Jak zaplanować wdrożenie dołączenia do Microsoft Entra
Urządzenia można dołączać bezpośrednio do Microsoft Entra ID bez konieczności dołączania do lokalnej usługi Active Directory, a jednocześnie zachować produktywność i bezpieczeństwo użytkowników. Dołączenie do Microsoft Entra jest gotowe do użycia w przedsiębiorstwie zarówno dla wdrożeń na dużą skalę, jak i w określonym zakresie. Dostęp logowania jednokrotnego (SSO) do zasobów lokalnych jest możliwy również dla urządzeń, które są połączone z Microsoft Entra. Aby uzyskać więcej informacji, zobacz Jak działa logowanie jednokrotne do zasobów lokalnych na urządzeniach dołączonych do Microsoft Entra.
Artykuł zawiera informacje potrzebne do zaplanowania wdrożenia przyłączenia do Microsoft Entra.
Wymagania wstępne
W tym artykule założono, że znasz wprowadzenie do zarządzania urządzeniami w usłudze Microsoft Entra ID.
Planowanie implementacji
Aby zaplanować implementację połączenia z Microsoft Entra, zapoznaj się z:
- Przeglądanie scenariuszy
- Przejrzyj swoją infrastrukturę tożsamości
- Ocena zarządzania urządzeniami
- Omówienie zagadnień dotyczących aplikacji i zasobów
- Zrozum swoje opcje aprowizacji
- Konfigurowanie roamingu stanu przedsiębiorstwa
- Konfigurowanie dostępu warunkowego
Przeglądanie scenariuszy
Dołączenie do firmy Microsoft Entra umożliwia przejście do modelu opartego na chmurze z systemem Windows. Jeśli planujesz zmodernizować zarządzanie urządzeniami i zmniejszyć koszty IT związane z urządzeniami, dołączenie do Microsoft Entra stanowi solidną podstawę do realizacji tych celów.
Rozważ dołączenie firmy Microsoft Entra, jeśli twoje cele są zgodne z następującymi kryteriami:
- Wdrażasz platformę Microsoft 365 jako pakiet zwiększający produktywność dla użytkowników.
- Chcesz zarządzać urządzeniami za pomocą rozwiązania do zarządzania urządzeniami w chmurze.
- Chcesz uprościć aprowizację urządzeń dla użytkowników rozproszonych geograficznie.
- Planujesz modernizację infrastruktury aplikacji.
Przejrzyj swoją infrastrukturę tożsamości
Dołączanie do Microsoft Entra działa w środowiskach zarządzanych i federacyjnych. Większość organizacji wdraża domeny zarządzane. Scenariusze domeny zarządzanej nie wymagają konfigurowania serwera federacyjnego i zarządzania nim, takiego jak usługi Active Directory Federation Services (AD FS).
Środowisko zarządzane
Środowisko zarządzane można wdrożyć za pomocą synchronizacji skrótów haseł lub uwierzytelniania przepustowego z bezproblemowym jednokrotnym logowaniem.
Środowisko federacyjne
Środowisko federacyjne powinno mieć dostawcę tożsamości, który obsługuje protokoły WS-Trust i WS-Fed:
- WS-Fed: ten protokół jest wymagany do dołączenia urządzenia do identyfikatora Entra firmy Microsoft.
- WS-Trust: Ten protokół jest wymagany do zalogowania się na urządzeniu połączonym z Microsoft Entra.
W przypadku korzystania z usług AD FS należy włączyć następujące punkty końcowe WS-Trust: /adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed
Jeśli dostawca tożsamości nie obsługuje tych protokołów, funkcja Microsoft Entra join nie działa natywnie.
Uwaga
Obecnie dołączenie do firmy Microsoft Entra nie działa z usługami AD FS 2019 skonfigurowanymi z zewnętrznymi dostawcami uwierzytelniania jako podstawową metodą uwierzytelniania. Microsoft Entra domyślnie ustawia uwierzytelnianie za pomocą hasła jako metodę podstawową, co prowadzi do niepowodzenia uwierzytelniania w tej sytuacji.
Konfiguracja użytkownika
Jeśli tworzysz użytkowników w:
- Lokalna usługa Active Directory wymaga zsynchronizowania ich z identyfikatorem Entra firmy Microsoft przy użyciu programu Microsoft Entra Connect.
- Identyfikator Entra firmy Microsoft, nie jest wymagana żadna dodatkowa konfiguracja.
Główne nazwy użytkowników lokalnych (UPN), które różnią się od nazw UPN Microsoft Entra, nie są obsługiwane na urządzeniach połączonych z Microsoft Entra. Jeśli użytkownicy korzystają z lokalnej nazwy UPN, należy zaplanować przejście do korzystania z podstawowej nazwy UPN w identyfikatorze Entra firmy Microsoft.
Zmiany nazwy UPN są obsługiwane tylko w przypadku aktualizacji systemu Windows 10 2004. Użytkownicy na urządzeniach z tą aktualizacją nie będą mieli żadnych problemów po zmianie ich nazw UPN. W przypadku urządzeń przed aktualizacją systemu Windows 10 2004 użytkownicy będą mieli problemy z logowaniem jednokrotnym i dostępem warunkowym na swoich urządzeniach. Aby rozwiązać ten problem, muszą zalogować się do systemu Windows za pomocą kafelka "Inny użytkownik", używając swojego nowego UPN.
Ocena zarządzania urządzeniami
Obsługiwane urządzenia
Dołącz do Microsoft Entra:
- Obsługuje urządzenia z systemami Windows 10 i Windows 11.
- Nie jest obsługiwany w poprzednich wersjach systemu Windows lub innych systemach operacyjnych. Jeśli masz urządzenia z systemem Windows 7/8.1, musisz zaktualizować co najmniej do systemu Windows 10, aby wdrożyć Microsoft Entra Join.
- Jest obsługiwany w przypadku zgodnego ze standardem FIPS (Federal Information Processing Standard) modułu TPM (TPM) 2.0, ale nie jest obsługiwany w przypadku modułu TPM 1.2. Jeśli twoje urządzenia mają zgodny ze standardem FIPS moduł TPM 1.2, musisz je wyłączyć przed przystąpieniem do dołączenia do Microsoft Entra. Firma Microsoft nie udostępnia żadnych narzędzi do wyłączania trybu FIPS dla modułów TPM, ponieważ jest zależna od producenta modułu TPM. Skontaktuj się ze sprzętem OEM, aby uzyskać pomoc techniczną.
Zalecenie: zawsze używaj najnowszej wersji systemu Windows, aby korzystać ze zaktualizowanych funkcji.
Platforma zarządzania
Zarządzanie urządzeniami dla urządzeń przyłączonych do Microsoft Entra opiera się na platformie zarządzania urządzeniami przenośnymi (MDM), takiej jak Intune, oraz dostawcach CSP MDM. Począwszy od systemu Windows 10 istnieje wbudowany agent MDM, który współpracuje ze wszystkimi zgodnymi rozwiązaniami MDM.
Uwaga
Zasady grupy nie są obsługiwane na urządzeniach przyłączonych do Microsoft Entra, ponieważ nie są połączone z lokalną usługą Active Directory. Zarządzanie urządzeniami dołączonymi do Microsoft Entra jest możliwe tylko za pośrednictwem rozwiązania MDM
Istnieją dwa podejścia do zarządzania urządzeniami dołączonymi do Microsoft Entra:
- MDM-only — urządzenie jest zarządzane wyłącznie przez dostawcę MDM, takiego jak Intune. Wszystkie polityki są dostarczane w ramach procesu włączenia do rozwiązania MDM. W przypadku klientów korzystających z rozwiązania Microsoft Entra ID P1 lub P2 lub EMS rejestracja w rozwiązaniu MDM jest automatycznym krokiem, który jest częścią dołączania do firmy Microsoft Entra.
- Współzarządzanie — urządzenie jest zarządzane przez dostawcę oprogramowania MDM i program Microsoft Configuration Manager. W tym podejściu agent programu Microsoft Configuration Manager jest instalowany na urządzeniu zarządzanym przez rozwiązanie MDM w celu administrowania pewnymi aspektami.
Jeśli używasz zasad grupy, oceń zgodność obiektów zasad grupy (GPO) oraz zasad zarządzania urządzeniami mobilnymi (MDM) przy użyciu analizy zasad grupy w usłudze Microsoft Intune.
Przejrzyj obsługiwane i nieobsługiwane zasady, aby określić, czy można zastosować rozwiązanie MDM zamiast zasad Grupy. Rozważ poniższe pytania dotyczące nieobsługiwanych zasad:
- Czy nieobsługiwane zasady są niezbędne dla urządzeń lub użytkowników dołączonych do firmy Microsoft?
- Czy nieobsługiwane zasady mają zastosowanie we wdrożeniu opartym na chmurze?
Jeśli rozwiązanie MDM nie jest dostępne za pośrednictwem galerii aplikacji Microsoft Entra, możesz dodać je zgodnie z procesem opisanym w temacie Integracja firmy Microsoft Entra z rozwiązaniem MDM.
Za pomocą współzarządzania można zarządzać pewnymi aspektami urządzeń przy użyciu programu Microsoft Configuration Manager, gdy zasady są dostarczane za pośrednictwem platformy MDM. Usługa Microsoft Intune umożliwia współzarządzanie za pomocą programu Microsoft Configuration Manager. Aby uzyskać więcej informacji na temat współzarządzania dla urządzeń z systemem Windows 10 lub nowszym, zobacz Co to jest współzarządzanie?. Jeśli używasz produktu MDM innego niż usługa Intune, skonsultuj się z dostawcą MDM w odpowiednich scenariuszach współzarządzania.
Zalecenie: Rozważ zarządzanie wyłącznie za pomocą MDM dla urządzeń połączonych z Microsoft Entra.
Omówienie zagadnień dotyczących aplikacji i zasobów
Zalecamy migrację aplikacji ze środowiska lokalnego do chmury w celu uzyskania lepszego środowiska użytkownika i kontroli dostępu. Urządzenia przyłączone do Microsoft Entra mogą bezproblemowo zapewnić dostęp do aplikacji lokalnych i chmurowych. Aby uzyskać więcej informacji, zobacz Jak działa logowanie jednokrotne (SSO) do zasobów lokalnych na urządzeniach dołączonych do Microsoft Entra.
W poniższych sekcjach wymieniono zagadnienia dotyczące różnych typów aplikacji i zasobów.
Aplikacje oparte na chmurze
Jeśli aplikacja zostanie dodana do galerii aplikacji Microsoft Entra, użytkownicy mogą korzystać z logowania jednokrotnego (SSO) za pośrednictwem urządzeń połączonych z Microsoft Entra. Nie jest wymagana żadna inna konfiguracja. Użytkownicy uzyskują logowanie jednokrotne zarówno w przeglądarkach Microsoft Edge, jak i Chrome. W przypadku programu Chrome należy wdrożyć rozszerzenie Konta systemu Windows 10.
Wszystkie aplikacje Win32, które:
- Polegaj na Menedżerze kont sieci Web (WAM) w przypadku żądań tokenów oraz uzyskuj jednokrotne logowanie na urządzeniach połączonych z usługą Microsoft Entra.
- Nie polegaj na WAM, ponieważ może to wymagać uwierzytelnienia użytkowników.
Lokalne aplikacje internetowe
Jeśli twoje aplikacje są niestandardowe, utworzone lub hostowane lokalnie, należy dodać je do zaufanych witryn przeglądarki, aby:
- Włączanie zintegrowanego uwierzytelniania systemu Windows do działania
- Zapewnij użytkownikom doświadczenie logowania jednokrotnego bez monitu.
Jeśli używasz usług AD FS, zobacz Weryfikowanie logowania jednokrotnego i zarządzanie nim za pomocą usług AD FS.
Zalecenie: Rozważ hosting w chmurze (na przykład platformę Azure) i integrację z identyfikatorem Entra firmy Microsoft, aby uzyskać lepsze środowisko.
Aplikacje lokalne oparte na starszych protokołach
Użytkownicy uzyskują SSO na urządzeniach połączonych z Microsoft Entra, jeśli urządzenie ma dostęp do kontrolera domeny.
Uwaga
Urządzenia dołączone do Microsoft Entra mogą bezproblemowo zapewnić dostęp do aplikacji lokalnych i w chmurze. Aby uzyskać więcej informacji, zobacz Jak działa logowanie jednokrotne do zasobów lokalnych na urządzeniach dołączonych do Microsoft Entra.
Zalecenie: Wdróż serwer proxy aplikacji Entra firmy Microsoft, aby umożliwić bezpieczny dostęp dla tych aplikacji.
Lokalne udziały sieciowe
Użytkownicy mają jednokrotne logowanie (SSO) z urządzeń dołączonych do Microsoft Entra, gdy urządzenie ma dostęp do lokalnego kontrolera domeny. Dowiedz się, jak to działa
Drukarki
Zalecamy wdrożenie usługi Universal Print , aby mieć oparte na chmurze rozwiązanie do zarządzania drukowaniem bez żadnych zależności lokalnych.
Aplikacje lokalne oparte na uwierzytelnianiu maszyny
Urządzenia połączone z Microsoft Entra nie obsługują aplikacji lokalnych korzystających z uwierzytelniania maszynowego.
Zalecenie: Rozważ wycofanie tych aplikacji i przejście na nowoczesne alternatywy.
Usługi pulpitu zdalnego
Połączenie pulpitu zdalnego z urządzeniami przyłączonymi do Microsoft Entra wymaga, aby komputer hosta był przyłączony do Microsoft Entra lub dołączony hybrydowo do Microsoft Entra. Pulpit zdalny z urządzenia, które nie jest dołączone do domeny lub nie używa systemu Windows, nie jest obsługiwany. Aby uzyskać więcej informacji, zobacz Łączenie ze zdalnym komputerem przyłączonym do Microsoft Entra
Po aktualizacji systemu Windows 10 2004 użytkownicy mogą używać pulpitu zdalnego z zarejestrowanego urządzenia z systemem Windows 10 lub nowszym firmy Microsoft do innego urządzenia dołączonego do firmy Microsoft Entra.
Uwierzytelnianie za pomocą protokołu RADIUS i sieci Wi-Fi
Obecnie urządzenia Microsoft Entra nie obsługują uwierzytelniania RADIUS przy użyciu lokalnego obiektu komputera i certyfikatu do nawiązywania połączenia z punktami dostępu Wi-Fi, ponieważ w tym scenariuszu RADIUS wymaga obecności lokalnego obiektu komputera. Alternatywnie można użyć certyfikatów wypychanych za pośrednictwem usługi Intune lub poświadczeń użytkownika do uwierzytelniania w sieci Wi-Fi.
Zrozum swoje opcje aprowizacji
Uwaga
Nie można wdrażać urządzeń połączonych z Microsoft Entra przy użyciu System Preparation Tool (Narzędzie do przygotowywania systemu, Sysprep) ani podobnych narzędzi do tworzenia obrazów.
Urządzenia dołączone do Microsoft Entra można aprowizować przy użyciu następujących podejść:
- Samoobsługa w trybie OOBE/Settings — w trybie samoobsługi użytkownicy przechodzą przez proces dołączania do Microsoft Entra podczas procesu Out of Box Experience (OOBE) lub w ustawieniach systemu Windows. Aby uzyskać więcej informacji, zobacz Dołączanie urządzenia służbowego do sieci organizacji.
- Windows Autopilot — rozwiązanie Windows Autopilot umożliwia wstępne konfigurowanie urządzeń w celu zapewnienia bezproblemowego środowiska dołączania do firmy Microsoft Entra w środowisku OOBE. Aby uzyskać więcej informacji, zobacz Omówienie rozwiązania Windows Autopilot.
- Rejestracja masowa — rejestracja masowa umożliwia administratorowi połączenie z Microsoft Entra przy użyciu narzędzia do masowego provisioningu, aby skonfigurować urządzenia. Aby uzyskać więcej informacji, zobacz Rejestracja zbiorcza dla urządzeń z systemem Windows.
Oto porównanie tych trzech podejść
| Element | Konfiguracja samoobsługowa | Windows Autopilot | Rejestrowanie zbiorcze |
|---|---|---|---|
| Wymagaj interakcji z użytkownikiem w celu skonfigurowania | Tak | Tak | Nie. |
| Wymagaj zaangażowania działu IT | Nie. | Tak | Tak |
| Stosowane przepływy | OOBE i ustawienia | Tylko środowisko OOBE | Tylko środowisko OOBE |
| Podstawowy użytkownik z uprawnieniami administratora lokalnego | Tak, domyślnie | Konfigurowalny | Nie. |
| Wymaga wsparcia producenta OEM dla urządzenia | Nie. | Tak | Nie. |
| Obsługiwane wersje | 1511+ | 1709+ | 1703+ |
Wybierz podejście lub podejścia do wdrożenia, przeglądając poprzednią tabelę i przeglądając następujące zagadnienia dotyczące wdrażania jednego z tych podejść:
- Czy twoi użytkownicy mają umiejętności techniczne, aby samodzielnie przejść przez konfigurację?
- Samoobsługa może działać najlepiej dla tych użytkowników. Rozważ rozwiązanie Windows Autopilot, aby ulepszyć środowisko użytkownika.
- Czy użytkownicy są zdalni, czy w środowisku firmowym?
- Samoobsługa lub rozwiązanie Autopilot najlepiej sprawdzają się w przypadku użytkowników zdalnych w celu bezproblemowej konfiguracji.
- Czy wolisz konfigurację opartą na użytkowniku lub zarządzaną przez administratora?
- Rejestracja zbiorcza działa lepiej w przypadku wdrożenia opartego na administratorach w celu skonfigurowania urządzeń przed przekazaniem ich użytkownikom.
- Kupujesz urządzenia od 1-2 OEM, czy też masz szeroką dystrybucję urządzeń od różnych OEM?
- W przypadku zakupu od ograniczonej liczby producentów OEM, którzy również oferują wsparcie dla Autopilot, możesz skorzystać z ściślejszej integracji z Autopilot.
