Planowanie wdrożenia Azure Active Directory urządzenia

Ten artykuł pomaga ocenić metody integracji urządzenia z usługą Azure AD, wybrać plan implementacji i zawiera kluczowe linki do obsługiwanych narzędzi do zarządzania urządzeniami.

Obszar urządzeń, z których logują się użytkownicy, się rozszerza. Organizacje mogą dostarczać komputery stacjonarne, laptopy, telefony, tablety i inne urządzenia. Użytkownicy mogą korzystać z własnej tablicy urządzeń i uzyskać dostęp do informacji z różnych lokalizacji. W tym środowisku Twoim zadaniem jako administrator jest zabezpieczenie zasobów organizacji na wszystkich urządzeniach.

Azure Active Directory (Azure AD) umożliwia organizacji spełnienie tych celów dzięki zarządzaniu tożsamościami urządzeń. Teraz możesz pobrać urządzenia w usłudze Azure AD i kontrolować je z centralnej lokalizacji w Azure Portal. Zapewnia to ujednolicone środowisko, ulepszone zabezpieczenia i skraca czas potrzebny do skonfigurowania nowego urządzenia.

Istnieje wiele metod integrowania urządzeń z usługą Azure AD:

Learn

Przed rozpoczęciem upewnij się, że znasz omówienie zarządzania tożsamościami urządzeń.

Korzyści

Najważniejsze korzyści wynikające z nadawania urządzeniu tożsamości usługi Azure AD:

  • Zwiększenie produktywności — dzięki usłudze Azure AD użytkownicy mogą bezproblemowo logować się do zasobów lokalnych i w chmurze, co umożliwia im wydajną pracę niezależnie od miejsca, w którym się znajdują.

  • Zwiększenie bezpieczeństwa — urządzenia usługi Azure AD umożliwiają stosowanie zasad dostępu warunkowego do zasobów na podstawie tożsamości urządzenia lub użytkownika. Zasady dostępu warunkowego mogą oferować dodatkową ochronę przy użyciu Azure AD Identity Protection. Dołączenie urządzenia do usługi Azure AD jest wymaganiem wstępnym w celu zwiększenia bezpieczeństwa za pomocą strategii uwierzytelniania bez hasła.

  • Ulepszenie obsługi użytkownika — dzięki tożsamościom urządzeń w usłudze Azure AD możesz zapewnić użytkownikom łatwy dostęp do zasobów w chmurze organizacji zarówno z urządzeń osobistych, jak i firmowych. Administratorzy mogą włączyć Enterprise State Roaming, aby uzyskać ujednolicone środowisko na wszystkich Windows mobilnych.

  • Uproszczenie wdrażania i zarządzania — zarządzanie tożsamościami urządzeń upraszcza proces doprowadzenia urządzeń do usługi Azure AD za pomocą rozwiązania Windows Autopilot,aprowizowania zbiorczego i samoobsługi: OOBE (Out of Box Experience). Tymi urządzeniami można zarządzać za pomocą narzędzi Zarządzanie urządzeniami mobile Zarządzanie urządzeniami (MDM), takich jak Microsoft Intune, i ich tożsamości w Azure Portal.

Zasoby szkoleniowe

Wideo: Dostęp warunkowy za pomocą kontrolek urządzenia

Często zadawane pytania: Często zadawane pytania dotyczące zarządzania urządzeniami w usłudze Azure AD oraz Ustawienia i roamingu danych — często zadawane pytania

Planowanie projektu wdrożenia

Podczas określania strategii dla tego wdrożenia w środowisku należy wziąć pod uwagę potrzeby organizacji.

Angażowanie odpowiednich uczestników projektu

W przypadku awarii projektów technologicznych zwykle jest to spowodowane niezgodnością oczekiwań w zakresie wpływu, wyników i obowiązków. Aby uniknąć tych pułapek, upewnij się, że angażowanie odpowiednich uczestników projektu i role uczestników projektu są dobrze zrozumiałe.

W tym planie dodaj do listy następujących uczestników projektu:

Rola Opis
Administrator urządzenia Przedstawiciel zespołu ds. urządzeń, który może sprawdzić, czy plan spełnia wymagania organizacji dotyczące urządzeń.
Administrator sieci Przedstawiciel zespołu ds. sieci, który może upewnić się, że spełnia wymagania dotyczące sieci.
Zespół ds. zarządzania urządzeniami Zespół, który zarządza spisem urządzeń.
Zespoły administratorów specyficzne dla systemu operacyjnego Teams, które obsługują określone wersje systemu operacyjnego i zarządzają nimi. Na przykład może to być zespół ukierunkowany na komputery Mac lub system iOS.

Planowanie komunikacji

Komunikacja ma kluczowe znaczenie dla sukcesu każdej nowej usługi. Proaktywne komunikowanie się z użytkownikami, jak zmieni się ich środowisko, kiedy to się zmieni i jak uzyskać pomoc techniczną, jeśli wystąpią problemy.

Planowanie pilotażu

Zaleca się, aby początkowa konfiguracja metody integracji była w środowisku testowym lub w małej grupie urządzeń testowych. Zobacz Najlepsze rozwiązania dotyczące pilotażu.

Wdrożenie dołączania do hybrydowej usługi Azure AD jest proste i jest w 100% zadaniem administratora bez konieczności działania użytkownika końcowego. Możesz wykonać kontrolowaną walidację dołączania do hybrydowej usługi Azure AD przed włączeniem jej w całej organizacji jednocześnie.

Wybieranie metod integracji

Twoja organizacja może używać wielu metod integracji urządzeń w jednej dzierżawie usługi Azure AD. Celem jest wybranie metod odpowiednich do bezpiecznego zarządzania urządzeniami w usłudze Azure AD. Istnieje wiele parametrów, które wpływają na tę decyzję, w tym własność, typy urządzeń, odbiorcy podstawowi i infrastruktura organizacji.

Poniższe informacje mogą ułatwić podjęcie decyzji, których metod integracji użyć.

Drzewo decyzyjne integracji urządzeń

To drzewo pozwala określić opcje dla urządzeń należących do organizacji.

Uwaga

Na tym diagramie nie powiodły się scenariusze dotyczące urządzeń osobistych lub przyniesić własne urządzenie (BYOD, bring your own device). Zawsze ich wynikiem jest rejestracja w usłudze Azure AD.

Drzewo decyzyjne

Macierz porównawcza

Urządzenia z systemami iOS i Android mogą być zarejestrowane tylko w usłudze Azure AD. W poniższej tabeli przedstawiono zagadnienia wysokiego poziomu dotyczące Windows klienckich. Użyj go jako przeglądu, a następnie szczegółowo zapoznaj się z różnymi metodami integracji.

Kwestie do rozważenia Zarejestrowane w usłudze Azure AD Dołączenie do usługi Azure AD Dołączenie hybrydowe do usługi Azure AD
Klienckie systemy operacyjne
Urządzenia z systemem Windows 10 Znacznik wyboru dla tych wartości. Znacznik wyboru dla tych wartości. Znacznik wyboru dla tych wartości.
Windows niżej (Windows 8.1 lub Windows 7) Znacznik wyboru dla tych wartości.
Opcje logowania
Poświadczenia lokalne użytkownika końcowego Znacznik wyboru dla tych wartości.
Hasło Znacznik wyboru dla tych wartości. Znacznik wyboru dla tych wartości. Znacznik wyboru dla tych wartości.
Numer PIN urządzenia Znacznik wyboru dla tych wartości.
Windows Hello Znacznik wyboru dla tych wartości.
Windows Hello for Business Znacznik wyboru dla tych wartości. Znacznik wyboru dla tych wartości.
Klucze zabezpieczeń FIDO 2.0 Znacznik wyboru dla tych wartości. Znacznik wyboru dla tych wartości.
Microsoft Authenticator Aplikacja (bez hasła) Znacznik wyboru dla tych wartości. Znacznik wyboru dla tych wartości. Znacznik wyboru dla tych wartości.
Najważniejsze możliwości
Logowanie jednokrotne do zasobów w chmurze Znacznik wyboru dla tych wartości. Znacznik wyboru dla tych wartości. Znacznik wyboru dla tych wartości.
Logowanie jednokrotne do zasobów lokalnych Znacznik wyboru dla tych wartości. Znacznik wyboru dla tych wartości.
Dostęp warunkowy
(Wymagaj, aby urządzenia zostały oznaczone jako zgodne)
(Musi być zarządzany przez rozwiązanie MDM)
Znacznik wyboru dla tych wartości. Znacznik wyboru dla tych wartości. Znacznik wyboru dla tych wartości.
Dostęp warunkowy
(Wymagaj urządzeń przyłączone hybrydową do usługi Azure AD)
Znacznik wyboru dla tych wartości.
Samoobsługowe resetowanie hasła z Windows logowania Znacznik wyboru dla tych wartości. Znacznik wyboru dla tych wartości.
Windows Hello Resetowanie numeru PIN Znacznik wyboru dla tych wartości. Znacznik wyboru dla tych wartości.
Enterprise stan roamingu między urządzeniami Znacznik wyboru dla tych wartości. Znacznik wyboru dla tych wartości.

Rejestracja w usłudze Azure AD

Zarejestrowane urządzenia są często zarządzane za pomocą Microsoft Intune. Urządzenia są rejestrowane w usłudze Intune na wiele sposobów, w zależności od systemu operacyjnego.

Urządzenia zarejestrowane w usłudze Azure AD zapewniają obsługę urządzeń BYOD (Bring Your Own Devices) i urządzeń należących do firmy do logowania jednokrotnego do zasobów w chmurze. Dostęp do zasobów jest oparty na zasadach dostępu warunkowego usługi Azure AD zastosowanych do urządzenia i użytkownika.

Rejestrowanie urządzeń

Zarejestrowane urządzenia są często zarządzane za pomocą Microsoft Intune. Urządzenia są rejestrowane w usłudze Intune na wiele sposobów, w zależności od systemu operacyjnego.

Urządzenia PRZENOŚNE BYOD i firmowe urządzenia przenośne są rejestrowane przez użytkowników instalując aplikację Portal firmy.

Jeśli rejestrowanie urządzeń jest najlepszą opcją dla Organizacji, zobacz następujące zasoby:

Dołączenie do usługi Azure AD

Dołączanie do usługi Azure AD umożliwia przejście do modelu opartego na chmurze z Windows. Stanowi doskonałą podstawę, jeśli planujesz modernizację zarządzania urządzeniami i zmniejszenie kosztów it powiązanych z urządzeniami. Dołączanie do usługi Azure AD działa Windows 10 tylko z urządzeniami. Należy wziąć pod uwagę, że jest to pierwszy wybór dla nowych urządzeń.

Jednak urządzenia przyłączone do usługi Azure AD mogą SSO do zasobów lokalnych, gdy znajdują się w sieci organizacji, mogą uwierzytelniać się na serwerach lokalnych, takich jak pliki, drukowanie i inne aplikacje.

Jeśli jest to najlepsza opcja dla Twojej organizacji, zobacz następujące zasoby:

Aprowizowanie dołączania do usługi Azure AD na urządzeniach

Aby aprowizować dołączanie do usługi Azure AD, należy mieć następujące podejścia:

Jeśli masz system Windows 10 Professional lub Windows 10 Enterprise zainstalowany na urządzeniu, środowisko użytkownika domyślnie rozpocznie proces konfiguracji urządzeń firmowych.

Wybierz procedurę wdrażania po dokładnym porównaniu tych podejść.

Możesz określić, że dołączanie do usługi Azure AD jest najlepszym rozwiązaniem dla urządzenia i może już być w innym stanie. Oto zagadnienia dotyczące uaktualniania.

Bieżący stan urządzenia Żądany stan urządzenia Porady
Przyłączone do domeny lokalnej Sprzężenia Azure AD Odłącz urządzenie od domeny lokalnej przed dołączeniem do usługi Azure AD
Dołączanie hybrydowe do usługi Azure AD Sprzężenia Azure AD Odłącz urządzenie od domeny lokalnej i z usługi Azure AD przed dołączeniem do usługi Azure AD
Zarejestrowane w usłudze Azure AD Sprzężenia Azure AD Wyrejestruj urządzenie przed dołączeniem do usługi Azure AD

Dołączenie hybrydowe do usługi Azure AD

Jeśli masz środowisko lokalna usługa Active Directory i chcesz dołączyć komputery przyłączone do domeny usługi Active Directory do usługi Azure AD, możesz to zrobić za pomocą hybrydowego dołączania do usługi Azure AD. Obsługuje ona szeroką gamę urządzeń Windows,w tym zarówno Windows, jak i Windows urządzeń down-level.

Większość organizacji ma już urządzenia przyłączone do domeny i zarządza nimi za zasady grupy lub System Center Configuration Manager (SCCM). W takim przypadku zalecamy skonfigurowanie dołączania hybrydowego do usługi Azure AD w celu rozpoczęcia uzyskiwania korzyści przy jednoczesnym wykorzystaniu istniejących inwestycji.

