你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
已加入 Azure AD 的设备
无论规模或行业,任何组织都可部署已加入 Azure AD 的设备。 即使在混合环境中,也能使用 Azure AD 联接,从而提供对云中和本地的应用及资源的访问权限。
| Azure AD 加入 | 说明 |
|---|---|
| 定义 | 只需用组织帐户登录到设备即可加入 Azure AD |
| 主要受众 | 适合仅使用云和使用混合环境的组织。 |
| 适用于组织中的所有用户 | |
| 设备所有权 | 组织 |
| 操作系统 | 除家庭版之外的所有 Windows 11 和 Windows 10 设备 |
| 在 Azure 中运行的 Windows Server 2019 虚拟机(不支持服务器核心) | |
| Provisioning | 自助服务:Windows 全新体验 (OOBE) 或设置 |
| 批量注册 | |
| Windows Autopilot | |
| 设备登录选项 | 组织帐户使用: |
| 密码 | |
| Windows Hello for Business | |
| FIDO2.0 安全密钥(预览版) | |
| 设备管理 | 移动设备管理(例如:Microsoft Intune) |
| 单独使用 Configuration Manager 或与 Microsoft Intune 共同管理 | |
| 关键功能 | SSO 连接到云和本地资源 |
| 通过 MDM 注册和 MDM 符合性评估进行条件访问 | |
| 在锁屏界面上进行自助式密码重置和 Windows Hello PIN 重置 |
使用 Azure AD 组织帐户登录已加入 Azure AD 的设备。 可以基于应用到设备的 Azure AD 帐户和条件访问策略控制对资源的访问。
管理员可使用 Microsoft Intune 等移动设备管理 (MDM) 工具或使用 Microsoft Endpoint Configuration Manager(在共同管理场景中)来保护和进一步控制已加入 Azure AD 的设备。 这些工具提供了一种方法来强制实施组织必需的配置,例如:
- 需要对存储进行加密
- 密码复杂性
- 软件安装
- 软件更新
管理员可使用 Configuration Manager 管理来自适用于企业和教育的 Microsoft Store 的应用,将组织应用程序提供给已加入 Azure AD 的设备。
可使用开箱即用体验 (OOBE)、批量注册或 Windows Autopilot 等自助服务选项来实现加入 Azure AD 的操作。
已加入 Azure AD 的设备在位于组织的网络上时,仍可保证对本地资源进行单一登录访问。 这些设备仍可向文件、打印和其他应用程序等本地服务器进行身份验证。
方案
Azure AD 联接可用于多种方案,例如:
- 要使用 Azure AD 和 MDM(如 Intune)转换到基于云的基础结构。
- 例如,在需要控制平板电脑和手机等设备时,无法使用本地域加入。
- 你的用户主要需要访问 Microsoft 365 或其他与 Azure AD 集成的 SaaS 应用。
- 你需要在 Azure AD 而不是 Active Directory 中管理用户组。 该方案适用于季节工、承包商或学生等群体。
- 你需要向居家办公人员或者在本地基础结构有限的远程分支机构中的工作人员提供联接功能。
你可以为除家庭版之外的所有 Windows 11 和 Windows 10 设备配置 Azure AD 联接。
Azure AD 加入设备旨在简化:
- 工作所有设备的 Windows 部署
- 从任何 Windows 设备访问组织的应用和资源
- 基于云管理工作所有的设备
- 用户可使用其 Azure AD 或已同步的 Active Directory 工作或学校帐户登录其设备。
Azure AD 加入可以通过下列任何方法进行部署: