Co to jest dołączenie do firmy Microsoft Entra?
Teraz już lepiej rozumiesz tożsamość urządzenia i dostęp warunkowy. Chcesz zbadać dołączenie do firmy Microsoft Entra i jak można go użyć do ulepszania zarządzania urządzeniami zarówno dla platformy Azure, jak i usług lokalna usługa Active Directory Domain Services.
W tej lekcji dowiesz się więcej na temat dołączania do firmy Microsoft i sposobu korzystania z niej na potrzeby zarządzania infrastrukturą i urządzeniami.
Podstawy dołączania do firmy Microsoft Entra
Dołączanie do firmy Microsoft Entra umożliwia dołączanie urządzeń do organizacji firmy Microsoft Entra bez konieczności synchronizowania z wystąpieniem lokalna usługa Active Directory. Dołączanie do firmy Microsoft Entra najlepiej nadaje się do organizacji, które są głównie oparte na chmurze, chociaż może działać w środowisku hybrydowym i lokalnym.
Obsługiwane urządzenia
Dołączenie do firmy Microsoft Entra współpracuje z urządzeniami z systemami Windows 10, Windows 11 lub Windows Server 2019. Instalacja Windows Server 2019 Server Core nie jest obsługiwana. Jeśli używasz wcześniejszego systemu operacyjnego Windows, musisz przeprowadzić uaktualnienie do systemu Windows 10, Windows 11 lub Windows Server 2019.
Infrastruktura tożsamości
Zdecyduj, który model infrastruktury tożsamości najlepiej odpowiada potrzebom Twojej organizacji:
- Środowisko zarządzane: w tym środowisku jest używane uwierzytelnianie przekazywane lub synchronizacja skrótów haseł w celu zapewnienia logowania jednokrotnego na urządzeniach.
- Środowiska federacyjne: te środowiska wymagają użycia dostawcy tożsamości. Ten dostawca musi obsługiwać protokoły WS-Trust i WS-Fed dla dołączania firmy Microsoft Entra do pracy natywnie z urządzeniami z systemem Windows. WS-Fed jest wymagany do dołączenia urządzenia do identyfikatora Entra firmy Microsoft. WS-Trust jest wymagany do logowania się na urządzeniu dołączonym do firmy Microsoft.
- Karty inteligentne i uwierzytelnianie oparte na certyfikatach: te metody nie są prawidłowymi sposobami dołączania urządzeń do identyfikatora Entra firmy Microsoft. Jeśli jednak masz skonfigurowane usługi Active Directory Federation Services, możesz użyć kart inteligentnych do logowania się na urządzeniach dołączonych do firmy Microsoft. Zalecamy używanie usługi takiej jak Windows Hello dla firm, która obsługuje uwierzytelnianie bez hasła na urządzeniach z systemami Windows 10 i Windows 11.
- Ręczna konfiguracja użytkownika: jeśli tworzysz użytkowników w wystąpieniu lokalna usługa Active Directory, musisz zsynchronizować konta z identyfikatorem Microsoft Entra ID przy użyciu programu Microsoft Entra Connect. Jeśli tworzysz użytkowników w usłudze Microsoft Entra ID, nie jest wymagana żadna dodatkowa konfiguracja.
Zarządzanie urządzeniami
Dołączanie do firmy Microsoft korzysta z platformy zarządzania urządzeniami przenośnymi (MDM) do zarządzania urządzeniami dołączonymi do identyfikatora Entra firmy Microsoft. Rozwiązanie MDM umożliwia wymuszanie konfiguracji wymaganych przez organizację, takich jak wymaganie szyfrowania magazynu, złożoności haseł, instalacji oprogramowania i aktualizacji oprogramowania.
Najnowsze wersje systemów Windows 10 i Windows 11 mają wbudowanego klienta MDM, który współpracuje ze wszystkimi zgodnymi systemami MDM.
Istnieją dwa podejścia do zarządzania urządzeniami dołączonymi do firmy Microsoft:
Tylko rozwiązanie MDM: wszystkie urządzenia przyłączone są zarządzane wyłącznie za pośrednictwem dostawcy zarządzania urządzeniami przenośnymi, takiego jak usługa Intune. Jeśli Twoja organizacja korzysta z zasad grupy, należy przejrzeć zasady rozwiązania MDM pod kątem ich obsługi.
Współzarządzanie: wszystkie dołączone urządzenia używają kombinacji lokalnie zainstalowanego agenta programu System Center Configuration Manager i dostawcy zarządzania urządzeniami przenośnymi. Usługa Microsoft Intune udostępnia funkcje współzarządzania przy użyciu programu Configuration Manager. Program Configuration Manager umożliwia zarządzanie urządzeniem, gdy rozwiązanie MDM zapewnia zasady zarządzania użytkownikami.
Zalecamy użycie podejścia tylko do zarządzania urządzeniami przenośnymi w celu zarządzania wszystkimi urządzeniami dołączonymi do firmy Microsoft Entra.
Kwestie związane z dostępem do zasobów i aplikacji
Aby zapewnić najlepsze środowisko użytkownika i usprawnić dostęp do aplikacji, rozważ przeniesienie wszystkich aplikacji i zasobów na platformę Azure. Chociaż może to być możliwe w niektórych przypadkach, nie zawsze jest to praktyczne. W tej sekcji omówimy opcje dostępu do aplikacji i zasobów.
Aplikacje oparte na chmurze: wszystkie zmigrowane aplikacje i wszystkie nowe aplikacje zostaną dodane do galerii aplikacji Microsoft Entra. Użytkownicy korzystający z logowania jednokrotnego firmy Microsoft Entra mogą uzyskiwać dostęp do tych aplikacji. Większość przeglądarek obsługuje logowanie jednokrotne. Microsoft Entra join zapewnia obsługę logowania jednokrotnego dla dostępu urządzeń do aplikacji, które nadal korzystają z win32.
Lokalne aplikacje internetowe: nadal możesz uzyskać dostęp do dowolnego oprogramowania na zamówienie lub oprogramowania niestandardowego hostowanego lokalnie za pośrednictwem dołączania firmy Microsoft Entra. Dostęp do tych aplikacji wymaga, aby każdy użytkownik dodał daną aplikację do swoich zaufanych witryn lub do strefy intranetowej, w zależności od tego, gdzie znajduje się ta aplikacja. Umożliwia to aplikacji użycie uwierzytelniania zintegrowanego z systemem Windows bez monitowania użytkownika o uwierzytelnienie.
Inne urządzenia: ta opcja obejmuje istniejące aplikacje za pośrednictwem wcześniejszych protokołów i lokalnych udziałów sieciowych. Oba urządzenia są dostępne dla urządzeń dołączonych do firmy Microsoft za pośrednictwem logowania jednokrotnego, jeśli urządzenie jest połączone z kontrolerem domeny.
Zasoby drukarki: te zasoby nie będą automatycznie dostępne za pośrednictwem dołączania firmy Microsoft Entra. Użytkownicy mogą nadal łączyć się z drukarką bezpośrednio przy użyciu ścieżki UNC.
Opcje aprowizacji
Podczas wdrażania dołączania do firmy Microsoft Entra możesz wybrać trzy opcje aprowizowania i dołączania urządzeń do identyfikatora Entra firmy Microsoft:
Samoobsługa: wymaga od użytkowników ręcznego skonfigurowania urządzenia podczas korzystania z gotowego środowiska systemu Windows (OOBE) dla nowych urządzeń lub przy użyciu ustawień systemu Windows dla starszych urządzeń. Samoobsługa lepiej nadaje się dla użytkowników, którzy mają solidne umiejętności techniczne.
Windows Autopilot: umożliwia wstępne konfigurowanie urządzeń z systemem Windows, w tym automatyczne dołączanie urządzenia do organizacji usługi Active Directory, automatyczne rejestrowanie w rozwiązaniu MDM i tworzenie zawartości OOBE klienta. To podejście upraszcza zarządzanie urządzeniami i ich wdrażanie w całej organizacji. Możesz aprowizować i wdrażać urządzenia z systemem Windows. Użytkownik wykonuje konfigurację środowiska OOBE tak, jakby był nowym użytkownikiem.
Rejestracja zbiorcza: umożliwia skonfigurowanie pakietu aprowizacji, który ma zastosowanie do dużej liczby nowych urządzeń z systemem Windows w tym samym czasie.
W poniższej tabeli przedstawiono najważniejsze funkcje każdej z tych metod:
| Funkcja | Samoobsługa | Windows Autopilot | Rejestrowanie zbiorcze |
|---|---|---|---|
| Interakcja użytkownika podczas konfiguracji | Tak | Tak | Nie. |
| Udział IT | Nie. | Tak | Tak |
| Stosowane przepływy | Środowisko OOBE i ustawienia | Tylko środowisko OOBE | Tylko środowisko OOBE |
| Uprawnienia administratora lokalnego do użytkownika podstawowego | Tak | Konfigurowalny | Nie. |
| Wymaga obsługi producenta OEM | Nie. | Tak | Nie. |
Ustawienia urządzenia
W witrynie Azure Portal możesz kontrolować sposób dołączania nowych urządzeń do organizacji. Przejdź do pozycji Microsoft Entra ID Devices Device settings (Ustawienia urządzenia z identyfikatorem>>entra firmy Microsoft). W tym miejscu można skonfigurować następujące funkcje i włączyć dołączanie do firmy Microsoft Entra.
| Pole | opis |
|---|---|
| Użytkownicy mogą dołączać urządzenia do identyfikatora Entra firmy Microsoft | Opcja Wszyscy umożliwia każdemu użytkownikowi dołączenie swojego urządzenia. Opcja Wybrani umożliwia dodanie określonych użytkowników, którzy mogą dołączać urządzenia. Opcja Brak uniemożliwia wszystkim użytkownikom dołączanie urządzeń. |
| Dodatkowi administratorzy lokalni na urządzeniach dołączonych do firmy Microsoft | Pozwala określić innych użytkowników, którzy mają być uwzględniani jako administratorzy lokalni na wszystkich dołączonych urządzeniach. Ta opcja jest domyślnie włączona. Identyfikator entra firmy Microsoft dodaje role administratora globalnego i administratora urządzeń jako administratorów lokalnych na urządzeniach. |
| Użytkownicy mogą rejestrować swoje urządzenia za pomocą identyfikatora Entra firmy Microsoft | Umożliwia użytkownikom rejestrowanie swoich urządzeń w usłudze Microsoft Entra join. Jeśli używasz usługi Microsoft Intune lub usługi Zarządzanie urządzeniami przenośnymi dla platformy Microsoft 365, rejestracja urządzenia jest wymagana. Jeśli którakolwiek z tych usług jest skonfigurowana w organizacji firmy Microsoft Entra, jest zaznaczona opcja Wszystkie i ta opcja jest wyłączona. |
| Wymaganie uwierzytelniania wieloskładnikowego w celu przyłączenia urządzeń | Umożliwia wymuszenie uwierzytelniania wieloskładnikowego firmy Microsoft, gdy urządzenie dołączy do identyfikatora Entra firmy Microsoft. W przypadku użytkowników, którzy dołączają urządzenia do identyfikatora Entra firmy Microsoft przy użyciu uwierzytelniania wieloskładnikowego, samo urządzenie staje się drugim czynnikiem. |
| Maksymalna liczba urządzeń na użytkownika | Umożliwia określenie maksymalnej liczby urządzeń, które użytkownik może mieć w identyfikatorze Entra firmy Microsoft. Jeśli użytkownik osiągnie tę wartość maksymalną, będzie musiał usunąć urządzenie, aby dodać nowe. |
W naszym scenariuszu możemy dodać pilotażową grupę użytkowników w celu wypróbowania dołączania do usługi AD. W takim przypadku wybierz pozycję Użytkownicy mogą dołączać urządzenia do wybranego identyfikatora>firmy Microsoft, a następnie dodać członków grupy pilotażowej. Gdy wszystko będzie gotowe do wdrożenia dołączenia firmy Microsoft Entra do całej organizacji firmy Microsoft Entra, wybierz pozycję Wszystkie.
