Udostępnij za pośrednictwem


Jak zaplanować wdrożenie dołączenia do Microsoft Entra

Urządzenia można dołączać bezpośrednio do Microsoft Entra ID bez konieczności dołączania do lokalnej usługi Active Directory, a jednocześnie zachować produktywność i bezpieczeństwo użytkowników. Dołączenie do Microsoft Entra jest gotowe do użycia w przedsiębiorstwie zarówno dla wdrożeń na dużą skalę, jak i w określonym zakresie. Dostęp logowania jednokrotnego (SSO) do zasobów lokalnych jest możliwy również dla urządzeń, które są połączone z Microsoft Entra. Aby uzyskać więcej informacji, zobacz Jak działa logowanie jednokrotne do zasobów lokalnych na urządzeniach dołączonych do Microsoft Entra.

Artykuł zawiera informacje potrzebne do zaplanowania wdrożenia przyłączenia do Microsoft Entra.

Wymagania wstępne

W tym artykule założono, że znasz wprowadzenie do zarządzania urządzeniami w usłudze Microsoft Entra ID.

Planowanie implementacji

Aby zaplanować implementację połączenia z Microsoft Entra, zapoznaj się z:

  • Przeglądanie scenariuszy
  • Przejrzyj swoją infrastrukturę tożsamości
  • Ocena zarządzania urządzeniami
  • Omówienie zagadnień dotyczących aplikacji i zasobów
  • Zrozum swoje opcje aprowizacji
  • Konfigurowanie roamingu stanu przedsiębiorstwa
  • Konfigurowanie dostępu warunkowego

Przeglądanie scenariuszy

Dołączenie do firmy Microsoft Entra umożliwia przejście do modelu opartego na chmurze z systemem Windows. Jeśli planujesz zmodernizować zarządzanie urządzeniami i zmniejszyć koszty IT związane z urządzeniami, dołączenie do Microsoft Entra stanowi solidną podstawę do realizacji tych celów.

Rozważ dołączenie firmy Microsoft Entra, jeśli twoje cele są zgodne z następującymi kryteriami:

  • Wdrażasz platformę Microsoft 365 jako pakiet zwiększający produktywność dla użytkowników.
  • Chcesz zarządzać urządzeniami za pomocą rozwiązania do zarządzania urządzeniami w chmurze.
  • Chcesz uprościć aprowizację urządzeń dla użytkowników rozproszonych geograficznie.
  • Planujesz modernizację infrastruktury aplikacji.

Przejrzyj swoją infrastrukturę tożsamości

Dołączanie do Microsoft Entra działa w środowiskach zarządzanych i federacyjnych. Większość organizacji wdraża domeny zarządzane. Scenariusze domeny zarządzanej nie wymagają konfigurowania serwera federacyjnego i zarządzania nim, takiego jak usługi Active Directory Federation Services (AD FS).

Środowisko zarządzane

Środowisko zarządzane można wdrożyć za pomocą synchronizacji skrótów haseł lub uwierzytelniania przepustowego z bezproblemowym jednokrotnym logowaniem.

Środowisko federacyjne

Środowisko federacyjne powinno mieć dostawcę tożsamości, który obsługuje protokoły WS-Trust i WS-Fed:

  • WS-Fed: ten protokół jest wymagany do dołączenia urządzenia do identyfikatora Entra firmy Microsoft.
  • WS-Trust: Ten protokół jest wymagany do zalogowania się na urządzeniu połączonym z Microsoft Entra.

W przypadku korzystania z usług AD FS należy włączyć następujące punkty końcowe WS-Trust: /adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

Jeśli dostawca tożsamości nie obsługuje tych protokołów, funkcja Microsoft Entra join nie działa natywnie.

Uwaga

Obecnie dołączenie do firmy Microsoft Entra nie działa z usługami AD FS 2019 skonfigurowanymi z zewnętrznymi dostawcami uwierzytelniania jako podstawową metodą uwierzytelniania. Microsoft Entra domyślnie ustawia uwierzytelnianie za pomocą hasła jako metodę podstawową, co prowadzi do niepowodzenia uwierzytelniania w tej sytuacji.

Konfiguracja użytkownika

Jeśli tworzysz użytkowników w:

  • Lokalna usługa Active Directory wymaga zsynchronizowania ich z identyfikatorem Entra firmy Microsoft przy użyciu programu Microsoft Entra Connect.
  • Identyfikator Entra firmy Microsoft, nie jest wymagana żadna dodatkowa konfiguracja.

Główne nazwy użytkowników lokalnych (UPN), które różnią się od nazw UPN Microsoft Entra, nie są obsługiwane na urządzeniach połączonych z Microsoft Entra. Jeśli użytkownicy korzystają z lokalnej nazwy UPN, należy zaplanować przejście do korzystania z podstawowej nazwy UPN w identyfikatorze Entra firmy Microsoft.

Zmiany nazwy UPN są obsługiwane tylko w przypadku aktualizacji systemu Windows 10 2004. Użytkownicy na urządzeniach z tą aktualizacją nie będą mieli żadnych problemów po zmianie ich nazw UPN. W przypadku urządzeń przed aktualizacją systemu Windows 10 2004 użytkownicy będą mieli problemy z logowaniem jednokrotnym i dostępem warunkowym na swoich urządzeniach. Aby rozwiązać ten problem, muszą zalogować się do systemu Windows za pomocą kafelka "Inny użytkownik", używając swojego nowego UPN.

Ocena zarządzania urządzeniami

Obsługiwane urządzenia

Dołącz do Microsoft Entra:

  • Obsługuje urządzenia z systemami Windows 10 i Windows 11.
  • Nie jest obsługiwany w poprzednich wersjach systemu Windows lub innych systemach operacyjnych. Jeśli masz urządzenia z systemem Windows 7/8.1, musisz zaktualizować co najmniej do systemu Windows 10, aby wdrożyć Microsoft Entra Join.
  • Jest obsługiwany w przypadku zgodnego ze standardem FIPS (Federal Information Processing Standard) modułu TPM (TPM) 2.0, ale nie jest obsługiwany w przypadku modułu TPM 1.2. Jeśli twoje urządzenia mają zgodny ze standardem FIPS moduł TPM 1.2, musisz je wyłączyć przed przystąpieniem do dołączenia do Microsoft Entra. Firma Microsoft nie udostępnia żadnych narzędzi do wyłączania trybu FIPS dla modułów TPM, ponieważ jest zależna od producenta modułu TPM. Skontaktuj się ze sprzętem OEM, aby uzyskać pomoc techniczną.

Zalecenie: zawsze używaj najnowszej wersji systemu Windows, aby korzystać ze zaktualizowanych funkcji.

Platforma zarządzania

Zarządzanie urządzeniami dla urządzeń przyłączonych do Microsoft Entra opiera się na platformie zarządzania urządzeniami przenośnymi (MDM), takiej jak Intune, oraz dostawcach CSP MDM. Począwszy od systemu Windows 10 istnieje wbudowany agent MDM, który współpracuje ze wszystkimi zgodnymi rozwiązaniami MDM.

Uwaga

Zasady grupy nie są obsługiwane na urządzeniach przyłączonych do Microsoft Entra, ponieważ nie są połączone z lokalną usługą Active Directory. Zarządzanie urządzeniami dołączonymi do Microsoft Entra jest możliwe tylko za pośrednictwem rozwiązania MDM

Istnieją dwa podejścia do zarządzania urządzeniami dołączonymi do Microsoft Entra:

  • MDM-only — urządzenie jest zarządzane wyłącznie przez dostawcę MDM, takiego jak Intune. Wszystkie polityki są dostarczane w ramach procesu włączenia do rozwiązania MDM. W przypadku klientów korzystających z rozwiązania Microsoft Entra ID P1 lub P2 lub EMS rejestracja w rozwiązaniu MDM jest automatycznym krokiem, który jest częścią dołączania do firmy Microsoft Entra.
  • Współzarządzanie — urządzenie jest zarządzane przez dostawcę oprogramowania MDM i program Microsoft Configuration Manager. W tym podejściu agent programu Microsoft Configuration Manager jest instalowany na urządzeniu zarządzanym przez rozwiązanie MDM w celu administrowania pewnymi aspektami.

Jeśli używasz zasad grupy, oceń zgodność obiektów zasad grupy (GPO) oraz zasad zarządzania urządzeniami mobilnymi (MDM) przy użyciu analizy zasad grupy w usłudze Microsoft Intune.

Przejrzyj obsługiwane i nieobsługiwane zasady, aby określić, czy można zastosować rozwiązanie MDM zamiast zasad Grupy. Rozważ poniższe pytania dotyczące nieobsługiwanych zasad:

  • Czy nieobsługiwane zasady są niezbędne dla urządzeń lub użytkowników dołączonych do firmy Microsoft?
  • Czy nieobsługiwane zasady mają zastosowanie we wdrożeniu opartym na chmurze?

Jeśli rozwiązanie MDM nie jest dostępne za pośrednictwem galerii aplikacji Microsoft Entra, możesz dodać je zgodnie z procesem opisanym w temacie Integracja firmy Microsoft Entra z rozwiązaniem MDM.

Za pomocą współzarządzania można zarządzać pewnymi aspektami urządzeń przy użyciu programu Microsoft Configuration Manager, gdy zasady są dostarczane za pośrednictwem platformy MDM. Usługa Microsoft Intune umożliwia współzarządzanie za pomocą programu Microsoft Configuration Manager. Aby uzyskać więcej informacji na temat współzarządzania dla urządzeń z systemem Windows 10 lub nowszym, zobacz Co to jest współzarządzanie?. Jeśli używasz produktu MDM innego niż usługa Intune, skonsultuj się z dostawcą MDM w odpowiednich scenariuszach współzarządzania.

Zalecenie: Rozważ zarządzanie wyłącznie za pomocą MDM dla urządzeń połączonych z Microsoft Entra.

Omówienie zagadnień dotyczących aplikacji i zasobów

Zalecamy migrację aplikacji ze środowiska lokalnego do chmury w celu uzyskania lepszego środowiska użytkownika i kontroli dostępu. Urządzenia przyłączone do Microsoft Entra mogą bezproblemowo zapewnić dostęp do aplikacji lokalnych i chmurowych. Aby uzyskać więcej informacji, zobacz Jak działa logowanie jednokrotne (SSO) do zasobów lokalnych na urządzeniach dołączonych do Microsoft Entra.

W poniższych sekcjach wymieniono zagadnienia dotyczące różnych typów aplikacji i zasobów.

Aplikacje oparte na chmurze

Jeśli aplikacja zostanie dodana do galerii aplikacji Microsoft Entra, użytkownicy mogą korzystać z logowania jednokrotnego (SSO) za pośrednictwem urządzeń połączonych z Microsoft Entra. Nie jest wymagana żadna inna konfiguracja. Użytkownicy uzyskują logowanie jednokrotne zarówno w przeglądarkach Microsoft Edge, jak i Chrome. W przypadku programu Chrome należy wdrożyć rozszerzenie Konta systemu Windows 10.

Wszystkie aplikacje Win32, które:

  • Polegaj na Menedżerze kont sieci Web (WAM) w przypadku żądań tokenów oraz uzyskuj jednokrotne logowanie na urządzeniach połączonych z usługą Microsoft Entra.
  • Nie polegaj na WAM, ponieważ może to wymagać uwierzytelnienia użytkowników.

Lokalne aplikacje internetowe

Jeśli twoje aplikacje są niestandardowe, utworzone lub hostowane lokalnie, należy dodać je do zaufanych witryn przeglądarki, aby:

  • Włączanie zintegrowanego uwierzytelniania systemu Windows do działania
  • Zapewnij użytkownikom doświadczenie logowania jednokrotnego bez monitu.

Jeśli używasz usług AD FS, zobacz Weryfikowanie logowania jednokrotnego i zarządzanie nim za pomocą usług AD FS.

Zalecenie: Rozważ hosting w chmurze (na przykład platformę Azure) i integrację z identyfikatorem Entra firmy Microsoft, aby uzyskać lepsze środowisko.

Aplikacje lokalne oparte na starszych protokołach

Użytkownicy uzyskują SSO na urządzeniach połączonych z Microsoft Entra, jeśli urządzenie ma dostęp do kontrolera domeny.

Uwaga

Urządzenia dołączone do Microsoft Entra mogą bezproblemowo zapewnić dostęp do aplikacji lokalnych i w chmurze. Aby uzyskać więcej informacji, zobacz Jak działa logowanie jednokrotne do zasobów lokalnych na urządzeniach dołączonych do Microsoft Entra.

Zalecenie: Wdróż serwer proxy aplikacji Entra firmy Microsoft, aby umożliwić bezpieczny dostęp dla tych aplikacji.

Lokalne udziały sieciowe

Użytkownicy mają jednokrotne logowanie (SSO) z urządzeń dołączonych do Microsoft Entra, gdy urządzenie ma dostęp do lokalnego kontrolera domeny. Dowiedz się, jak to działa

Drukarki

Zalecamy wdrożenie usługi Universal Print , aby mieć oparte na chmurze rozwiązanie do zarządzania drukowaniem bez żadnych zależności lokalnych.

Aplikacje lokalne oparte na uwierzytelnianiu maszyny

Urządzenia połączone z Microsoft Entra nie obsługują aplikacji lokalnych korzystających z uwierzytelniania maszynowego.

Zalecenie: Rozważ wycofanie tych aplikacji i przejście na nowoczesne alternatywy.

Usługi pulpitu zdalnego

Połączenie pulpitu zdalnego z urządzeniami przyłączonymi do Microsoft Entra wymaga, aby komputer hosta był przyłączony do Microsoft Entra lub dołączony hybrydowo do Microsoft Entra. Pulpit zdalny z urządzenia, które nie jest dołączone do domeny lub nie używa systemu Windows, nie jest obsługiwany. Aby uzyskać więcej informacji, zobacz Łączenie ze zdalnym komputerem przyłączonym do Microsoft Entra

Po aktualizacji systemu Windows 10 2004 użytkownicy mogą używać pulpitu zdalnego z zarejestrowanego urządzenia z systemem Windows 10 lub nowszym firmy Microsoft do innego urządzenia dołączonego do firmy Microsoft Entra.

Uwierzytelnianie za pomocą protokołu RADIUS i sieci Wi-Fi

Obecnie urządzenia Microsoft Entra nie obsługują uwierzytelniania RADIUS przy użyciu lokalnego obiektu komputera i certyfikatu do nawiązywania połączenia z punktami dostępu Wi-Fi, ponieważ w tym scenariuszu RADIUS wymaga obecności lokalnego obiektu komputera. Alternatywnie można użyć certyfikatów wypychanych za pośrednictwem usługi Intune lub poświadczeń użytkownika do uwierzytelniania w sieci Wi-Fi.

Zrozum swoje opcje aprowizacji

Uwaga

Nie można wdrażać urządzeń połączonych z Microsoft Entra przy użyciu System Preparation Tool (Narzędzie do przygotowywania systemu, Sysprep) ani podobnych narzędzi do tworzenia obrazów.

Urządzenia dołączone do Microsoft Entra można aprowizować przy użyciu następujących podejść:

  • Samoobsługa w trybie OOBE/Settings — w trybie samoobsługi użytkownicy przechodzą przez proces dołączania do Microsoft Entra podczas procesu Out of Box Experience (OOBE) lub w ustawieniach systemu Windows. Aby uzyskać więcej informacji, zobacz Dołączanie urządzenia służbowego do sieci organizacji.
  • Windows Autopilot — rozwiązanie Windows Autopilot umożliwia wstępne konfigurowanie urządzeń w celu zapewnienia bezproblemowego środowiska dołączania do firmy Microsoft Entra w środowisku OOBE. Aby uzyskać więcej informacji, zobacz Omówienie rozwiązania Windows Autopilot.
  • Rejestracja masowa — rejestracja masowa umożliwia administratorowi połączenie z Microsoft Entra przy użyciu narzędzia do masowego provisioningu, aby skonfigurować urządzenia. Aby uzyskać więcej informacji, zobacz Rejestracja zbiorcza dla urządzeń z systemem Windows.

Oto porównanie tych trzech podejść

Element Konfiguracja samoobsługowa Windows Autopilot Rejestrowanie zbiorcze
Wymagaj interakcji z użytkownikiem w celu skonfigurowania Tak Tak Nie.
Wymagaj zaangażowania działu IT Nie. Tak Tak
Stosowane przepływy OOBE i ustawienia Tylko środowisko OOBE Tylko środowisko OOBE
Podstawowy użytkownik z uprawnieniami administratora lokalnego Tak, domyślnie Konfigurowalny Nie.
Wymaga wsparcia producenta OEM dla urządzenia Nie. Tak Nie.
Obsługiwane wersje 1511+ 1709+ 1703+

Wybierz podejście lub podejścia do wdrożenia, przeglądając poprzednią tabelę i przeglądając następujące zagadnienia dotyczące wdrażania jednego z tych podejść:

  • Czy twoi użytkownicy mają umiejętności techniczne, aby samodzielnie przejść przez konfigurację?
    • Samoobsługa może działać najlepiej dla tych użytkowników. Rozważ rozwiązanie Windows Autopilot, aby ulepszyć środowisko użytkownika.
  • Czy użytkownicy są zdalni, czy w środowisku firmowym?
    • Samoobsługa lub rozwiązanie Autopilot najlepiej sprawdzają się w przypadku użytkowników zdalnych w celu bezproblemowej konfiguracji.
  • Czy wolisz konfigurację opartą na użytkowniku lub zarządzaną przez administratora?
    • Rejestracja zbiorcza działa lepiej w przypadku wdrożenia opartego na administratorach w celu skonfigurowania urządzeń przed przekazaniem ich użytkownikom.
  • Kupujesz urządzenia od 1-2 OEM, czy też masz szeroką dystrybucję urządzeń od różnych OEM?
    • W przypadku zakupu od ograniczonej liczby producentów OEM, którzy również oferują wsparcie dla Autopilot, możesz skorzystać z ściślejszej integracji z Autopilot.

Konfigurowanie ustawień urządzenia

Centrum administracyjne Microsoft Entra umożliwia kontrolowanie wdrażania urządzeń połączonych z Microsoft Entra w organizacji. Aby skonfigurować powiązane ustawienia, przejdź do Tożsamość>Urządzenia>Wszystkie urządzenia>Ustawienia urządzenia. Dowiedz się więcej

Użytkownicy mogą dołączać urządzenia do identyfikatora Entra firmy Microsoft

Ustaw tę opcję na Wszystkie lub Wybrane na podstawie zakresu wdrożenia i osób, dla których chcesz skonfigurować urządzenie dołączone do Microsoft Entra.

Użytkownicy mogą dołączać urządzenia do identyfikatora Entra firmy Microsoft

Dodatkowi administratorzy lokalni na urządzeniach dołączonych do Microsoft Entra

Wybierz pozycję Wybrane i zaznacz użytkowników, których chcesz dodać do grupy administratorów lokalnych na wszystkich urządzeniach połączonych z Microsoft Entra.

Dodatkowi administratorzy lokalni na urządzeniach dołączonych do Microsoft Entra

Wymaganie uwierzytelniania wieloskładnikowego (MFA) do dołączania urządzeń

Wybierz pozycję "Tak , jeśli chcesz, aby użytkownicy musieli wykonać uwierzytelnianie wieloskładnikowe podczas dołączania urządzeń do identyfikatora Entra firmy Microsoft.

