從任何裝置加入工作地點網路,並在公司的各個應用程式提供 SSO 和無縫式的次要因素驗證
消費性裝置數目與資訊存取需求的快速增加正在變更人們對其科技的看待方式。 今日對於資訊技術的持續使用與簡單的資訊存取方式,使得工作與居家生活的界線越來越模糊。 這些正在變動的界線伴隨著一個信念,亦即根據使用者個人特性、活動與排程而選取及自訂的個人技術應該延伸到工作地點。 為了配合讓個人消費性裝置連線到企業網路這種持續成長的需求,我們引進了下列價值主張:
系統管理員可以根據應用程式、使用者、裝置與位置,來控制誰可以存取公司資源。
員工可以隨時從任何裝置存取應用程式與資料。 員工可以在瀏覽器應用程式與企業應用程式中使用「單一登入」。
此解決方案引進的重要概念
工作地方聯結
透過使用「加入工作地點網路」,資訊工作者可以讓其個人裝置加入公司工作地點電腦所在的網路,以存取公司資源與裝置。 當您將個人裝置加入到您的工作地點時,它會成為已知裝置並提供無縫式次要因素驗證與「單一登入」,讓您可以存取工作地點資源與應用程式。 當裝置是使用「加入工作地點網路」加入時,您可以從目錄擷取裝置屬性,以針對授權簽發應用程式安全性權杖目的提供條件式存取。 可使用 [加入工作地點網路] 來加入 Windows 8.1 與 iOS 6.0+ 和 Android 4.0+ 裝置。
Microsoft Entra 裝置註冊服務
憑藉 Microsoft Entra 裝置註冊服務讓工作空間的加入變成可能的事。 當有裝置借助 Workplace Join 加入時,服務會借用 Microsoft Entra ID 佈建裝置物件,接著在本機裝置上設定可用來代表裝置身分的金鑰。 接著可針對雲端和內部部署中裝載的應用程式,搭配使用此裝置身分識別與存取控制規則。
更多細節,請參閱 Microsoft Entra ID 的裝置管理簡介。
透過「加入工作地點網路」提供無縫式次要因素驗證
公司可以管理與資訊存取相關的風險並進行合規性控管,同時將對公司資源的存取權授消費性裝置。 裝置上的「加入工作地點網路」為系統管理員提供下列功能:
透過裝置驗證識別已知裝置。 系統管理員可以使用此資訊來允許條件式存取並控制對資源的存取。
為使用者提供更好的無縫式登入體驗,讓其可以從信任的裝置存取公司資源。
單一登入
本案例中的單一登入 (SSO) 功能可以減少當使用者從已知裝置存取公司資源時會看到的密碼提示次數。 此功能表示在 SSO 存留期中,系統只會提示使用者輸入一次密碼,使用者就可以從該裝置存取公司應用程式與資源。 若裝置使用「加入工作地點網路」,已登錄使用此裝置的使用者會取得永續性 SSO (預設有效期是七天)。 此使用者在相同的工作階段中或新的工作階段中可擁有無縫式登入體驗。
解決方案概觀
在此解決方案中,您將了解如何在支援的裝置上使用 [加入工作地點網路],以及如何使用 [單一登入] 來存取公司資源。
注意
為了支援 Windows 8.1、iOS 6.0+ 和 Android 4.0+ 裝置,您務必配置 Microsoft Entra 裝置註冊及裝置物件寫回功能,請參閱使用 Microsoft Entra 裝置註冊進行內部部署的條件式存取逐步指引
此解決方案指南會帶您完成下列逐步解說步驟: