How to: Plan your Azure AD join implementation (Jak zaplanować implementację dołączania do usługi Azure AD)

Dołączanie do usługi Azure AD umożliwia dołączanie urządzeń bezpośrednio do usługi Azure AD bez konieczności dołączania do lokalna usługa Active Directory przy jednoczesnym zachowaniu produktywności i bezpieczeństwa użytkowników. Dołączanie do usługi Azure AD jest gotowe do użycia w przedsiębiorstwie zarówno we wdrożeniach w skali, jak i w zakresie.

Ten artykuł zawiera informacje potrzebne do zaplanowania implementacji dołączania do usługi Azure AD.

Wymagania wstępne

W tym artykule założono, że znasz już artykuł Wprowadzenie do zarządzania urządzeniami w programie Azure Active Directory.

Planowanie implementacji

Aby zaplanować implementację dołączania do usługi Azure AD, zapoznaj się z:

  • Przegląd scenariuszy
  • Przeglądanie infrastruktury tożsamości
  • Ocena zarządzania urządzeniami
  • Opis kwestii do rozważenia dla aplikacji i zasobów
  • Understand your provisioning options (Opis opcji aprowowania)
  • Konfigurowanie roamingu stanu przedsiębiorstwa
  • Konfigurowanie dostępu warunkowego

Przegląd scenariuszy

Chociaż dołączanie hybrydowe do usługi Azure AD może być preferowane w niektórych scenariuszach, dołączanie do usługi Azure AD umożliwia przejście do modelu opartego na chmurze z Windows. Jeśli planujesz zmodernizować zarządzanie urządzeniami i zmniejszyć koszty it związane z urządzeniami, dołączenie do usługi Azure AD stanowi doskonałą podstawę do osiągnięcia tych celów.

Należy rozważyć dołączenie do usługi Azure AD, jeśli cele są zgodne z następującymi kryteriami:

  • Użytkownik przyjmuje Microsoft 365 jako pakiet zwiększający produktywność dla użytkowników.
  • Chcesz zarządzać urządzeniami za pomocą rozwiązania do zarządzania urządzeniami w chmurze.
  • Chcesz uprościć aprowizowanie urządzeń dla użytkowników rozproszonych geograficznie.
  • Planujesz zmodernizować infrastrukturę aplikacji.

Przeglądanie infrastruktury tożsamości

Dołączanie do usługi Azure AD działa w środowiskach zarządzanych i federowanych.

Środowisko zarządzane

Środowisko zarządzane można wdrożyć za pośrednictwem synchronizacji skrótów haseł lub uwierzytelniania pass through z bezproblemowym logowaniem pojedynczym.

Te scenariusze nie wymagają skonfigurowania serwera feder dodatkowego do uwierzytelniania.

Środowisko federowane

Środowisko federacji powinno mieć dostawcę tożsamości, który obsługuje protokoły WS-Trust i WS-Fed tożsamości:

  • WS-Fed: Ten protokół jest wymagany do dołączenia urządzenia do usługi Azure AD.
  • WS-Trust: Ten protokół jest wymagany do logowania się do urządzenia przyłączonego do usługi Azure AD.

W przypadku korzystania z AD FS należy włączyć następujące punkty WS-Trust końcowe: /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

Jeśli dostawca tożsamości nie obsługuje tych protokołów, dołączanie do usługi Azure AD nie działa natywnie.

Uwaga

Obecnie dołączanie do usługi Azure AD nie działa z programem AD FS 2019skonfigurowanym z zewnętrznymi dostawcami uwierzytelniania jako podstawową metodą uwierzytelniania. Domyślnie dołączanie do usługi Azure AD jest metodą podstawową uwierzytelniania za pomocą hasła, co powoduje błędy uwierzytelniania w tym scenariuszu

Karty inteligentne i uwierzytelnianie oparte na certyfikatach

Do dołączania urządzeń do usługi Azure AD nie można używać kart inteligentnych ani uwierzytelniania opartego na certyfikatach. Jednak kart inteligentnych można użyć do logowania się do urządzeń przyłączonych do usługi Azure AD, jeśli AD FS skonfigurowane.

