Vad är Microsoft Entra-anslutning?
Nu har du mer kunskap om enhetsidentitet och villkorsstyrd åtkomst. Du vill undersöka Microsoft Entra-anslutning och hur du kan använda den för att förbättra enhetshanteringen för både Azure och lokal Active Directory Domain Services.
I den här lektionen får du lära dig mer om Microsoft Entra-anslutning och hur du använder den för infrastruktur- och enhetshantering.
Grunderna i Microsoft Entra-anslutning
Med Microsoft Entra-anslutning kan du ansluta enheter till din Microsoft Entra-organisation utan att behöva synkronisera med en lokal Active Directory instans. Microsoft Entra-anslutning passar bäst för organisationer som huvudsakligen är molnbaserade, även om det kan fungera i ett hybridmoln och en lokal miljö.
Enheter som stöds
Microsoft Entra-anslutning fungerar med Windows 10-, Windows 11- eller Windows Server 2019-enheter. Windows Server 2019 Server Core-installationen stöds inte. Om du använder ett tidigare Windows-operativsystem måste du uppgradera till Windows 10, Windows 11 eller Windows Server 2019.
Infrastruktur för identiteter
Bestäm vilken modell för identitetsinfrastruktur som bäst uppfyller organisationens behov:
- Hanterad miljö: Den här miljön använder direktautentisering eller synkronisering av lösenordshash för att tillhandahålla enkel inloggning (SSO) till dina enheter.
- Federerade miljöer: Dessa miljöer kräver användning av en identitetsprovider. Leverantören måste ha stöd för WS-Trust- och WS-Fed-protokollen för att Microsoft Entra-anslutningen ska fungera internt med Windows-enheter. WS-Fed krävs för att ansluta en enhet till Microsoft Entra-ID. WS-Trust krävs för att logga in på en Microsoft Entra-ansluten enhet.
- Smartkort och certifikatbaserad autentisering: Dessa metoder är inte giltiga sätt att ansluta enheter till Microsoft Entra-ID. Men om du har Active Directory Federation Services (AD FS) konfigurerat kan du använda smartkort för att logga in på Microsoft Entra-anslutna enheter. Vi rekommenderar att du använder en tjänst som Windows Hello för företag, som stöder lösenordslös autentisering till Windows 10- och Windows 11-enheter.
- Manuell användarkonfiguration: Om du skapar användare i din lokal Active Directory-instans måste du synkronisera kontona med Microsoft Entra-ID med hjälp av Microsoft Entra Connect. Om du skapar användare i Microsoft Entra-ID behövs ingen ytterligare konfiguration.
Enhetshantering
Microsoft Entra Join använder plattformen för hantering av mobila enheter (MDM) för att hantera enheter som är anslutna till Microsoft Entra-ID. MDM är ett sätt att framtvinga konfigurationer som krävs av organisationen, som att kräva att lagringen krypteras, lösenordskomplexitet, programvaruinstallationer och programuppdateringar.
De senaste versionerna av Windows 10 och Windows 11 har en inbyggd MDM-klient som fungerar med alla kompatibla MDM-system.
Det finns två metoder för att hantera dina Microsoft Entra-anslutna enheter:
Endast MDM: Alla anslutna enheter hanteras uteslutande via en MDM-provider, till exempel Intune. Om din organisation använder grupprinciper behöver du granska MDM-principen med avseende på support.
Samhantering: Alla anslutna enheter använder en kombination av en lokalt installerad System Center Configuration Manager-agent och din MDM-provider. Microsoft Intune tillhandahåller funktioner för samhantering via Configuration Manager. Du kan använda Configuration Manager för att hantera enheten medan MDM levererar användarhanteringsprinciper.
Vi rekommenderar att du använder mdm-metoden för att hantera alla Microsoft Entra-anslutna enheter.
Saker att tänka på vad gäller resurser och programåtkomst
För att få den bästa användarupplevelsen och förbättra åtkomsten till ditt program bör du överväga att flytta alla program och resurser till Azure. Även om det kan vara möjligt i vissa fall är det inte alltid praktiskt. I det här avsnittet utforskar vi olika åtkomstalternativ för dina program och resurser:
Molnbaserade program: Alla migrerade appar och alla nya program läggs till i Microsoft Entra-appgalleriet. Microsoft Entra-anslutna användare kan använda enkel inloggning för att få åtkomst till dessa program. Majoriteten av webbläsare stöder SSO. Microsoft Entra Join tillhandahåller SSO-stöd för enhetsåtkomst till program som fortfarande använder Win32.
Lokala webbprogram: Du kan fortfarande komma åt valfri skräddarsydd eller anpassad programvara som finns lokalt via Microsoft Entra-anslutning. Åtkomst till dessa program kräver att alla användare lägger till appen bland sina betrodda platser eller intranätzoner beroende på var appen finns. Den här åtgärden gör att programmet kan använda Windows-integrerad autentisering utan att uppmana användaren att autentisera sig.
Andra enheter: Det här alternativet omfattar befintliga program via tidigare protokoll och lokala nätverksresurser. Båda är tillgängliga för Microsoft Entra-anslutna enheter via enkel inloggning om enheten är ansluten till domänkontrollanten.
Skrivarresurser: Dessa resurser blir inte automatiskt tillgängliga via Microsoft Entra-anslutning. Användarna kan fortfarande ansluta till en skrivare direkt med hjälp av dess UNC-sökväg.
Etableringsalternativ
När du distribuerar Microsoft Entra-anslutning har du tre alternativ för hur enheter etableras och ansluts till Microsoft Entra-ID:
Självbetjäning: Kräver att användarna konfigurerar enheten manuellt under OOBE (Windows Out-of-Box Experience) för nya enheter eller genom att använda Windows-inställningarna för äldre enheter. Självbetjäning passar bättre för användare som har gedigna tekniska kunskaper.
Windows Autopilot: Gör att du kan förkonfigurera Windows-enheter, inklusive att automatiskt ansluta enheten till din Active Directory-organisation, automatisk MDM-registrering och skapa kundinnehåll för OOBE. Den här metoden förenklar hanteringen och distributionen av enheter i din organisation. Du kan etablera och distribuera dina Windows-enheter. Användare slutför OOBE som om de vore nya användare.
Massregistrering: Gör att du kan konfigurera ett etableringspaket som gäller för ett stort antal nya Windows-enheter samtidigt.
I följande tabell visas de viktigaste funktionerna i respektive metod:
| Funktion | Självbetjäning | Windows Autopilot | Massregistrering |
|---|---|---|---|
| Användarinteraktion under konfiguration | Ja | Ja | Nej |
| IT-deltagande | Nej | Ja | Ja |
| Tillämpliga flöden | OOBE och inställningar | Endast OOBE | Endast OOBE |
| Lokal administratörsbehörighet till primär användare | Ja | Konfigureringsbart | Nej |
| Nödvändigt OEM-stöd | Nej | Ja | Nej |
Enhetsinställningar
I Azure Portal kan du styra hur nya enheter är anslutna till din organisation. Gå till Enhetsinställningar för Microsoft Entra-ID-enheter>>. Därifrån kan du konfigurera följande funktioner och aktivera Microsoft Entra-anslutning.
| Fält | beskrivning |
|---|---|
| Användare kan ansluta enheter till Microsoft Entra-ID | Alla gör att alla användare kan ansluta sina enheter. Valda gör att du kan lägga till specifika användare som kan ansluta enheter. Inga förhindrar alla användare från att ansluta sina enheter. |
| Ytterligare lokala administratörer på Microsoft Entra-anslutna enheter | Gör att du kan ange andra användare som ska inkluderas som lokala administratörer på alla anslutna enheter. Men det här alternativet är aktiverat som standard. Microsoft Entra-ID lägger till rollen global administratör och enhetsadministratör som lokala administratörer på enheter. |
| Användare kan registrera sina enheter med Microsoft Entra-ID | Tillåter användare att registrera sina enheter med Microsoft Entra-anslutning. Om du använder Microsoft Intune eller hantering av mobilenheter för Microsoft 365 krävs enhetsregistrering. Om någon av dessa tjänster har konfigurerats i din Microsoft Entra-organisation är Alla valt och det här alternativet är inaktiverat. |
| Kräv multifaktorautentisering för att ansluta enheter | Gör att du kan framtvinga Microsoft Entra multifaktorautentisering när enheten ansluter till Microsoft Entra-ID. För användare som ansluter enheter till Microsoft Entra-ID med hjälp av multifaktorautentisering blir själva enheten en andra faktor. |
| Maximalt antal enheter per användare | Gör att du kan ange det maximala antalet enheter som en användare kan ha i Microsoft Entra-ID. Om användare når det här värdet måste de ta bort en enhet för att lägga till en ny. |
I vårt scenario skulle vi kunna lägga till en pilotgrupp med användare för att testa AD-anslutning. I så fall väljer du Användare kan ansluta enheter till Microsoft Entra-ID>valt och sedan lägga till medlemmar i pilotgruppen. När du är redo att distribuera Microsoft Entra-anslutning till hela Microsoft Entra-organisationen väljer du Alla.
Mobilitetsinställningar
Du kan behöva lägga till en MDM-provider innan du kan konfigurera mobilitetsinställningar. Om du vill lägga till MDM-providern går du till Microsoft Entra ID>Mobility (MDM och MAM)>Lägg till program.
När du har lagt till MDM-providern kan du konfigurera följande mobilitetsinställningar:
| Mobilitetsinställning | description |
|---|---|
| MDM-användaromfång | Välj Inga, Vissa eller Alla. Om användaren är i MDM-omfånget och du har en Microsoft Entra ID P1- eller P2-prenumeration automatiseras MDM-registreringen tillsammans med Microsoft Entra-anslutning. Alla användare i omfånget måste ha en lämplig licens för din MDM. Annars misslyckas MDM-registreringen och Microsoft Entra-anslutningen återställs. Om användaren inte finns i MDM-omfånget slutförs Microsoft Entra-anslutningen utan någon MDM-registrering. Enheten är en ohanterad enhet. |
| MDM-URL:er | De tre URL:er som är relaterade till din MDM-konfiguration är MDM-URL för användningsvillkor, MDM-URL för identifiering och MDM-URL för efterlevnad. Varje URL har ett fördefinierat standardvärde. Om dessa fält är tomma kan du kontakta din MDM-provider för att få mer information. |
| MAM-inställningar | Hantering av mobilprogram (MAM) gäller inte för Microsoft Entra-anslutning. |
Kom ihåg att du måste begränsa åtkomsten till organisationens resurser till enheter som din organisation hanterar och som ditt MDM-system anser vara kompatibla. För vårt scenario skulle vi därför lägga till vår organisations MDM-provider och välja MDM-användaromfånget>Alla.
Användarupplevelse när du ansluter till en Windows 10- eller Windows 11-enhet
Du har fått en ny enhet som är avsedd för en teknikkunnig medarbetare. De använder självbetjäningsmetoden för att ansluta enheten till din Active Directory-organisation, som använder multifaktorautentisering. Följande steg visar hur det arbetsflödet ser ut:
När enheten har startats följer den anställda anvisningarna för att konfigurera den, vilket innefattar att anpassa regionen och välja ett språk.
Den anställda godkänner licensvillkoren för programvara från Microsoft.
Den anställda väljer nätverksanslutningen för att ansluta till molnet.
När den anställda får frågan Vem äger den här datorn? väljer han eller hon Den här enheten tillhör min organisations.
Den anställda loggar in med de autentiseringsuppgifter som din organisation har angett.
Den anställda uppmanas att slutföra en kontroll för multifaktorautentisering.
Microsoft Entra ID kontrollerar konfigurationsinställningarna för att se om enheten ska registreras i MDM.
När konfigurationskontrollen lyckas registreras enheten med organisationens Microsoft Entra-instans. Om MDM används registreras och hanteras enheten.