoportházirendeket használ, értékelje ki a MDM-szabályzat paritását a Mdm Migration Analysis Tool (MMAT)használatával.If you are using group policies, evaluate your MDM policy parity by using the MDM Migration Analysis Tool (MMAT).

A támogatott és nem támogatott házirendek áttekintésével állapítsa meg, hogy csoportházirendek helyett használhat-e MDM-megoldást.Review supported and unsupported policies to determine whether you can use an MDM solution instead of Group policies. Nem támogatott házirendek esetén vegye figyelembe a következőket:For unsupported policies, consider the following:

  • Az Azure AD-hez csatlakoztatott eszközökhöz vagy felhasználókhoz nem támogatott házirendek szükségesek?Are the unsupported policies necessary for Azure AD joined devices or users?
  • A felhőalapú üzemelő példányokban nem támogatott szabályzatok alkalmazhatók?Are the unsupported policies applicable in a cloud driven deployment?

Ha a MDM-megoldás nem érhető el az Azure AD-alkalmazás-katalóguson keresztül, akkor a Mdm-integrációs szolgáltatásbanismertetett eljárást követve adhatja hozzá a következőhöz: Azure Active Directory.If your MDM solution is not available through the Azure AD app gallery, you can add it following the process outlined in Azure Active Directory integration with MDM.

A közös felügyelet révén a SCCM segítségével kezelheti az eszközök bizonyos aspektusait, miközben a szabályzatokat a MDM platformon keresztül továbbítjuk.Through co-management, you can use SCCM to manage certain aspects of your devices while policies are delivered through your MDM platform. A Microsoft Intune lehetővé teszi a SCCM való közös felügyeletet.Microsoft Intune enables co-management with SCCM. A Windows 10-es eszközök megosztott kezelésével kapcsolatos további információkért lásd: Mi az a közös felügyelet?.For more information on co-management for Windows 10 devices, see What is co-management?. Ha az Intune-tól eltérő MDM-terméket használ, kérjük, tekintse meg a MDM-szolgáltatót a megfelelő közös felügyeleti forgatókönyvekben.If you use an MDM product other than Intune, please check with your MDM provider on applicable co-management scenarios.

Javaslat: A MDM csak az Azure AD-hez csatlakoztatott eszközök felügyeletét érdemes figyelembe venni.Recommendation: Consider MDM only management for Azure AD joined devices.

Az alkalmazásokkal és erőforrásokkal kapcsolatos megfontolások ismertetéseUnderstand considerations for applications and resources

Javasoljuk, hogy jobb felhasználói élményt és hozzáférés-vezérlést biztosítson a helyszíni és a Felhőbeli alkalmazások áttelepítéséhez.We recommend migrating applications from on-premises to cloud for a better user experience and access control. Az Azure AD-hez csatlakoztatott eszközök azonban zökkenőmentesen biztosíthatnak hozzáférést mind a helyszíni, mind a felhőalapú alkalmazásokhoz.However, Azure AD joined devices can seamlessly provide access to both, on-premises and cloud applications. További információ: Hogyan működik az SSO a helyszíni erőforrásokkal az Azure ad-hez csatlakoztatott eszközökön.For more information, see How SSO to on-premises resources works on Azure AD joined devices.

Az alábbi részekben a különböző típusú alkalmazásokra és erőforrásokra vonatkozó szempontok szerepelnek.The following sections list considerations for different types of applications and resources.

Felhőalapú alkalmazásokCloud-based applications

Ha egy alkalmazás hozzá van adva az Azure AD App Galleryhez, a felhasználók egyszeri bejelentkezést kapnak az Azure AD-hez csatlakoztatott eszközökön.If an application is added to Azure AD app gallery, users get SSO through Azure AD joined devices. Nincs szükség további konfigurációra.No additional configuration is required. A felhasználók egyszeri bejelentkezést kapnak a Microsoft Edge és a Chrome böngészőben is.Users get SSO on both, Microsoft Edge and Chrome browsers. A Chrome esetében telepítenie kell a Windows 10 fiókok bővítményt.For Chrome, you need to deploy the Windows 10 Accounts extension.

Minden Win32-alkalmazás, amely:All Win32 applications that:

  • Hivatkozhat a web Account Manager (WAM) szolgáltatásra a jogkivonat-kérelmek esetében, ha az Azure AD-hez csatlakoztatott eszközökön egyszeri bejelentkezést is kap.Rely on Web Account Manager (WAM) for token requests also get SSO on Azure AD joined devices.
  • A WAM nem támaszkodik a felhasználók hitelesítésére.Don't rely on WAM may prompt users for authentication.

Helyszíni webalkalmazásokOn-premises web applications

Ha az alkalmazásai egyéni és/vagy helyszíni környezetben találhatók, akkor a böngésző megbízható helyeihez hozzá kell adnia azokat a következőkhöz:If your apps are custom built and/or hosted on-premises, you need to add them to your browser’s trusted sites to:

  • A Windows beépített hitelesítésének engedélyezése a működéshezEnable Windows integrated authentication to work
  • Adjon meg egy nem gyors egyszeri bejelentkezéses felhasználói élményt a felhasználóknak.Provide a no-prompt SSO experience to users.

Ha AD FS használ, tekintse meg az egyszeri bejelentkezés ellenőrzése és kezelése a AD FShasználatával című témakört.If you use AD FS, see Verify and manage single sign-on with AD FS.

Javaslat: Vegye fontolóra a felhőben való üzemeltetést (például az Azure-t) és az Azure AD-val való integrációt a jobb felhasználói élmény érdekében.Recommendation: Consider hosting in the cloud (for example, Azure) and integrating with Azure AD for a better experience.

Örökölt protokollokra támaszkodó helyszíni alkalmazásokOn-premises applications relying on legacy protocols

A felhasználók egyszeri bejelentkezést kapnak az Azure AD-hez csatlakoztatott eszközökről, ha az eszköz hozzáfér egy tartományvezérlőhöz.Users get SSO from Azure AD joined devices if the device has access to a domain controller.

Javaslat: Azure ad alkalmazás proxy üzembe helyezésével engedélyezheti ezeknek az alkalmazásoknak a biztonságos elérését.Recommendation: Deploy Azure AD App proxy to enable secure access for these applications.

Helyszíni hálózati megosztásokOn-premises network shares

A felhasználók egyszeri bejelentkezéssel rendelkeznek az Azure AD-hez csatlakoztatott eszközökről, amikor egy eszköz hozzáfér egy helyszíni tartományvezérlőhöz.Your users have SSO from Azure AD joined devices when a device has access to an on-premises domain controller.

NyomtatókPrinters

A nyomtatók esetében telepítenie kell a hibrid Felhőbeli nyomtatást a nyomtatók Azure ad-hez csatlakoztatott eszközökön való felfedéséhez.For printers, you need to deploy hybrid cloud print for discovering printers on Azure AD joined devices.

Habár a nyomtatók nem észlelhetők automatikusan csak Felhőbeli környezetben, a felhasználók a nyomtatók UNC elérési útját is használhatják közvetlenül a hozzáadáshoz.While printers can't be automatically discovered in a cloud only environment, your users can also use the printers’ UNC path to directly add them.

Számítógép-hitelesítésre támaszkodó helyszíni alkalmazásokOn-premises applications relying on machine authentication

Az Azure AD-hez csatlakoztatott eszközök nem támogatják a számítógép-hitelesítésre támaszkodó helyszíni alkalmazásokat.Azure AD joined devices don't support on-premises applications relying on machine authentication.

Javaslat: Vegye fontolóra az alkalmazások kivonását és a modern alternatívákra való áttérést.Recommendation: Consider retiring these applications and moving to their modern alternatives.

Távoli asztali szolgáltatásokRemote Desktop Services

Az Azure AD-hez csatlakoztatott eszközökhöz való távoli asztali kapcsolathoz a gazdagépnek Azure AD-hez csatlakoztatott vagy hibrid Azure AD-csatlakozásra van szüksége.Remote desktop connection to an Azure AD joined devices requires the host machine to be either Azure AD joined or Hybrid Azure AD joined. A távoli asztal nem csatlakoztatott vagy nem Windows rendszerű eszközről nem támogatott.Remote desktop from an unjoined or non-Windows device is not supported. További információ: Csatlakozás távoli Azure ad-hez csatlakoztatott számítógéphezFor more information, see Connect to remote Azure AD joined pc

A Windows 10 2004 frissítésének indítása után a felhasználók a Távoli asztalt használhatják egy Azure AD-beli regisztrált Windows 10-es eszközről egy Azure AD-hez csatlakoztatott eszközre.Starting Windows 10 2004 update, users can alo use remote desktop from an Azure AD registered Windows 10 device to an Azure AD joined device.

A kiépítési lehetőségek megismeréseUnderstand your provisioning options

Az Azure AD JOIN a következő módszerekkel építhető ki:You can provision Azure AD join using the following approaches:

  • Önkiszolgáló az Oobe/Settings -ben – önkiszolgáló módban a felhasználók az Azure ad JOIN folyamaton keresztül érhetik el a Windows beépített felhasználói élmény (OOBE) vagy a Windows beállításai között.Self-service in OOBE/Settings - In the self-service mode, users go through the Azure AD join process either during Windows Out of Box Experience (OOBE) or from Windows Settings. További információ: a munkahelyi eszköz csatlakoztatása a szervezet hálózatához.For more information, see Join your work device to your organization's network.
  • Windows Autopilot – a Windows Autopilot lehetővé teszi az eszközök előzetes konfigurálását az Oobe zökkenőmentesebb működéséhez az Azure ad-csatlakozás végrehajtásához.Windows Autopilot - Windows Autopilot enables pre-configuration of devices for a smoother experience in OOBE to perform an Azure AD join. További információ: a Windows Autopilot áttekintése.For more information, see the Overview of Windows Autopilot.
  • Tömeges beléptetés – a tömeges regisztráció lehetővé teszi, hogy a rendszergazda egy tömeges kiépítési eszközzel konfigurálja az eszközöket az Azure ad-hez.Bulk enrollment - Bulk enrollment enables an administrator driven Azure AD join by using a bulk provisioning tool to configure devices. További információ: csoportos regisztráció a Windows-eszközökhöz.For more information, see Bulk enrollment for Windows devices.

A következő három megközelítés összehasonlításaHere’s a comparison of these three approaches

ElemElement Önkiszolgáló telepítésSelf-service setup Windows AutopilotWindows Autopilot Csoportos regisztrációBulk enrollment
Felhasználói beavatkozás szükséges a beállításhozRequire user interaction to set up IgenYes IgenYes NemNo
INFORMATIKAI erőfeszítés megköveteléseRequire IT effort NemNo IgenYes IgenYes
Érintett folyamatokApplicable flows OOBE & beállításaiOOBE & Settings Csak OOBEOOBE only Csak OOBEOOBE only
Rendszergazdai jogosultságok az elsődleges felhasználó számáraLocal admin rights to primary user Igen, alapértelmezés szerintYes, by default KonfigurálhatóConfigurable NemNo
Eszköz OEM-támogatásának megköveteléseRequire device OEM support NemNo IgenYes NemNo
Támogatott verziókSupported versions 1511 +1511+ 1709 +1709+ 1703 +1703+

Válassza ki az üzembe helyezési módszert vagy megközelítéseket a fenti táblázat áttekintésével, és tekintse át a következő szempontokat az egyik megközelítés elfogadásához:Choose your deployment approach or approaches by reviewing the table above and reviewing the following considerations for adopting either approach:

  • A felhasználók a technikai hozzáértést használják a telepítésre?Are your users tech savvy to go through the setup themselves?
    • Az önkiszolgáló szolgáltatás a legjobban használható a felhasználók számára.Self-service can work best for these users. Gondolja át a Windows autopilott a felhasználói élmény fokozása érdekében.Consider Windows Autopilot to enhance the user experience.
  • A felhasználók távolról vagy a vállalati helyszínen találhatók?Are your users remote or within corporate premises?
    • Az önkiszolgáló vagy az Autopilot a legjobb megoldás a távoli felhasználók számára a problémamentes telepítéshez.Self-service or Autopilot work best for remote users for a hassle-free setup.
  • Inkább felhasználó által vezérelt vagy rendszergazda által felügyelt konfigurációt szeretne?Do you prefer a user driven or an admin-managed configuration?
    • A csoportos regisztráció hatékonyabban működik a rendszergazda által vezérelt üzembe helyezéshez az eszközök felhasználóknak való átadása előtt.Bulk enrollment works better for admin driven deployment to set up devices before handing over to users.
  • Vásárolja meg az 1-2-es SZÁMÍTÓGÉPGYÁRTÓKtól származó eszközöket, vagy az OEM-eszközök széles körben terjeszthető?Do you purchase devices from 1-2 OEMS, or do you have a wide distribution of OEM devices?
    • Ha olyan korlátozott számítógépgyártóktól vásárol, akik az Autopilot-t is támogatják, az Autopilot szorosabb integrációját veheti igénybe.If purchasing from limited OEMs who also support Autopilot, you can benefit from tighter integration with Autopilot.

Az eszközbeállítások konfigurálásaConfigure your device settings

A Azure Portal segítségével szabályozható az Azure AD-hez csatlakoztatott eszközök üzembe helyezése a szervezetben.The Azure portal allows you to control the deployment of Azure AD joined devices in your organization. A kapcsolódó beállítások konfigurálásához a Azure Active Directory laponválassza a elemet Devices > Device settings .To configure the related settings, on the Azure Active Directory page, select Devices > Device settings.

A felhasználók eszközöket léptethetnek be az Azure AD-beUsers may join devices to Azure AD

Ezt a beállítást állítsa be a telepítés hatóköre alapján, és válassza ki az Azure ad-hez csatlakoztatott eszköz beállítását.Set this option to All or Selected based on the scope of your deployment and who you want to allow to setup an Azure AD joined device.

A felhasználók eszközöket léptethetnek be az Azure AD-be

Az Azure AD-be léptetett eszközök további helyi rendszergazdáiAdditional local administrators on Azure AD joined devices

Válassza a kijelölés lehetőséget, és jelölje ki azokat a felhasználókat, akiket hozzá szeretne adni a helyi rendszergazdák csoportjához az összes Azure ad-hez csatlakoztatott eszközön.Choose Selected and selects the users you want to add to the local administrators’ group on all Azure AD joined devices.

Az Azure AD-be léptetett eszközök további helyi rendszergazdái

Multi-Factor Auth megkövetelése eszközök csatlakoztatásáhozRequire multi-factor Auth to join devices

Válassza az Igen lehetőséget, ha azt szeretné, hogy a felhasználók a MFA-t az eszközök Azure ad-hez való csatlakoztatása közben végezzékSelect “Yes if you require users to perform MFA while joining devices to Azure AD. Az eszközöket az Azure AD-be az MFA használatával összekötő felhasználók esetében maga az eszköz második tényezővé válik.For the users joining devices to Azure AD using MFA, the device itself becomes a 2nd factor.

Multi-Factor Auth megkövetelése eszközök csatlakoztatásához

A mobilitási beállítások konfigurálásaConfigure your mobility settings

A mobilitási beállítások konfigurálása előtt előfordulhat, hogy előbb hozzá kell adnia egy MDM-szolgáltatót.Before you can configure your mobility settings, you may have to add an MDM provider, first.

Mdm-szolgáltató hozzáadása:To add an MDM provider:

  1. A Azure Active Directory lap kezelés szakaszában kattintson a elemre Mobility (MDM and MAM) .On the Azure Active Directory page, in the Manage section, click Mobility (MDM and MAM).

  2. Kattintson az alkalmazás hozzáadásalehetőségre.Click Add application.

  3. Válassza ki a MDM-szolgáltatót a listából.Select your MDM provider from the list.

    Alkalmazás hozzáadása

Válassza ki a MDM szolgáltatóját a kapcsolódó beállítások konfigurálásához.Select your MDM provider to configure the related settings.

MDM-felhasználói hatókörMDM user scope

A telepítés hatóköre alapján válasszon ki egy vagy mindet .Select Some or All based on the scope of your deployment.

MDM-felhasználói hatókör

A hatókör alapján a következők egyike történik:Based on your scope, one of the following happens:

  • A felhasználó Mdm hatókörbenvan: Ha prémium szintű Azure ad-előfizetéssel rendelkezik, a Mdm-regisztráció az Azure ad JOIN szolgáltatással együtt automatizálható.User is in MDM scope: If you have an Azure AD Premium subscription, MDM enrollment is automated along with Azure AD join. Az összes hatókörrel rendelkező felhasználónak rendelkeznie kell egy megfelelő licenccel a MDM.All scoped users must have an appropriate license for your MDM. Ha ebben a forgatókönyvben a MDM-regisztráció meghiúsul, az Azure AD JOIN is vissza lesz állítva.If MDM enrollment fails in this scenario, Azure AD join will also be rolled back.
  • A felhasználó nincs Mdm hatókörben: Ha a felhasználók nincsenek a Mdm hatókörében, az Azure ad JOIN Mdm-regisztráció nélkül fejeződik be.User is not in MDM scope: If users are not in MDM scope, Azure AD join completes without any MDM enrollment. Ez egy nem felügyelt eszköz eredményét eredményezi.This results in an unmanaged device.

MDM-URL-címekMDM URLs

A MDM-konfigurációhoz három URL-cím kapcsolódik:There are three URLs that are related to your MDM configuration:

  • MDM használati feltételeinek URL-címeMDM terms of use URL
  • MDM-felderítési URL-címMDM discovery URL
  • MDM megfelelőségi URL-címeMDM compliance URL

Alkalmazás hozzáadása

Mindegyik URL-címnek előre definiált alapértelmezett értéke van.Each URL has a predefined default value. Ha ezek a mezők üresek, további információért forduljon a MDM-szolgáltatóhoz.If these fields are empty, please contact your MDM provider for more information.

MAM-beállításokMAM settings

A MAM nem vonatkozik az Azure AD JOIN szolgáltatásra.MAM does not apply to Azure AD join.

Vállalati állapot barangolásának konfigurálásaConfigure enterprise state roaming

Ha engedélyezni szeretné az állapot-barangolást az Azure AD-ben, hogy a felhasználók szinkronizálják a beállításait az eszközök között, tekintse meg a Enterprise State roaming engedélyezése a Azure Active Directorybancímű témakört.If you want to enable state roaming to Azure AD so that users can sync their settings across devices, see Enable Enterprise State Roaming in Azure Active Directory.

Javaslat: engedélyezze ezt a beállítást még a hibrid Azure ad-hez csatlakoztatott eszközök esetében is.Recommendation: Enable this setting even for hybrid Azure AD joined devices.

Feltételes hozzáférés konfigurálásaConfigure Conditional Access

Ha rendelkezik egy, az Azure AD-hez csatlakoztatott eszközökhöz konfigurált MDM-szolgáltatóval, a szolgáltató az eszközt megfelelőként megjelöli, amint az eszköz felügyelete alatt áll.If you have an MDM provider configured for your Azure AD joined devices, the provider flags the device as compliant as soon as the device is under management.

Megfelelő eszköz

Ezzel a megvalósítással feltételes hozzáféréssel rendelkező felügyelt eszközöket igényelhet a Cloud app Access számára.You can use this implementation to require managed devices for cloud app access with Conditional Access.

További lépésekNext steps