Gör så här: Planera implementeringen av Azure AD-anslutning

  • Artikel
  • 10 minuter för att läsa

Med Azure AD-anslutning kan du ansluta enheter direkt till Azure AD utan att behöva ansluta till lokal Active Directory samtidigt som användarna är produktiva och säkra. Azure AD Join är företagsklart för både storskaliga och begränsade distributioner.

Den här artikeln innehåller den information du behöver för att planera implementeringen av Azure AD-anslutning.

Förutsättningar

Den här artikeln förutsätter att du är bekant med Introduktion till enhetshantering i Azure Active Directory.

Planera implementeringen

Om du vill planera implementeringen av Azure AD-anslutning bör du bekanta dig med:

  • Granska dina scenarier
  • Granska din identitetsinfrastruktur
  • Utvärdera din enhetshantering
  • Förstå överväganden för program och resurser
  • Förstå dina etableringsalternativ
  • Konfigurera Enterprise State Roaming
  • Konfigurera villkorlig åtkomst

Granska dina scenarier

Även om Hybrid Azure AD-anslutning kan vara att föredra för vissa scenarier, gör Azure AD-anslutning att du kan övergå till en molndriven modell med Windows. Om du planerar att modernisera enhetshanteringen och minska de enhetsrelaterade IT-kostnaderna utgör Azure AD-anslutning en bra grund för att uppnå dessa mål.

Du bör överväga Azure AD-anslutning om dina mål överensstämmer med följande kriterier:

  • Du inför Microsoft 365 som produktivitetssvit för dina användare.
  • Du vill hantera enheter med en molnlösning för enhetshantering.
  • Du vill förenkla enhetsetablering för geografiskt distribuerade användare.
  • Du planerar att modernisera programinfrastrukturen.

Granska din identitetsinfrastruktur

Azure AD-anslutning fungerar med både hanterade och federerade miljöer.

Hanterad miljö

En hanterad miljö kan distribueras antingen via synkronisering av lösenordshashar eller direktautentisering med sömlös enkel inloggning.

De här scenarierna kräver inte att du konfigurerar en federationsserver för autentisering.

Federerad miljö

En federerad miljö bör ha en identitetsprovider som stöder både WS-Trust och WS-Fed protokoll:

  • WS-Fed: Det här protokollet krävs för att ansluta en enhet till Azure AD.
  • WS-Trust: Det här protokollet krävs för att logga in på en Azure AD-ansluten enhet.

När du använder AD FS måste du aktivera följande WS-Trust slutpunkter: /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

Om din identitetsprovider inte stöder dessa protokoll fungerar inte Azure AD-anslutning inbyggt.

Anteckning

Azure AD Join fungerar för närvarande inte med AD FS 2019som konfigurerats med externa autentiseringsproviders som primär autentiseringsmetod. Azure AD-anslutning använder som standard lösenordsautentisering som primär metod, vilket resulterar i autentiseringsfel i det här scenariot

Smartkort och certifikatbaserad autentisering

Du kan inte använda smartkort eller certifikatbaserad autentisering för att ansluta enheter till Azure AD. Smartkort kan dock användas för att logga in på Azure AD-anslutna enheter om du har AD FS konfigurerat.

Rekommendation: Implementera Windows Hello för företag för stark, lösenordslös autentisering för att Windows 10 och högre enheter.

Användarkonfiguration

Om du skapar användare i:

  • Lokalt Active Directory måste du synkronisera dem till Azure AD med hjälp av Azure AD Anslut.
  • Azure AD, ingen ytterligare konfiguration krävs.

Lokala UPN:er som skiljer sig från Azure AD-UPN:er stöds inte på Azure AD-anslutna enheter. Om användarna använder ett lokalt UPN bör du planera att byta till att använda deras primära UPN i Azure AD.

UPN-ändringar stöds endast från och Windows 10 2004-uppdateringen. Användare på enheter med den här uppdateringen har inga problem när de har ändrat sina UPN:er. För enheter före Windows 10 2004-uppdateringen skulle användarna ha problem med enkel inloggning och villkorsstyrd åtkomst på sina enheter. De måste logga in på Windows via panelen "Annan användare" med sitt nya UPN för att lösa problemet.

Utvärdera din enhetshantering

Enheter som stöds

Azure AD-anslutning:

  • Gäller för Windows 10 och Windows 11 enheter.
  • Gäller inte för tidigare versioner av Windows eller andra operativsystem. Om du har Windows 7/8.1-enheter måste du uppgradera minst för att Windows 10 distribuera Azure AD-anslutning.
  • Stöds för FIPS-kompatibel TPM 2.0 men stöds inte för TPM 1.2. Om dina enheter har FIPS-kompatibel TPM 1.2 måste du inaktivera dem innan du fortsätter med Azure AD-anslutning. Microsoft tillhandahåller inga verktyg för att inaktivera FIPS-läge för TPM eftersom det är beroende av TPM-tillverkaren. Kontakta maskinvaru-OEM för support.

Rekommendation: Använd alltid den senaste Windows 10-versionen för att dra nytta av uppdaterade funktioner.

Hanteringsplattform

Enhetshantering för Azure AD-anslutna enheter baseras på en MDM-plattform som Intune och MDM-molnleverantörer. Windows 10 har en inbyggd MDM-agent som fungerar med alla kompatibla MDM-lösningar.

Anteckning

Grupprinciper stöds inte i Azure AD-anslutna enheter eftersom de inte är anslutna till lokal Active Directory. Hantering av Azure AD-anslutna enheter är endast möjligt via MDM

Det finns två metoder för att hantera Azure AD-anslutna enheter:

  • Endast MDM – En enhet hanteras exklusivt av en MDM-provider som Intune. Alla principer levereras som en del av MDM-registreringsprocessen. För Azure AD Premium eller EMS-kunder är MDM-registrering ett automatiserat steg som är en del av en Azure AD-anslutning.
  • Samhantering – En enhet hanteras av en MDM-provider och SCCM. I den här metoden installeras SCCM-agenten på en MDM-hanterad enhet för att administrera vissa aspekter.

Om du använder grupprinciper utvärderar du grupprincipobjektet och MDM-principparitet med hjälp av grupprincip analys i Microsoft Endpoint Manager.

Granska principer som stöds och som inte stöds för att avgöra om du kan använda en MDM-lösning i stället för grupprinciper. Tänk på följande för principer som inte stöds:

  • Är de principer som inte stöds nödvändiga för Azure AD-anslutna enheter eller användare?
  • Gäller principerna som inte stöds i en molndriven distribution?

Om din MDM-lösning inte är tillgänglig via Azure AD-appgalleriet kan du lägga till den enligt den process som beskrivs i Azure Active Directory integrering med MDM.

Med samhantering kan du använda SCCM för att hantera vissa aspekter av dina enheter medan principer levereras via MDM-plattformen. Microsoft Intune möjliggör samhantering med SCCM. Mer information om samhantering för Windows 10 finns i Vad är samhantering?. Om du använder en annan MDM-produkt än Intune bör du kontakta MDM-providern om tillämpliga samhanteringsscenarier.

Rekommendation: Överväg hantering med endast MDM för Azure AD-anslutna enheter.

Förstå överväganden för program och resurser

Vi rekommenderar att du migrerar program från en lokal plats till molnet för en bättre användarupplevelse och åtkomstkontroll. Azure AD-anslutna enheter kan dock sömlöst ge åtkomst till både lokala och molnbaserade program. Mer information finns i Så här fungerar enkel inloggning till lokala resurser på Azure AD-anslutna enheter.

I följande avsnitt listas överväganden för olika typer av program och resurser.

Molnbaserade program

Om ett program läggs till i Azure AD-appgalleriet får användarna enkel inloggning via Azure AD-anslutna enheter. Ingen ytterligare konfiguration krävs. Användarna får enkel inloggning på både, Microsoft Edge chrome-webbläsare. För Chrome måste du distribuera tillägget Windows 10 Accounts.

Alla Win32-program som:

  • Förlita dig Webbkontohanterare (WAM) för tokenbegäranden får även enkel inloggning på Azure AD-anslutna enheter.
  • Förlita dig inte på WAM kan be användarna om autentisering.

Lokala webbprogram

Om dina appar är anpassade och/eller finns lokalt måste du lägga till dem på webbläsarens betrodda webbplatser för att:

  • Aktivera Windows integrerad autentisering för att fungera
  • Ge användarna en enkel inloggning utan att fråga.

