Планирование развертывания устройства Microsoft Entra
Эта статья поможет оценить методы интеграции устройства с идентификатором Microsoft Entra ID, выбрать план реализации и предоставить ключевые ссылки на поддерживаемые средства управления устройствами.
Ассортимент устройств ваших пользователей постоянно расширяется. Организации могут предоставлять настольные компьютеры, ноутбуки, телефоны, планшеты и другие устройства. Ваши пользователи могут использовать собственный набор устройств и получать доступ к информации из различных мест. В этой среде ваше задание от имени администратора — обеспечить безопасность ресурсов организации на всех устройствах.
Служба Microsoft Entra ID позволяет вашей организации достигать этих целей с помощью управления идентификацией устройств. Теперь вы можете получить устройства в идентификаторе Microsoft Entra и управлять ими из центрального расположения в центре администрирования Microsoft Entra. Этот процесс обеспечивает унифицированный интерфейс, улучшенную безопасность и сокращает время, необходимое для настройки нового устройства.
Существует несколько методов интеграции устройств с идентификатором Microsoft Entra. Эти методы могут работать отдельно или вместе на основе операционной системы и ваших требований:
- Вы можете зарегистрировать устройства с помощью идентификатора Microsoft Entra.
- Присоединение устройств к Microsoft Entra ID (только в облаке).
- гибридное присоединение устройств Microsoft Entra к локальному домену Active Directory и идентификатору Microsoft Entra.
Учиться
Прежде чем начать, убедитесь, что вы знакомы с обзором управления идентификацией устройств.
Преимущества
Основные преимущества предоставления устройствам удостоверения Microsoft Entra:
Увеличьте производительность: пользователи могут бесшовно входить в систему (SSO) к локальным и облачным ресурсам, что обеспечивает продуктивность везде, где бы они ни находились.
Повышение безопасности. Применение политик условного доступа к ресурсам на основе удостоверения устройства или пользователя. Присоединение устройства к идентификатору Microsoft Entra является необходимым условием для повышения безопасности с помощью стратегии без пароля.
Улучшение взаимодействия с пользователями. Предоставление пользователям простого доступа к облачным ресурсам вашей организации как с личных, так и корпоративных устройств. Администраторы могут включить Enterprise State Roaming для единого интерфейса на всех устройствах Windows.
Упрощение развертывания и управления. Упрощение процесса приведения устройств к идентификатору Microsoft Entra с помощью Windows Autopilot, массовой подготовкиили самообслуживания:интерфейс windows Autopilot (OOBE). Управление устройствами с помощью средств управления мобильными устройствами (MDM), таких как Microsoft Intune, и их удостоверения в центре администрирования Microsoft Entra.
Планирование проекта развертывания
Учитывайте потребности организации при определении стратегии этого развертывания в вашей среде.
Привлечение правильных заинтересованных лиц
При сбое технологических проектов они обычно терпят неудачу из-за рассогласования ожиданий по поводу влияния, результатов и обязанностей. Чтобы избежать этих ошибок, убедитесь, что вы привлекаете правильных заинтересованных лиц, и что роли заинтересованных лиц в проекте хорошо поняты.
Для этого плана добавьте в список следующие заинтересованные лица:
| Роль | Описание |
|---|---|
| Администратор устройств | Представитель команды, занимающейся устройствами, который может подтвердить, что план соответствует требованиям к устройствам вашей организации. |
| Администратор сети | Представитель группы сети, который может обеспечить соответствие требованиям к сети. |
| Команда по управлению устройствами | Команда, которая управляет инвентаризацией устройств. |
| Команды администраторов для конкретной ОС | Команды, которые поддерживают и управляют определенными версиями ОС. Например, может быть группа, ориентированная на Mac или iOS. |
Планирование коммуникаций
Обмен данными имеет решающее значение для успешной работы любой новой службы. Упреждающее взаимодействие с пользователями о том, как изменяется их опыт, когда он изменяется, и как получить поддержку при возникновении проблем.
Планирование пилотного проекта
Рекомендуется, чтобы начальная конфигурация метода интеграции была в тестовой среде или с небольшой группой тестовых устройств. См. рекомендации по лучшим практикам для пилотного проекта.
Возможно, вы захотите выполнить целевое развертывание гибридного соединения Microsoft Entra , прежде чем включить его во всей организации.
Предупреждение
Организации должны включать в свою пилотную группу выборку пользователей из различных ролей и профилей. Целевое развертывание поможет выявить любые проблемы, которые ваш план мог не учесть, прежде чем развернуть для всей организации.
Выбор методов интеграции
Ваша организация может использовать несколько методов интеграции устройств в одном клиенте Microsoft Entra. Цель — выбрать один или несколько методов, подходящих для безопасного управления устройствами в идентификаторе Microsoft Entra. Существует множество параметров, которые управляют этим решением, включая владение, типы устройств, основную аудиторию и инфраструктуру вашей организации.
Следующие сведения помогут вам решить, какие методы интеграции следует использовать.
Дерево принятия решений для интеграции устройств
Используйте это дерево для определения параметров устройств, принадлежащих организации.
Заметка
Сценарии использования личных устройств или устройств по принципу BYOD не отображены на этой схеме. Они всегда приводят к регистрации Microsoft Entra.
дерево принятия решений
Матрица сравнения
Устройства iOS и Android зарегистрированы только в Microsoft Entra. В следующей таблице представлены высокоуровневые соображения о клиентских устройствах Windows. Используйте его в качестве обзора, а затем подробно изучите различные методы интеграции.
| Рассмотрение | Зарегистрированная Microsoft Entra | Microsoft Entra присоединился | Присоединение к Microsoft Entra в гибридном режиме |
|---|---|---|---|
| Клиентские операционные системы | |||
| Устройства с Windows 11 или Windows 10 |
|
|
|
| Настольный компьютер Linux — Ubuntu 20.04/22.04/24.04, RHEL 8/9 |
|
||
| Варианты входа | |||
| Локальные учетные данные конечных пользователей |
|
||
| Пароль |
|
|
|
| ПИН-код устройства |
|
||
| Windows Hello |
|
||
| Windows Hello для бизнеса |
|
|
|
| Ключи безопасности FIDO 2.0 |
|
|
|
| Приложение Microsoft Authenticator (без пароля) |
|
|
|
| ключевые возможности | |||
| Единый вход в облачные ресурсы |
|
|
|
| Единый вход в локальные ресурсы |
|
|
|
| Условный доступ (Требовать, чтобы устройства были помечены как соответствующие) (Необходимо управлять с помощью MDM) |
|
|
|
| Условный доступ (Требовать использования устройств, гибридно присоединенных к Microsoft Entra) |
|
||
| Самостоятельный сброс пароля с экрана входа Windows |
|
|
|
| Сброс ПИН-кода Windows Hello |
|
|
Регистрация Microsoft Entra
Зарегистрированные устройства часто управляются с использованием Microsoft Intune. Устройства регистрируются в Intune несколькими способами в зависимости от операционной системы.
Зарегистрированные устройства Microsoft Entra обеспечивают поддержку использования собственных устройств (BYOD) и корпоративных устройств для выполнения единого входа (SSO) в облачные ресурсы. Доступ к ресурсам основан на применяемых к устройству и пользователю политиках условного доступа Microsoft Entra .
Регистрация устройств
Устройства, зарегистрированные в системе, часто управляются с помощью Microsoft Intune. Устройства регистрируются в Intune несколькими способами в зависимости от операционной системы.
Пользователи устанавливают приложение корпоративного портала для регистрации BYOD и корпоративных мобильных устройств.
Если регистрация устройств является лучшим вариантом для вашей организации, ознакомьтесь со следующими ресурсами:
- Обзор зарегистрированных устройств Microsoft Entra .
- Эта документация для конечных пользователей по регистрации личного устройства в сетевойвашей организации.
Присоединение к Microsoft Entra
Присоединение Microsoft Entra позволяет перейти к облачной модели с Windows. Это обеспечивает отличную основу, если вы планируете модернизировать управление устройствами и сократить затраты на ИТ-ресурсы, связанные с устройствами. Присоединение Microsoft Entra работает только с устройствами Под управлением Windows 10 или более новых версий. Рассмотрим его как первый выбор для новых устройств.
Устройства, присоединенные к Microsoft Entra, могут выполнять единый вход (SSO) в локальные ресурсы, когда они находятся в сети организации, а также могут аутентифицироваться на локальных серверах, таких как файловые серверы, серверы печати и другие приложения.
Если этот вариант лучше всего подходит для вашей организации, ознакомьтесь со следующими ресурсами:
- В этом обзоре представлены присоединенные устройства Microsoft Entra .
- Ознакомьтесь с планом реализации Microsoft Entra Join.
Настройка устройств, подключенных к Microsoft Entra
Для развертывания устройств для подключения к Microsoft Entra существуют следующие подходы:
- Самостоятельная настройка: интерфейс первого запуска Windows 10
Если на устройстве установлен Windows 10 Профессиональный или Windows 10 Корпоративная, процесс установки устройств, принадлежащих компании, используется по умолчанию.
- Первоначальная настройка Windows (OOBE) или из настроек Windows
- Windows Autopilot
- Массовая регистрация
Выберите процедуру развертывания после тщательного сравнения этих подходов.
Возможно, вы можете установить, что присоединение Microsoft Entra является лучшим решением для устройства в другой ситуации. В следующей таблице показано, как изменить состояние устройства.
| Текущее состояние устройства | Требуемое состояние устройства | Как сделать |
|---|---|---|
| Присоединен к локальному домену | Microsoft Entra присоединился | Перед присоединением к идентификатору Microsoft Entra отсоедините устройство из локального домена. |
| Гибридное присоединение к Microsoft Entra | Microsoft Entra присоединился | Перед присоединением к Microsoft Entra ID следует отсоединить устройство от локального домена и Microsoft Entra ID. |
| Зарегистрированная Microsoft Entra | Microsoft Entra присоединился | Отмена регистрации устройства перед присоединением к идентификатору Microsoft Entra. |
Гибридное соединение Microsoft Entra
Если у вас есть локальная среда Active Directory и хотите присоединить существующие компьютеры, присоединенные к домену, с идентификатором Microsoft Entra, можно выполнить эту задачу с помощью гибридного соединения Microsoft Entra. Он поддерживает широкий спектр устройств Windows.
Большинство организаций уже имеют присоединенные к домену устройства и управляют ими с помощью групповой политики или System Center Configuration Manager (SCCM). В этом случае рекомендуется настроить гибридное соединение Microsoft Entra, чтобы приступить к получению преимуществ при использовании существующих инвестиций.
Если гибридное присоединение Microsoft Entra является лучшим вариантом для вашей организации, ознакомьтесь со следующими ресурсами:
- В этом обзоре гибридных устройств , присоединенных к Microsoft Entra.
- Ознакомьтесь с планом по реализации гибридного подключения Microsoft Entra.
Подготовка гибридного соединения Microsoft Entra к устройствам
просмотрите инфраструктуру идентификации. Microsoft Entra Connect предоставляет мастер для настройки гибридного соединения Microsoft Entra для:
Если установка требуемой версии Microsoft Entra Connect не является вариантом для вас, см. , как вручную настроить гибридное соединение Microsoft Entra.
Заметка
Локально присоединенное к домену устройство Windows 10 или более новое устройство пытается автоматически присоединиться к Microsoft Entra ID, чтобы стать гибридно присоединенным к Microsoft Entra по умолчанию. Это будет выполнено только в том случае, если вы настроили правильную среду.
Вы можете решить, что гибридное соединение Microsoft Entra является лучшим решением для устройства в другом штате. В следующей таблице показано, как изменить состояние устройства.
| Текущее состояние устройства | Требуемое состояние устройства | Как сделать |
|---|---|---|
| Присоединен к локальному домену | Гибридное присоединение к Microsoft Entra | Используйте Microsoft Entra Connect или AD FS для присоединения к Azure. |
| Присоединенная или новая локальная рабочая группа | Гибридное присоединение Microsoft Entra | Поддерживается с помощью Windows Autopilot. В противном случае устройство должно быть присоединено к локальному домену перед гибридным присоединением к Microsoft Entra. |
| Microsoft Entra присоединился. | Гибридное присоединение к Microsoft Entra выполнено | Отключитесь от идентификатора Microsoft Entra, что перемещает его в локальную рабочую группу или в новое состояние. |
| Microsoft Entra зарегистрированная | Гибридное присоединение Microsoft Entra | Зависит от версии Windows. См. эти рекомендации. |
Управление устройствами
После регистрации или присоединения устройств к идентификатору Microsoft Entra используйте центр администрирования Microsoft Entra в качестве основного средства управления идентификацией устройств. Страница устройств Microsoft Entra позволяет:
- Настройка параметров устройства.
- Для управления устройствами Windows необходимо быть локальным администратором. Microsoft Entra ID обновляет членство для устройств, присоединенных к Microsoft Entra,, автоматически добавляя пользователей с ролью диспетчера устройств в качестве администраторов для всех присоединенных устройств.
Убедитесь, что среда очищается, управлять устаревшими устройствамии сосредоточить ресурсы на управлении текущими устройствами.
Поддерживаемые средства управления устройствами
Администраторы могут защитить и дополнительно контролировать зарегистрированные и присоединенные устройства с помощью других средств управления устройствами. Эти средства позволяют применять конфигурации, такие как требование шифрования хранилища, сложности паролей, установки программного обеспечения и обновлений программного обеспечения.
Просмотрите поддерживаемые и неподдерживаемые платформы для интегрированных устройств:
| Средства управления устройствами | Microsoft Entra зарегистрированная | Microsoft Entra вошел в состав | Гибридное присоединение Microsoft Entra |
|---|---|---|---|
|
Управление мобильными устройствами (MDM) Пример: Microsoft Intune |
|
|
|
|
совместное управление с Microsoft Intune и Microsoft Configuration Manager (Windows 10 или более поздней версии) |
|
|
|
|
политики группы (только Для Windows) |
|
Рекомендуется управление мобильными приложениями Microsoft Intune (MAM) с помощью или без управления устройствами для зарегистрированных устройств iOS или Android.
Администраторы также могут развертывать платформы инфраструктуры виртуальных рабочих столов (VDI) размещения операционных систем Windows в своих организациях для упрощения управления и снижения затрат путем консолидации и централизации ресурсов.