Co je microsoft Entra join?
Teď máte lepší znalosti identity zařízení a podmíněného přístupu. Chcete prozkoumat připojení k Microsoft Entra a jeho použití ke zlepšení správy zařízení pro Azure i místní Active Directory Domain Services.
V této lekci se dozvíte o připojení k Microsoft Entra a o tom, jak ho používat pro infrastrukturu a správu zařízení.
Základy připojení k Microsoft Entra
Pomocí připojení Microsoft Entra můžete připojit zařízení k organizaci Microsoft Entra, aniž byste museli synchronizovat s instancí místní Active Directory. Připojení k Microsoftu Entra je nejvhodnější pro organizace, které jsou převážně cloudové, i když může fungovat v hybridním cloudu a místním prostředí.
Podporovaná zařízení.
Připojení Microsoft Entra funguje se zařízeními s Windows 10, Windows 11 nebo Windows Serverem 2019. Instalace verze Windows Server 2019 Server Core není podporovaná. Pokud používáte starší operační systém Windows, budete muset upgradovat na Windows 10, Windows 11 nebo Windows Server 2019.
Infrastruktura identity
Rozhodněte, jaký model infrastruktury identity nejlépe vyhovuje potřebám vaší organizace:
- Spravované prostředí: Toto prostředí používá předávací ověřování nebo synchronizaci hodnot hash hesel k poskytování jednotného přihlašování (SSO) pro vaše zařízení.
- Federovaná prostředí: Tato prostředí vyžadují použití zprostředkovatele identity. Tento poskytovatel musí podporovat protokoly WS-Trust a WS-Fed pro připojení Microsoft Entra k nativní práci se zařízeními s Windows. K připojení zařízení k ID Microsoft Entra se vyžaduje WS-Fed. Ws-Trust je potřeba k přihlášení k zařízení připojenému k Microsoft Entra.
- Čipové karty a ověřování založené na certifikátech: Tyto metody nejsou platnými způsoby připojení zařízení k Microsoft Entra ID. Pokud jste ale nakonfigurovali Active Directory Federation Services (AD FS), můžete se pomocí čipových karet přihlásit k zařízením připojeným k Microsoft Entra. Doporučujeme používat službu, jako je Windows Hello pro firmy, která podporuje ověřování bez hesla na zařízeních s Windows 10 a Windows 11.
- Ruční konfigurace uživatele: Pokud ve vaší instanci místní Active Directory vytvoříte uživatele, musíte účty synchronizovat s Microsoft Entra ID pomocí microsoft Entra Connect. Pokud vytvoříte uživatele v Microsoft Entra ID, není potřeba žádné další nastavení.
Správa zařízení
Připojení k Microsoft Entra používá platformu pro správu mobilních zařízení (MDM) ke správě zařízení připojených k Microsoft Entra ID. MDM poskytuje způsob, jak vynutit konfigurace vyžadované organizací, jako je vyžadování šifrování úložiště, složitost hesla, instalace softwaru a aktualizace softwaru.
Nejnovější verze Windows 10 a Windows 11 mají integrovaného klienta MDM, který funguje se všemi kompatibilními systémy MDM.
Ke správě zařízení připojených k Microsoft Entra existují dva přístupy:
Jenom MDM: Všechna připojená zařízení se spravují výhradně prostřednictvím poskytovatele MDM, jako je Intune. Pokud v organizaci používáte zásady skupiny, budete muset zkontrolovat podporu zásad MDM.
Spoluspráva: Všechna připojená zařízení používají kombinaci místně nainstalovaného agenta nástroje System Center Configuration Manager a poskytovatele MDM. Microsoft Intune poskytuje možnosti spolusprávy prostřednictvím Configuration Manageru. Configuration Manager můžete použít ke správě zařízení, zatímco MDM poskytuje zásady správy uživatelů.
Ke správě všech zařízení připojených k Microsoft Entra doporučujeme použít přístup jen pro správu MDM.
Důležité informace o přístupu k prostředkům a aplikacím
Za účelem zajištění optimálního uživatelského prostředí a lepšího přístupu k aplikaci zvažte přesunutí všech aplikací a prostředků do Azure. Přestože je to v některých případech možné, není to vždy praktické. V této části probereme možnosti přístupu k aplikacím a prostředkům.
Cloudové aplikace: Všechny migrované aplikace a všechny nové aplikace se přidají do galerie aplikací Microsoft Entra. Uživatelé připojení k Microsoft Entra můžou pro přístup k těmto aplikacím používat jednotné přihlašování. Většina prohlížečů jednotné přihlašování podporuje. Připojení Microsoft Entra poskytuje podporu jednotného přihlašování pro přístup zařízení k aplikacím, které stále používají Win32.
Místní webové aplikace: Stále máte přístup k libovolnému softwaru, který je hostovaný místně, prostřednictvím připojení Microsoft Entra. Přístup k takovým aplikacím vyžaduje, aby každý uživatel přidal aplikaci do zóny důvěryhodných webů nebo intranetu podle toho, kde se aplikace provozuje. Tato akce umožňuje, aby aplikace používala ověřování integrované ve Windows bez výzvy k ověření uživatele.
Další zařízení: Tato možnost zahrnuje existující aplikace prostřednictvím dřívějších protokolů a místních síťových sdílených složek. Obě zařízení připojená k Microsoft Entra jsou k dispozici prostřednictvím jednotného přihlašování, pokud je zařízení připojené k vašemu řadiči domény.
Prostředky tiskárny: Tyto prostředky nebudou automaticky dostupné prostřednictvím připojení Microsoft Entra. Uživatelé se stále můžou připojit k tiskárně přímo pomocí cesty UNC.
Možnosti zřizování
Když nasazujete připojení k Microsoft Entra, máte tři možnosti, jak se zařízení zřizují a připojují k Microsoft Entra ID:
Samoobslužná služba: Vyžaduje, aby uživatelé zařízení ručně nakonfigurovali během integrovaného prostředí Windows (OOBE) pro nová zařízení nebo pomocí nastavení Windows pro starší zařízení. Samoobsluha je vhodnější pro technicky zdatné uživatele.
Windows Autopilot: Umožňuje předem nakonfigurovat zařízení s Windows, včetně automatického připojování zařízení k organizaci služby Active Directory, automatické registraci MDM a vytváření obsahu OOBE zákazníka. Tato možnost zjednodušuje správu a nasazování zařízení v celé organizaci. Zařízení s Windows můžete zřídit a nasadit. Uživatel dokončí prostředí prvního spuštění počítače, jako kdyby se jednalo o nového uživatele.
Hromadná registrace: Umožňuje nastavit zřizovací balíček, který se vztahuje na velký počet nových zařízení s Windows najednou.
Následující tabulka obsahuje klíčové funkce každého přístupu:
| Funkce | Samoobslužná služba | Windows Autopilot | Hromadná registrace |
|---|---|---|---|
| Interakce uživatele během nastavení | Ano | Ano | No |
| Zapojení IT | No | Ano | Yes |
| Použitelné postupy | Prostředí prvního spuštění počítače a nastavení | Jen prostředí prvního spuštění počítače | Jen prostředí prvního spuštění počítače |
| Práva místního správce udělená primárnímu uživateli | Ano | Konfigurovatelné | No |
| Nutná podpora OEM | No | Ano | No |
Nastavení zařízení
Na webu Azure Portal můžete řídit, jak se nová zařízení připojují k vaší organizaci. Přejděte do nastavení zařízení>Microsoft Entra ID.> Odtud můžete nakonfigurovat následující funkce a zapnout připojení k Microsoft Entra.
| Pole | Popis |
|---|---|
| Uživatelé můžou zařízení připojit k Microsoft Entra ID. | Možnost Vše umožňuje zařízení připojit libovolnému uživateli. Možnost Vybrané umožňuje přidat konkrétní uživatele, kteří mohou zařízení připojit. Možnost Žádný zabraňuje všem uživatelům připojit zařízení. |
| Další místní správci na zařízeních připojených k Microsoft Entra | Umožňuje určit další uživatele, kteří mají patřit mezi místní správce na všech připojených zařízeních. Ve výchozím nastavení je tato možnost povolena. Microsoft Entra ID přidá role globálního správce a správce zařízení jako místní správci na zařízeních. |
| Uživatelé můžou svá zařízení zaregistrovat pomocí Microsoft Entra ID. | Umožňuje uživatelům registrovat svá zařízení pomocí připojení Microsoft Entra. Pokud používáte Microsoft Intune nebo správu mobilních zařízení pro Microsoft 365, je registrace zařízení povinná. Pokud je ve vaší organizaci Microsoft Entra nakonfigurovaná žádná z těchto služeb, je vybrána možnost Vše a tato možnost je zakázaná. |
| Vyžadování vícefaktorového ověřování pro připojení zařízení | Umožňuje vynutit vícefaktorové ověřování Microsoft Entra, když se zařízení připojí k Microsoft Entra ID. Pro uživatele, kteří připojují zařízení k Microsoft Entra ID pomocí vícefaktorového ověřování, se samotné zařízení stane druhým faktorem. |
| Maximální počet zařízení na uživatele | Umožňuje zadat maximální počet zařízení, která může uživatel mít v Microsoft Entra ID. Pokud uživatel dosáhne tohoto maximálního počtu, musí při přidání nového zařízení odebrat některé z původních. |
V našem scénáři můžeme přidat pilotní skupinu uživatelů, kteří se pokusí připojit ke službě AD. V takovém případě zvolte Uživatelé mohou připojit zařízení k Microsoft Entra ID>Selected a pak přidat členy pilotní skupiny. Až budete připraveni nasadit připojení Microsoft Entra do celé organizace Microsoft Entra, vyberte Vše.
Nastavení mobility
Před konfigurací nastavení mobility budete pravděpodobně muset přidat některého zprostředkovatele MDM. Pokud chcete přidat svého poskytovatele MDM, přejděte na Microsoft Entra ID>Mobility (MDM a MAM)>Přidat aplikaci.
Po přidání poskytovatele MDM můžete nakonfigurovat následující nastavení mobility:
| Nastavení mobility | description |
|---|---|
| Obor uživatele MDM | Vyberte Žádné, Někteří nebo Vše. Pokud je uživatel v oboru MDM a máte předplatné Microsoft Entra ID P1 nebo P2, registrace MDM se automatizuje spolu s microsoft entra joinem. Všichni uživatelé v daném oboru musí mít příslušnou licenci na vaše MDM. Pokud ne, registrace MDM selže a připojení Microsoft Entra se vrátí zpět. Pokud uživatel není v oboru MDM, připojení Microsoft Entra se dokončí bez registrace MDM. Zařízení je nespravované. |
| Adresy URL MDM | S konfigurací MDM souvisejí tyto tři adresy URL: Adresa URL podmínek použití MDM, Adresa URL zjišťování MDM a Adresa URL s předpisy služby MDM. Každá adresa URL má předdefinovanou výchozí hodnotu. Pokud jsou tato pole prázdná, požádejte o další informace zprostředkovatele MDM. |
| Nastavení MAM | Správa mobilních aplikací (MAM) se nevztahuje na připojení k Microsoft Entra. |
Mějte na paměti, že potřebujete omezit přístup k prostředkům organizace jen na ta zařízení, která spravuje vaše organizace a která systém MDM považuje za vyhovující. V tomto scénáři byste tedy přidali zprostředkovatele MDM své organizace a vybrali Obor uživatele MDM>Vše.
Uživatelské prostředí při připojování k zařízení s Windows 10 nebo Windows 11
Technicky zdatnému zaměstnanci jste dali nové zařízení. Pomocí samoobslužného přístupu připojí zařízení k organizaci služby Active Directory, která používá vícefaktorové ověřování. Následující kroky ukazují, jak tento pracovní postup vypadá:
Po spuštění zaměstnanec podle výzev nastaví zařízení, včetně přizpůsobení oblasti a výběru jazyka.
Zaměstnanec přijme licenční podmínky pro software společnosti Microsoft.
Zaměstnanec vybere síťové připojení pro připojení ke cloudu.
Při dotazu Kdo vlastní tento počítač? zaměstnanec vybere Toto zařízení patří do mé organizace.
Zaměstnanec se přihlásí přihlašovacími údaji dodanými vaší organizací.
Zaměstnanci se zobrazí výzva k vícefaktorovému ověření.
ID Microsoft Entra zkontroluje nastavení konfigurace a zjistí, jestli má být zařízení zaregistrované v MDM.
Po úspěšném ověření konfigurace se zařízení zaregistruje v instanci Microsoft Entra organizace. Pokud se používá MDM, je zařízení zaregistrováno a spravováno.