Nasıl yapılır: Azure AD JOIN Uygulamanızı planlayın
Azure AD katılımı, kullanıcılarınızın üretken ve güvenli tutulması sırasında şirket içi Active Directory katılmanız gerekmeden cihazları doğrudan Azure AD 'ye katmanıza olanak sağlar. Azure AD JOIN, hem ölçekli hem de kapsamlı dağıtımlar için kurumsal olarak hazırlanmıştır.
Bu makale, Azure AD JOIN uygulamanızı planlamak için gereken bilgileri sağlar.
Önkoşullar
Bu makalede, Azure Active Directory 'de cihaz yönetimine girişhakkında bilgi sahibi olduğunuz varsayılır.
Uygulamanızı planlayın
Azure AD JOIN uygulamanızı planlamak için şunu öğrenmeniz gerekir:
- Senaryolarınızı gözden geçirin
- Kimlik altyapınızı gözden geçirin
- Cihaz yönetimini değerlendirin
- Uygulamalar ve kaynaklarla ilgili önemli noktaları anlama
- Sağlama seçeneklerinizi anlayın
- Kurumsal durum dolaşımı yapılandırma
- Koşullu erişimi yapılandırma
Senaryolarınızı gözden geçirin
Hibrit Azure AD katılımı belirli senaryolar için tercih edilebilir, ancak Azure AD JOIN, Windows ile bir bulut ilk modeline geçiş yapmanızı sağlar. Cihaz yönetileninizi modernleştirin ve cihazla ilgili BT maliyetlerini azaldıysanız, Azure AD katılımı bu hedefleri elde etmek için harika bir temel sağlar.
Hedefleriniz aşağıdaki ölçütlere göre hizalandıysanız Azure AD 'ye katılmayı göz önünde bulundurmanız gerekir:
- kullanıcılarınız için üretkenlik paketi olarak Microsoft 365 benimsediolursunuz.
- Cihazları bir bulut cihaz yönetimi çözümüyle yönetmek istiyorsunuz.
- Coğrafi olarak dağıtılan kullanıcılar için cihaz sağlamayı basitleştirmek istiyorsunuz.
- Uygulama altyapınızı modernleştirin planlayın.
Kimlik altyapınızı gözden geçirin
Azure AD katılımı, hem yönetilen hem de Federasyon ortamlarında çalışmaktadır.
Yönetilen ortam
Yönetilen bir ortam, Parola karması eşitlemesi aracılığıyla ya da kesintisiz çoklu oturum açma Ile kimlik doğrulama yoluyla dağıtılabilir.
Bu senaryolar, kimlik doğrulaması için bir federasyon sunucusu yapılandırmanızı gerektirmez.
Federasyon ortamı
Federasyon ortamında hem WS-Trust hem de WS-Fed protokolleri destekleyen bir kimlik sağlayıcısı olmalıdır:
- WS-beslenir: Bu protokol, bir cihazın Azure AD 'ye katılması için gereklidir.
- WS-Trust: Bu protokol, bir Azure AD 'ye katılmış cihazda oturum açmak için gereklidir.
AD FS kullanırken, aşağıdaki WS-Trust uç noktaları etkinleştirmeniz gerekir: /adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Kimlik sağlayıcınız bu protokolleri desteklemiyorsa Azure AD katılımı yerel olarak çalışmaz.
Not
Şu anda Azure AD JOIN, birincil kimlik doğrulama yöntemi olarak dış kimlik doğrulama sağlayıcılarıyla yapılandırılmış AD FS 2019ile çalışmıyor. Azure AD JOIN, birincil yöntem olarak parola kimlik doğrulaması varsayılan olarak, bu senaryoda kimlik doğrulama hatalarıyla sonuçlanır
Smartcards ve sertifika tabanlı kimlik doğrulaması
Cihazları Azure AD 'ye katmak için akıllı kartlar veya sertifika tabanlı kimlik doğrulaması kullanamazsınız. Ancak, akıllı kartlar AD FS yapılandırılmışsa Azure AD 'ye katılmış cihazlarda oturum açmak için kullanılabilir.
Öneri: cihazlara Windows 10 ve yukarıdaki daha güçlü, parola açısından daha az kimlik doğrulama için iş Windows Hello uygulayın.
Kullanıcı Yapılandırması
İçinde kullanıcı oluşturursanız:
- şirket içi Active Directory, Azure AD Connectkullanarak bunları Azure AD ile eşitlemeniz gerekir.
- Azure AD, ek bir kurulum gerekli değildir.
Azure AD UPN 'lerden farklı olan şirket içi UPN 'ler Azure AD 'ye katılmış cihazlarda desteklenmez. Kullanıcılarınız şirket içi UPN kullanıyorsa, Azure AD 'de birincil UPN 'sini kullanmaya geçmeniz gerekir.
UPN değişiklikleri yalnızca 2004 güncelleştirme Windows 10 başlayarak desteklenir. Bu güncelleştirmeye sahip cihazlardaki kullanıcılar UPN 'lerini değiştirdikten sonra herhangi bir sorun olmayacaktır. Windows 10 2004 güncelleştirmesinden önceki cihazlarda, kullanıcıların cihazlarında SSO ve koşullu erişim sorunları olur. bu sorunu çözmek için yeni UPN 'sini kullanarak "diğer kullanıcı" kutucuğunda Windows oturum açması gerekir.
Cihaz yönetimini değerlendirin
Desteklenen cihazlar
Azure AD katılımı:
- Windows 10 ve Windows 11 cihazlara uygulanabilir.
- Windows veya diğer işletim sistemlerinin önceki sürümleri için geçerli değildir. Windows 7/8.1 cihazlarınız varsa, Azure AD joın 'i dağıtmak için en azından Windows 10 sürümüne yükseltmeniz gerekir.
- FIPS uyumlu TPM 2,0 için desteklenir, ancak TPM 1,2 için desteklenmez. Cihazlarınızda FIPS uyumlu TPM 1,2 varsa, Azure AD JOIN 'e devam etmeden önce bunları devre dışı bırakmanız gerekir. Microsoft, TPM üreticisine bağlı olduğundan, TPMs için FIPS modunu devre dışı bırakmaya yönelik herhangi bir araç sağlamaz. Destek için lütfen donanımınızın OEM 'nize başvurun.
Öneri: güncel özelliklerden yararlanmak için her zaman en son Windows 10 sürümünü kullanın.
Yönetim platformu
Azure AD 'ye katılmış cihazlar için cihaz yönetimi, Intune ve MDM CSP 'Ler gibi bir MDM platformunu temel alır. Windows 10, tüm uyumlu mdm çözümleriyle birlikte çalışarak yerleşik bir mdm aracısına sahiptir.
Not
Şirket içi Active Directory bağlı olmadıkları için, Azure AD 'ye katılmış cihazlarda Grup ilkeleri desteklenmez. Azure AD 'ye katılmış cihazların yönetimi yalnızca MDM aracılığıyla yapılabilir
Azure AD 'ye katılmış cihazları yönetmeye yönelik iki yaklaşım vardır:
- Yalnızca MDM -cihaz, Intune gıbı bir MDM sağlayıcısı tarafından özel olarak yönetilir. Tüm ilkeler MDM kayıt sürecinin bir parçası olarak dağıtılır. Azure AD Premium veya EMS müşterileri için MDM kaydı, bir Azure AD birleştirmenin parçası olan otomatikleştirilmiş bir adımdır.
- Ortak yönetim -bir cıhaz, MDM sağlayıcısı ve SCCM tarafından yönetilir. Bu yaklaşımda, SCCM Aracısı belirli yönleri yönetmek için MDM tarafından yönetilen bir cihaza yüklenir.
Grup Ilkeleri kullanıyorsanız, Microsoft Endpoint Manager ' de Grup İlkesi Analytics kullanarak GPO ve MDM ilke eşliği değerlendirin.
Grup ilkeleri yerine bir MDM çözümü kullanıp kullanmayacağınızı öğrenmek için desteklenen ve desteklenmeyen ilkeleri gözden geçirin. Desteklenmeyen ilkeler için aşağıdakileri göz önünde bulundurun:
- Azure AD 'ye katılmış cihazlar veya kullanıcılar için gereken desteklenmeyen ilkeler var mı?
- Desteklenmeyen ilkeler bulut tabanlı dağıtımda uygulanabilir mi?
mdm çözümünüz Azure AD uygulama galerisi aracılığıyla kullanılamıyorsa, mdm ile Azure Active Directory tümleştirme' de özetlenen işlemden sonra ekleyebilirsiniz.
Ortak yönetim sayesinde, ilkeler MDM platformunuz aracılığıyla teslim edilirken cihazlarınızın belirli yönlerini yönetmek için SCCM 'yi kullanabilirsiniz. Microsoft Intune, SCCM ile ortak yönetime izin verebilir. Windows 10 cihazlar için ortak yönetim hakkında daha fazla bilgi için bkz. co-management nedir?. Intune dışında bir MDM ürünü kullanıyorsanız, lütfen uygulanabilir ortak yönetim senaryolarında MDM sağlayıcınızla görüşün.
Öneri: Yalnızca Azure AD 'ye katılmış cihazlar için MDM yönetimini göz önünde bulundurun.
Uygulamalar ve kaynaklarla ilgili önemli noktaları anlama
Daha iyi bir kullanıcı deneyimi ve erişim denetimi için uygulamaların Şirket içinden buluta geçirilmesini öneririz. Ancak, Azure AD 'ye katılmış cihazlar hem şirket içi hem de bulut uygulamalarına sorunsuz şekilde erişim sağlayabilir. Daha fazla bilgi için bkz. Azure AD 'ye katılmış CIHAZLARDA SSO, şirket içi kaynaklara yönelik olarak nasıl kullanılır.
Aşağıdaki bölümlerde farklı uygulama ve kaynak türleri için konular listelenmektedir.
Bulut tabanlı uygulamalar
Azure AD uygulama galerisine bir uygulama eklenirse, kullanıcılar Azure AD 'ye katılmış cihazlar aracılığıyla SSO alır. Ek yapılandırma gerekmez. kullanıcılar hem Microsoft Edge hem de Chrome tarayıcılarında SSO alır. Chrome için Windows 10 hesapları uzantısınıdağıtmanız gerekir.
Tüm Win32 uygulamaları:
- Belirteç istekleri için web hesabı Yöneticisi 'ni (WAM) kullan, Azure AD 'ye katılmış cihazlarda SSO da alır.
- WAM 'ye dayanmayın, kullanıcılardan kimlik doğrulaması için istemde bulunabilir.
Şirket içi web uygulamaları
Uygulamalarınız özel olarak oluşturulup/veya şirket içinde barındırılıyorsa, bunları tarayıcınızın güvenilen sitelerine eklemeniz gerekir:
- Çalışmak Windows tümleşik kimlik doğrulamasını etkinleştirme
- Kullanıcılara istem yok SSO deneyimi sağlama.
Oturum açma AD FS, bkz. AD FS ile çoklu oturum açma doğrulama ve yönetme.
Öneri: Daha iyi bir deneyim için bulutta (örneğin Azure) barındırmayı ve Azure AD ile tümleştirmeyi göz önünde bulundurabilirsiniz.
Eski protokollere bağlı olan şirket içi uygulamalar
Cihazın bir etki alanı denetleyicisine erişimi varsa kullanıcılar Azure AD'ye katılmış cihazlardan SSO alır.
Not
Azure AD'ye katılmış cihazlar hem şirket içi hem de bulut uygulamalarına sorunsuz bir şekilde erişim sağlar. Daha fazla bilgi için bkz. Azure AD'ye katılmış cihazlarda şirket içi kaynaklarda SSO nasıl çalışır?.
Öneri: Bu Azure AD Uygulaması güvenli erişimi etkinleştirmek için bir ara sunucu dağıtın.
Şirket içi ağ paylaşımları
Bir cihazın şirket içi etki alanı denetleyicisine erişimi olduğunda kullanıcılarınız Azure AD'ye katılmış cihazlardan SSO'ya sahip olur. Bunun nasıl çalıştığını öğrenin
Yazıcı
Şirket içi Evrensel Yazdırma olmadan bulut tabanlı bir yazdırma yönetimi çözümüne sahip olmak için dağıtım çözümleri dağıtmanız önerilir.
Makine kimlik doğrulamasına bağlı şirket içi uygulamalar
Azure AD'ye katılmış cihazlar, makine kimlik doğrulamasına bağlı olarak şirket içi uygulamaları desteklemez.