Jeśli dołączenie hybrydowe do usługi Azure AD jest najlepszą opcją dla Organizacji, zobacz następujące zasoby:

Aprowizowanie hybrydowego dołączania do usługi Azure AD na urządzeniach

Przejrzyj infrastrukturę tożsamości. Usługa Azure AD Połączenie udostępnia kreatora służącego do konfigurowania dołączania hybrydowego do usługi Azure AD w celu:

Jeśli zainstalowanie wymaganej wersji usługi Azure AD Połączenie nie jest dla Ciebie opcją, zobacz jak ręcznie skonfigurować dołączanie hybrydowe do usługi Azure AD.

Uwaga

Urządzenie lokalne przyłączone do domeny Windows 10 automatycznie dołączyć do usługi Azure AD, aby domyślnie dołączyć hybrydową usługę Azure AD. Powiedzie się to tylko w przypadku skonfigurowania odpowiedniego środowiska.

Możesz ustalić, że dołączenie do hybrydowej usługi Azure AD jest najlepszym rozwiązaniem dla urządzenia, a urządzenie może już być w innym stanie. Oto zagadnienia dotyczące uaktualniania.

Bieżący stan urządzenia Żądany stan urządzenia Porady
Przyłączenie do domeny lokalnej Dołączanie hybrydowe do usługi Azure AD Dołączanie do platformy Azure przy AD FS azure za pomocą programu Azure AD Connect lub usługi Azure AD FS
Przyłączone do lokalnej grupy roboczej lub nowe Dołączanie hybrydowe do usługi Azure AD Obsługiwane w przypadku Windows Autopilot. W przeciwnym razie urządzenie musi zostać przyłączone do domeny lokalnej przed dołączenia hybrydowego do usługi Azure AD
Dołączone do usługi Azure AD Dołączanie hybrydowe do usługi Azure AD Odłącz od usługi Azure AD, co umieszcza ją w lokalnej grupie roboczej lub nowym stanie.
Zarejestrowano usługę Azure AD Dołączanie hybrydowe do usługi Azure AD Zależy od Windows wersji. Zobacz te zagadnienia.

Zarządzanie urządzeniami

Po zarejestrowaniu urządzeń lub dołączeniu ich do usługi Azure AD użyj usługi Azure Portal jako centralnego miejsca do zarządzania tożsamościami urządzeń. Strona Azure Active Directory urządzeń umożliwia:

Upewnij się, że środowisko jest czyste, zarządzając nieaktywne urządzenia,i skoncentruj zasoby na zarządzaniu bieżącymi urządzeniami.

Obsługiwane narzędzia do zarządzania urządzeniami

Administratorzy mogą zabezpieczać i kontrolować te zarejestrowane i przyłączone urządzenia przy użyciu dodatkowych narzędzi do zarządzania urządzeniami. Te narzędzia zapewniają sposób wymuszania konfiguracji wymaganych przez organizację, takich jak wymaganie szyfrowania magazynu, złożoność hasła, instalacje oprogramowania i aktualizacje oprogramowania.

Zapoznaj się z obsługiwanymi i nieobsługiwanymi platformami dla zintegrowanych urządzeń:

Narzędzia do zarządzania urządzeniami Zarejestrowane w usłudze Azure AD Dołączenie do usługi Azure AD Dołączenie hybrydowe do usługi Azure AD
Mobile Zarządzanie urządzeniami (MDM)
Przykład: Microsoft Intune
Znacznik wyboru dla tych wartości. Znacznik wyboru dla tych wartości. Znacznik wyboru dla tych wartości.
Współzałożycieli Microsoft Intune i Microsoft Endpoint Configuration Manager
(Windows 10 i nowsze)
Znacznik wyboru dla tych wartości. Znacznik wyboru dla tych wartości.
Zasady grupy
(tylko Windows)
Znacznik wyboru dla tych wartości.

Zalecamy rozważenie zarządzania Microsoft Intune (MAM) z zarządzaniem zarejestrowanymi urządzeniami z systemem iOS lub Android lub bez niego.

Administratorzy mogą również wdrażać platformy infrastruktury pulpitu wirtualnego (VDI) hostowane Windows systemów operacyjnych w swoich organizacjach, aby usprawnić zarządzanie i obniżyć koszty dzięki konsolidacji i centralizacji zasobów.

Rozwiązywanie problemów z tożsamościami urządzeń

Jeśli wystąpią problemy z ukończeniem dołączania hybrydowego do usługi Azure AD dla urządzeń Windows domenie, zobacz:

Następne kroki