A Azure Active Directory eszköz üzembe helyezésének megtervezése

Ez a cikk segít kiértékelni az eszköz Azure AD-vel való integrálásának módszereit, kiválaszthatja a megvalósítási tervet, és kulcsfontosságú hivatkozásokat biztosít a támogatott eszközfelügyeleti eszközökhöz.

A felhasználói eszközök környezete folyamatosan bővül. A szervezetek asztali számítógépeket, laptopokat, telefonokat, táblagépeket és más eszközöket biztosíthatnak. A felhasználók saját eszközkészletet hozhatnak magukkal, és különböző helyekről férhetnek hozzá az információkhoz. Ebben a környezetben rendszergazdaként az a feladata, hogy a szervezeti erőforrásokat minden eszközön biztonságban tartsa.

Azure Active Directory (Azure AD) lehetővé teszi a szervezet számára, hogy ezeket a célokat az eszközidentitás-kezeléssel elégítse ki. Most már beszerezheti az eszközeit az Azure AD-ben, és vezérelheti őket egy központi helyről a Azure Portal. Ez a folyamat egységes élményt, fokozott biztonságot nyújt, és csökkenti az új eszközök konfigurálásához szükséges időt.

Az eszközök az Azure AD-be való integrálásának több módszere is van. Ezek az operációs rendszer és az Ön igényei alapján külön-külön vagy együtt is működhetnek:

Learn

Mielőtt hozzákezdene, győződjön meg arról, hogy ismeri az eszközidentitás-kezelés áttekintését.

Előnyök

Az eszközök Azure AD-identitással való ellátásának fő előnyei:

Az üzembehelyezési projekt megtervezése

Vegye figyelembe a szervezeti igényeket, miközben meghatározza az üzembe helyezés stratégiáját a környezetben.

A megfelelő érdekelt felek bevonása

Ha a technológiai projektek meghiúsulnak, általában a hatásra, az eredményekre és a felelősségekre vonatkozó eltérő elvárások miatt. Ezeknek a buktatóknak a elkerülése érdekében győződjön meg arról, hogy a megfelelő érdekelt feleket szeretné bevonni , és hogy a projektben szereplő érdekelt felek szerepe jól érthető legyen.

Ehhez a tervhez adja hozzá a következő érdekelt feleket a listához:

Szerepkör Leírás
Eszközadminisztrátor Az eszközcsapat egyik képviselője, aki ellenőrizheti, hogy a csomag megfelel-e a szervezet eszközkövetelményeinek.
Hálózati rendszergazda A hálózati csapat egyik képviselője, aki biztos lehet abban, hogy megfelel a hálózati követelményeknek.
Eszközfelügyeleti csapat Az eszközök leltárát kezelő csapat.
Operációsrendszer-specifikus rendszergazdai csapatok Teams, amelyek támogatják és kezelik az operációs rendszer adott verzióit. Lehet például egy Mac vagy iOS rendszerű csapat.

A kommunikáció tervezése

A kommunikáció kritikus fontosságú minden új szolgáltatás sikeréhez. Proaktív módon kommunikáljon a felhasználókkal a felhasználói élményük változásáról, a változás időpontjáról, és arról, hogy hogyan szerezhetnek támogatást, ha problémákat tapasztalnak.

Próbaüzem megtervezása

Javasoljuk, hogy az integrációs módszer kezdeti konfigurációja tesztkörnyezetben vagy teszteszközök kis csoportjában legyen. Tekintse meg a próbaüzem ajánlott eljárásait.

Előfordulhat, hogy a hibrid Azure AD-csatlakozás célzott üzembe helyezését szeretné elvégezni, mielőtt engedélyezené azt a teljes szervezetben.

Figyelmeztetés

A szervezeteknek a tesztcsoportjukban különböző szerepkörökből és profilokból kell mintát venniük a felhasználókból. A célzott bevezetés segít azonosítani azokat a problémákat, amelyekkel a terv nem foglalkozott, mielőtt a teljes szervezet számára engedélyezve lenne.

Az integrációs módszerek kiválasztása

A szervezet több eszközintegrációs módszert is használhat egyetlen Azure AD-bérlőben. A cél az, hogy kiválassza azokat a metódus(ok)t, amely(ek)et használ az eszközök biztonságos felügyeletéhez az Azure AD-ben. Számos olyan paraméter létezik, amely ezt a döntést meghatározza, beleértve a tulajdonjogot, az eszköztípusokat, az elsődleges célközönséget és a szervezet infrastruktúráját.

Az alábbi információk segíthetnek eldönteni, hogy mely integrációs módszereket érdemes használni.

Döntési fa az eszközök integrációjához

Ezen a fán határozhatja meg a szervezeti tulajdonban lévő eszközök beállításait.

Megjegyzés

A személyes vagy saját eszközökre (BYOD) vonatkozó forgatókönyvek nem szerepelnek ebben a diagramban. Ezek mindig Azure AD-regisztrációt eredményeznek.

Decision tree

Összehasonlító mátrix

Az iOS- és Android-eszközök csak az Azure AD-ben regisztrálhatók. Az alábbi táblázat az Windows ügyféleszközökkel kapcsolatos magas szintű szempontokat mutatja be. Használja áttekintésként, majd ismerkedjen meg részletesen a különböző integrációs módszerekkel.