Zalecenie: Zaim Windows Hello for Business na potrzeby silnego uwierzytelniania bez hasła na urządzeniach Windows 10 i powyżej.

Konfiguracja użytkownika

Jeśli tworzysz użytkowników w swoim:

  • W lokalnej usłudze Active Directory należy zsynchronizować je z usługą Azure AD przy użyciu usługi Azure AD Połączenie.
  • W usłudze Azure AD nie jest wymagana żadna dodatkowa konfiguracja.

Lokalne upny UPN, które różnią się od sieci UPN usługi Azure AD, nie są obsługiwane na urządzeniach przyłączonych do usługi Azure AD. Jeśli użytkownicy korzystają z lokalnej głównej sieci upn, należy zaplanować przełączenie się do korzystania z podstawowej głównej sieci UPN w usłudze Azure AD.

Zmiany upn są obsługiwane tylko od Windows 10 2004. Użytkownicy urządzeń z tą aktualizacją nie będą mieć żadnych problemów po zmianie ich upn. W przypadku urządzeń przed Windows 10 2004 użytkownicy mieli problemy z logowaniem jednokrotnym i dostępem warunkowym na swoich urządzeniach. Aby rozwiązać ten problem, Windows zalogować się za pomocą kafelka "Inny użytkownik" przy użyciu nowej nazwy UPN.

Ocena zarządzania urządzeniami

Obsługiwane urządzenia

Dołączanie do usługi Azure AD:

  • Dotyczy urządzeń Windows 10 i Windows 11.
  • Nie ma zastosowania do poprzednich wersji programu Windows ani innych systemów operacyjnych. Jeśli masz już Windows w wersji 7/8.1, musisz uaktualnić co najmniej Windows 10, aby wdrożyć dołączanie do usługi Azure AD.
  • Jest obsługiwany w przypadku modułu TPM 2.0 zgodnego ze standardem FIPS, ale nie jest obsługiwany w przypadku modułu TPM 1.2. Jeśli urządzenia mają moduł TPM 1.2 zgodny ze standardem FIPS, należy je wyłączyć przed rozpoczęciem dołączania do usługi Azure AD. Firma Microsoft nie oferuje żadnych narzędzi do wyłączania trybu FIPS dla modułu TPM, ponieważ jest on zależny od producenta modułu TPM. Skontaktuj się z producentem OEM sprzętu, aby uzyskać pomoc techniczną.

Zalecenie: Zawsze używaj najnowszej wersji Windows 10, aby korzystać ze zaktualizowanych funkcji.

Platforma zarządzania

Zarządzanie urządzeniami dla urządzeń przyłączonych do usługi Azure AD jest oparte na platformie MDM, takiej jak usługa Intune i CSP rozwiązania MDM. Windows 10 ma wbudowanego agenta MDM, który działa ze wszystkimi zgodnymi rozwiązaniami MDM.

Uwaga

Zasady grupy nie są obsługiwane na urządzeniach przyłączone do usługi Azure AD, ponieważ nie są połączone z lokalna usługa Active Directory. Zarządzanie urządzeniami przyłączonymi do usługi Azure AD jest możliwe tylko za pośrednictwem zarządzania urządzeniami przenośnymi

Istnieją dwa podejścia do zarządzania urządzeniami przyłączonymi do usługi Azure AD:

  • Tylko rozwiązanie MDM — urządzenie jest zarządzane wyłącznie przez dostawcę rozwiązania MDM, takiego jak usługa Intune. Wszystkie zasady są dostarczane w ramach procesu rejestracji mdm. W Azure AD — wersja Premium lub EMS rejestracja w usłudze MDM jest zautomatyzowanym krokiem, który jest częścią dołączania do usługi Azure AD.
  • Współza zarządzanie — urządzenie jest zarządzane przez dostawcę mdm i program SCCM. W tym podejściu agent SCCM jest instalowany na urządzeniu zarządzanym przez rozwiązanie MDM w celu administrowania pewnymi aspektami.

Jeśli używasz zasad grupy, oceń parzystość zasad zasad grupy i zarządzania urządzeniami przenośnymi przy użyciu zasady grupy analizy w Microsoft Endpoint Manager.

Przejrzyj obsługiwane i nieobsługiwane zasady, aby określić, czy można użyć rozwiązania MDM zamiast zasad grupy. W przypadku nieobsługiwanych zasad należy wziąć pod uwagę następujące kwestie:

  • Czy nieobsługiwane zasady są niezbędne dla urządzeń lub użytkowników przyłączone do usługi Azure AD?
  • Czy nieobsługiwane zasady mają zastosowanie we wdrożeniu opartym na chmurze?

Jeśli Twoje rozwiązanie MDM nie jest dostępne za pośrednictwem galerii aplikacji usługi Azure AD, możesz dodać je zgodnie z procesem opisanym w te Azure Active Directory z mdm.

Za pomocą współza zarządzania można używać programu SCCM do zarządzania pewnymi aspektami urządzeń, gdy zasady są dostarczane za pośrednictwem platformy MDM. Microsoft Intune umożliwia współza zarządzanie przy użyciu sccm. Aby uzyskać więcej informacji na temat współza zarządzania urządzeniami Windows 10, zobacz Co to jest współza zarządzanie?. Jeśli używasz produktu MDM innego niż usługa Intune, skontaktuj się z dostawcą rozwiązania MDM, aby uzyskać informacje na temat odpowiednich scenariuszy współza zarządzania.

Zalecenie: Rozważ zarządzanie tylko urządzeniami przenośnymi dla urządzeń przyłączonych do usługi Azure AD.

Opis kwestii do rozważenia dla aplikacji i zasobów

Zalecamy migrowanie aplikacji ze środowisk lokalnych do chmury, aby poprawić środowisko użytkownika i kontrolę dostępu. Jednak urządzenia przyłączone do usługi Azure AD mogą bezproblemowo zapewniać dostęp zarówno do aplikacji lokalnych, jak i aplikacji w chmurze. Aby uzyskać więcej informacji, zobacz How SSO to on-premises resources works on Azure AD joined devices(Jak działa logowanie jednokrotne do zasobów lokalnych na urządzeniach przyłączonych do usługi Azure AD).

W poniższych sekcjach przedstawiono zagadnienia dotyczące różnych typów aplikacji i zasobów.

Aplikacje oparte na chmurze

Jeśli aplikacja zostanie dodana do galerii aplikacji usługi Azure AD, użytkownicy otrzymają logowanie jednokrotne za pośrednictwem urządzeń przyłączonych do usługi Azure AD. Nie jest wymagana żadna dodatkowa konfiguracja. Użytkownicy mogą uzyskać logowanie jednokrotne w przeglądarkach Microsoft Edge i Chrome. W przypadku programu Chrome należy wdrożyć rozszerzenie Windows 10 Accounts.

Wszystkie aplikacje Win32, które:

  • Poleganie na Menedżer kont internetowych żądań tokenów również w celu uzyskania logowania jednokrotnego na urządzeniach przyłączonych do usługi Azure AD.
  • Nie polegaj na tym, że użytkownicy mogą monitować użytkowników o uwierzytelnienie.

Lokalne aplikacje internetowe

Jeśli twoje aplikacje są niestandardowe i/lub hostowane lokalnie, musisz dodać je do zaufanych witryn przeglądarki, aby:

  • Włącz Windows zintegrowane uwierzytelnianie, aby działało
  • Udostępnij użytkownikom środowisko logowania jednokrotnego bez monitowania.

Jeśli używasz konta AD FS, zobacz Weryfikowanie logowania AD FS i zarządzanie nim.

Zalecenie: Rozważ hosting w chmurze (na przykład azure) i integrację z usługą Azure AD, aby uzyskać lepsze środowisko.

Aplikacje lokalne zależne od starszych protokołów

Użytkownicy mogą korzystać z logowania jednokrotnego z urządzeń przyłączonych do usługi Azure AD, jeśli urządzenie ma dostęp do kontrolera domeny.

Uwaga

Urządzenia przyłączone do usługi Azure AD mogą bezproblemowo zapewniać dostęp do aplikacji lokalnych i w chmurze. Aby uzyskać więcej informacji, zobacz How SSO to on-premises resources works on Azure AD joined devices(Jak działa logowanie jednokrotne do zasobów lokalnych na urządzeniach przyłączone do usługi Azure AD).

Zalecenie: Wd aplikacja usługi Azure AD proxy, aby włączyć bezpieczny dostęp dla tych aplikacji.

Lokalne udziały sieciowe

Użytkownicy mają logowanie jednokrotne z urządzeń przyłączone do usługi Azure AD, gdy urządzenie ma dostęp do lokalnego kontrolera domeny. Dowiedz się, jak to działa

Drukarki

Zalecamy wdrożenie Drukowanie uniwersalne, aby mieć oparte na chmurze rozwiązanie do zarządzania drukowaniem bez żadnych zależności lokalnych.

Aplikacje lokalne oparte na uwierzytelnianiu maszyn

Urządzenia przyłączone do usługi Azure AD nie obsługują aplikacji lokalnych, które korzystają z uwierzytelniania maszynowego.

Zalecenie: Rozważ wycofanie tych aplikacji i przejście do ich nowoczesnych alternatyw.

Usługi pulpitu zdalnego

Połączenie pulpitu zdalnego z urządzeniami przyłączonymi do usługi Azure AD wymaga, aby komputer hosta był przyłączony do usługi Azure AD lub do hybrydowej usługi Azure AD. Pulpit zdalny z urządzenia odłączony lub Windows nie jest obsługiwany. Aby uzyskać więcej informacji, zobacz Połączenie do komputera przyłączony do zdalnej usługi Azure AD

Począwszy Windows 10 2004 r., użytkownicy mogą również używać pulpitu zdalnego z urządzenia zarejestrowanego w usłudze Azure AD Windows 10 na urządzeniu przyłączony do usługi Azure AD.

Uwierzytelnianie za pomocą protokołu RADIUS Wi-Fi usługi

Obecnie urządzenia przyłączone do usługi Azure AD nie obsługują uwierzytelniania usługi RADIUS w celu nawiązywania połączenia z punktami dostępu usługi Wi-Fi, ponieważ usługa RADIUS opiera się na obecności lokalnego obiektu komputera. Alternatywnie można użyć certyfikatów wypychanych za pośrednictwem usługi Intune lub poświadczeń użytkownika do uwierzytelniania w sieci Wi-Fi.

Understand your provisioning options (Opis opcji aprowowania)

Uwaga: nie można wdrażać urządzeń przyłączonych do usługi Azure AD przy użyciu narzędzia przygotowywania systemu (Sysprep) ani podobnych narzędzi do tworzenia obrazów

Dołączanie do usługi Azure AD można aprowizuje przy użyciu następujących metod:

  • Samoobsługa w trybie OOBE/Ustawienia — w trybie samoobsługi użytkownicy są przechodzić przez proces dołączania do usługi Azure AD podczas pracy z programem Windows Out of Box Experience (OOBE) lub z Windows Ustawienia. Aby uzyskać więcej informacji, zobacz Dołączanie urządzenia służbowego do sieci organizacji.
  • Windows Autopilot — Windows Autopilot umożliwia wstępną konfigurację urządzeń w celu płynniejszego działania funkcji OOBE w celu dołączenia do usługi Azure AD. Aby uzyskać więcej informacji, zobacz Omówienie rozwiązania Windows Autopilot.
  • Rejestracja zbiorcza — rejestracja zbiorcza umożliwia dołączanie do usługi Azure AD sterowane przez administratora przy użyciu narzędzia do inicjowania obsługi zbiorczej w celu skonfigurowania urządzeń. Aby uzyskać więcej informacji, zobacz Rejestracja zbiorcza dla Windows urządzeń.

