Instrukcje: Planowanie wdrożenia usługi Azure AD JoinHow to: Plan your Azure AD join implementation

Usługa Azure AD Join umożliwia dołączanie urządzeń bezpośrednio do usługi Azure AD bez konieczności przyłączania do Active Directory lokalnych, zapewniając jednocześnie produktywność i bezpieczeństwo użytkowników.Azure AD join allows you to join devices directly to Azure AD without the need to join to on-premises Active Directory while keeping your users productive and secure. Usługa Azure AD Join jest gotowa do wdrożenia w przedsiębiorstwie zarówno w przypadku wdrożeń w skali, jak i w zakresie.Azure AD join is enterprise-ready for both at-scale and scoped deployments.

Ten artykuł zawiera informacje potrzebne do zaplanowania wdrożenia usługi Azure AD Join.This article provides you with the information you need to plan your Azure AD join implementation.

Wymagania wstępnePrerequisites

W tym artykule założono, że znasz już wprowadzenie do zarządzania urządzeniami w Azure Active Directory.This article assumes that you are familiar with the Introduction to device management in Azure Active Directory.

Planowanie implementacjiPlan your implementation

Aby zaplanować wdrożenie usługi Azure AD join, zapoznaj się z tematem:To plan your Azure AD join implementation, you should familiarize yourself with:

Zaznacz Przejrzyj scenariuszeReview your scenarios
Zaznacz Przegląd infrastruktury tożsamościReview your identity infrastructure
Zaznacz Ocenianie zarządzania urządzeniamiAssess your device management
Zaznacz Zrozumienie zagadnień dotyczących aplikacji i zasobówUnderstand considerations for applications and resources
Zaznacz Zapoznaj się z opcjami aprowizacjiUnderstand your provisioning options
Zaznacz Konfigurowanie roamingu stanu przedsiębiorstwaConfigure enterprise state roaming
Zaznacz Konfigurowanie dostępu warunkowegoConfigure Conditional Access

Przejrzyj scenariuszeReview your scenarios

Chociaż hybrydowe dołączenie usługi Azure AD może być preferowane w niektórych scenariuszach, usługa Azure AD Join umożliwia przejście do modelu w chmurze z systemem Windows.While Hybrid Azure AD join may be preferred for certain scenarios, Azure AD join enables you to transition towards a cloud-first model with Windows. Jeśli planujesz modernizację zarządzania urządzeniami i obniżasz koszty IT związane z urządzeniami, usługa Azure AD Join zapewnia doskonałą podstawę do osiągnięcia tych celów.If you are planning to modernize your devices management and reduce device-related IT costs, Azure AD join provides a great foundation towards achieving those objectives.

Jeśli cele są zgodne z następującymi kryteriami, należy wziąć pod uwagę usługę Azure AD Join:You should consider Azure AD join if your goals align with the following criteria:

  • Przyjmujesz Microsoft 365 jako pakiet produktywności dla użytkowników.You are adopting Microsoft 365 as the productivity suite for your users.
  • Chcesz zarządzać urządzeniami za pomocą rozwiązania do zarządzania urządzeniami w chmurze.You want to manage devices with a cloud device management solution.
  • Chcesz uprościć Inicjowanie obsługi urządzeń dla użytkowników rozproszonych geograficznie.You want to simplify device provisioning for geographically distributed users.
  • Planujesz modernizację infrastruktury aplikacji.You plan to modernize your application infrastructure.

Przegląd infrastruktury tożsamościReview your identity infrastructure

Usługa Azure AD Join współpracuje z obydwoma środowiskami, zarządzanymi i federacyjnymi.Azure AD join works with both, managed and federated environments.

Środowisko zarządzaneManaged environment

Środowisko zarządzane można wdrożyć za pomocą synchronizacji skrótów haseł lub przekazywania uwierzytelniania przy użyciu bezproblemowego logowania jednokrotnego.A managed environment can be deployed either through Password Hash Sync or Pass Through Authentication with Seamless Single Sign On.

Te scenariusze nie wymagają konfigurowania serwera federacyjnego na potrzeby uwierzytelniania.These scenarios don't require you to configure a federation server for authentication.