Om du använder AD FS kan du se Verifiera och hantera enkel inloggning med AD FS.

Rekommendation: Överväg att vara värd för molnet (till exempel Azure) och integrera med Azure AD för en bättre upplevelse.

Lokala program som förlitar sig på äldre protokoll

Användare får enkel inloggning från Azure AD-anslutna enheter om enheten har åtkomst till en domänkontrollant.

Anteckning

Azure AD-anslutna enheter kan sömlöst ge åtkomst till både lokala och molnbaserade program. Mer information finns i Så här fungerar enkel inloggning till lokala resurser på Azure AD-anslutna enheter.

Rekommendation: Distribuera Azure AD App proxy för att aktivera säker åtkomst för dessa program.

Lokala nätverksresurser

Användarna har enkel inloggning från Azure AD-anslutna enheter när en enhet har åtkomst till en lokal domänkontrollant. Lär dig hur det här fungerar

Skrivare

Vi rekommenderar att Universell utskrift att ha en molnbaserad lösning för utskriftshantering utan lokala beroenden.

Lokala program som förlitar sig på datorautentisering

Azure AD-anslutna enheter stöder inte lokala program som förlitar sig på datorautentisering.

Rekommendation: Överväg att ta bort dessa program och flytta till deras moderna alternativ.

Fjärrskrivbordstjänster

Fjärranslutning till en Azure AD-ansluten enhet måste värddatorn vara antingen Azure AD-ansluten eller Hybrid Azure AD-ansluten. Fjärranslutning från en enhet som inte är Windows enhet stöds inte. Mer information finns i Anslut fjärransluten Azure AD-ansluten dator

Från Windows 10 2004-uppdateringen kan användarna också använda fjärrskrivbord från en Azure AD-registrerad Windows 10 till en Azure AD-ansluten enhet.

RADIUS- och Wi-Fi autentisering

Azure AD-anslutna enheter stöder för närvarande inte RADIUS-autentisering för att ansluta till Wi-Fi-åtkomstpunkter, eftersom RADIUS förlitar sig på förekomsten av ett lokalt datorobjekt. Alternativt kan du använda certifikat som skickas via Intune eller användarautentiseringsuppgifter för att autentisera till Wi-Fi.

Förstå dina etableringsalternativ

Obs! Azure AD-anslutna enheter kan inte distribueras med systemförberedelseverktyget (Sysprep) eller liknande avbildningsverktyg

Du kan etablera Azure AD-anslutning med hjälp av följande metoder:

  • Självbetjäning i OOBE/Inställningar – I självbetjäningsläget går användarna igenom Azure AD-anslutningsprocessen antingen under Windows Out of Box Experience (OOBE) eller från Windows Inställningar. Mer information finns i Ansluta din arbetsenhet till din organisations nätverk.
  • Windows Autopilot – Windows Autopilot möjliggör förkonfiguration av enheter för en smidigare upplevelse i OOBE för att utföra en Azure AD-anslutning. Mer information finns i Översikt över Windows Autopilot.
  • Massregistrering – Massregistrering möjliggör en administratörsdriven Azure AD-anslutning med hjälp av ett massetableringsverktyg för att konfigurera enheter. Mer information finns i Massregistrering för Windows enheter.

Här är en jämförelse av dessa tre metoder

Element Konfiguration av självbetjäning Windows Autopilot Massregistrering
Kräv användarinteraktion för att konfigurera Ja Ja Inga
Kräv IT-arbete Inga Ja Ja
Tillämpliga flöden OOBE-& Inställningar Endast OOBE Endast OOBE
Lokal administratörsbehörighet till primär användare Ja, som standard Konfigurerbar Nej
Kräv stöd för enhets-OEM Inga Ja Inga
Versioner som stöds 1511+ 1709+ 1703+

Välj distributionsmetod eller metoder genom att granska tabellen ovan och granska följande överväganden för att använda någon av metoderna:

  • Är användarna smarta på att gå igenom själva konfigurationen?
    • Självbetjäning fungerar bäst för dessa användare. Överväg Windows Autopilot för att förbättra användarupplevelsen.
  • Är användarna fjärranslutna eller inom företagets lokaler?
    • Självbetjäning eller Autopilot fungerar bäst för fjärranslutna användare för en problemfri konfiguration.
  • Föredrar du en användardriven eller administratörsstyrd konfiguration?
    • Massregistrering fungerar bättre för administratörsdriven distribution för att konfigurera enheter innan de lämnar över till användare.
  • Köper du enheter från 1–2 OEM-tillverkare eller har du en bred distribution av OEM-enheter?
    • Om du köper från begränsade OEM-tillverkare som också stöder Autopilot kan du dra nytta av närmare integrering med Autopilot.

Konfigurera dina enhetsinställningar

Med Azure Portal kan du styra distributionen av Azure AD-anslutna enheter i din organisation. Om du vill konfigurera de relaterade inställningarna går Azure Active Directory väljer du Devices > Device settings . Läs mer

Användare kan ansluta enheter till Azure AD

Ange det här alternativet till Alla eller Valda baserat på omfånget för din distribution och vem du vill tillåta att en Azure AD-ansluten enhet konfigureras.

Användare kan ansluta enheter till Azure AD

Ytterligare lokala administratörer på Azure AD-anslutna enheter

Välj Valda och väljer de användare som du vill lägga till i den lokala administratörsgruppen på alla Azure AD-anslutna enheter.

Ytterligare lokala administratörer på Azure AD-anslutna enheter

Kräv multifaktorautentisering (MFA) för att ansluta enheter

Välj "Ja om du kräver att användarna utför MFA när de ansluter enheter till Azure AD.

Kräv multifaktorautentisering för att ansluta till enheter

Rekommendation: Använd användaråtgärden Registrera eller anslut enheter i villkorsstyrd åtkomst för att framtvinga MFA för att ansluta enheter.

Konfigurera dina mobilitetsinställningar

Innan du kan konfigurera dina mobilitetsinställningar kan du först behöva lägga till en MDM-provider.

Så här lägger du till en MDM-provider:

  1. På Azure Active Directory klickar du på i avsnittet Mobility (MDM and MAM) Hantera.

  2. Klicka på Lägg till program.

  3. Välj din MDM-provider i listan.

    Skärmbild av Azure Active Directory Lägg till ett program. Flera M D M-leverantörer visas.

Välj din MDM-provider för att konfigurera de relaterade inställningarna.

MDM-användaromfång

Välj Vissa eller Alla baserat på distributionens omfattning.

MDM-användaromfång

Baserat på ditt omfång händer något av följande:

  • Användaren är i MDM-omfång: Om du har en Azure AD Premium-prenumeration automatiseras MDM-registreringen tillsammans med Azure AD-anslutning. Alla användare med omfång måste ha en lämplig licens för din MDM. Om MDM-registreringen misslyckas i det här scenariot återställs även Azure AD-anslutning.
  • Användaren finns inte i MDM-omfånget: Om användarna inte är i MDM-omfång slutförs Azure AD-anslutning utan NÅGON MDM-registrering. Detta resulterar i en ohanterad enhet.

MDM-URL:er

Det finns tre URL:er som är relaterade till din MDM-konfiguration:

  • Webbadress till MDM-användarvillkor
  • Webbadress till MDM-identifiering
  • Webbadress till MDM-kompatibilitet

Skärmbild av en del Azure Active Directory M D M-konfigurationsavsnittet med U R L-fält för användningsvillkor, identifiering och efterlevnad för M D M.

Varje URL har ett fördefinierat standardvärde. Om de här fälten är tomma kontaktar du MDM-providern för mer information.

MAM-inställningar

MAM gäller inte för Azure AD-anslutning.

Konfigurera Enterprise State Roaming

Om du vill aktivera tillståndsroaming till Azure AD så att användarna kan synkronisera sina inställningar mellan enheter kan du gå till Aktivera Enterprise State Roaming i Azure Active Directory.

Rekommendation: Aktivera den här inställningen även för Azure AD-anslutna hybridenheter.

Konfigurera villkorlig åtkomst

Om du har en MDM-provider konfigurerad för dina Azure AD-anslutna enheter flaggar providern enheten som kompatibel så snart enheten är under hantering.

Kompatibel enhet

Du kan använda den här implementeringen för att kräva hanterade enheter för åtkomst till molnappen med villkorlig åtkomst.

Nästa steg

Ansluta en ny Windows 10 enhet med Azure AD under en första körning Ansluta din arbetsenhet till organisationens nätverk