Zaplanuj wdrożenie urządzeń Microsoft Entra
Ten artykuł pomaga ocenić metody integrowania urządzenia z identyfikatorem Firmy Microsoft Entra, wybrać plan implementacji i zawiera kluczowe linki do obsługiwanych narzędzi do zarządzania urządzeniami.
Krajobraz urządzeń użytkownika nieustannie się poszerza. Organizacje mogą udostępniać komputery stacjonarne, laptopy, telefony, tablety i inne urządzenia. Użytkownicy mogą korzystać z własnego zestawu urządzeń i uzyskiwać dostęp do informacji z różnych lokalizacji. W tym środowisku Twoim zadaniem jako administrator jest zapewnienie bezpieczeństwa zasobów organizacji na wszystkich urządzeniach.
Microsoft Entra ID umożliwia organizacji spełnienie tych celów za pomocą zarządzania tożsamościami urządzeń. Teraz możesz pobrać swoje urządzenia w usłudze Microsoft Entra ID i kontrolować je z centralnej lokalizacji w centrum administracyjnym Microsoft Entra. Ten proces zapewnia ujednolicone środowisko, zwiększone zabezpieczenia i skraca czas potrzebny do skonfigurowania nowego urządzenia.
Istnieje wiele metod integrowania urządzeń z identyfikatorem Entra firmy Microsoft. Te metody mogą działać oddzielnie lub razem na podstawie systemu operacyjnego i wymagań:
- Możesz zarejestrować urządzenia za pomocą identyfikatora Entra firmy Microsoft.
- Dołącz urządzenia do Microsoft Entra ID (tylko w chmurze).
- urządzenia przyłączania hybrydowego firmy Microsoft do lokalnej domeny usługi Active Directory i identyfikatora Entra firmy Microsoft.
Uczyć się
Przed rozpoczęciem upewnij się, że znasz przegląd zarządzania tożsamością urządzeń .
Korzyści
Najważniejsze korzyści wynikające z zapewniania urządzeniom tożsamości firmy Microsoft Entra:
Zwiększenie produktywności — użytkownicy mogą wykonywać bezproblemowe logowanie (SSO) do zasobów lokalnych i w chmurze, co umożliwia produktywność wszędzie tam, gdzie się znajdują.
Zwiększ bezpieczeństwo — zastosuj zasady dostępu warunkowego do zasobów na podstawie tożsamości urządzenia lub użytkownika. Dołączanie urządzenia do identyfikatora Entra firmy Microsoft jest wymaganiem wstępnym w celu zwiększenia bezpieczeństwa przy użyciu strategii bez hasła
. Ulepszanie środowiska użytkownika — zapewnij użytkownikom łatwy dostęp do zasobów opartych na chmurze w organizacji zarówno z urządzeń osobistych, jak i firmowych. Administratorzy mogą włączyć Enterprise State Roaming w celu uzyskania ujednoliconego środowiska na wszystkich urządzeniach z systemem Windows.
Uproszczenie wdrażania i zarządzania — uproszczenie procesu wprowadzenia urządzeń do Microsoft Entra ID za pomocą rozwiązania Windows Autopilot, masowego wdrażania lub funkcji samoobsługowej : Out of Box Experience (OOBE). Zarządzaj urządzeniami przy użyciu narzędzi do zarządzania urządzeniami przenośnymi (MDM), takich jak Microsoft Intune, oraz ich tożsamościami w centrum administracyjnym Microsoft Entra.
Planowanie projektu wdrożenia
Podczas określania strategii dla tego wdrożenia w danym środowisku należy wziąć pod uwagę potrzeby organizacji.
Angażowanie właściwych uczestników projektu
Gdy projekty technologiczne kończą się niepowodzeniem, zazwyczaj są wykonywane z powodu niezgodności oczekiwań dotyczących wpływu, wyników i obowiązków. Aby uniknąć tych pułapek, upewnij się, że angażujesz odpowiednich interesariuszy, i że role interesariuszy w projekcie są dobrze zrozumiane.
Na potrzeby tego planu dodaj do listy następujące osoby biorące udział w projekcie:
| Rola | Opis |
|---|---|
| Administrator urządzenia | Przedstawiciel zespołu urządzeń, który może sprawdzić, czy plan spełnia wymagania dotyczące urządzeń w organizacji. |
| Administrator sieci | Przedstawiciel zespołu ds. sieci, który może upewnić się, że spełnia wymagania dotyczące sieci. |
| Zespół zarządzania urządzeniami | Zespół zarządzający spisem urządzeń. |
| Zespoły administracyjne specyficzne dla systemu operacyjnego | Zespoły, które obsługują określone wersje systemu operacyjnego i zarządzają nimi. Na przykład może istnieć zespół skoncentrowany na komputerach Mac lub iOS. |
Planowanie komunikacji
Komunikacja ma kluczowe znaczenie dla sukcesu każdej nowej usługi. Proaktywne informowanie użytkowników o tym, jak zmienia się ich doświadczenie, kiedy się zmienia, i jak uzyskać wsparcie, jeśli napotkają problemy.
Zaplanuj pilotaż
Zalecamy, aby początkowa konfiguracja metody integracji znajduje się w środowisku testowym lub w małej grupie urządzeń testowych. Zobacz Najlepsze praktyki dotyczące pilotażu.
Przed włączeniem go w całej organizacji warto przeprowadzić docelowe wdrożenie hybrydowego dołączania Microsoft Entra.
Ostrzeżenie
Organizacje powinny uwzględniać próbkę użytkowników z różnych ról i profilów w grupie pilotażowej. Wprowadzenie wdrożenia pilotażowego pomoże zidentyfikować wszelkie problemy, które plan mógł nie rozwiązać, zanim zostanie ono aktywowane dla całej organizacji.
Wybieranie metod integracji
Twoja organizacja może używać wielu metod integracji urządzeń w jednej dzierżawie firmy Microsoft Entra. Celem jest wybranie co najmniej jednej metody odpowiedniej do bezpiecznego zarządzania urządzeniami w usłudze Microsoft Entra ID. Istnieje wiele parametrów, które napędzają tę decyzję, w tym własność, typy urządzeń, odbiorców głównych i infrastrukturę organizacji.
Poniższe informacje mogą pomóc w podjęciu decyzji, które metody integracji mają być używane.
Drzewo decyzyjne integracji urządzeń
To drzewo służy do określania opcji dla urządzeń należących do organizacji.
Notatka
Scenariusze byOD (Personal or bring-your own device) nie są przedstawiane na tym diagramie. Zawsze powodują rejestrację w usłudze Microsoft Entra.
Macierz porównania
Urządzenia z systemami iOS i Android są zarejestrowane tylko w systemie Microsoft Entra. W poniższej tabeli przedstawiono ogólne zagadnienia dotyczące urządzeń klienckich z systemem Windows. Użyj go jako przeglądu, a następnie zapoznaj się ze szczegółowymi metodami integracji.
| Rozwaga | Zarejestrowana firma Microsoft | Microsoft Entra dołączyła | Hybrydowe połączenie z Microsoft Entra |
|---|---|---|---|
| klienckie systemy operacyjne | |||
| Urządzenia z systemem Windows 11 lub Windows 10 |
|
|
|
| Linux Desktop — Ubuntu 20.04/22.04/24.04, RHEL 8/9 |
|
||
| opcje logowania | |||
| Poświadczenia lokalne użytkownika końcowego |
|
||
| Hasło |
|
|
|
| Numer PIN urządzenia |
|
||
| Windows Hello |
|
||
| Windows Hello dla firm |
|
|
|
| Klucze zabezpieczeń FIDO 2.0 |
|
|
|
| Aplikacja Microsoft Authenticator (bez hasła) |
|
|
|
| kluczowe możliwości | |||
| Logowanie jednokrotne do zasobów w chmurze |
|
|
|
| Logowanie jednokrotne do zasobów lokalnych |
|
|
|
| Dostęp warunkowy (Wymagaj, aby urządzenia były oznaczone jako zgodne) (Musi być zarządzane przez rozwiązanie MDM) |
|
|
|
| Dostęp warunkowy (Wymagaj urządzeń hybrydowo dołączonych do usługi Microsoft Entra) |
|
||
| Samoobsługowe resetowanie hasła na ekranie logowania systemu Windows |
|
|
|
| Resetowanie PIN-u Windows Hello |
|
|
Rejestracja w usłudze Microsoft Entra
Zarejestrowane urządzenia są często zarządzane przy użyciu usługi Microsoft Intune. Urządzenia są rejestrowane w usłudze Intune na kilka sposobów, w zależności od systemu operacyjnego.
Zarejestrowane urządzenia Microsoft Entra zapewniają obsługę urządzeń BYOD (Bring Your Own Devices) i urządzeń należących do firmy, umożliwiając SSO do zasobów w chmurze. Dostęp do zasobów jest oparty na zasadach dostępu warunkowego firmy Microsoft , które są zastosowane wobec urządzenia i użytkownika.