Wymaganie uwierzytelniania wieloskładnikowego do dołączania urządzeń

Zalecenie: Użyj akcji użytkownika Zarejestruj lub dołącz urządzenia w dostępie warunkowym, aby wymusić uwierzytelnianie wieloskładnikowe na potrzeby dołączania urządzeń.

Konfigurowanie ustawień mobilności

Zanim będzie można skonfigurować ustawienia mobilności, może być konieczne najpierw dodanie dostawcy oprogramowania MDM.

Aby dodać dostawcę MDM:

  1. Na stronie Microsoft Entra ID w sekcji Zarządzanie wybierz pozycję Mobility (MDM and MAM).

  2. Wybierz Dodaj aplikację.

  3. Wybierz dostawcę mdm z listy.

    Zrzut ekranu przedstawiający stronę Dodawanie aplikacji w Microsoft Entra ID. Na liście znajduje się kilku dostawców MDM.

Wybierz dostawcę mdm, aby skonfigurować powiązane ustawienia.

Zakres użytkownika oprogramowania MDM

Wybierz pozycję Niektóre lub Wszystkie w zależności od zakresu wdrożenia.

Zakres użytkownika oprogramowania MDM

W zależności od zakresu następuje jedna z następujących czynności:

  • Użytkownik znajduje się w zakresie zarządzania urządzeniami przenośnymi: jeśli masz subskrypcję Microsoft Entra ID P1 lub P2, rejestracja w rozwiązaniu MDM jest zautomatyzowana wraz z łączeniem z Microsoft Entra. Wszyscy użytkownicy objęci zakresem muszą mieć odpowiednią licencję na rozwiązanie MDM. Jeśli rejestracja w MDM zakończy się niepowodzeniem w tym scenariuszu, proces dołączania do Microsoft Entra zostanie cofnięty.
  • Użytkownik nie znajduje się w obszarze MDM: jeśli użytkownicy nie znajdują się w obszarze MDM, dołączanie firmy Microsoft Entra kończy się bez rejestracji w MDM. Ten zakres skutkuje niezarządzanym urządzeniem.

Adresy URL funkcji zarządzania urządzeniami przenośnymi

Istnieją trzy adresy URL powiązane z konfiguracją rozwiązania MDM:

  • Adres URL warunków użytkowania oprogramowania MDM
  • Adres URL odkrywania MDM
  • Adres URL zgodności rozwiązania MDM

Zrzut ekranu przedstawiający część sekcji konfiguracji Microsoft Entra M D M z polami U R L dla warunków użytkowania, odnajdywania i zgodności M D M.

Każdy adres URL ma wstępnie zdefiniowaną wartość domyślną. Jeśli te pola są puste, skontaktuj się ze swoim dostawcą rozwiązania MDM, aby uzyskać więcej informacji.

Ustawienia MAM

Zarządzanie aplikacjami mobilnymi (MAM) nie ma zastosowania do połączenia z Microsoft Entra.

Konfigurowanie roamingu stanu przedsiębiorstwa

Jeśli chcesz włączyć roaming stanu do identyfikatora Entra firmy Microsoft, aby użytkownicy mogli synchronizować swoje ustawienia między urządzeniami, zobacz Włączanie roamingu stanu przedsiębiorstwa w identyfikatorze Entra firmy Microsoft.

Zalecenie: włącz to ustawienie nawet dla urządzeń hybrydowo dołączonych Microsoft Entra.

Konfigurowanie dostępu warunkowego

Jeśli masz skonfigurowanego dostawcę MDM dla urządzeń dołączonych do Microsoft Entra, dostawca oznacza urządzenie jako zgodne, gdy tylko urządzenie jest objęte zarządzaniem.

Zgodne urządzenie

Za pomocą tej implementacji można wymagać urządzeń zarządzanych na potrzeby dostępu do aplikacji w chmurze przy użyciu dostępu warunkowego.

Następne kroki