Konfigurowanie ustawień urządzenia
Centrum administracyjne Microsoft Entra umożliwia kontrolowanie wdrażania urządzeń połączonych z Microsoft Entra w organizacji. Aby skonfigurować powiązane ustawienia, przejdź do Tożsamość>Urządzenia>Wszystkie urządzenia>Ustawienia urządzenia. Dowiedz się więcej
Użytkownicy mogą dołączać urządzenia do identyfikatora Entra firmy Microsoft
Ustaw tę opcję na Wszystkie lub Wybrane na podstawie zakresu wdrożenia i osób, dla których chcesz skonfigurować urządzenie dołączone do Microsoft Entra.
Dodatkowi administratorzy lokalni na urządzeniach dołączonych do Microsoft Entra
Wybierz pozycję Wybrane i zaznacz użytkowników, których chcesz dodać do grupy administratorów lokalnych na wszystkich urządzeniach połączonych z Microsoft Entra.
Wymaganie uwierzytelniania wieloskładnikowego (MFA) do dołączania urządzeń
Wybierz pozycję "Tak , jeśli chcesz, aby użytkownicy musieli wykonać uwierzytelnianie wieloskładnikowe podczas dołączania urządzeń do identyfikatora Entra firmy Microsoft.
Zalecenie: Użyj akcji użytkownika Zarejestruj lub dołącz urządzenia w dostępie warunkowym, aby wymusić uwierzytelnianie wieloskładnikowe na potrzeby dołączania urządzeń.
Konfigurowanie ustawień mobilności
Zanim będzie można skonfigurować ustawienia mobilności, może być konieczne najpierw dodanie dostawcy oprogramowania MDM.
Aby dodać dostawcę MDM:
Na stronie Microsoft Entra ID w sekcji Zarządzanie wybierz pozycję
Mobility (MDM and MAM).Wybierz Dodaj aplikację.
Wybierz dostawcę mdm z listy.
Wybierz dostawcę mdm, aby skonfigurować powiązane ustawienia.
Zakres użytkownika oprogramowania MDM
Wybierz pozycję Niektóre lub Wszystkie w zależności od zakresu wdrożenia.
W zależności od zakresu następuje jedna z następujących czynności:
- Użytkownik znajduje się w zakresie zarządzania urządzeniami przenośnymi: jeśli masz subskrypcję Microsoft Entra ID P1 lub P2, rejestracja w rozwiązaniu MDM jest zautomatyzowana wraz z łączeniem z Microsoft Entra. Wszyscy użytkownicy objęci zakresem muszą mieć odpowiednią licencję na rozwiązanie MDM. Jeśli rejestracja w MDM zakończy się niepowodzeniem w tym scenariuszu, proces dołączania do Microsoft Entra zostanie cofnięty.
- Użytkownik nie znajduje się w obszarze MDM: jeśli użytkownicy nie znajdują się w obszarze MDM, dołączanie firmy Microsoft Entra kończy się bez rejestracji w MDM. Ten zakres skutkuje niezarządzanym urządzeniem.
Adresy URL funkcji zarządzania urządzeniami przenośnymi
Istnieją trzy adresy URL powiązane z konfiguracją rozwiązania MDM:
- Adres URL warunków użytkowania oprogramowania MDM
- Adres URL odkrywania MDM
- Adres URL zgodności rozwiązania MDM
Każdy adres URL ma wstępnie zdefiniowaną wartość domyślną. Jeśli te pola są puste, skontaktuj się ze swoim dostawcą rozwiązania MDM, aby uzyskać więcej informacji.
Ustawienia MAM
Zarządzanie aplikacjami mobilnymi (MAM) nie ma zastosowania do połączenia z Microsoft Entra.
Konfigurowanie roamingu stanu przedsiębiorstwa
Jeśli chcesz włączyć roaming stanu do identyfikatora Entra firmy Microsoft, aby użytkownicy mogli synchronizować swoje ustawienia między urządzeniami, zobacz Włączanie roamingu stanu przedsiębiorstwa w identyfikatorze Entra firmy Microsoft.
Zalecenie: włącz to ustawienie nawet dla urządzeń hybrydowo dołączonych Microsoft Entra.
Konfigurowanie dostępu warunkowego
Jeśli masz skonfigurowanego dostawcę MDM dla urządzeń dołączonych do Microsoft Entra, dostawca oznacza urządzenie jako zgodne, gdy tylko urządzenie jest objęte zarządzaniem.
Za pomocą tej implementacji można wymagać urządzeń zarządzanych na potrzeby dostępu do aplikacji w chmurze przy użyciu dostępu warunkowego.