Środowisko federacyjneFederated environment

Środowisko federacyjne powinno mieć dostawcę tożsamości, który obsługuje protokoły WS-Trust i WS-karmione:A federated environment should have an identity provider that supports both WS-Trust and WS-Fed protocols:

  • Usługa WS-karmione: Ten protokół jest wymagany do przyłączania urządzenia do usługi Azure AD.WS-Fed: This protocol is required to join a device to Azure AD.
  • Usługa WS-Trust: Ten protokół jest wymagany do zalogowania się do urządzenia dołączonego do usługi Azure AD.WS-Trust: This protocol is required to sign in to an Azure AD joined device.

W przypadku korzystania z AD FS należy włączyć następujące punkty końcowe protokołu WS-Trust: /adfs/services/trust/2005/usernamemixedWhen you're using AD FS, you need to enable the following WS-Trust endpoints: /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

Jeśli dostawca tożsamości nie obsługuje tych protokołów, usługa Azure AD Join nie działa w sposób natywny.If your identity provider does not support these protocols, Azure AD join does not work natively.

Uwaga

Obecnie usługa Azure AD Join nie działa w przypadku AD FS 2019 skonfigurowanego z zewnętrznymi dostawcami uwierzytelniania jako podstawową metodą uwierzytelniania.Currently, Azure AD join does not work with AD FS 2019 configured with external authentication providers as the primary authentication method. Usługa Azure AD Join domyślnie przyjmuje uwierzytelnianie hasła jako podstawową metodę, która powoduje błędy uwierzytelniania w tym scenariuszuAzure AD join defaults to password authentication as the primary method, which results in authentication failures in this scenario

Karty inteligentne i uwierzytelnianie oparte na certyfikatachSmartcards and certificate-based authentication

Do dołączania urządzeń do usługi Azure AD nie można używać kart inteligentnych ani uwierzytelniania opartego na certyfikatach.You can't use smartcards or certificate-based authentication to join devices to Azure AD. Można jednak użyć kart inteligentnych do logowania się do urządzeń przyłączonych do usługi Azure AD, jeśli skonfigurowano AD FS.However, smartcards can be used to sign in to Azure AD joined devices if you have AD FS configured.

Zalecenie: Zaimplementuj usługi Windows Hello dla firm, aby zapewnić silne uwierzytelnianie bez hasła na urządzeniach z systemem Windows 10.Recommendation: Implement Windows Hello for Business for strong, password-less authentication to Windows 10 devices.

Konfiguracja użytkownikaUser configuration

Jeśli tworzysz użytkowników w:If you create users in your:

  • Active Directory lokalnych, należy zsynchronizować je z usługą Azure AD przy użyciu Azure AD Connect.On-premises Active Directory, you need to synchronize them to Azure AD using Azure AD Connect.
  • Azure AD, nie jest wymagana żadna dodatkowa konfiguracja.Azure AD, no additional setup is required.

Lokalne nazwy UPN, które różnią się od nazw UPN usługi Azure AD, nie są obsługiwane na urządzeniach przyłączonych do usługi Azure AD.On-premises UPNs that are different from Azure AD UPNs are not supported on Azure AD joined devices. Jeśli użytkownicy korzystają z lokalnej nazwy UPN, należy zaplanować przełączenie do korzystania z podstawowej nazwy UPN w usłudze Azure AD.If your users use an on-premises UPN, you should plan to switch to using their primary UPN in Azure AD.

Ocenianie zarządzania urządzeniamiAssess your device management

Obsługiwane urządzeniaSupported devices

Azure AD Join:Azure AD join:

  • Dotyczy tylko urządzeń z systemem Windows 10.Is only applicable to Windows 10 devices.
  • Nie ma zastosowania do poprzednich wersji systemu Windows lub innych systemów operacyjnych.Is not applicable to previous versions of Windows or other operating systems. W przypadku urządzeń z systemem Windows 7/8.1 należy przeprowadzić uaktualnienie do systemu Windows 10 w celu wdrożenia usługi Azure AD Join.If you have Windows 7/8.1 devices, you must upgrade to Windows 10 to deploy Azure AD join.
  • Program nie jest obsługiwany na urządzeniach z modułem TPM w trybie FIPS.Is not supported on devices with TPM in FIPS mode.

Zalecenie: Zawsze używaj najnowszej wersji systemu Windows 10, aby korzystać z zaktualizowanych funkcji.Recommendation: Always use the latest Windows 10 release to take advantage of updated features.

Platforma zarządzaniaManagement platform

Zarządzanie urządzeniami dla urządzeń przyłączonych do usługi Azure AD jest oparte na platformie MDM, takiej jak usługa Intune, oraz dostawcy usług MDM.Device management for Azure AD joined devices is based on an MDM platform such as Intune, and MDM CSPs. System Windows 10 ma wbudowanego agenta MDM, który współpracuje ze wszystkimi zgodnymi rozwiązaniami MDM.Windows 10 has a built-in MDM agent that works with all compatible MDM solutions.

Uwaga

Zasady grupy nie są obsługiwane na urządzeniach przyłączonych do usługi Azure AD, ponieważ nie są połączone z lokalnymi Active Directory.Group policies are not supported in Azure AD joined devices as they are not connected to on-premises Active Directory. Zarządzanie urządzeniami przyłączonymi do usługi Azure AD jest możliwe tylko za pomocą rozwiązania MDMManagement of Azure AD joined devices is only possible through MDM

Istnieją dwa podejścia do zarządzania urządzeniami przyłączonymi do usługi Azure AD:There are two approaches for managing Azure AD joined devices:

  • Tylko MDM — urządzenie jest zarządzane wyłącznie przez dostawcę zarządzania urządzeniami przenośnymi, takie jak usługa Intune.MDM-only - A device is exclusively managed by an MDM provider like Intune. Wszystkie zasady są dostarczane w ramach procesu rejestracji MDM.All policies are delivered as part of the MDM enrollment process. W przypadku klientów Azure AD — wersja Premium lub pakietu EMS Rejestracja w usłudze MDM to zautomatyzowany krok, który jest częścią funkcji dołączania do usługi Azure AD.For Azure AD Premium or EMS customers, MDM enrollment is an automated step that is part of an Azure AD join.
  • Współzarządzanie — urządzenie jest zarządzane przez dostawcę zarządzania urządzeniami przenośnymi i program SCCM.Co-management - A device is managed by an MDM provider and SCCM. W tym podejściu Agent SCCM jest instalowany na urządzeniu zarządzanym przez rozwiązanie MDM w celu administrowania określonymi aspektami.In this approach, the SCCM agent is installed on an MDM-managed device to administer certain aspects.

Jeśli używasz zasad grupy, Oceń parzystość zasad MDM przy użyciu Narzędzia do analizy migracji MDM (MMAT).If you are using group policies, evaluate your MDM policy parity by using the MDM Migration Analysis Tool (MMAT).

Przejrzyj obsługiwane i nieobsługiwane zasady, aby określić, czy można użyć rozwiązania MDM zamiast zasad grupy.Review supported and unsupported policies to determine whether you can use an MDM solution instead of Group policies. W przypadku nieobsługiwanych zasad należy wziąć pod uwagę następujące kwestie:For unsupported policies, consider the following:

  • Czy są to nieobsługiwane zasady niezbędne dla urządzeń lub użytkowników przyłączonych do usługi Azure AD?Are the unsupported policies necessary for Azure AD joined devices or users?
  • Czy nieobsługiwane zasady mają zastosowanie w przypadku wdrożenia opartego na chmurze?Are the unsupported policies applicable in a cloud driven deployment?

Jeśli rozwiązanie MDM nie jest dostępne za pomocą galerii aplikacji usługi Azure AD, możesz je dodać zgodnie z procesem opisanym w Azure Active Directory integracji z urządzeniami przenośnymi.If your MDM solution is not available through the Azure AD app gallery, you can add it following the process outlined in Azure Active Directory integration with MDM.

Za pomocą współzarządzania można zarządzać pewnymi aspektami urządzeń za pomocą programu SCCM, a zasady są dostarczane za pomocą platformy MDM.Through co-management, you can use SCCM to manage certain aspects of your devices while policies are delivered through your MDM platform. Microsoft Intune umożliwia współzarządzanie z programem SCCM.Microsoft Intune enables co-management with SCCM. Aby uzyskać więcej informacji na temat współzarządzania dla urządzeń z systemem Windows 10, zobacz co to jest współzarządzanie?.For more information on co-management for Windows 10 devices, see What is co-management?. Jeśli używasz produktu MDM innego niż usługa Intune, skontaktuj się z dostawcą MDM w sprawie odpowiednich scenariuszy współzarządzania.If you use an MDM product other than Intune, please check with your MDM provider on applicable co-management scenarios.

Zalecenie: Rozważ zarządzanie tylko urządzeniami PRZENOŚNYmi dla urządzeń przyłączonych do usługi Azure AD.Recommendation: Consider MDM only management for Azure AD joined devices.

Zrozumienie zagadnień dotyczących aplikacji i zasobówUnderstand considerations for applications and resources

Zalecamy Migrowanie aplikacji ze środowiska lokalnego do chmury w celu lepszego działania użytkowników i kontroli dostępu.We recommend migrating applications from on-premises to cloud for a better user experience and access control. Jednak urządzenia przyłączone do usługi Azure AD mogą bezproblemowo zapewnić dostęp do aplikacji lokalnych i w chmurze.However, Azure AD joined devices can seamlessly provide access to both, on-premises and cloud applications. Aby uzyskać więcej informacji, zobacz jak działa logowanie JEDNOkrotne do zasobów lokalnych na urządzeniach dołączonych do usługi Azure AD.For more information, see How SSO to on-premises resources works on Azure AD joined devices.

W poniższych sekcjach przedstawiono zagadnienia dotyczące różnych typów aplikacji i zasobów.The following sections list considerations for different types of applications and resources.

Aplikacje oparte na chmurzeCloud-based applications

Jeśli aplikacja zostanie dodana do galerii aplikacji usługi Azure AD, użytkownicy otrzymają Logowanie jednokrotne za pomocą urządzeń przyłączonych do usługi Azure AD.If an application is added to Azure AD app gallery, users get SSO through Azure AD joined devices. Żadna dodatkowa konfiguracja nie jest wymagana.No additional configuration is required. Użytkownicy odbierają Logowanie jednokrotne w przeglądarkach Microsoft Edge i Chrome.Users get SSO on both, Microsoft Edge and Chrome browsers. Dla programu Chrome należy wdrożyć rozszerzenie konta systemu Windows 10.For Chrome, you need to deploy the Windows 10 Accounts extension.

Wszystkie aplikacje Win32, które:All Win32 applications that:

  • Zapoznaj się z menedżerem kont w sieci Web (WAM) dla żądań tokenów, które również mają rejestrację jednokrotną na urządzeniach dołączonychRely on Web Account Manager (WAM) for token requests also get SSO on Azure AD joined devices.
  • Nie należy polegać na tym, że użytkownik może monitować użytkowników o uwierzytelnienie.Don't rely on WAM may prompt users for authentication.

Lokalne aplikacje sieci WebOn-premises web applications

Jeśli Twoje aplikacje są niestandardowymi kompilacjami i/lub hostowanymi lokalnie, należy dodać je do zaufanych witryn w przeglądarce, aby:If your apps are custom built and/or hosted on-premises, you need to add them to your browser’s trusted sites to:

  • Włączenie zintegrowanego uwierzytelniania systemu WindowsEnable Windows integrated authentication to work
  • Zapewnij użytkownikom bezpłatne środowisko logowania jednokrotnego.Provide a no-prompt SSO experience to users.

Jeśli używasz AD FS, zobacz weryfikacja i zarządzanie logowaniem jednokrotnym przy użyciu AD FS.If you use AD FS, see Verify and manage single sign-on with AD FS.

Zalecenie: Weź pod uwagę hosting w chmurze (na przykład Azure) i integrację z usługą Azure AD w celu lepszego środowiska.Recommendation: Consider hosting in the cloud (for example, Azure) and integrating with Azure AD for a better experience.

Aplikacje lokalne korzystające ze starszych protokołówOn-premises applications relying on legacy protocols

Użytkownicy odbierają Logowanie jednokrotne z urządzeń przyłączonych do usługi Azure AD, jeśli urządzenie ma dostęp do kontrolera domeny.Users get SSO from Azure AD joined devices if the device has access to a domain controller.

Zalecenie: Wdróż aplikacja usługi Azure AD serwer proxy , aby zapewnić bezpieczny dostęp do tych aplikacji.Recommendation: Deploy Azure AD App proxy to enable secure access for these applications.

Lokalne udziały siecioweOn-premises network shares

Użytkownicy mają Logowanie jednokrotne z urządzeń przyłączonych do usługi Azure AD, gdy urządzenie ma dostęp do lokalnego kontrolera domeny.Your users have SSO from Azure AD joined devices when a device has access to an on-premises domain controller.

DrukarkiPrinters

W przypadku drukarek należy wdrożyć drukowanie w chmurze hybrydowej w celu odnajdywania drukarek na urządzeniach dołączonych do usługi Azure AD.For printers, you need to deploy hybrid cloud print for discovering printers on Azure AD joined devices.

Mimo że drukarki nie mogą być automatycznie odnajdywane w środowisku tylko w chmurze, użytkownicy mogą również użyć ścieżki UNC drukarki, aby dodać je bezpośrednio.While printers can't be automatically discovered in a cloud only environment, your users can also use the printers’ UNC path to directly add them.

Aplikacje lokalne polegające na uwierzytelnianiu komputeraOn-premises applications relying on machine authentication

Urządzenia przyłączone do usługi Azure AD nie obsługują aplikacji lokalnych korzystających z uwierzytelniania maszynowego.Azure AD joined devices don't support on-premises applications relying on machine authentication.

Zalecenie: Rozważ wycofanie tych aplikacji i przechodzenie do ich nowoczesnych wariantów.Recommendation: Consider retiring these applications and moving to their modern alternatives.

Usługi pulpitu zdalnegoRemote Desktop Services

Podłączanie pulpitu zdalnego do urządzeń przyłączonych do usługi Azure AD wymaga, aby maszyna hosta była przyłączona do usługi Azure AD lub dołączona do hybrydowej usługi Azure AD.Remote desktop connection to an Azure AD joined devices requires the host machine to be either Azure AD joined or Hybrid Azure AD joined. Pulpit zdalny z przyłączonych lub nienależących do systemu Windows urządzeń nie jest obsługiwany.Remote desktop from an unjoined or non-Windows device is not supported. Aby uzyskać więcej informacji, zobacz nawiązywanie połączenia z zdalnym komputerem przyłączonym do usługi Azure ADFor more information, see Connect to remote Azure AD joined pc

Zapoznaj się z opcjami aprowizacjiUnderstand your provisioning options

Usługę Azure AD Join można zainicjować przy użyciu następujących metod:You can provision Azure AD join using the following approaches:

  • Samoobsługowe środowisko OOBE/Settings — w trybie samoobsługowym użytkownicy przechodzą przez proces dołączania usługi Azure AD podczas pracy z systemem Windows (OOBE) lub z ustawień systemu Windows.Self-service in OOBE/Settings - In the self-service mode, users go through the Azure AD join process either during Windows Out of Box Experience (OOBE) or from Windows Settings. Aby uzyskać więcej informacji, zobacz dołączanie urządzenia służbowego do sieci organizacji.For more information, see Join your work device to your organization's network.
  • Windows autopilotaż — system Windows autopilotaż umożliwia wstępne konfigurowanie urządzeń w celu zapewnienia sprawnego działania w języku OOBE w celu wykonania sprzężenia usługi Azure AD.Windows Autopilot - Windows Autopilot enables pre-configuration of devices for a smoother experience in OOBE to perform an Azure AD join. Aby uzyskać więcej informacji, zobacz Omówienie funkcji autopilotażu systemu Windows.For more information, see the Overview of Windows Autopilot.
  • Rejestracja Zbiorcza — Rejestracja Zbiorcza umożliwia przełączenie usługi Azure AD sterowanej przez administratora przy użyciu narzędzia udostępniania zbiorczego w celu skonfigurowania urządzeń.Bulk enrollment - Bulk enrollment enables an administrator driven Azure AD join by using a bulk provisioning tool to configure devices. Aby uzyskać więcej informacji, zobacz Rejestrowanie zbiorcze dla urządzeń z systemem Windows.For more information, see Bulk enrollment for Windows devices.

Poniżej przedstawiono porównanie tych trzech metodHere’s a comparison of these three approaches

Konfiguracja samoobsługowaSelf-service setup Windows AutopilotWindows Autopilot Rejestrowanie zbiorczeBulk enrollment
Wymagaj interakcji z użytkownikiem w celu skonfigurowaniaRequire user interaction to set up TakYes TakYes NieNo
Wymaganie nakładu pracy ITRequire IT effort NieNo TakYes TakYes
Odpowiednie przepływyApplicable flows Ustawienia & OOBEOOBE & Settings Tylko OOBEOOBE only Tylko OOBEOOBE only
Prawa administratora lokalnego do użytkownika podstawowegoLocal admin rights to primary user Tak, domyślnieYes, by default KonfigurowalnyConfigurable NieNo
Wymagaj obsługi OEM urządzeniaRequire device OEM support NieNo TakYes NieNo
Obsługiwane wersjeSupported versions 1511+1511+ 1709+1709+ 1703+1703+

Wybierz podejście do wdrożenia lub podejścia, przeglądając powyższą tabelę i zapoznaj się z poniższymi uwagami dotyczącymi przyjęcia obu rozwiązań:Choose your deployment approach or approaches by reviewing the table above and reviewing the following considerations for adopting either approach:

  • Czy użytkownicy świadomeą się nad instalacją?Are your users tech savvy to go through the setup themselves?
    • Samoobsługowe działania mogą być najlepszym rozwiązaniem dla tych użytkowników.Self-service can work best for these users. Aby ulepszyć środowisko użytkownika, należy rozważyć użycie funkcji autopilotażu systemu Windows.Consider Windows Autopilot to enhance the user experience.
  • Czy użytkownicy są zdalni lub w środowisku firmowym?Are your users remote or within corporate premises?
    • Funkcja samoobsługowa lub automatyczna pilotażowa najlepiej jest Najlepsza dla użytkowników zdalnych w celu nieodpłatnej instalacji.Self-service or Autopilot work best for remote users for a hassle-free setup.
  • Czy preferujesz konfigurację zarządzaną przez użytkownika, czy przez administratora?Do you prefer a user driven or an admin-managed configuration?
    • Rejestracja Zbiorcza działa lepiej w przypadku wdrożenia sterowanego przez administratora w celu skonfigurowania urządzeń przed przekazaniem ich użytkownikom.Bulk enrollment works better for admin driven deployment to set up devices before handing over to users.
  • Czy kupujesz urządzenia od 1-2 producentów OEM czy masz szeroką dystrybucję urządzeń OEM?Do you purchase devices from 1-2 OEMS, or do you have a wide distribution of OEM devices?
    • Jeśli kupujesz od ograniczonych producentów OEM, którzy obsługują również program autopilotaż, możesz skorzystać z ściślejszej integracji z programem autopilotaż.If purchasing from limited OEMs who also support Autopilot, you can benefit from tighter integration with Autopilot.

Konfigurowanie ustawień urządzeniaConfigure your device settings

Azure Portal pozwala kontrolować wdrażanie urządzeń przyłączonych do usługi Azure AD w organizacji.The Azure portal allows you to control the deployment of Azure AD joined devices in your organization. Aby skonfigurować ustawienia pokrewne, na stronie Azure Active Directorywybierz pozycję Devices > Device settings.To configure the related settings, on the Azure Active Directory page, select Devices > Device settings.

Użytkownicy mogą dołączać urządzenia do usługi Azure ADUsers may join devices to Azure AD

Ustaw tę opcję na wartość wszystkie lub wybraną na podstawie zakresu wdrożenia oraz tego, kto ma zezwalać na Konfigurowanie urządzenia dołączonego do usługi Azure AD.Set this option to All or Selected based on the scope of your deployment and who you want to allow to setup an Azure AD joined device.

Użytkownicy mogą dołączać urządzenia do usługi Azure AD

Dodatkowi Administratorzy lokalni na urządzeniach przyłączonych do usługi Azure ADAdditional local administrators on Azure AD joined devices

Wybierz pozycję wybrane i wybierz użytkowników, których chcesz dodać do grupy Administratorzy lokalni na wszystkich urządzeniach dołączonych do usługi Azure AD.Choose Selected and selects the users you want to add to the local administrators’ group on all Azure AD joined devices.

Dodatkowi Administratorzy lokalni na urządzeniach przyłączonych do usługi Azure AD

Wymagaj uwierzytelniania wieloskładnikowego w celu dołączania urządzeńRequire multi-factor Auth to join devices

Wybierz pozycję "tak" , jeśli chcesz, aby użytkownicy korzystali z uwierzytelniania MFA podczas dołączania urządzeń do usługi Azure AD.Select “Yes if you require users to perform MFA while joining devices to Azure AD. Aby użytkownicy mogli przyłączać urządzenia do usługi Azure AD przy użyciu uwierzytelniania wieloskładnikowego, samo urządzenie będzie miało drugi czynnik.For the users joining devices to Azure AD using MFA, the device itself becomes a 2nd factor.

Wymagaj uwierzytelniania wieloskładnikowego w celu dołączania urządzeń

Skonfiguruj ustawienia mobilnościConfigure your mobility settings

Aby można było skonfigurować ustawienia mobilności, można najpierw dodać dostawcę MDM.Before you can configure your mobility settings, you may have to add an MDM provider, first.

Aby dodać dostawcę zarządzania urządzeniami przenośnymi:To add an MDM provider:

  1. Na stronie Azure Active Directoryw sekcji zarządzanie kliknij pozycję Mobility (MDM and MAM).On the Azure Active Directory page, in the Manage section, click Mobility (MDM and MAM).

  2. Kliknij pozycję Dodaj aplikację.Click Add application.

  3. Wybierz z listy dostawcę MDM.Select your MDM provider from the list.

    Dodawanie aplikacji

Wybierz dostawcę MDM, aby skonfigurować powiązane ustawienia.Select your MDM provider to configure the related settings.

Zakres użytkownika MDMMDM user scope

Wybierz niektóre lub wszystkie w zależności od zakresu wdrożenia.Select Some or All based on the scope of your deployment.

Zakres użytkownika MDM

Na podstawie Twojego zakresu występuje jedna z następujących sytuacji:Based on your scope, one of the following happens:

  • Użytkownik jest w zakresie zarządzania urządzeniami przenośnymi: Jeśli masz subskrypcję Azure AD — wersja Premium, rejestracja w usłudze MDM jest zautomatyzowana wraz z funkcją Azure AD Join.User is in MDM scope: If you have an Azure AD Premium subscription, MDM enrollment is automated along with Azure AD join. Wszyscy użytkownicy z zakresem muszą mieć odpowiednią licencję na zarządzanie urządzeniami przenośnymi.All scoped users must have an appropriate license for your MDM. Jeśli w tym scenariuszu Rejestracja w usłudze MDM nie powiedzie się, usługa Azure AD Join również zostanie wycofana.If MDM enrollment fails in this scenario, Azure AD join will also be rolled back.
  • Użytkownik nie znajduje się w zakresie zarządzania urządzeniami przenośnymi: Jeśli użytkownicy nie znajdują się w zakresie MDM, usługa Azure AD Join zakończy działanie bez rejestracji MDM.User is not in MDM scope: If users are not in MDM scope, Azure AD join completes without any MDM enrollment. Powoduje to niezarządzane urządzenie.This results in an unmanaged device.

Adresy URL zarządzania urządzeniami przenośnymiMDM URLs

Istnieją trzy adresy URL powiązane z konfiguracją rozwiązania MDM:There are three URLs that are related to your MDM configuration:

  • Adres URL warunków użytkowania zarządzania urządzeniami przenośnymiMDM terms of use URL
  • Adres URL odnajdywania zarządzania urządzeniami przenośnymiMDM discovery URL
  • Adres URL zgodności zarządzania urządzeniami przenośnymiMDM compliance URL

Dodawanie aplikacji

Każdy adres URL ma wstępnie zdefiniowaną wartość domyślną.Each URL has a predefined default value. Jeśli te pola są puste, skontaktuj się z dostawcą MDM, aby uzyskać więcej informacji.If these fields are empty, please contact your MDM provider for more information.

Ustawienia MAMMAM settings

MAM nie ma zastosowania do usługi Azure AD Join.MAM does not apply to Azure AD join.

Konfigurowanie roamingu stanu przedsiębiorstwaConfigure enterprise state roaming

Jeśli chcesz włączyć roaming stanu do usługi Azure AD, aby użytkownicy mogli synchronizować swoje ustawienia na różnych urządzeniach, zobacz włączanie Enterprise State roaming w Azure Active Directory.If you want to enable state roaming to Azure AD so that users can sync their settings across devices, see Enable Enterprise State Roaming in Azure Active Directory.

Zalecenie: Włącz to ustawienie nawet dla urządzeń przyłączonych do hybrydowej usługi Azure AD.Recommendation: Enable this setting even for hybrid Azure AD joined devices.

Konfigurowanie dostępu warunkowegoConfigure Conditional Access

Jeśli masz skonfigurowanego dostawcę MDM dla urządzeń przyłączonych do usługi Azure AD, dostawca flaguje urządzenie jako zgodne, gdy tylko urządzenie jest objęte zarządzaniem.If you have an MDM provider configured for your Azure AD joined devices, the provider flags the device as compliant as soon as the device is under management.

Zgodne urządzenie

Za pomocą tej implementacji można wymagać, aby zarządzane urządzenia dla dostępu do aplikacji w chmurze miały dostęp warunkowy.You can use this implementation to require managed devices for cloud app access with Conditional Access.

Następne krokiNext steps