消費者裝置數量和無處不在的資訊存取量迅速增加,正在改變人們感知其技術的方式。 一整天資訊技術的不斷使用,以及輕鬆獲取資訊,正在模糊工作和家庭生活之間的傳統界限。 這些不斷變化的界限伴隨著一種信念,即選擇和自定義的個人科技應該根據使用者的個性、活動和時間表,延伸至工作場所。 為了適應個人消費者裝置連線到企業網路的需求不斷增加,我們引進了下列價值主張:
系統管理員可以控制誰可以存取以應用程式、使用者、裝置和位置為基礎的公司資源。
員工可以在任何裝置上隨處存取應用程式和數據。 員工可以在瀏覽器應用程式或企業應用程式中使用單一 Sign-On。
解決方案中引進的重要概念
工作區加入 (Workplace Join)
藉由使用工作場所加入,資訊工作者可以將其個人裝置加入公司工作場所計算機,以存取公司資源和服務。 當您將個人裝置加入工作場所時,它會成為已知裝置,並提供順暢的第二因素驗證及單一登入,讓您無縫使用工作場所的資源和應用程式。 當裝置由 Workplace Join 加入時,可以從目錄擷取裝置的屬性,以驅動條件式存取,以便授權為應用程式發行安全性令牌。 Windows 8.1 和 iOS 6.0+ 和 Android 4.0+ 裝置可以使用 Workplace Join 來加入。
Microsoft Entra 裝置註冊服務
Microsoft Entra 裝置註冊服務使工作場所連接成為可能。 當裝置加入 Workplace Join 時,服務會在 Microsoft Entra ID 中佈建裝置物件,然後在本機裝置上設定用來代表裝置身分識別的密鑰。 接著,此裝置身分識別可以搭配雲端和內部部署中裝載之應用程式的訪問控制規則使用。
如需詳細資訊,請參閱 Microsoft Entra ID 中的裝置管理簡介。
Workplace Join 作為無縫的第二因素認證
公司可以管理與資訊存取相關的風險,並在授與取用者裝置對公司資源的存取權的同時,推動治理和合規性。 裝置上的 Workplace Join 為系統管理員提供下列功能:
識別具有裝置驗證的已知裝置。 系統管理員可以使用此資訊來驅動條件式存取和控制資源的存取。
為使用者提供更順暢的登入體驗,以從受信任的裝置存取公司資源。
單一登入
此案例內容中的單一 Sign-On (SSO) 功能可減少使用者必須輸入的密碼提示數目,以從已知裝置存取公司資源。 這項功能表示使用者只會在 SSO 存留期間收到一次提示,以從此裝置存取公司應用程式和資源。 如果裝置使用 Workplace Join,則已註冊使用此裝置的使用者會取得持續性 SSO,預設為七天。 此使用者在同一會話或新會話中具有順暢的登入體驗。
解決方案概觀
在此解決方案中,您將了解如何在支援的裝置上使用 Workplace Join,並體驗單一登入至公司資源。
備註
若要支援 Windows 8.1、iOS 6.0+ 和 Android 4.0+ 裝置,您必須設定 Microsoft Entra 裝置註冊以及裝置物件回寫,請參閱 使用 Microsoft Entra Device Registration Service 的內部部署條件式存取逐步指南
此解決方案指南將引導您完成以下的逐步操作: