规划 Microsoft Entra 设备部署
本文可帮助你评估将设备与 Microsoft Entra ID 集成的方法,选择实施计划,并提供受支持的设备管理工具的关键链接。
用户设备的使用范围不断扩大。 组织可能提供台式机、笔记本电脑、手机、平板电脑和其他设备。 你的用户可能会自带设备数组,并从不同的位置访问信息。 在此环境中,作为管理员的工作是保护组织资源在所有设备上的安全。
Microsoft Entra ID 使组织能够通过设备标识管理来满足这些目标。 现在可以在 Microsoft Entra ID 中获取设备,并从 Microsoft Entra 管理中心的中心位置控制这些设备。 此过程提供统一的体验、增强的安全性并减少配置新设备所需的时间。
可通过多种方法将设备集成到 Microsoft Entra ID 中。 这些方法可以根据操作系统和你的要求单独工作或协同工作:
- 你可以使用 Microsoft Entra ID 注册设备。
- 将设备 加入 Microsoft Entra ID(仅限云端)。
- 将设备 Microsoft Entra 混合联接到本地 Active Directory 域和 Microsoft Entra ID。
了解
在开始之前,请确保熟悉 设备标识管理概述。
好处
为设备提供Microsoft Entra 标识的主要优势:
提高工作效率 - 用户可以无缝登录 (SSO) 到本地和云资源,随时随地都能提高工作效率。
提高安全性 - 根据设备或用户的标识对资源应用条件访问策略。 将设备加入 Microsoft Entra ID 是使用 无密码 策略提高安全性的先决条件。
改进用户体验 - 为用户提供从个人设备和企业设备轻松访问组织的基于云的资源。 管理员可以为所有 Windows 设备启用 企业状态漫游,以实现统一体验。
简化部署和管理 - 使用 Windows Autopilot、批量预配或自助服务:全新体验 (OOBE) 来简化将设备引入 Microsoft Entra ID 的过程。 使用移动设备管理(MDM)工具(如 Microsoft Intune)来管理设备,并在 Microsoft Entra 管理中心中管理它们的标识。
规划部署项目
在为您的环境确定此部署策略时,请充分考虑您的组织需求。
让合适的利益干系人参与
当技术项目失败时,通常是由于对影响、结果和责任的期望不匹配。 为了避免这些陷阱,确保你与正确的利益干系人进行沟通, 并且充分理解项目中利益干系人的角色。
对于此计划,请将以下利益干系人添加到列表中:
| 角色 | 描述 |
|---|---|
| 设备管理员 | 设备团队的代表,可以验证该计划是否符合组织的设备要求。 |
| 网络管理员 | 网络团队的代表,可以确保满足网络要求。 |
| 设备管理团队 | 负责管理设备库存的团队。 |
| 特定于 OS 的管理团队 | 支持和管理特定操作系统版本的团队。 例如,可能有一个以 Mac 或 iOS 为中心的团队。 |
规划沟通
通信对于任何新服务的成功至关重要。 主动与用户沟通他们的体验有何变化、何时发生更改,以及当遇到问题时如何获得支持。
规划试点
我们建议集成方法的初始配置位于测试环境中,或者使用一小组测试设备。 请参阅试点的最佳做法。
在整个组织中启用 Microsoft Entra 混合联接之前,可能需要对其进行针对性部署。
警告
组织应在其试点组中包含不同角色和配置文件的用户示例。 在为整个组织启用之前,有针对性的推出将有助于确定计划可能未解决的任何问题。
选择集成方法
你的组织可以在单个Microsoft Entra 租户中使用多个设备集成方法。 目标是选择一个或多个适合在 Microsoft Entra ID 中安全地管理设备的方法。 有许多参数可推动此决策,包括所有权、设备类型、主要受众和组织基础结构。
以下信息可帮助你确定要使用的集成方法。
设备集成的决策树
使用此树确定组织拥有的设备的选项。
注意
此图未显示个人或自带设备(BYOD)情况。 它们始终会以 Microsoft Entra 注册为结果。
比较矩阵
iOS 和 Android 设备仅注册了 Microsoft Entra。 下表提供了 Windows 客户端设备的高级别考虑因素。 将其用作概述,然后详细探索不同的集成方法。
