Azure AD 加入裝置

任何組織都可以部署加入 Azure AD 的裝置,不論其大小或產業為何。 即使在混合式環境中,Azure AD join 仍可運作,以存取雲端和內部部署應用程式與資源。

Azure AD Join Description
[定義] 僅加入到需要組織帳戶才能登入裝置的 Azure AD
主要對象 適用於僅限雲端和混合式組織。
適用於組織中的所有使用者
裝置擁有權 組織
作業系統 所有 Windows 10 裝置 (Windows 10 家用版除外)
不支援在 Azure (server core中執行 Windows Server 2019 虛擬機器)
佈建 自助: Windows (OOBE) 或設定的現成體驗
大量註冊
Windows Autopilot
裝置登入選項 使用下列項目的組織帳戶:
密碼
Windows Hello 企業版
FIDO2.0 安全性金鑰 (預覽)
裝置管理 行動裝置管理 (例如:Microsoft Intune)
Microsoft Intune 與 Microsoft Endpoint Configuration Manager 共同管理
主要功能 雲端和內部部署資源的 SSO
透過 MDM 註冊和 MDM 合規性評估進行條件式存取
在鎖定畫面上進行自助式密碼重設和 Windows Hello PIN 重設
跨裝置進行企業狀態漫遊

加入 Azure AD 的裝置會使用組織 Azure AD 帳戶登入。 根據 Azure AD 帳戶和套用至裝置身分識別的條件式存取原則,您可以進一步限制組織中資源的存取權。

系統管理員可以使用行動裝置管理 (MDM) 工具 (例如 Microsoft Intune) 或以使用 Microsoft Endpoint Configuration Manager 的共同管理案例,來保護及進一步控制加入 Azure AD 的裝置。 這些工具可讓您強制執行組織所需的設定,例如要求儲存加密、密碼複雜性、軟體安裝和軟體更新。 系統管理員可以使用 Configuration Manager,將組織應用程式提供給加入 Azure AD 的裝置,進而管理商務用和教育用 Microsoft Store 中的應用程式

您可以使用全新體驗 (OOBE)、大量註冊或 Windows Autopilot 等自助選項來完成 Azure AD Join。

加入 Azure AD 的裝置仍可在組織的網路上,維持對內部部署資源的單一登入存取權。 加入 Azure AD 的裝置仍然可以向內部部署伺服器進行驗證,例如檔案、列印和其他應用程式。

案例

雖然 Azure AD Join 主要適用於沒有內部部署 Windows Server Active Directory 基礎結構的組織,但您也可以在下列情況下使用它:

  • 您想要使用 Azure AD 和 MDM (例如 Intune) 來轉換成雲端式基礎結構。
  • 例如,如果您需要取得行動裝置 (例如控制下的平板電腦和電話),您無法使用內部部署網域加入。
  • 您的使用者主要需要存取 Microsoft 365 或其他整合 Azure AD 的 SaaS 應用程式。
  • 您想要管理 Azure AD 中的使用者群組,而不是 Active Directory 中的使用者群組。 例如,此案例可以套用於季節工、約聘員工或學生。
  • 您要為內部部署基礎結構受到限制的遠端分公司工作者提供加入功能。

您可以為所有 Windows 10 裝置設定 Azure AD 加入的裝置,但 Windows 10 家用版除外。

Azure AD 加入裝置的目標是簡化:

  • Windows 部署工作用的裝置
  • 從任何 Windows 裝置存取組織應用程式與資源
  • 工作用裝置的雲端式管理
  • 使用者可使用使用其 Azure AD 或已同步的 Active Directory 公司或學校帳戶登入他們的裝置。

Azure AD 加入裝置

您可以使用下列任何一種方法來部署 Azure AD Join:

後續步驟