Útmutató: Az Azure AD-csatlakozás implementálásának megtervezása

Az eszközöket közvetlenül az Azure Active Directoryhoz (Azure AD) csatlakoztathatja anélkül, hogy csatlakoznia kellene a helyszíni Active Directoryhoz, miközben a felhasználók hatékonyságát és biztonságát is megőrzi. Az Azure AD-csatlakozás nagyvállalati használatra kész a nagy léptékű és a hatókörön belüli üzemelő példányokhoz is. A helyszíni erőforrásokhoz való egyszeri bejelentkezés (SSO) hozzáférés az Azure AD-hez csatlakoztatott eszközök számára is elérhető. További információ: Hogyan működik a helyszíni erőforrásokra irányuló egyszeri bejelentkezés az Azure AD-hez csatlakoztatott eszközökön.

Ez a cikk az Azure AD-csatlakozás implementációjának megtervezéséhez szükséges információkat tartalmazza.

Előfeltételek

Ez a cikk feltételezi, hogy ismeri az Azure Active Directory eszközkezelésének bevezetési útmutatóját.

Az implementáció megtervezése

Az Azure AD-hez való csatlakozás implementálásának megtervezéséhez ismerkedjen meg a következőkkel:

  • Forgatókönyvek áttekintése
  • Az identitásinfrastruktúra áttekintése
  • Az eszközkezelés felmérése
  • Az alkalmazások és erőforrások szempontjainak megismerése
  • A kiépítési lehetőségek ismertetése
  • Vállalati állapotroaming konfigurálása
  • Feltételes hozzáférés konfigurálása

Forgatókönyvek áttekintése

Az Azure AD-csatlakozás lehetővé teszi, hogy áttérjen egy felhőbeli modellre a Windows használatával. Ha az eszközfelügyelet modernizálását és az eszközhöz kapcsolódó informatikai költségek csökkentését tervezi, az Azure AD-csatlakozás nagyszerű alapot nyújt e célok eléréséhez.

Fontolja meg az Azure AD-csatlakozást, ha a céljai megfelelnek a következő feltételeknek:

  • A Microsoft 365-öt használja hatékonyságnövelő csomagként a felhasználók számára.
  • Egy felhőalapú eszközkezelési megoldással szeretné kezelni az eszközöket.
  • Szeretné leegyszerűsíteni az eszközök kiépítését a földrajzilag elosztott felhasználók számára.
  • Az alkalmazás infrastruktúrájának modernizálását tervezi.

Az identitásinfrastruktúra áttekintése

Az Azure AD-csatlakozás felügyelt és összevont környezetekben működik. Úgy gondoljuk, hogy a legtöbb szervezet felügyelt tartományokkal fog üzembe helyezni. A felügyelt tartományok esetében nincs szükség összevonási kiszolgáló, például az Active Directory összevonási szolgáltatások (AD FS) konfigurálására és kezelésére.

Felügyelt környezet

A felügyelt környezetek jelszókivonat-szinkronizálással vagy közvetlen egyszeri bejelentkezéssel átmenő hitelesítéssel helyezhetők üzembe.

Összevont környezet

Az összevont környezeteknek olyan identitásszolgáltatóval kell rendelkezniük, amely WS-Trust és WS-Fed protokollokat is támogat:

  • WS-Fed: Ez a protokoll szükséges egy eszköz Azure AD-hez való csatlakoztatásához.
  • WS-Trust: Ez a protokoll szükséges az Azure AD-hez csatlakoztatott eszközre való bejelentkezéshez.

Az AD FS használatakor engedélyeznie kell a következő WS-Trust végpontokat: /adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

Ha az identitásszolgáltató nem támogatja ezeket a protokollokat, az Azure AD-csatlakozás nem működik natív módon.

Megjegyzés

Az Azure AD-csatlakozás jelenleg nem működik a külső hitelesítésszolgáltatókkal konfigurált AD FS 2019-zel elsődleges hitelesítési módszerként. Az Azure AD-hez való csatlakozás alapértelmezés szerint jelszó-hitelesítés, mint elsődleges módszer, ami hitelesítési hibákat eredményez ebben a forgatókönyvben

Felhasználói konfiguráció

Ha felhasználókat hoz létre a következő helyen:

  • A helyszíni Active Directoryval szinkronizálnia kell őket az Azure AD-be az Azure AD Connect használatával.
  • Azure AD, nincs szükség további beállításra.

Az Azure AD UPN-ektől eltérő helyszíni egyszerű felhasználónevek (UPN-ek) nem támogatottak az Azure AD-hez csatlakoztatott eszközökön. Ha a felhasználók helyszíni upn-t használnak, érdemes áttérnie az elsődleges upn használatára az Azure AD-ben.

Az UPN-módosítások csak a Windows 10 2004-frissítéstől kezdve támogatottak. A frissítéssel rendelkező eszközök felhasználói nem tapasztalnak problémát az egyszerű felhasználónév módosítása után. A Windows 10 2004-frissítés előtti eszközök esetében a felhasználók egyszeri bejelentkezéssel és feltételes hozzáféréssel kapcsolatos problémákat tapasztalhatnak az eszközeiken. A probléma megoldásához be kell jelentkezniük a Windowsba az "Egyéb felhasználó" csempén keresztül az új upn használatával.

Az eszközkezelés felmérése

Támogatott eszközök

Azure AD-csatlakozás:

  • Windows 10- és Windows 11-eszközöket támogat.
  • A Windows korábbi verziói és más operációs rendszerek nem támogatottak. Ha Windows 7/8.1-eszközökkel rendelkezik, az Azure AD-csatlakozás üzembe helyezéséhez legalább Windows 10-re kell frissítenie.
  • A FIPS-kompatibilis TPM 2.0 esetében támogatott, de a TPM 1.2-ben nem. Ha az eszközei FIPS-kompatibilis TPM 1.2-vel rendelkeznek, le kell tiltania őket, mielőtt folytatna az Azure AD-csatlakozással. A Microsoft nem biztosít eszközöket a FIPS mód letiltására a TPM-ekhez, mivel az a TPM gyártójától függ. Támogatásért forduljon a hardvergyártóhoz.

Ajánlás: Mindig a legújabb Windows-kiadást használja a frissített funkciók előnyeinek kihasználásához.

Felügyeleti platform

Az Azure AD-hez csatlakoztatott eszközök eszközfelügyelete egy mobileszköz-kezelési (MDM) platformon, például az Intune-on és az MDM CSP-ken alapul. A Windows 10-től kezdve van egy beépített MDM-ügynök, amely minden kompatibilis MDM-megoldással működik.

Megjegyzés

A csoportházirendek nem támogatottak az Azure AD-hez csatlakoztatott eszközökön, mivel nem csatlakoznak a helyszíni Active Directoryhoz. Az Azure AD-hez csatlakoztatott eszközök kezelése csak az MDM-ben lehetséges

Az Azure AD-hez csatlakoztatott eszközök felügyeletének két módszere van:

  • Csak mobileszköz-kezelés – Az eszközöket kizárólag egy MDM-szolgáltató, például az Intune felügyeli. Minden szabályzat az MDM regisztrációs folyamatának részeként lesz kézbesítve. Az Azure AD Premium- vagy EMS-ügyfelek számára az MDM-regisztráció egy automatizált lépés, amely egy Azure AD-csatlakozás része.
  • Megosztott kezelés – Az eszközöket egy MDM-szolgáltató és a Microsoft Endpoint Configuration Manager felügyeli. Ebben a megközelítésben a Microsoft Endpoint Configuration Manager-ügynök egy MDM által felügyelt eszközön van telepítve bizonyos szempontok felügyeletéhez.

Csoportházirendek használata esetén a Csoportházirend és az MDM-szabályzat paritásának kiértékelése a Microsoft Endpoint Manager csoportházirend-elemzési funkciójának használatával.

Tekintse át a támogatott és nem támogatott szabályzatokat annak megállapításához, hogy használhat-e MDM-megoldást a csoportházirendek helyett. A nem támogatott szabályzatok esetén vegye figyelembe a következő kérdéseket:

  • Szükség van a nem támogatott szabályzatokra az Azure AD-hez csatlakoztatott eszközökhöz vagy felhasználókhoz?
  • A nem támogatott szabályzatok alkalmazhatók felhőalapú üzemelő példányokban?

Ha az MDM-megoldás nem érhető el az Azure AD alkalmazáskatalógusán keresztül, hozzáadhatja az Azure Active Directory MDM-hez való integrációjának folyamatát követve.

A megosztott kezelés révén a Microsoft Endpoint Configuration Managerrel felügyelheti az eszközök bizonyos aspektusait, miközben a szabályzatok az MDM-platformon keresztül érkeznek. A Microsoft Intune lehetővé teszi a Microsoft Endpoint Configuration Managerrel való társfelügyeletet. A Windows 10 vagy újabb rendszerű eszközök megosztott kezeléséről további információt a Mi a megosztott kezelés? című témakörben talál. Ha az Intune-on kívül más MDM-terméket használ, kérdezze meg az MDM-szolgáltatót a vonatkozó megosztott felügyeleti forgatókönyvekről.

Ajánlás: Fontolja meg, hogy az MDM csak az Azure AD-hez csatlakoztatott eszközök felügyeletét felügyeli.

Az alkalmazások és erőforrások szempontjainak megismerése

Javasoljuk, hogy a jobb felhasználói élmény és hozzáférés-vezérlés érdekében migrálja az alkalmazásokat a helyszínről a felhőbe. Az Azure AD-hez csatlakoztatott eszközök zökkenőmentesen biztosíthatnak hozzáférést a helyszíni és a felhőalapú alkalmazásokhoz is. További információ: Hogyan működik a helyszíni erőforrásokra irányuló egyszeri bejelentkezés az Azure AD-hez csatlakoztatott eszközökön.

Az alábbi szakaszok az alkalmazások és erőforrások különböző típusaival kapcsolatos szempontokat sorolják fel.

Felhőalapú alkalmazások

Ha hozzáad egy alkalmazást az Azure AD alkalmazáskatalógusához, a felhasználók egyszeri bejelentkezést kapnak az Azure AD-hez csatlakoztatott eszközökön keresztül. Nincs szükség más konfigurációra. A felhasználók egyszeri bejelentkezést kapnak a Microsoft Edge és a Chrome böngészőben is. Chrome esetén telepítenie kell a Windows 10-fiókok bővítményt.

Minden Olyan Win32-alkalmazás, amely:

  • A jogkivonat-kérelmekhez a Web Account Manager (WAM) szolgáltatásra támaszkodva SSO-t is kaphat az Azure AD-hez csatlakoztatott eszközökön.
  • Ha nem a WAM-ra támaszkodik, előfordulhat, hogy a felhasználók hitelesítést kérnek.

Helyszíni webalkalmazások

Ha az alkalmazások egyénileg vannak létrehozva és/vagy a helyszínen üzemeltetve, hozzá kell adnia őket a böngésző megbízható webhelyeihez a következőkhöz:

  • Az integrált Windows-hitelesítés működésének engedélyezése
  • Azonnali egyszeri bejelentkezést biztosít a felhasználóknak.

Ha AD FS-t használ, tekintse meg az AD FS-sel való egyszeri bejelentkezés ellenőrzéséről és kezeléséről szóló témakört.

Ajánlás: A jobb élmény érdekében fontolja meg a felhőben (például az Azure-ban) való üzemeltetést és az Azure AD-vel való integrációt.

Örökölt protokollokra támaszkodó helyszíni alkalmazások

A felhasználók egyszeri bejelentkezést kapnak az Azure AD-hez csatlakoztatott eszközökről, ha az eszköz hozzáféréssel rendelkezik egy tartományvezérlőhöz.

Megjegyzés

Az Azure AD-hez csatlakoztatott eszközök zökkenőmentesen biztosíthatnak hozzáférést a helyszíni és a felhőalapú alkalmazásokhoz is. További információ: Hogyan működik a helyszíni erőforrásokra irányuló egyszeri bejelentkezés az Azure AD-hez csatlakoztatott eszközökön.

Ajánlás: Helyezze üzembe az Azure AD-alkalmazásproxyt , hogy biztonságos hozzáférést biztosíthasson ezekhez az alkalmazásokhoz.

Helyszíni hálózati megosztások

A felhasználók egyszeri bejelentkezéssel rendelkeznek az Azure AD-hez csatlakoztatott eszközökről, ha egy eszköz hozzáféréssel rendelkezik egy helyszíni tartományvezérlőhöz. Ismerje meg, hogyan működik ez

Nyomtatók

Javasoljuk, hogy helyezze üzembe az Univerzális nyomtatást , hogy helyszíni függőségek nélkül rendelkezzen felhőalapú nyomtatáskezelési megoldással.

Gépi hitelesítésre támaszkodó helyszíni alkalmazások

Az Azure AD-hez csatlakoztatott eszközök nem támogatják a gépi hitelesítésre támaszkodó helyszíni alkalmazásokat.

Ajánlás: Fontolja meg ezeknek az alkalmazásoknak a kivonását, és térjen át modern alternatíváikra.

Távoli asztali szolgáltatások

Az Azure AD-hez csatlakoztatott eszközök távoli asztali kapcsolatához a gazdagépnek Azure AD-hez vagy hibrid Azure AD-hez kell csatlakoznia. A távoli asztal nem csatlakoztatott vagy nem Windows rendszerű eszközről nem támogatott. További információ: Csatlakozás távoli Azure AD-hez csatlakoztatott számítógéphez

A Windows 10 2004 frissítésétől kezdve a felhasználók távoli asztalt is használhatnak egy Azure AD-ben regisztrált Windows 10-ről vagy újabb eszközről egy másik Azure AD-hez csatlakoztatott eszközre.

RADIUS- és Wi-Fi-hitelesítés

Az Azure AD-hez csatlakoztatott eszközök jelenleg nem támogatják a RADIUS-hitelesítést Wi-Fi hozzáférési pontokhoz való csatlakozáshoz, mivel a RADIUS helyszíni számítógép-objektum jelenlétére támaszkodik. Alternatív megoldásként használhatja az Intune-on keresztül leküldett tanúsítványokat vagy a felhasználói hitelesítő adatokat a Wi-Fi-hitelesítéshez.

A kiépítési lehetőségek ismertetése

Megjegyzés: Az Azure AD-hez csatlakoztatott eszközök nem helyezhetők üzembe a Rendszer-előkészítő eszközzel (Sysprep) vagy hasonló képalkotó eszközökkel

Az Azure AD-hez csatlakoztatott eszközöket a következő módszerekkel építheti ki:

  • Önkiszolgáló OOBE/Beállítások – Önkiszolgáló módban a felhasználók végighaladnak az Azure AD csatlakozási folyamatán a Windows Kezdőélmény (OOBE) során vagy a Windows beállításai között. További információt a Munkahelyi eszköz csatlakoztatása a szervezet hálózatához című témakörben talál.
  • Windows Autopilot – A Windows Autopilot lehetővé teszi az eszközök előzetes konfigurálását az Azure AD zökkenőmentesebb csatlakoztatásához az OOBE-ben. További információ: A Windows Autopilot áttekintése.
  • Csoportos regisztráció – A csoportos regisztráció lehetővé teszi a rendszergazda által vezérelt Azure AD-csatlakozást egy tömeges kiépítési eszköz használatával az eszközök konfigurálásához. További információ: Windows-eszközök tömeges regisztrálása.

Íme a három megközelítés összehasonlítása

Elem Önkiszolgáló beállítás Windows Autopilot Csoportos regisztráció
Felhasználói beavatkozás megkövetelése a beállításhoz Igen Igen Nem
Informatikai munka megkövetelése Nem Igen Igen
Érintett folyamatok OOBE-beállítások & Csak OOBE Csak OOBE
Rendszergazdai jogosultságok az elsődleges felhasználó számára Igen, alapértelmezés szerint Konfigurálható Nem
Eszköz oem-támogatásának megkövetelése Nem Igen Nem
Támogatott verziók 1511+ 1709+ 1703+

Válassza ki az üzembe helyezési módszert vagy megközelítéseket az előző táblázat áttekintésével, és tekintse át a következő szempontokat bármelyik megközelítés bevezetéséhez:

  • A felhasználók a technikai hozzáértés, hogy menjen végig a beállítás magukat?
    • Az önkiszolgáló működés ezeknek a felhasználóknak a legjobban megfelel. A felhasználói élmény fokozása érdekében fontolja meg a Windows Autopilot használatát.
  • Távol vannak a felhasználói, vagy a vállalati helyszínen vannak?
    • Az önkiszolgáló vagy az Autopilot a legjobban távoli felhasználók számára működik a zökkenőmentes beállítás érdekében.
  • Felhasználóalapú vagy rendszergazda által felügyelt konfigurációt szeretne használni?
    • A tömeges regisztráció jobban működik a rendszergazdai alapú üzembe helyezésnél az eszközök beállításához, mielőtt átadja a felhasználóknak.
  • 1–2 OEM-től vásárol eszközöket, vagy az OEM-eszközök széles választékával rendelkezik?
    • Ha az AutoPilotot is támogató korlátozott oem-ektől vásárol, az Autopilottal való szorosabb integráció előnyeit élvezheti.

Az eszközbeállítások konfigurálása

Az Azure Portalon szabályozhatja az Azure AD-hez csatlakoztatott eszközök üzembe helyezését a szervezetben. A kapcsolódó beállítások konfigurálásához az Azure Active Directory oldalán válassza a Devices > Device settingslehetőséget. További információ

A felhasználók eszközöket léptethetnek be az Azure AD-be

Ezt a beállítást az üzemelő példány hatóköre és az Azure AD-hez csatlakoztatott eszköz beállításának hatóköre alapján az Összes vagy a Kiválasztott értékre állíthatja be.

Users may join devices to Azure AD

Az Azure AD-be léptetett eszközök további helyi rendszergazdái

Válassza a Kijelölt lehetőséget, és kiválasztja azokat a felhasználókat, amelyeket fel szeretne venni a helyi rendszergazdák csoportjába az összes Azure AD-hez csatlakoztatott eszközön.

Additional local administrators on Azure AD joined devices

Többtényezős hitelesítés (MFA) megkövetelése az eszközök csatlakoztatásához

Válassza az "Igen , ha azt szeretné, hogy a felhasználók MFA-t végezzenek az eszközök Azure AD-hez való csatlakoztatása során.

Require multi-factor Auth to join devices

Ajánlás: A feltételes hozzáférésben az eszközök regisztrálása vagy csatlakoztatása felhasználói művelet használatával kényszerítheti az MFA-t az eszközök összekapcsolására.

A mobilitási beállítások konfigurálása

A mobilitási beállítások konfigurálása előtt előfordulhat, hogy először hozzá kell adnia egy MDM-szolgáltatót.

MDM-szolgáltató hozzáadása:

  1. Az Azure Active Directory oldalKezelés szakaszában válassza a Mobility (MDM and MAM)lehetőséget.

  2. Válassza az Alkalmazás hozzáadása lehetőséget.

  3. Válassza ki az MDM-szolgáltatót a listából.

    Screenshot of the Azure Active Directory Add an application page. Several M D M providers are listed.

Válassza ki az MDM-szolgáltatót a kapcsolódó beállítások konfigurálásához.

MDM-felhasználói hatókör

Az üzemelő példány hatóköre alapján válassza a Néhány vagy az Összes lehetőséget.

MDM user scope

A hatóköre alapján a következők egyike történik:

  • A felhasználó MDM-hatókörben van: Ha Prémium szintű Azure AD-előfizetéssel rendelkezik, az MDM-regisztráció az Azure AD-csatlakozással együtt automatikusan történik. Minden hatókörrel rendelkező felhasználónak megfelelő licenccel kell rendelkeznie az MDM-hez. Ha ebben a forgatókönyvben az MDM-regisztráció meghiúsul, az Azure AD-csatlakozás is vissza lesz állítva.
  • A felhasználó nem MDM-hatókörben van: Ha a felhasználók nem MDM-hatókörben vannak, az Azure AD-beléptetés MDM-regisztráció nélkül befejeződik. Ez a hatókör nem felügyelt eszközt eredményez.

MDM-URL-címek

Az MDM-konfigurációhoz három URL-cím kapcsolódik:

  • MDM használati feltételeinek URL-címe
  • MDM-felderítési URL-cím
  • MDM megfelelőségi URL-címe

Screenshot of part of the Azure Active Directory M D M configuration section, with U R L fields for M D M terms of use, discovery, and compliance.

Mindegyik URL-címnek előre definiált alapértelmezett értéke van. Ha ezek a mezők üresek, kérjen további tájékoztatást az MDM-szolgáltatótól.

MAM-beállítások

A MAM nem vonatkozik az Azure AD-csatlakozásra.

Vállalati állapotroaming konfigurálása

Ha engedélyezni szeretné az állapotroamingot az Azure AD-be, hogy a felhasználók szinkronizálhassák a beállításaikat az eszközök között, olvassa el az Enterprise State Roaming engedélyezése az Azure Active Directoryban című témakört.

Javaslat: Engedélyezze ezt a beállítást hibrid Azure AD-hez csatlakoztatott eszközökön is.

Feltételes hozzáférés konfigurálása

Ha az Azure AD-hez csatlakoztatott eszközökhöz MDM-szolgáltató van konfigurálva, a szolgáltató az eszközt megfelelőként jelöli meg, amint az eszköz felügyelet alatt áll.

Compliant device

Ezzel az implementációval megkövetelheti a felügyelt eszközök használatát a felhőalkalmazások feltételes hozzáféréssel való hozzáféréséhez.

Következő lépések