Pianificare la distribuzione del dispositivo Microsoft Entra
Questo articolo illustra come valutare i metodi per integrare il dispositivo con Microsoft Entra ID, scegliere il piano di implementazione e fornisce i collegamenti principali agli strumenti di gestione dei dispositivi supportati.
Il panorama dei dispositivi dell'utente è costantemente in espansione. Le organizzazioni possono fornire desktop, portatili, telefoni, tablet e altri dispositivi. Gli utenti possono usare la propria gamma di dispositivi e accedere alle informazioni da diverse posizioni. In questo ambiente, il tuo compito come amministratore è mantenere sicure le risorse dell'organizzazione su tutti i dispositivi.
Microsoft Entra ID consente all'organizzazione di soddisfare questi obiettivi con la gestione delle identità dei dispositivi. È ora possibile gestire i dispositivi in Microsoft Entra ID e controllarli dal centro di amministrazione di Microsoft Entra . Questo processo offre un'esperienza unificata, una sicurezza avanzata e riduce il tempo necessario per configurare un nuovo dispositivo.
Esistono più metodi per integrare i dispositivi in Microsoft Entra ID. Questi metodi possono funzionare separatamente o insieme in base al sistema operativo e ai requisiti:
- È possibile registrare i dispositivi con Microsoft Entra ID.
- Aggiungere dispositivi a Microsoft Entra ID (solo cloud).
- Aggiungi in modo ibrido i dispositivi al dominio di Active Directory locale e all'ID di Microsoft Entra.
Imparare
Prima di iniziare, assicurati di essere familiare con la panoramica della gestione delle identità dei dispositivi .
Benefici
I vantaggi principali di offrire ai dispositivi un'identità Microsoft Entra:
Aumentare la produttività: gli utenti possono eseguire accesso facile (SSO) alle risorse locali e cloud, consentendo la produttività ovunque si trovino.
Aumentare la sicurezza: applicare criteri di accesso condizionale alle risorse in base all'identità del dispositivo o dell'utente. L'aggiunta di un dispositivo a Microsoft Entra ID è un prerequisito per aumentare la sicurezza con una strategia senza password.
Migliorare l'esperienza utente: fornire agli utenti un accesso semplice alle risorse basate sul cloud dell'organizzazione da dispositivi personali e aziendali. Gli amministratori possono abilitare Enterprise State Roaming per un'esperienza unificata in tutti i dispositivi Windows.
Semplificate la distribuzione e la gestione: rendere più semplice il processo di integrazione dei dispositivi in Microsoft Entra ID con Windows Autopilot, il provisioning di massao self-service: Configurazione automatica (OOBE). Gestire i dispositivi con strumenti di gestione dei dispositivi mobili (MDM) come Microsoft Intunee le relative identità nel centro di amministrazione di Microsoft Entra .
Pianificare il progetto di distribuzione
Prendere in considerazione le esigenze dell'organizzazione mentre si determina la strategia per questa distribuzione nell'ambiente.
Coinvolgere gli stakeholder appropriati
Quando i progetti tecnologici hanno esito negativo, in genere si comportano a causa di aspettative non corrispondenti sull'impatto, sui risultati e sulle responsabilità. Per evitare queste insidie, assicurarsi di coinvolgere gli stakeholder appropriati, e che i ruoli degli stakeholder nel progetto siano ben compresi.
Per questo piano, aggiungi i seguenti stakeholder all'elenco:
| Ruolo | Descrizione |
|---|---|
| Amministratore del dispositivo | Un rappresentante del team dei dispositivi che può verificare che il piano soddisfi i requisiti dei dispositivi della tua organizzazione. |
| Amministratore di rete | Un rappresentante del team di rete che può assicurarsi di soddisfare i requisiti di rete. |
| Team di gestione dei dispositivi | Team che gestisce l'inventario dei dispositivi. |
| Team di amministrazione per sistema operativo | Teams che supportano e gestiscono versioni specifiche del sistema operativo. Ad esempio, potrebbe esserci un team incentrato su Mac o iOS. |
Pianificare le comunicazioni
La comunicazione è fondamentale per il successo di qualsiasi nuovo servizio. Comunicare in modo proattivo con gli utenti come cambia l'esperienza, quando cambia e come ottenere supporto in caso di problemi.
Pianificare un progetto pilota
È consigliabile che la configurazione iniziale del metodo di integrazione venga effettuata in un ambiente di test o con un piccolo gruppo di dispositivi di test. Consulta le migliori pratiche per un pilota.
È consigliabile eseguire una distribuzione mirata del join ibrido di Microsoft Entra prima di abilitarla nell'intera organizzazione.
Avvertimento
Le organizzazioni devono includere un esempio di utenti di ruoli e profili diversi nel gruppo pilota. Un'implementazione mirata consentirà di identificare eventuali problemi che il piano potrebbe non aver affrontato prima di abilitarlo per l'intera organizzazione.
Scegliere i metodi di integrazione
L'organizzazione può usare più metodi di integrazione dei dispositivi in un singolo tenant di Microsoft Entra. L'obiettivo è scegliere uno o più metodi adatti per gestire i dispositivi in modo sicuro in Microsoft Entra ID. Esistono molti parametri che determinano questa decisione, tra cui proprietà, tipi di dispositivo, destinatari primari e infrastruttura dell'organizzazione.
Le informazioni seguenti consentono di decidere quali metodi di integrazione usare.
Albero delle decisioni per l'integrazione dei dispositivi
Usare questo albero per determinare le opzioni per i dispositivi di proprietà dell'organizzazione.
Nota
Gli scenari BYOD (Personal or Bring Your Own Device) non sono illustrati in questo diagramma. Generano sempre la registrazione di Microsoft Entra.
Matrice di confronto
I dispositivi iOS e Android sono registrati solo da Microsoft Entra. La tabella seguente presenta considerazioni generali per i dispositivi client Windows. Usarlo come panoramica, quindi esplorare in dettaglio i diversi metodi di integrazione.
| Considerazione | Microsoft Entra registrato | Microsoft Entra unito | Microsoft Entra ibrido aggiunto |
|---|---|---|---|
| sistemi operativi cliente | |||
| Dispositivi Windows 11 o Windows 10 |
|
|
|
| Desktop Linux - Ubuntu 20.04/22.04/24.04, RHEL 8/9 |
|
||
| opzioni di accesso | |||
| Credenziali locali dell'utente finale |
|
||
| Parola d’ordine |
|
|
|
| PIN del dispositivo |
|
||
| Windows Hello |
|
||
| Windows Hello for Business |
|
|
|
| Chiavi di sicurezza FIDO 2.0 |
|
|
|
| App Microsoft Authenticator (senza password) |
|
|
|
| Funzionalità chiave | |||
| Accesso Single Sign-On alle risorse cloud |
|
|
|
| Accesso Single Sign-On alle risorse locali |
|
|
|
| Accesso condizionale (Richiedi che i dispositivi siano contrassegnati come conformi) (Deve essere gestito da MDM) |
|
|
|
| Accesso condizionale (Richiedi dispositivi uniti ibridamente a Microsoft Entra) |
|
||
| Reimpostazione della password self-service dalla schermata di accesso a Windows |
|
|
|
| Reimpostazione del PIN di Windows Hello |
|
|
Registrazione a Microsoft Entra
I dispositivi registrati vengono spesso gestiti con Microsoft Intune. I dispositivi vengono registrati in Intune in diversi modi, a seconda del sistema operativo.
I dispositivi registrati Microsoft Entra forniscono supporto per i dispositivi BYOD (Bring Your Own Devices) e i dispositivi di proprietà dell'azienda per l'accesso SSO alle risorse cloud. L'accesso alle risorse si basa sui criteri di accesso condizionale di Microsoft Entra applicati al dispositivo e all'utente.
