Konfigurace a správa registrace zařízení
S rozšířením zařízení všech obrazců a velikostí a šířením zařízení přineste si vlastní zařízení (BYOD) čelí it specialisté se dvěma poněkud protichůdnými cíli:
- Umožnit koncovým uživatelům být produktivní kdekoli a kdykoli a na jakémkoli zařízení
- Ochrana prostředků organizace
Aby bylo možné tyto prostředky chránit, musí pracovníci IT nejprve spravovat identity zařízení. Pracovníci IT můžou vytvářet identitu zařízení pomocí nástrojů, jako je Microsoft Intune, aby se zajistilo splnění standardů zabezpečení a dodržování předpisů. Microsoft Entra ID umožňuje jednotné přihlašování k zařízením, aplikacím a službám odkudkoli prostřednictvím těchto zařízení.
- Vaši uživatelé získají přístup k prostředkům organizace, které potřebují.
- Pracovníci IT získají kontroly, které potřebují k zabezpečení vaší organizace.
Registrovaná zařízení Microsoft Entra
Cílem registrovaných zařízení Microsoft Entra je poskytnout uživatelům podporu scénářů byOD nebo mobilních zařízení. V těchto scénářích může uživatel přistupovat k prostředkům řízeným Microsoft Entra ID vaší organizace pomocí osobního zařízení.
| Registrace k Microsoft Entra | Popis |
|---|---|
| Definice | Zaregistrované v Microsoft Entra ID bez vyžadování účtu organizace pro přihlášení k zařízení |
| Primární cílová skupina | Použitelné pro vlastní zařízení (BYOD) a mobilní zařízení |
| Vlastnictví zařízení | Uživatel nebo organizace |
| Operační systémy | Windows 10, Windows 11, iOS, Android a macOS |
| Možnosti přihlášení zařízení | Místní přihlašovací údaje koncového uživatele, heslo, Windows Hello, biometrika PIN |
| Správa zařízení | Mobilní Správa zařízení (příklad: Microsoft Intune) |
| Klíčové funkce | Jednotné přihlašování ke cloudovým prostředkům, podmíněný přístup |
Zaregistrovaná zařízení Microsoft Entra jsou přihlášená k používání místního účtu, jako je účet Microsoft na zařízení s Windows 10, ale navíc mají účet AnMicrosoft Entra připojený pro přístup k prostředkům organizace. Přístup k prostředkům v organizaci je možné dále omezit na základě toho, že účet Microsoft Entra a zásady podmíněného přístupu použité na identitu zařízení.
Správa istrátory můžou tato zařízení zaregistrovaná v Microsoft Entra zabezpečit a dále řídit pomocí nástrojů mobile Správa zařízení (MDM), jako je Microsoft Intune. MDM poskytuje způsob, jak vynutit konfigurace vyžadované organizací, jako je vyžadování šifrování úložiště, složitost hesla a aktualizace softwaru zabezpečení.
Registraci ID Microsoft Entra lze provést při prvním přístupu k pracovní aplikaci nebo ručně pomocí nabídky Windows 10 Nastavení.
Scénáře pro registrovaná zařízení
Uživatel ve vaší organizaci chce získat přístup k nástrojům pro e-maily, vykazování časového volna a těžit z registrace z domácího počítače. Vaše organizace má tyto nástroje za zásadami podmíněného přístupu, které vyžadují přístup ze zařízení kompatibilního s Intune. Uživatel přidá svůj účet organizace a zaregistruje svůj domácí počítač s ID Microsoft Entra a požadované zásady Intune se vynucují, aby uživatel měli přístup ke svým prostředkům.
Jiný uživatel chce získat přístup k e-mailu organizace na svém osobním telefonu s Androidem, který je rootem. Vaše společnost vyžaduje vyhovující zařízení a vytvořila zásady dodržování předpisů Intune, které blokují všechna zařízení s rootem. Zaměstnanec přestane na tomto zařízení přistupovat k prostředkům organizace.
Zařízení připojená k Microsoft Entra
Připojení k Microsoftu Entra je určené pro organizace, které chtějí být výhradně cloudové nebo cloudové. Každá organizace může nasadit zařízení připojená k Microsoft Entra bez ohledu na velikost nebo obor. Připojení k Microsoft Entra umožňuje přístup ke cloudovým i místním aplikacím a prostředkům.
| Připojení k Microsoft Entra | Popis |
|---|---|
| Definice | Připojeno pouze k Microsoft Entra ID, které vyžaduje, aby se účet organizace přihlásil k zařízení |
| Primární cílová skupina | Vhodné pro výhradně cloudové i hybridní organizace |
| Vlastnictví zařízení | Organizace |
| Operační systémy | Všechna zařízení s Windows 10 a 11 kromě Windows 10/11 Home |
| Správa zařízení | Mobilní Správa zařízení (příklad: Microsoft Intune) |
| Klíčové funkce | Jednotné přihlašování ke cloudovým i místním prostředkům, podmíněný přístup, samoobslužné resetování hesla a resetování PIN kódu Windows Hello |
Zařízení připojená k Microsoft Entra se přihlašují pomocí účtu Microsoft Entra organizace. Přístup k prostředkům v organizaci je možné dále omezit na základě toho, že účet Microsoft Entra a zásady podmíněného přístupu použité na identitu zařízení.
Správa istrátory můžou zabezpečit a dále řídit zařízení připojená k Microsoft Entra pomocí nástrojů mobile Správa zařízení (MDM), jako je Microsoft Intune nebo ve scénářích spolusprávy pomocí Microsoft Endpoint Configuration Manageru. Tyto nástroje poskytují způsob, jak vynutit konfigurace vyžadované organizací, jako je vyžadování šifrování úložiště, složitost hesla, instalace softwaru a aktualizace softwaru. Správa istrátory můžou zpřístupnit aplikace organizace zařízením připojeným k Microsoft Entra pomocí Configuration Manageru.
Připojení k Microsoft Entra se dá provést pomocí samoobslužných možností, jako je prostředí OOBE (Out of Box), hromadná registrace nebo Windows Autopilot.
Zařízení připojená k Microsoftu Entra stále můžou udržovat přístup k místním prostředkům, když jsou v síti organizace. Zařízení připojená k Microsoftu se ověřují na místních serverech, jako jsou soubory, tisk a další aplikace.
Scénáře pro připojená zařízení
I když je připojení Microsoft Entra primárně určené pro organizace, které nemají místní infrastrukturu služby Windows Server Active Directory, můžete ji určitě použít ve scénářích, kde:
- Chcete přejít na cloudovou infrastrukturu pomocí Microsoft Entra ID a MDM, jako je Intune.
- Nemůžete použít připojení k místní doméně například v případě, že potřebujete získat kontrolu nad mobilními zařízeními, jako jsou tablety a telefony.
- Vaši uživatelé potřebují především přístup k Microsoftu 365 nebo jiným aplikacím SaaS integrovaným s Microsoft Entra ID.
- Chcete spravovat skupinu uživatelů v Microsoft Entra ID místo ve službě Active Directory. Tento scénář může platit například pro sezónní pracovníky, dodavatele nebo studenty.
- Chcete poskytnout možnosti připojení pracovníkům ve vzdálených pobočkách s omezenou místní infrastrukturou.
Zařízení připojená k Microsoft Entra můžete nakonfigurovat pro všechna zařízení s Windows 10 s výjimkou Windows 10 Home.
Cílem zařízení připojených k Microsoft Entra je zjednodušit:
- Nasazení Windows na pracovní zařízení
- Přístup k aplikacím a prostředkům organizace z jakéhokoli zařízení s Windows
- Cloudovou správu pracovních zařízení
- Uživatelé se přihlašují ke svým zařízením pomocí svého ID Microsoft Entra nebo synchronizovaného pracovního nebo školního účtu Active Directory.
Microsoft Entra Join je možné nasadit pomocí řady různých metod.
Hybridní zařízení připojená k Microsoft Entra
Už více než deset let využívá řada organizací připojení k doméně místní služby Active Directory k následujícím účelům:
- Umožnit IT oddělením spravovat pracovní zařízení z centrálního umístění.
- Umožnit uživatelům přihlašovat se ke svým zařízením pomocí svých pracovních nebo školních účtů Active Directory.
Organizace s místními nároky obvykle spoléhají na metody vytváření image ke konfiguraci zařízení a ke správě často používají Configuration Manager nebo zásady skupiny (GP ).
Pokud má vaše prostředí nároky na místní službu AD a chcete také využít výhod funkcí poskytovaných Microsoft Entra ID, můžete implementovat hybridní zařízení připojená k Microsoft Entra. Tato zařízení jsou zařízení připojená k vašemu místní Active Directory a zaregistrovaná v adresáři Microsoft Entra.
| Hybridní připojení Microsoft Entra | Popis |
|---|---|
| Definice | Připojeno k místní službě AD a Microsoft Entra ID vyžadující účet organizace pro přihlášení k zařízení |
| Primární cílová skupina | Vhodné pro hybridní organizace se stávající místní infrastrukturou AD. |
| Vlastnictví zařízení | Organizace |
| Operační systémy | Windows 11, 10, 8.1 a 7 společně s Windows Serverem 2008/R2, 2012/R2, 2016 a 2019 |
| Možnosti přihlášení zařízení | Heslo nebo Windows Hello pro firmy |
| Správa zařízení | Zásady skupiny, samostatná konfigurace Configuration Manageru nebo spoluspráva s Microsoft Intune |
| Klíčové funkce | Jednotné přihlašování ke cloudovým i místním prostředkům, podmíněný přístup, samoobslužné resetování hesla a resetování PIN kódu Windows Hello |
Scénáře hybridního připojení
Pokud používáte zařízení připojená k hybridnímu připojení Microsoft Entra, pokud:
- Na tato zařízení máte nasazené aplikace WIN32, které spoléhají na ověřování počítačů služby Active Directory.
- Chcete dál používat zásady skupiny ke správě konfigurace zařízení.
- Chcete dál používat existující řešení pro vytváření imagí k nasazení a konfiguraci zařízení.
- Kromě Windows 10 musíte podporovat i zařízení s Windows 7 a 8.1 nižší úrovně.
Zpětný zápis zařízení
V cloudové konfiguraci Microsoft Entra ID jsou zařízení zaregistrovaná pouze v Microsoft Entra ID. Vaše místní služba AD nemá přehled o zařízeních. To znamená, že podmíněný přístup v cloudu se dá snadno nastavit a udržovat. V této části ale probíráme hybridní nastavení s Microsoft Entra Připojení. Jak můžete pomocí zařízení provádět místní podmíněný přístup, pokud existují jenom v MICROSOFT Entra ID? Zpětný zápis zařízení pomáhá udržovat přehled o zařízeních zaregistrovaných v Microsoft Entra ID v AD. Budete mít kopii objektů zařízení v kontejneru Registrovaná zařízení.
Scénář: Máte aplikaci, kterou chcete uživatelům udělit přístup jenom v případě, že pocházejí z registrovaných zařízení.
Cloud: Můžete napsat zásady podmíněného přístupu pro všechny integrované aplikace Microsoft Entra k autorizaci na základě toho, jestli je zařízení připojené k Microsoft Entra ID, nebo ne.
Místní: To není možné bez zpětného zápisu zařízení. Pokud je aplikace integrovaná s ADFS (2012 nebo vyšší), můžete napsat pravidla deklarací identity, která zkontrolují stav zařízení, a pak poskytnout přístup jenom v případě, že je k dispozici deklarace identity "is managed". Aby bylo možné tuto deklaraci identity vydat, služba AD FS zkontroluje objekt zařízení v kontejneru Registrovaná zařízení a pak deklaraci identity odpovídajícím způsobem vydá.
Windows Hello pro firmy (WHFB) vyžaduje, aby zpětný zápis zařízení fungoval v hybridních a federovaných scénářích.