Megfontolandó Az Azure AD-ban regisztrálva Azure AD-hez csatlakoztatott Hibrid Azure AD-hez csatlakoztatott
Ügyféloldali operációs rendszerek
Windows 11 vagy Windows 10 eszközök Checkmark for these values. Checkmark for these values. Checkmark for these values.
Windows alacsonyabb szintű eszközök (Windows 8.1 vagy Windows 7) Checkmark for these values.
Bejelentkezési beállítások
Végfelhasználói helyi hitelesítő adatok Checkmark for these values.
Jelszó Checkmark for these values. Checkmark for these values. Checkmark for these values.
PIN-kód az eszközhöz Checkmark for these values.
Windows Hello Checkmark for these values.
Vállalati Windows Hello Checkmark for these values. Checkmark for these values.
FIDO 2.0 biztonsági kulcsok Checkmark for these values. Checkmark for these values.
Microsoft Authenticator alkalmazás (jelszó nélküli) Checkmark for these values. Checkmark for these values. Checkmark for these values.
Főbb képességek
Egyszeri bejelentkezés felhőbeli erőforrásokba Checkmark for these values. Checkmark for these values. Checkmark for these values.
Egyszeri bejelentkezés a helyszíni erőforrásokba Checkmark for these values. Checkmark for these values.
Feltételes hozzáférés
(Az eszközök megfelelőként való megjelölésének megkövetelése)
(MDM-nek kell felügyelnie)
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Feltételes hozzáférés
(Hibrid Azure AD-hez csatlakoztatott eszközök megkövetelése)
Checkmark for these values.
Új jelszó önkiszolgáló kérése a Windows bejelentkezési képernyőről Checkmark for these values. Checkmark for these values.
PIN-kód alaphelyzetbe állításának Windows Hello Checkmark for these values. Checkmark for these values.

Azure AD-regisztráció

A regisztrált eszközöket gyakran Microsoft Intune kezelik. Az eszközök az operációs rendszertől függően többféleképpen regisztrálhatók Intune.

Az Azure AD-ben regisztrált eszközök támogatják a Saját eszközök használata (BYOD) és a vállalati tulajdonban lévő eszközök egyszeri bejelentkezését a felhőbeli erőforrásokba. Az erőforrásokhoz való hozzáférés az eszközre és a felhasználóra alkalmazott Azure AD feltételes hozzáférési szabályzatokon alapul.

Eszközök regisztrálása

A regisztrált eszközöket gyakran Microsoft Intune kezelik. Az eszközök az operációs rendszertől függően többféleképpen regisztrálhatók Intune.

A BYOD-t és a vállalati tulajdonban lévő mobileszközt a Vállalati portál alkalmazást telepítő felhasználók regisztrálják.

Ha az eszközök regisztrálása a legjobb megoldás a szervezet számára, tekintse meg az alábbi forrásokat:

Azure AD-csatlakozás

Az Azure AD-csatlakozással a Windows használatával válthat a felhőben elsőként létrehozott modellre. Nagyszerű alapot nyújt, ha modernizálni szeretné az eszközfelügyeletet, és csökkenteni szeretné az eszközökhöz kapcsolódó informatikai költségeket. Az Azure AD-csatlakozás csak Windows 10 vagy újabb eszközökkel működik. Vegye figyelembe, hogy ez az első választás az új eszközök számára.

Az Azure AD-hez csatlakoztatott eszközök egyszeri bejelentkezéssel csatlakozhatnak a helyszíni erőforrásokhoz , amikor a szervezet hálózatán vannak, hitelesíthetik magukat a helyszíni kiszolgálókon, például fájlokkal, nyomtatással és más alkalmazásokkal.

Ha ez a legjobb megoldás a szervezet számára, tekintse meg az alábbi forrásanyagokat:

Azure AD-hez csatlakoztatott eszközök kiépítése

Az eszközök Azure AD-csatlakozáshoz való kiépítéséhez a következő módszereket kell alkalmaznia:

Ha egy eszközön a Windows 10 Professional vagy a Windows 10 Enterprise rendszer van telepítve, az FRX élmény alapértelmezés szerint a vállalati eszközök beállítási folyamatát indítja el.

Válassza ki az üzembe helyezési eljárást a megközelítések alapos összehasonlítása után.

Megállapíthatja, hogy az Azure AD-csatlakozás a legjobb megoldás egy másik állapotú eszközhöz. Az alábbi táblázat bemutatja, hogyan módosíthatja az eszköz állapotát.

Aktuális eszközállapot Kívánt eszközállapot Használati útmutató
Helyszíni tartományhoz csatlakoztatva Azure AD-hez csatlakoztatott Az Azure AD-hez való csatlakozás előtt törölje az eszköz csatlakoztatását a helyszíni tartományból.
Hibrid Azure AD-hez csatlakoztatott Azure AD-hez csatlakoztatott Az Azure AD-hez való csatlakozás előtt törölje az eszköz csatlakoztatását a helyszíni tartományból és az Azure AD-ből.
Az Azure AD-ban regisztrálva Azure AD-hez csatlakoztatott Az Eszköz regisztrációjának törlése az Azure AD-hez való csatlakozás előtt.