Rejestrowanie urządzeń
Zarejestrowane urządzenia są często zarządzane przy użyciu usługi Microsoft Intune. Urządzenia są rejestrowane w usłudze Intune na kilka sposobów, w zależności od systemu operacyjnego.
Użytkownicy instalują aplikację Portal firmy, aby zarejestrować urządzenia BYOD i urządzenia przenośne należące do firmy.
- iOS
- systemu Android
- windows 10 lub nowszych
- systemu macOS
-
Desktop dla systemu Linux
Jeśli rejestrowanie urządzeń jest najlepszą opcją dla organizacji, zobacz następujące zasoby:
- Omówienie zarejestrowanych urządzeń firmy Microsoft Entra .
- Ta dokumentacja użytkownika końcowego dotycząca Rejestrowanie urządzenia osobistego w sieci organizacji.
Microsoft Entra połączenie
Dołączenie do firmy Microsoft Entra umożliwia przejście do modelu opartego na chmurze z systemem Windows. Jest to świetna podstawa, jeśli planujesz modernizację zarządzania urządzeniami i zmniejszenie kosztów IT związanych z urządzeniami. Połączenie Microsoft Entra działa tylko z urządzeniami z systemem Windows 10 lub nowszym. Należy wziąć pod uwagę to jako pierwszy wybór dla nowych urządzeń.
Urządzenia połączone z Microsoft Entra mogą korzystać z logowania jednokrotnego (SSO) do zasobów lokalnych, gdy znajdują się w sieci organizacji, i mogą uwierzytelniać się na serwerach lokalnych, takich jak serwery plików, drukarek i inne aplikacje.
Jeśli ta opcja jest najlepsza dla twojej organizacji, zobacz następujące zasoby:
- To omówienie urządzeń połączonych z Microsoft Entra .
- Zapoznaj się z planem implementacji funkcji 'join' w Microsoft Entra .
Konfigurowanie urządzeń połączonych z Microsoft Entra
Aby przygotowywać urządzenia do dołączenia do Microsoft Entra, możesz użyć następujących podejść:
Jeśli na urządzeniu jest zainstalowany system Windows 10 Professional lub Windows 10 Enterprise, środowisko domyślnie prowadzi przez proces konfiguracji dla urządzeń należących do firmy.
- Windows Out of Box Experience (OOBE) lub z ustawień systemu Windows
- rozwiązania Windows Autopilot
- Zbiorcza rejestracja
Wybierz procedurę wdrażania po starannym porównaniu tych podejść.
Możesz określić, że dołączenie do Microsoft Entra jest najlepszym rozwiązaniem dla urządzenia znajdującego się w innym stanie. W poniższej tabeli pokazano, jak zmienić stan urządzenia.
| Bieżący stan urządzenia | Żądany stan urządzenia | Instrukcje |
|---|---|---|
| Przyłączone do domeny lokalnej | Microsoft Entra dołączyło | Odłącz urządzenie od domeny lokalnej przed dołączeniem do identyfikatora Entra firmy Microsoft. |
| Urządzenia połączone hybrydowo z Microsoft Entra | Microsoft Entra dołączył/a do grupy | Odłącz urządzenie od domeny lokalnej i identyfikatora Entra firmy Microsoft przed dołączeniem do identyfikatora Entra firmy Microsoft. |
| Zarejestrowana firma Microsoft | Microsoft Entra dołączyła | Wyrejestruj urządzenie przed dołączeniem do identyfikatora Entra firmy Microsoft. |
Hybrydowe połączenie Microsoft Entra
Jeśli masz lokalne środowisko Active Directory i chcesz dołączyć do Microsoft Entra ID komputery już dołączone do domeny, możesz to zrobić za pomocą hybrydowego przyłączania Microsoft Entra. Obsługuje szeroką gamę urządzeń z systemem Windows.
Większość organizacji ma już urządzenia przyłączone do domeny i zarządza nimi za pośrednictwem zasad grupy lub programu System Center Configuration Manager (SCCM). W takim przypadku zalecamy skonfigurowanie hybrydowego dołączenia Microsoft Entra, aby zacząć czerpać korzyści z użytkowania dotychczasowych inwestycji.
Jeśli hybrydowe łączenie Microsoft Entra jest najlepszą opcją dla Państwa organizacji, zapoznaj się z następującymi zasobami:
- To omówienie urządzeń połączonych hybrydowo Microsoft Entra.
- Zapoznaj się z planem implementacji dołączania hybrydowego Microsoft Entra.