Öneri: Bu uygulamaları eskiterek modern alternatiflerine taşımayı göz önünde bulundurabilirsiniz.
Uzak Masaüstü Hizmetleri
Uzak masaüstü azure AD'ye katılmış cihazlara bağlantı için konak makinenin Azure AD'ye katılmış veya Hibrit Azure AD'ye katılmış olması gerekir. Uzak masaüstü veya bağlı olmayan bir Windows cihazdan yapılan bağlantı desteklenmiyor. Daha fazla bilgi için bkz. Bağlan Azure AD'ye katılmış bilgisayara yükleme
2004 Windows 10 başlayarak, kullanıcılar Azure AD kayıtlı bir Windows 10 cihazından Azure AD'ye katılmış bir cihaza uzak masaüstünü de kullanabilir.
RADIUS ve Wi-Fi doğrulaması
Şu anda, RADIUS bir şirket içi bilgisayar nesnesine bağlı Wi-Fi erişim noktalarına bağlanmak için RADIUS kimlik doğrulamasını desteklememektedir. Alternatif olarak, Wi-Fi'da kimlik doğrulaması yapmak için Intune veya kullanıcı kimlik bilgileri aracılığıyla gönderilen sertifikaları kullanabilirsiniz.
Sağlama seçeneklerinizi anlama
Not: Azure AD'ye katılmış cihazlar Sistem Hazırlama Aracı (Sysprep) veya benzer görüntüleme araçları kullanılarak dağıtılabilir
Aşağıdaki yaklaşımları kullanarak Azure AD'ye katılmayı sabilirsiniz:
- OOBE/Ayarlar self servis - Self servis modunda kullanıcılar, Windows İlk Kullanım Deneyimi (OOBE) sırasında veya azure AD'ye katılma Windows Ayarlar. Daha fazla bilgi için bkz. İş cihazınızı kuruluş ağına katılma.
- Windows Autopilot - Windows Autopilot, Azure AD'ye katılma gerçekleştirmek için OOBE'de daha sorunsuz bir deneyim için cihazların önceden yapılandırmasını sağlar. Daha fazla bilgi için bkz. Windows Autopilot'a Genel Bakış.
- Toplu kayıt - Toplu kayıt, cihazları yapılandırmak için toplu sağlama aracı kullanarak yönetici tarafından yönlendirilen bir Azure AD'ye katılmayı sağlar. Daha fazla bilgi için bkz. Cihazlar için Windows kaydı.
Bu üç yaklaşımın karşılaştırması şu şekildedir:
| Öğe | Self servis kurulum | Windows Autopilot | Toplu kayıt |
|---|---|---|---|
| Ayarlamak için kullanıcı etkileşimi gerektirme | Yes | Yes | Hayır |
| IT çabası gerektir | Hayır | Yes | Evet |
| Uygulanabilir akışlar | OOBE & Ayarlar | Yalnızca OOBE | Yalnızca OOBE |
| Birincil kullanıcı için yerel yönetici hakları | Evet, varsayılan olarak | Yapılandırılabilir | Hayır |
| Cihaz OEM desteği gerektirme | Hayır | Yes | Hayır |
| Desteklenen sürümler | 1511+ | 1709+ | 1703+ |
Yukarıdaki tabloyu gözden geçirerek ve her iki yaklaşımı da benimsemek için aşağıdaki konuları gözden geçirerek dağıtım yaklaşımınızı veya yaklaşımlarınızı seçin:
- Kullanıcılarınız kurulumu kendileri yapmak için teknik bilgi edindi mi?
- Self servis bu kullanıcılar için en iyi şekilde kullanılabilir. Kullanıcı Windows geliştirmek için Autopilot'a göz önünde bulundurabilirsiniz.
- Kullanıcılarınız uzak mı yoksa şirket içinde mi?
- Self servis veya Autopilot, sorunsuz bir kurulum için uzak kullanıcılar için en iyi şekilde çalışır.
- Kullanıcı odaklı bir yapılandırmayı mı yoksa yönetici tarafından yönetilen bir yapılandırmayı mı tercih edersiniz?
- Toplu kayıt, kullanıcılara teslimmeden önce cihazları ayarlamak için yönetici odaklı dağıtımda daha iyi çalışır.