Registrazione dei dispositivi
I dispositivi registrati vengono spesso gestiti con Microsoft Intune. I dispositivi vengono registrati in Intune in diversi modi, a seconda del sistema operativo.
Gli utenti installano l'app Portale aziendale per registrare i dispositivi mobili BYOD e di proprietà dell'azienda.
- iOS
- Android
- windows 10 o versioni successive
- macOS
- Linux Desktop
Se la registrazione dei dispositivi è l'opzione migliore per l'organizzazione, vedere le risorse seguenti:
- Questa panoramica dei dispositivi Microsoft Entra registrati.
- Questa documentazione dell'utente finale su Registrare il dispositivo personale nella rete dell'organizzazione.
Microsoft Entra registrazione
Microsoft Entra join consente di passare a un modello cloud-first con Windows. Offre un'ottima base se si prevede di modernizzare la gestione dei dispositivi e ridurre i costi IT correlati ai dispositivi. L'aggiunta a Microsoft Entra funziona solo con i dispositivi Windows 10 o versioni successive. Considerarlo come la prima scelta per i nuovi dispositivi.
I dispositivi collegati a Microsoft Entra possono accedere alle risorse locali in modalità Single Sign-On (SSO) quando si trovano nella rete dell'organizzazione e possono autenticarsi a server locali per file, stampa e altre applicazioni.
Se questa opzione è ideale per l'organizzazione, vedere le risorse seguenti:
- Panoramica dei dispositivi aggiunti a Microsoft Entra.
- Acquisisci familiarità con il piano di implementazione di Microsoft Entra join .
Provisioning dei dispositivi collegati a Microsoft Entra
Per effettuare il provisioning dei dispositivi nell'aggiunta a Microsoft Entra, sono disponibili gli approcci seguenti:
- Self-Service: esperienza di prima esecuzione di Windows 10
Se è installato Windows 10 Professional o Windows 10 Enterprise in un dispositivo, l'esperienza predefinita è il processo di installazione per i dispositivi di proprietà dell'azienda.
- Windows Out of Box Experience (OOBE) o da Impostazioni di Windows
- Windows Autopilot
- Registrazione in blocco
Scegli la procedura di distribuzione dopo un attento confronto di questi approcci.
È possibile che tu determini che Microsoft Entra join sia la soluzione migliore per un dispositivo in uno stato diverso. La tabella seguente illustra come modificare lo stato di un dispositivo.
| Stato corrente del dispositivo | Stato del dispositivo desiderato | Guida |
|---|---|---|
| Aggiunto a un dominio locale | Microsoft Entra si è unito | Rimuovere il dispositivo dal dominio locale prima di aggiungerlo a Microsoft Entra ID. |
| Microsoft Entra ibrido aggiunto | Microsoft Entra unito | Disconnettere il dispositivo dal dominio locale e da Microsoft Entra ID prima di connettere a Microsoft Entra ID. |
| Microsoft Entra registrato | Microsoft Entra si è unito | Annullare la registrazione del dispositivo prima di accedere a Microsoft Entra ID. |
Aggiunta ibrida di Microsoft Entra
Se si dispone di un ambiente Active Directory locale e si vuole unire i computer esistenti uniti al dominio a Microsoft Entra ID, è possibile eseguire questa operazione con l'unione ibrida di Microsoft Entra. Supporta un'ampia gamma di dispositivi Windows .
La maggior parte delle organizzazioni dispone già di dispositivi aggiunti a un dominio e li gestisce tramite Criteri di gruppo o System Center Configuration Manager (SCCM). In tal caso, è consigliabile configurare l'aggiunta ibrida a Microsoft Entra per iniziare a ottenere vantaggi durante l'uso degli investimenti esistenti.
Se l'aggiunta ibrida a Microsoft Entra è l'opzione migliore per l'organizzazione, vedere le risorse seguenti:
- Questa panoramica di dispositivi aggiunti all'ambiente ibrido Microsoft Entra.
- Acquisire familiarità con l'implementazione di microsoft Entra hybrid join piano.
Configurare l'integrazione ibrida di Microsoft Entra nei dispositivi
Esamina l'infrastruttura di identità. Microsoft Entra Connect offre una procedura guidata per configurare l'aggiunta ibrida a Microsoft Entra per:
Se l'installazione della versione richiesta di Microsoft Entra Connect non è un'opzione per te, consulta per scoprire come configurare manualmente il join ibrido a Microsoft Entra.
Nota
Il dispositivo Windows 10 o versione successiva, unito al dominio locale, tenta di entrare automaticamente in Microsoft Entra ID per diventare ibrido con Microsoft Entra, per impostazione predefinita. Questa operazione avrà esito positivo solo se è stato configurato l'ambiente corretto.
È possibile determinare che l'aggiunta ibrida di Microsoft Entra è la soluzione migliore per un dispositivo in uno stato diverso. La tabella seguente illustra come modificare lo stato di un dispositivo.
| Stato corrente del dispositivo | Stato del dispositivo desiderato | Guida |
|---|---|---|
| Aggiunto a un dominio locale | Microsoft Entra ibrido aggiunto | Usare Microsoft Entra Connect o AD FS per l'aggiunta ad Azure. |
| Gruppo di lavoro locale aggiunto o nuovo | Microsoft Entra ibrido aggiunto | Supportato attraverso Windows Autopilot. In caso contrario, il dispositivo deve essere connesso a un dominio locale prima della registrazione ibrida con Microsoft Entra. |
| Microsoft Entra si è unito | Microsoft Entra ibrido aggiunto | Disconnettere da Microsoft Entra ID, che lo inserisce nel gruppo di lavoro locale o in uno stato non configurato. |
| Microsoft Entra registrato | Microsoft Entra ibrido aggiunto | Dipende dalla versione di Windows. Vedi queste considerazioni. |
Gestire i dispositivi
Dopo aver registrato o aggiunto i dispositivi all'ID Microsoft Entra, utilizzare l'interfaccia di amministrazione di Microsoft Entra come punto centrale per gestire le identità dei dispositivi. La pagina dei dispositivi Microsoft Entra consente di:
- Configurare le impostazioni del dispositivo.
- È necessario essere un amministratore locale per gestire i dispositivi Windows. Microsoft Entra ID aggiorna questa appartenenza per i dispositivi uniti a Microsoft Entra, automaticamente aggiungendo gli utenti con il ruolo di gestore dispositivi in qualità di amministratori a tutti i dispositivi uniti.
Assicurarsi di mantenere pulito l'ambiente gestire i dispositivi non aggiornatie concentrare le risorse sulla gestione dei dispositivi correnti.
Strumenti di gestione dei dispositivi supportati
Gli amministratori possono proteggere e controllare ulteriormente i dispositivi registrati e aggiunti usando altri strumenti di gestione dei dispositivi. Questi strumenti consentono di applicare configurazioni come la necessità di crittografare l'archiviazione, la complessità delle password, le installazioni software e gli aggiornamenti software.
Esaminare le piattaforme supportate e non supportate per i dispositivi integrati:
| Strumenti di gestione dei dispositivi | Microsoft Entra registrato | Microsoft Entra si è unito | Microsoft Entra ibrido aggiunto |
|---|---|---|---|
|
gestione dei dispositivi mobili (MDM) Esempio: Microsoft Intune |
|
|
|
|
La co-gestione con Microsoft Intune e Microsoft Configuration Manager (Windows 10 o versione successiva) |
|
|
|
|
criteri di gruppo (solo Windows) |
|
È consigliabile prendere in considerazione Microsoft Intune Mobile Application Management (MAM) con o senza gestione dei dispositivi per i dispositivi registrati iOS o Android.
Gli amministratori possono anche distribuire piattaforme VDI (Infrastruttura Desktop Virtuale) che ospitano sistemi operativi Windows all'interno delle loro organizzazioni per semplificare la gestione e ridurre i costi attraverso il consolidamento e la centralizzazione delle risorse.