Ustawienia mobilności
Aby można było skonfigurować ustawienia mobilności, może być konieczne dodanie dostawcy rozwiązania MDM. Aby dodać dostawcę MDM, przejdź do pozycji Microsoft Entra ID>Mobility (MDM i MAM)>Dodaj aplikację.
Po dodaniu dostawcy zarządzania urządzeniami przenośnymi możesz skonfigurować następujące ustawienia mobilności:
| Ustawienie mobilności | opis |
|---|---|
| Zakres użytkownika oprogramowania MDM | Wybierz pozycję Brak, Niektóre lub Wszystko. Jeśli użytkownik znajduje się w zakresie MDM i masz subskrypcję Microsoft Entra ID P1 lub P2, rejestracja w rozwiązaniu MDM jest zautomatyzowana wraz z dołączeniem do firmy Microsoft Entra. Wszyscy użytkownicy należący do zakresu muszą mieć odpowiednią licencję dla rozwiązania MDM. W przeciwnym razie rejestracja w rozwiązaniu MDM zakończy się niepowodzeniem, a dołączenie do firmy Microsoft Entra zostanie wycofane. Jeśli użytkownik nie znajduje się w zakresie MDM, dołączanie firmy Microsoft Entra kończy się bez rejestracji w rozwiązaniu MDM. Urządzenie będzie urządzeniem niezarządzanym. |
| Adresy URL funkcji zarządzania urządzeniami przenośnymi | Trzy adresy URL związane z konfiguracją rozwiązania MDM to Adres URL warunków użytkowania oprogramowania MDM, Adres URL odnajdywania zarządzania urządzeniami przenośnymi i Adres URL zgodności oprogramowania MDM. Każdy adres URL ma wstępnie zdefiniowaną wartość domyślną. Jeśli te pola są puste, skontaktuj się ze swoim dostawcą rozwiązania MDM, aby uzyskać więcej informacji. |
| Ustawienia funkcji MAM | Zarządzanie aplikacjami mobilnymi (MAM) nie ma zastosowania do dołączania do firmy Microsoft Entra. |
Należy ograniczyć dostęp do zasobów organizacji tylko do tych urządzeń, które są zarządzane przez organizację i określane jako zgodne przez system MDM organizacji. W naszym scenariuszu dodamy dostawcę rozwiązania MDM w naszej organizacji i wybierzemy pozycję Zakres użytkownika oprogramowania MDM>Wszystko.
Środowisko użytkownika podczas dołączania urządzenia z systemem Windows 10 lub Windows 11
Dajesz nowe urządzenie pracownikowi, który ma duże umiejętności techniczne. Użyją one podejścia samoobsługowego, aby dołączyć urządzenie do organizacji usługi Active Directory, która korzysta z uwierzytelniania wieloskładnikowego. W poniższych krokach pokazano, jak wygląda ten przepływ pracy:
Po uruchomieniu urządzenia pracownik musi postępować zgodnie z monitami, aby je skonfigurować, łącznie z dostosowaniem regionu i wybraniem języka.
Pracownik akceptuje postanowienia licencyjne dotyczące oprogramowania firmy Microsoft.
Pracownik wybiera połączenie sieciowe w celu nawiązania połączenia z chmurą.
Kiedy zostanie wyświetlony monit Do kogo należy ten komputer?, pracownik wybiera pozycję To urządzenie należy do mojej organizacji.
Pracownik loguje się przy użyciu poświadczeń dostarczonych przez organizację.
Zostanie wyświetlony monit dotyczący uwierzytelniania wieloskładnikowego.
Microsoft Entra ID sprawdza ustawienia konfiguracji, aby sprawdzić, czy urządzenie powinno być zarejestrowane w rozwiązaniu MDM.
Po pomyślnym sprawdzeniu konfiguracji urządzenie jest zarejestrowane w wystąpieniu firmy Microsoft Firmy Microsoft. Jeśli jest używane rozwiązanie MDM, urządzenie jest zarejestrowane i zarządzane.