- 1-2 OEMS'den cihaz mı satın alasınız yoksa OEM cihazlarının geniş bir dağıtımına mı sahipsiniz?
- Autopilot'ı da destekleyen sınırlı OEM'lerden satın alma, Autopilot ile daha sıkı tümleştirmeden yararlanabilirsiniz.
Cihaz ayarlarınızı yapılandırma
Bu Azure portal, Azure AD'ye katılmış cihazların dağıtımını denetlemenize olanak tanır. İlgili ayarları yapılandırmak için, Azure Active Directory Devices > Device settings seçin. Daha fazla bilgi edinin
Kullanıcılar cihazları Azure AD’ye ekleyebilir
Dağıtım kapsamına ve Azure AD'ye katılmış bir cihazı ayarlamaya izin vermek istediğiniz kullanıcıya göre bu seçeneği Tüm veya Seçili olarak ayarlayın.
Azure AD’ye katılan cihazlarda ek yerel yöneticiler
Seçili'yi seçin ve tüm Azure AD'ye katılmış cihazlarda yerel yöneticiler grubuna eklemek istediğiniz kullanıcıları seçer.
Cihazlara katılmak için çok faktörlü kimlik doğrulaması (MFA) gerektirme
"Kullanıcıların cihazları Azure AD'ye katılırken MFA gerçekleştirmesi gerekirse Evet'i seçin.
Öneri: Cihaz katılım için MFA'nın zorlanmaları için Koşullu Erişim'de cihazları kaydetme veya birleştirme kullanıcı eylemlerini kullanın.
Mobilite ayarlarınızı yapılandırma
Mobilite ayarlarınızı yapılandırmadan önce bir MDM sağlayıcısı eklemeniz gerekebilir.
Bir MDM sağlayıcısı eklemek için:
Giriş Azure Active Directory yönet bölümünde'ye
Mobility (MDM and MAM)tıklayın.Uygulama ekle'ye tıklayın.
Listeden MDM sağlayıcınızı seçin.
İlgili ayarları yapılandırmak için MDM sağlayıcınızı seçin.
MDM kullanıcı kapsamı
Dağıtım kapsamınıza bağlı olarak Bazıları veya Hepsi'ne seçin.
Kapsamınıza bağlı olarak, aşağıdakilerden biri gerçekleşir:
- Kullanıcı MDM kapsamında: Bir Azure AD Premium aboneliğiniz varsa, Azure AD'ye katılım ile birlikte MDM kaydı otomatik hale geldi. Kapsamlı tüm kullanıcıların MDM'niz için uygun bir lisansı olması gerekir. Bu senaryoda MDM kaydı başarısız olursa Azure AD'ye katılma da geri alınır.
- Kullanıcı MDM kapsamında değil: Kullanıcılar MDM kapsamında yoksa, Azure AD'ye katılma işlemi herhangi bir MDM kaydı olmadan tamamlanır. Bu durum, bir cihaza neden olur.
MDM URL’leri
MDM yapılandırmanız ile ilgili üç URL vardır:
- MDM kullanım koşulları URL'si
- MDM bulma URL'si
- MAM uyumluluk URL’si
Her URL’de önceden tanımlanmış varsayılan bir değer vardır. Bu alanlar boşsa daha fazla bilgi için lütfen MDM sağlayıcınıza başvurun.
MAM ayarları
MAM, Azure AD'ye katılma için geçerli değildir.
Kurumsal durum dolaşımını yapılandırma
Kullanıcıların cihazlarının ayarlarını cihazlar arasında eşitleyene kadar Azure AD'ye durum dolaşımını etkinleştirmek için bkz. Enterprise State Roaming'i Azure Active Directory.
Öneri: Hibrit Azure AD'ye katılmış cihazlar için bile bu ayarı etkinleştirin.
Koşullu Erişimi Yapılandırma
Azure AD'ye katılmış cihazlarınız için yapılandırılmış bir MDM sağlayıcınız varsa, sağlayıcı cihaz yönetim altında olduğu anda cihazı uyumlu olarak bayraklar.
Koşullu Erişim ile bulut uygulaması erişimi için yönetilen cihazlar gerektirmek üzere bu uygulamayı kullanabilirsiniz.