Konfigurowanie hybrydowego przyłączenia Microsoft Entra do urządzeń
Przejrzyj infrastrukturę tożsamości. Program Microsoft Entra Connect udostępnia kreatora służącego do konfigurowania dołączania hybrydowego firmy Microsoft dla:
Jeśli instalacja wymaganej wersji programu Microsoft Entra Connect nie jest dla Ciebie opcją, zobacz w jak ręcznie skonfigurować łączność hybrydową Microsoft Entra.
Notatka
Przyłączone do domeny lokalnej urządzenie z systemem Windows 10 lub nowszym próbuje automatycznie dołączyć do Microsoft Entra ID, aby domyślnie stać się urządzeniem hybrydowo dołączonym do Microsoft Entra. Uda się to tylko wtedy, gdy masz właściwie skonfigurowane środowisko.
Możesz zdecydować, że dołączenie hybrydowe firmy Microsoft Entra jest najlepszym rozwiązaniem dla urządzenia w innym stanie operacyjnym. W poniższej tabeli pokazano, jak zmienić stan urządzenia.
| Bieżący stan urządzenia | Żądany stan urządzenia | Instrukcje |
|---|---|---|
| Przyłączone do domeny lokalnej | Połączone hybrydowo z Microsoft Entra | Dołącz do platformy Azure za pomocą programu Microsoft Entra Connect lub usług AD FS. |
| Dołączona lokalna grupa robocza lub nowa | Hybrydowo dołączone do Microsoft Entra | Obsługiwane w programie Windows Autopilot. W przeciwnym razie urządzenie musi być przyłączone do domeny lokalnej przed dołączeniem hybrydowym firmy Microsoft Entra. |
| Do Microsoft Entra dołączono | Rozwiązanie Microsoft Entra połączone w trybie hybrydowym | Odłącz się od identyfikatora Entra firmy Microsoft, który umieszcza go w lokalnej grupie roboczej lub nowym stanie. |
| Zarejestrowano Microsoft Entra | Hybrydowe połączenie z Microsoft Entra | Zależy od wersji systemu Windows. Zapoznaj się z tymi zagadnieniami. |
Zarządzanie urządzeniami
Po zarejestrowaniu lub dołączeniu urządzeń do usługi Microsoft Entra ID użyj centrum administracyjnego Microsoft Entra jako centralne miejsce do zarządzania tożsamościami urządzeń. Strona Urządzeń firmy Microsoft Entra umożliwia:
- Skonfiguruj ustawienia urządzenia.
- Aby zarządzać urządzeniami z systemem Windows, musisz być administratorem lokalnym. Microsoft Entra ID aktualizuje to członkostwo dla urządzeń dołączonych do Microsoft Entra, automatycznie dodając użytkowników z rolą menedżera urządzeń jako administratorów do wszystkich wspomnianych urządzeń.
Upewnij się, że środowisko jest czyste, zarządzanie nieaktywnymi urządzeniamii skoncentruj zasoby na zarządzaniu bieżącymi urządzeniami.
Obsługiwane narzędzia do zarządzania urządzeniami
Administratorzy mogą zabezpieczyć i dodatkowo kontrolować zarejestrowane i przyłączone urządzenia przy użyciu innych narzędzi do zarządzania urządzeniami. Te narzędzia umożliwiają wymuszanie konfiguracji, takich jak wymaganie szyfrowania magazynu, złożoności haseł, instalacji oprogramowania i aktualizacji oprogramowania.
Przejrzyj obsługiwane i nieobsługiwane platformy dla zintegrowanych urządzeń:
| Narzędzia do zarządzania urządzeniami | Zarejestrowana Microsoft Entra | Microsoft Entra dołączył | Hybrydowo połączone z Microsoft Entra |
|---|---|---|---|
|
Zarządzanie urządzeniami przenośnymi (MDM) Przykład: Microsoft Intune |
|
|
|
|
współzarządzanie przy użyciu usługi Microsoft Intune i programu Microsoft Configuration Manager (Windows 10 lub nowszy) |
|
|
|
|
zasady grupy (Tylko system Windows) |
|
Zalecamy rozważenie zarządzania aplikacjami mobilnymi (MAM) w usłudze Microsoft Intune z zarządzaniem urządzeniami lub bez niego, dla urządzeń zarejestrowanych w systemach iOS lub Android.
Administratorzy mogą również wdrażać rozwiązania VDI hostujące systemy operacyjne Windows w swoich organizacjach, aby usprawnić zarządzanie i obniżyć koszty poprzez konsolidację i centralizację zasobów.