Hibrid Azure AD-csatlakozás

Ha helyi Active Directory környezettel rendelkezik, és meglévő tartományhoz csatlakoztatott számítógépeit az Azure AD-hez szeretné csatlakoztatni, ezt a feladatot hibrid Azure AD-csatlakozással is elvégezheti. Számos Windows eszközt támogat, beleértve Windows jelenlegi és Windows alacsonyabb szintű eszközöket is.

A legtöbb szervezet már rendelkezik tartományhoz csatlakoztatott eszközökkel, és Csoportházirend vagy System Center Configuration Manager (SCCM) használatával felügyeli őket. Ebben az esetben javasoljuk, hogy konfigurálja a hibrid Azure AD-csatlakozást, hogy előnyökhöz juthasson a meglévő befektetések használata során.

Ha a hibrid Azure AD-csatlakozás a legjobb megoldás a szervezet számára, tekintse meg az alábbi forrásanyagokat:

Hibrid Azure AD-csatlakozás kiépítése az eszközökhöz

Tekintse át az identitás-infrastruktúrát. Az Azure AD Csatlakozás egy varázslóval konfigurálja a hibrid Azure AD-csatlakozást a következőkhöz:

Ha az Azure AD Csatlakozás szükséges verziójának telepítése nem lehetséges, tekintse meg, hogyan konfigurálhatja manuálisan a hibrid Azure AD-csatlakozást.

Megjegyzés

A helyszíni tartományhoz csatlakoztatott Windows 10 vagy újabb eszköz megpróbál automatikusan csatlakozni az Azure AD-hez, hogy alapértelmezés szerint hibrid Azure AD-hez csatlakozzon. Ez csak akkor lesz sikeres, ha a megfelelő környezetet állította be.

Megállapíthatja, hogy a hibrid Azure AD-csatlakozás a legjobb megoldás egy másik állapotú eszközhöz. Az alábbi táblázat bemutatja, hogyan módosíthatja az eszköz állapotát.

Aktuális eszközállapot Kívánt eszközállapot Használati útmutató
Helyszíni tartományhoz csatlakoztatva Hibrid Azure AD-hez csatlakoztatott Az Azure AD Connect vagy az AD FS használatával csatlakozhat az Azure-hoz.
Helyszíni munkacsoporthoz csatlakozott vagy új Hibrid Azure AD-hez csatlakoztatott Az autopilot Windows támogatott. Ellenkező esetben az eszköznek helyszíni tartományhoz kell csatlakoznia a hibrid Azure AD-csatlakozás előtt.
Azure AD-hez csatlakoztatott Hibrid Azure AD-hez csatlakoztatott Az Azure AD-ből való bekapcsolódás megszüntetése, amely a helyszíni munkacsoportba vagy új állapotba helyezi.
Az Azure AD-ban regisztrálva Hibrid Azure AD-hez csatlakoztatott A Windows verziótól függ. Tekintse meg ezeket a szempontokat.

Eszközök kezelése

Miután regisztrálta vagy csatlakoztatta az eszközöket az Azure AD-hez, a Azure Portal központi helyként használhatja az eszközidentitások kezeléséhez. Az Azure Active Directory eszközök lap a következőket teszi lehetővé:

Az elavult eszközök kezelésével gondoskodjon arról, hogy a környezet tisztán maradjon, és az erőforrásokat az aktuális eszközök kezelésére összpontosítsa.

Támogatott eszközfelügyeleti eszközök

A rendszergazdák más eszközfelügyeleti eszközökkel biztonságossá és tovább szabályozhatják a regisztrált és csatlakoztatott eszközöket. Ezek az eszközök lehetővé teszik olyan konfigurációk kikényszerítését, mint a tároló titkosításának megkövetelése, a jelszó összetettsége, a szoftvertelepítések és a szoftverfrissítések.

Az integrált eszközök támogatott és nem támogatott platformjainak áttekintése:

Eszközfelügyeleti eszközök Az Azure AD-ban regisztrálva Azure AD-hez csatlakoztatott Hibrid Azure AD-hez csatlakoztatott
Mobil Eszközkezelés (MDM)
Példa: Microsoft Intune
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Közös kezelés Microsoft Intune és Microsoft Endpoint Configuration Manager
(Windows 10 vagy újabb)
Checkmark for these values. Checkmark for these values.
Csoportházirend
(csak Windows)
Checkmark for these values.

Javasoljuk, hogy fontolja meg Microsoft Intune mobilalkalmazás-kezelést (MAM) a regisztrált iOS- vagy Android-eszközök eszközfelügyeletével vagy anélkül.

A rendszergazdák virtuális asztali infrastruktúrát (VDI)-platformokat is üzembe helyezhetnek, amelyek Windows operációs rendszereket üzemeltetnek a szervezetükben, hogy leegyszerűsítsék a felügyeletet és csökkentsék a költségeket az erőforrások konszolidálásával és központosításával.

Következő lépések