Plánování nasazení zařízení Microsoft Entra
Tento článek vám pomůže vyhodnotit metody integrace zařízení s Microsoft Entra ID, zvolit plán implementace a poskytuje klíčové odkazy na podporované nástroje pro správu zařízení.
Krajina zařízení uživatele se neustále rozšiřuje. Organizace můžou poskytovat stolní počítače, notebooky, telefony, tablety a další zařízení. Vaši uživatelé mohou používat vlastní různorodou škálu zařízení a přistupovat k informacím z různých míst. V tomto prostředí je vaším úkolem jako správce zajistit zabezpečení prostředků organizace na všech zařízeních.
Microsoft Entra ID umožňuje vaší organizaci splnit tyto cíle pomocí správy identit zařízení. Nyní můžete získat svá zařízení v Microsoft Entra ID a ovládat je z centrálního místa v centru pro správu Microsoft Entra. Tento proces poskytuje jednotné prostředí, lepší zabezpečení a zkracuje čas potřebný ke konfiguraci nového zařízení.
Existuje několik metod integrace zařízení do Microsoft Entra ID. Tyto metody můžou pracovat samostatně nebo společně na základě operačního systému a vašich požadavků:
- Zařízení můžete zaregistrovat pomocí Microsoft Entra ID.
- Připojit zařízení k Microsoft Entra ID (jenom cloud).
- Připojte zařízení pomocí hybridního připojení Microsoft Entra k vaší místní doméně Active Directory a Microsoft Entra ID.
Uč se
Než začnete, ujistěte se, že znáte přehled správy identit zařízení .
Výhody
Hlavní výhody poskytování identity Microsoft Entra pro vaše zařízení:
Zvýšení produktivity – uživatelé můžou bezproblémové přihlašování (SSO) k místním a cloudovým prostředkům, což umožňuje produktivitu bez ohledu na to, kde jsou.
Zvýšení zabezpečení – Použití zásad podmíněného přístupu na prostředky na základě identity zařízení nebo uživatele. Připojení zařízení k Microsoft Entra ID je předpokladem pro zvýšení zabezpečení pomocí strategie bez hesla.
Vylepšení uživatelského prostředí – Poskytněte uživatelům snadný přístup ke cloudovým prostředkům vaší organizace z osobních i firemních zařízení. Správci můžou povolit Enterprise State Roaming pro jednotné prostředí na všech zařízeních s Windows.
Zjednodušte nasazení a správu – Zjednodušte proces připojení zařízení k Microsoft Entra ID pomocí Windows Autopilot, hromadného zřizovánínebo samoobslužného: OOBE (Out of Box Experience). Spravujte zařízení pomocí nástrojů správy mobilních zařízení (MDM), jako jsou Microsoft Intunea jejich identity v centru pro správu Microsoft Entra.
Plánování projektu nasazení
Při určování strategie pro toto nasazení ve vašem prostředí zvažte potřeby vaší organizace.
Zapojení správných zúčastněných stran
Když technologické projekty selžou, obvykle to dělají kvůli neshodě očekávání ohledně dopadu, výsledků a zodpovědností. Aby se předešlo těmto nástrahám, ujistěte se, že zapojujete správné zainteresované strany, a že role účastníků v projektu jsou jasně srozumitelné.
Pro tento plán přidejte do seznamu následující zúčastněné strany:
| Role | Popis |
|---|---|
| Správce zařízení | Zástupce od týmu zařízení, který může ověřit, že plán splňuje požadavky vaší organizace. |
| Správce sítě | Zástupce od síťového týmu, který se může ujistit, že splňuje požadavky na síť. |
| Tým pro správu zařízení | Tým, který spravuje inventář zařízení |
| Týmy pro správu specifické pro operační systém | Týmy, které podporují a spravují konkrétní verze operačního systému. Může se například jednat o tým zaměřený na Mac nebo iOS. |
Plánování komunikace
Komunikace je důležitá pro úspěch jakékoli nové služby. Proaktivně komunikujte s uživateli, jak se jejich zkušenosti mění, kdy se mění a jak získat podporu v případě problémů.
Naplánovat pilotní projekt
Doporučujeme, aby počáteční konfigurace vaší metody integrace byla v testovacím prostředí nebo s malou skupinou testovacích zařízení. Viz Osvědčené postupy pro pilota.
Před povolením hybridního připojení Microsoft Entra v celé organizaci můžete chtít provést
Varování
Organizace by měly ve své pilotní skupině obsahovat ukázku uživatelů z různých rolí a profilů. Cílené zavedení vám pomůže identifikovat všechny problémy, které váš plán nemusí řešit, než jej povolíte v celé organizaci.
Volba metod integrace
Vaše organizace může použít více metod integrace zařízení v jednom tenantovi Microsoft Entra. Cílem je zvolit jednu nebo více metod vhodných k zabezpečené správě vašich zařízení v Microsoft Entra ID. Toto rozhodnutí řídí mnoho parametrů, včetně vlastnictví, typů zařízení, primární cílové skupiny a infrastruktury vaší organizace.
Následující informace vám můžou pomoct při rozhodování, které metody integrace se mají použít.
Rozhodovací strom pro integraci zařízení
Tento strom slouží k určení možností pro zařízení vlastněná organizací.
Poznámka
Osobní nebo vlastní zařízení (BYOD) se v tomto diagramu nezobrazují. Vždy vedou k registraci Microsoft Entra.
Srovnávací matice
Zařízení s iOSem a Androidem jsou registrovaná pouze společností Microsoft Entra. Následující tabulka uvádí základní aspekty klientských zařízení s Windows. Použijte ho jako přehled a podrobně prozkoumejte různé metody integrace.
| Úvaha | Microsoft Entra zaregistrovaný | Microsoft Entra se připojil | Microsoft Entra ve stavu hybridního připojení |
|---|---|---|---|
| Klientské operační systémy | |||
| Zařízení s Windows 11 nebo Windows 10 |
|
|
|
| Linux Desktop – Ubuntu 20.04/22.04/24.04, RHEL 8/9 |
|
||
| možnosti přihlášení | |||
| Místní přihlašovací údaje koncového uživatele |
|
||
| Heslo |
|
|
|
| PIN kód zařízení |
|
||
| Windows Hello |
|
||
| Windows Hello pro firmy |
|
|
|
| Klíče zabezpečení FIDO 2.0 |
|
|
|
| Aplikace Microsoft Authenticator (bez hesla) |
|
|
|
| Klíčové schopnosti | |||
| Jednotné přihlašování ke cloudovým prostředkům |
|
|
|
| Jednotné přihlašování k místním prostředkům |
|
|
|
| Podmíněný přístup (Vyžadovat, aby zařízení byla označená jako vyhovující) (Musí být spravován pomocí MDM) |
|
|
|
| Podmíněný přístup (Vyžadovat hybridně připojená zařízení Microsoft Entra) |
|
||
| Samoobslužné resetování hesla z přihlašovací obrazovky Windows |
|
|
|
| Resetování PIN kódu Windows Hello |
|
|
Registrace Microsoft Entra
Registrovaná zařízení se často spravují pomocí Microsoft Intune. Zařízení se registrují v Intune několika způsoby v závislosti na operačním systému.
Registrovaná zařízení Microsoft Entra nabízejí podporu pro používání vlastních zařízení (BYOD) i zařízení ve vlastnictví společnosti, a to pro jednotné přihlášení ke cloudovým prostředkům. Přístup k prostředkům je založený na zásadách podmíněného přístupu společnosti Microsoft Entra použité na zařízení a uživatele.
Registrace zařízení
Registrovaná zařízení se často spravují pomocí Microsoft Intune. Zařízení se registrují v Intune několika způsoby v závislosti na operačním systému.
Uživatelé nainstalují aplikaci Portál společnosti, aby mohli zaregistrovat vlastní zařízení (BYOD) a mobilní zařízení vlastněná společností.
Pokud je registrace zařízení nejlepší volbou pro vaši organizaci, projděte si následující zdroje informací:
- Tento přehled zařízení registrovaných společností Microsoft Entra.
- Tato dokumentace pro koncové uživatele o Registraci vašeho osobního zařízení v síti organizace.
Microsoft Entra připojení
Funkce Microsoft Entra join umožňuje přechod k modelu upřednostňujícímu cloud s Windows. Poskytuje skvělý základ, pokud plánujete modernizovat správu zařízení a snížit náklady na IT související se zařízeními. Připojení Microsoft Entra funguje jenom s Windows 10 nebo novějšími zařízeními. Zvažte ji jako první volbu pro nová zařízení.
Zařízení připojená k Microsoft Entra mohou používat SSO k přístupu k místním prostředkům, když jsou na síti organizace, a mohou se ověřit na místních serverech, jako jsou souborové, tiskové a další aplikace.
Pokud je tato možnost pro vaši organizaci nejvhodnější, projděte si následující zdroje informací:
- Tento přehled zařízení připojených k Microsoft Entra .
- Seznamte se s plánem implementace pro připojení k Microsoft Entra.
Zřizování zařízení připojených k Microsoft Entra
Pokud chcete zřídit zařízení pro připojení k Microsoft Entra, máte následující přístupy:
- Samoobslužná služba: prostředí s prvním spuštěním Windows 10
Pokud máte na zařízení nainstalovaný Windows 10 Professional nebo Windows 10 Enterprise, výchozí nastavení je pro zařízení vlastněná společností.
Po pečlivém porovnání těchto přístupů zvolte postup nasazení.
Můžete zjistit, že připojení Microsoft Entra je nejlepším řešením pro zařízení v jiném stavu. Následující tabulka ukazuje, jak změnit stav zařízení.
| Aktuální stav zařízení | Požadovaný stav zařízení | Návod |
|---|---|---|
| Připojení k místní doméně | Microsoft Entra se připojila | Před připojením k ID Microsoft Entra odpojte zařízení z místní domény. |
| Hybridně připojený Microsoft Entra | Microsoft Entra se připojil | Před připojením k Microsoft Entra ID odpojte zařízení z místní domény a z ID Microsoft Entra. |
| Microsoft Entra registrováno | Microsoft Entra se připojil | Před připojením k MICROSOFT Entra ID zrušíte registraci zařízení. |
Hybridní připojení Microsoft Entra
Pokud máte místní prostředí Active Directory a chcete připojit existující počítače připojené k doméně k Microsoft Entra ID, můžete tuto úlohu provést pomocí hybridního připojení Microsoft Entra. Podporuje širokou škálu zařízení pro Windows.
Většina organizací už má zařízení připojená k doméně a spravuje je prostřednictvím zásad skupiny nebo nástroje System Center Configuration Manager (SCCM). V takovém případě doporučujeme nakonfigurovat hybridní připojení Microsoft Entra, abyste mohli začít získávat výhody při využívání stávajících investic.
Pokud je hybridní připojení Microsoft Entra nejlepší volbou pro vaši organizaci, projděte si následující zdroje informací:
- Tento přehled zařízení hybridně připojených k Microsoft Entra .
- Seznamte se s implementací hybridního připojení Microsoft Entra plánu.
Zřizování hybridního připojení Microsoft Entra k vašim zařízením
Zkontrolujte vaši infrastrukturu identit. Microsoft Entra Connect poskytuje průvodce ke konfiguraci hybridního připojení Microsoft Entra pro:
Pokud instalace požadované verze microsoft Entra Connect není pro vás možnost, přečtěte si, jak ručně nakonfigurovat hybridní připojení Microsoft Entra.
Poznámka
Zařízení s místní doménou připojené k Windows 10 nebo novějším se pokusí automaticky připojit k Microsoft Entra ID a ve výchozím nastavení se stane hybridně připojeným k Microsoft Entra. To bude úspěšné pouze v případě, že jste nastavili správné prostředí.
Můžete zjistit, že hybridní připojení služby Microsoft Entra je nejlepším řešením pro zařízení v jiném státě. Následující tabulka ukazuje, jak změnit stav zařízení.
| Aktuální stav zařízení | Požadovaný stav zařízení | Návod |
|---|---|---|
| Připojení k místní doméně | Microsoft Entra hybridně připojený | K připojení k Azure použijte Microsoft Entra Connect nebo AD FS. |
| Místní pracovní skupina připojená nebo nová | Zařízení připojené hybridně k Microsoft Entra | Podporováno s Windows Autopilot. Jinak musí být zařízení nejprve připojeno k místní doméně před hybridním sloučením s Microsoft Entra. |
| Microsoft Entra se připojilo | Hybridní připojení k Microsoft Entra | Odpojte se od Microsoft Entra ID, což umístí zařízení do místní pracovní skupiny nebo do nového stavu. |
| Microsoft Entra zaregistrovaný | Hybridně připojený k Microsoft Entra | Závisí na verzi Windows. Viz tyto aspekty. |
Správa zařízení
Po registraci nebo připojení zařízení k Microsoft Entra ID použijte centrum pro správu Microsoft Entra jako centrální místo pro správu identit zařízení. Na stránce Zařízení Microsoft Entra můžete:
- Konfigurace nastavení zařízení.
- Abyste mohli spravovat zařízení s Windows, musíte být místním správcem. Microsoft Entra ID aktualizuje toto členství pro zařízení připojená k Microsoft Entra, automaticky přidává uživatele s rolí správce zařízení jako správce do všech připojených zařízení.
Ujistěte se, že prostředí udržujete čisté správou zastaralých zařízenía zaměřte se na správu aktuálních zařízení.
Podporované nástroje pro správu zařízení
Správci můžou zabezpečit a dále řídit zaregistrovaná a připojená zařízení pomocí jiných nástrojů pro správu zařízení. Tyto nástroje poskytují způsob, jak vynutit konfigurace, jako je vyžadování šifrování úložiště, složitost hesla, instalace softwaru a aktualizace softwaru.
Projděte si podporované a nepodporované platformy pro integrovaná zařízení:
| Nástroje pro správu zařízení | Microsoft Entra registrovaná | Microsoft Entra se připojila | Hybridní připojení k Microsoft Entra |
|---|---|---|---|
|
Správa Mobilních Zařízení (MDM) Příklad: Microsoft Intune |
|
|
|
|
Spolupráci s Microsoft Intune a Microsoft Configuration Manager (Windows 10 nebo novější) |
|
|
|
|
Skupinové zásady (Jenom Windows) |
|
Doporučujeme zvážit správu mobilních aplikací (MAM) Microsoft Intune s nebo bez správy zařízení pro zaregistrovaná zařízení iOS nebo Android.
Správci mohou také nasadit platformy virtuální desktopové infrastruktury (VDI) hostující operační systémy Windows ve svých organizacích, aby zjednodušili správu a snížili náklady konsolidací a centralizací prostředků.