Oto porównanie tych trzech podejść

Element Konfiguracja samoobsługowa Windows Autopilot Rejestrowanie zbiorcze
Wymagaj interakcji z użytkownikiem w celu skonfigurowania Tak Tak Nie
Wymagaj nakładu pracy it Nie Tak Tak
Stosowane przepływy OOBE & Ustawienia Tylko środowisko OOBE Tylko środowisko OOBE
Uprawnienia administratora lokalnego do użytkownika podstawowego Tak, domyślnie Konfigurowalne Nie
Wymagaj obsługi producentów OEM urządzeń Nie Tak Nie
Obsługiwane wersje 1511+ 1709+ 1703+

Wybierz swoje podejście lub podejścia do wdrażania, przeglądając tabelę powyżej i przeglądając następujące zagadnienia dotyczące wdrażania obu metod:

  • Czy użytkownicy są w stanie samodzielnie przejść przez konfigurację?
    • Samoobsługa może działać najlepiej dla tych użytkowników. Rozważ Windows rozwiązania Autopilot, aby ulepszyć środowisko użytkownika.
  • Czy użytkownicy są zdalni, czy w środowisku firmowym?
    • Samoobsługa lub rozwiązanie Autopilot działają najlepiej dla użytkowników zdalnych w przypadku bezproblemowej konfiguracji.
  • Czy wolisz konfigurację zarządzaną przez użytkownika, czy zarządzaną przez administratora?
    • Rejestracja zbiorcza działa lepiej w przypadku wdrażania sterowanego przez administratora w celu skonfigurowania urządzeń przed ich oddaniem do użytkowników.
  • Czy kupujesz urządzenia od 1 do 2 producentów OEM, czy masz szeroką dystrybucję urządzeń OEM?
    • W przypadku zakupu od ograniczonej liczby producentów OEM, którzy obsługują również funkcję Autopilot, możesz skorzystać ze ściślejszej integracji z rozwiązaniem Autopilot.

Konfigurowanie ustawień urządzenia

Usługa Azure Portal umożliwia kontrolowanie wdrażania urządzeń przyłącznych do usługi Azure AD w organizacji. Aby skonfigurować powiązane ustawienia, na stronie Azure Active Directory wybierz pozycję Devices > Device settings . Dowiedz się więcej

Użytkownicy mogą dołączać urządzenia do usługi Azure AD

Ustaw tę opcję na wartość Wszystkie lub Wybrane w zależności od zakresu wdrożenia i tego, kto ma zezwalać na konfigurowanie urządzenia przyłączone do usługi Azure AD.

Użytkownicy mogą dołączać urządzenia do usługi Azure AD

Dodatkowi administratorzy lokalni na urządzeniach dołączonych do usługi Azure AD

Wybierz pozycję Wybrane i wybierz użytkowników, których chcesz dodać do lokalnej grupy administratorów na wszystkich urządzeniach przyłączone do usługi Azure AD.

Dodatkowi administratorzy lokalni na urządzeniach dołączonych do usługi Azure AD

Wymaganie uwierzytelniania wieloskładnikowego (MFA) w celu dołączenia urządzeń

Wybierz pozycję "Tak, jeśli wymagasz od użytkowników uwierzytelniania wieloskładnikowego podczas dołączania urządzeń do usługi Azure AD.

Wymaganie uwierzytelniania wieloskładnikowego w celu dołączenia urządzeń

Zalecenie: Użyj akcji użytkownika Rejestrowanie lub dołączanie urządzeń w dostępie warunkowym w celu wymuszania uwierzytelniania wieloskładnikowego w celu dołączania urządzeń.

Konfigurowanie ustawień mobilności

Przed skonfigurowaniem ustawień mobilności może być najpierw trzeba dodać dostawcę rozwiązania MDM.

Aby dodać dostawcę zarządzania urządzeniami przenośnymi:

  1. Na stronie Azure Active Directory w sekcji Zarządzanie kliknij pozycję Mobility (MDM and MAM) .

  2. Kliknij pozycję Dodaj aplikację.

  3. Wybierz dostawcę rozwiązania MDM z listy.

    Zrzut ekranu przedstawiający Azure Active Directory Dodawanie aplikacji. Na liście znajduje się kilku dostawców M D M.

Wybierz dostawcę rozwiązania MDM, aby skonfigurować powiązane ustawienia.

Zakres użytkownika oprogramowania MDM

Wybierz pozycję Niektóre lub Wszystkie w zależności od zakresu wdrożenia.

Zakres użytkownika oprogramowania MDM

W zależności od zakresu ma miejsce jedno z następujących działań:

  • Użytkownik jest w zakresie zarządzania urządzeniami przenośnymi: jeśli masz subskrypcję Azure AD — wersja Premium, rejestracja w usłudze MDM jest zautomatyzowana wraz z dołączanie do usługi Azure AD. Wszyscy użytkownicy z zakresem muszą mieć odpowiednią licencję dla rozwiązania MDM. Jeśli rejestracja w usłudze MDM zakończy się niepowodzeniem w tym scenariuszu, dołączanie do usługi Azure AD również zostanie wycofane.
  • Użytkownik nie znajduje się w zakresie zarządzania urządzeniami przenośnymi: jeśli użytkownicy nie znajdują się w zakresie MDM, dołączanie do usługi Azure AD zakończy się bez rejestracji w usłudze MDM. Powoduje to, że urządzenie niezaimażowane.

Adresy URL funkcji zarządzania urządzeniami przenośnymi

Istnieją trzy adresy URL powiązane z konfiguracją zarządzania urządzeniami przenośnymi:

  • Adres URL warunków użytkowania zarządzania urządzeniami przenośnymi
  • Adres URL odnajdywania zarządzania urządzeniami przenośnymi
  • Adres URL zgodności zarządzania urządzeniami przenośnymi

Zrzut ekranu przedstawiający część sekcji Azure Active Directory konfiguracji M D M z polami U R L dla warunków użytkowania, odnajdywania i zgodności oprogramowania M D M.

Każdy adres URL ma wstępnie zdefiniowaną wartość domyślną. Jeśli te pola są puste, skontaktuj się z dostawcą rozwiązania MDM, aby uzyskać więcej informacji.

Ustawienia funkcji MAM

Usługa MAM nie ma zastosowania do dołączania do usługi Azure AD.

Konfigurowanie roamingu stanu przedsiębiorstwa

Jeśli chcesz włączyć roaming stanu w usłudze Azure AD, aby użytkownicy mogą synchronizować ustawienia między urządzeniami, zobacz Włączanie roamingu Enterprise State Roaming w usłudze Azure Active Directory.

Zalecenie: włącz to ustawienie nawet w przypadku urządzeń przyłączone hybrydową do usługi Azure AD.

Konfigurowanie dostępu warunkowego

Jeśli masz dostawcę rozwiązania MDM skonfigurowanego dla urządzeń przyłączony do usługi Azure AD, dostawca flaguje urządzenie jako zgodne, gdy tylko urządzenie jest pod zarządzaniem.

Zgodne urządzenie

Ta implementacja umożliwia wymaganie urządzeń zarządzanych w celu uzyskania dostępu do aplikacji w chmurze przy użyciu dostępu warunkowego.

Następne kroki