| 注意事项 | Microsoft Entra已注册 | 已建立 Microsoft Entra 联接 | 已建立 Microsoft Entra 混合联接 |
|---|---|---|---|
| 客户端操作系统 | |||
| Windows 11 或 Windows 10 设备 |  |
|
|
| Linux 桌面 - Ubuntu 20.04/22.04/24.04、RHEL 8/9 | |
||
| 登录选项 | |||
| 最终用户本地凭据 | |
||
| 密码 | |
|
|
| 设备 PIN | |
||
| Windows Hello | |
||
| Windows Hello 企业版 | |
|
|
| FIDO 2.0 安全密钥 | |
|
|
| Microsoft Authenticator 应用(无密码) | |
|
|
| 关键功能 | |||
| SSO 到云资源 | |
|
|
| SSO 到本地资源 | |
|
|
| 条件式访问 (要求将设备标记为合规) (必须由 MDM 托管) |
|
|
|
| 条件性访问 (需要 Microsoft Entra 混合联接设备) |
|
||
| 从 Windows 登录屏幕进行的自助式密码重置 | |
|
|
| Windows Hello PIN 重置 | |
|
Microsoft Entra 注册
已注册的设备通常使用 Microsoft Intune进行管理。 设备通过多种方式在 Intune 中注册,具体取决于操作系统。
已注册 Microsoft Entra 的设备支持通过自带设备 (BYOD) 和公司拥有的设备以 SSO 方式登录到云资源。 对资源的访问基于应用于设备和用户的Microsoft Entra 条件访问策略。
注册设备
已注册的设备通常使用 Microsoft Intune进行管理。 设备通过多种方式在 Intune 中注册,具体取决于操作系统。
用户安装公司门户应用以注册 BYOD 和企业拥有的移动设备。
如果注册设备是组织的最佳选项,请参阅以下资源:
- 这篇 Microsoft Entra 已注册设备概述。
- 关于在组织的网络上注册个人设备的最终用户文档。
Microsoft Entra 联接
Microsoft Entra 联接让你能够使用 Windows 转换到云优先的模型。 如果计划实现设备管理现代化并降低与设备相关的 IT 成本,它提供了很好的基础。 Microsoft Entra 联接仅适用于 Windows 10 或更高版本的设备。 可将其视为新设备的优先选择。
Microsoft Entra 联接设备可以通过 SSO 登录到组织网络中的本地资源,可以向本地服务器(例如文件、打印和其他应用程序)进行身份验证。
如果此选项最适合组织,请参阅以下资源:
- 这篇 Microsoft Entra 已联接设备概述。
- 熟悉 Microsoft Entra 联接实现计划。
预配已建立 Microsoft Entra 联接的设备
若要将设备预配到 Microsoft Entra 联接,可采用以下方法:
- 自助服务:Windows 10 首次运行体验
如果设备安装了 Windows 10 专业版或 Windows 10 企业版,则体验将默认为公司所拥有设备的设置过程。
仔细比较这些方法后,选择部署过程。
可以确定 Microsoft Entra 联接是否为处于不同状态的设备的最佳解决方案。 下表显示了如何更改设备的状态。
| 当前设备状态 | 所需设备状态 | 操作说明 |
|---|---|---|
| 已加入本地域 | 已建立 Microsoft Entra 联接 | 在联接 Microsoft Entra ID 之前,从本地域中取消联接设备。 |
| 已建立 Microsoft Entra 混合联接 | 已建立 Microsoft Entra 联接 | 联接 Microsoft Entra ID 之前,从本地域和 Microsoft Entra ID 取消联接设备。 |
| 已注册 Microsoft Entra | 已建立 Microsoft Entra 联接 | 在加入 Microsoft Entra ID 之前,请先注销设备。 |
Microsoft Entra 混合联接
如果你有本地 Active Directory 环境,并想要将已联接域的现有计算机联接到 Microsoft Entra ID,可以使用 Microsoft Entra 混合联接来完成此任务。 它支持多种 Windows 设备。
大多数组织已拥有已加入域的设备,并通过组策略或 System Center Configuration Manager(SCCM)对其进行管理。 在这种情况下,我们建议配置 Microsoft Entra 混合联接,在利用现有投资的同时获得优势。
如果 Microsoft Entra 混合加入是贵组织的最佳选择,请参考以下资源:
将 Microsoft Entra 混合联接预配到设备
查看标识基础结构。 Microsoft Entra Connect 提供了为以下项配置 Microsoft Entra 混合联接的向导:
如果无法安装所需版本的 Microsoft Entra Connect,请参阅如何手动配置 Microsoft Entra 混合联接。
注意
已联接本地域的 Windows 10 或更高版本设备会默认尝试自动联接到 Microsoft Entra ID,以成为 Microsoft Entra 联接混合设备。 仅当设置了正确的环境时,才会成功。
可以确定 Microsoft Entra 混合联接是否为处于其他状态的设备的最佳解决方案。 下表显示了如何更改设备的状态。
| 当前设备状态 | 所需设备状态 | 操作说明 |
|---|---|---|
| 已加入本地域 | 已建立 Microsoft Entra 混合联接 | 使用 Microsoft Entra Connect 或 AD FS 加入 Azure。 |
| 已加入本地工作组或新状态 | 已建立 Microsoft Entra 混合联接 | Windows Autopilot 支持。 否则,在 Microsoft Entra 混合联接之前,设备需要已联接本地本地域。 |
| 已建立 Microsoft Entra 联接 | 已建立 Microsoft Entra 混合联接 | 从 Microsoft Entra ID 取消联接,使其处于本地工作组或新状态。 |
| 已注册 Microsoft Entra | 已建立 Microsoft Entra 混合联接 | 取决于 Windows 版本。 请参阅这些注意事项。 |
管理设备
将设备注册或加入到 Microsoft Entra ID 后,请使用 Microsoft Entra 管理中心 作为管理设备标识的中心位置。 “Microsoft Entra 设备”页让你能够:
- 配置设备设置。
- 你需要是本地管理员才能管理 Windows 设备。 Microsoft Entra ID 将更新 Microsoft Entra 联接设备的成员身份,自动将具有设备管理员角色的用户添加为所有联接设备的管理员。
确保通过 管理过时设备保持环境干净,并将资源集中在管理当前设备上。
支持的设备管理工具
管理员可以使用其他设备管理工具保护并进一步控制已注册和加入的设备。 这些工具提供了一种方法来强制实施配置,例如要求加密存储、密码复杂性、软件安装和软件更新。
查看集成设备的受支持和不支持的平台:
| 设备管理工具 | 已注册 Microsoft Entra | 已建立 Microsoft Entra 联接 | 已建立 Microsoft Entra 混合联接 |
|---|---|---|---|
| 移动设备管理(MDM) 示例:Microsoft Intune |
|
|
|
| 使用 Microsoft Intune 和 Microsoft Configuration Manager 实现共同管理 (Windows 10 或更高版本) |
|
|
|
| 组策略 (仅限 Windows) |
|
建议考虑对已注册的 iOS 或 Android 设备进行带或不带设备管理的 Microsoft Intune 移动应用管理 (MAM)。
管理员还可以 部署虚拟桌面基础结构(VDI)平台, 在其组织中托管 Windows 操作系统,通过整合和集中资源来简化管理和降低成本。