Mi a Microsoft Entra csatlakozása?
Már megismerkedett az eszközidentitás és a feltételes hozzáférés fogalmával. Meg szeretné vizsgálni a Microsoft Entra-csatlakozást, és azt, hogy hogyan javíthatja az azure-beli és helyi Active Directory Domain Services eszközfelügyeletét.
Ebben a leckében megismerheti a Microsoft Entra csatlakozását, és azt, hogyan használhatja az infrastruktúrához és az eszközkezeléshez.
A Microsoft Entra csatlakozásának alapjai
A Microsoft Entra-csatlakozással anélkül csatlakozhat az eszközökhöz a Microsoft Entra-szervezethez, hogy szinkronizálnia kellene egy helyi Active Directory-példánysal. A Microsoft Entra-csatlakozás leginkább olyan szervezetek számára ideális, amelyek elsősorban felhőalapúak, bár hibrid felhőben és helyszíni környezetben is működhetnek.
Támogatott eszközök
A Microsoft Entra join Windows 10, Windows 11 vagy Windows Server 2019 rendszerű eszközökkel működik. A Windows Server 2019 Server Core-telepítése nem támogatott. Ha korábbi Windows operációs rendszert használ, frissítenie kell a Windows 10, a Windows 11 vagy a Windows Server 2019 rendszerre.
Identitás-infrastruktúra
Döntse el, hogy melyik infrastruktúra-modell támogatja leginkább a vállalat igényeit:
- Felügyelt környezet: Ez a környezet átmenő hitelesítést vagy jelszókivonat-szinkronizálást használ az egyszeri bejelentkezés (SSO) biztosításához az eszközök számára.
- Összevont környezetek: Ezekhez a környezetekhez identitásszolgáltatót kell használni. Ennek a szolgáltatónak támogatnia kell a Microsoft Entra-csatlakozás WS-Trust és WS-Fed protokolljait a Windows-eszközök natív használatához. A WS-Fed-nek csatlakoznia kell egy eszközhöz a Microsoft Entra-azonosítóhoz. A Microsoft Entra által csatlakoztatott eszközre való bejelentkezéshez WS-Trust szükséges.
- Intelligens kártyák és tanúsítványalapú hitelesítés: Ezek a módszerek nem érvényesek az eszközök Microsoft Entra-azonosítóhoz való csatlakoztatására. Ha azonban Active Directory összevonási szolgáltatások (AD FS) konfigurálva van, intelligens kártyák használatával bejelentkezhet a Microsoft Entra-hoz csatlakoztatott eszközökre. Javasoljuk, hogy olyan szolgáltatást használjon, mint a Vállalati Windows Hello, amely támogatja a jelszó nélküli hitelesítést Windows 10 és Windows 11 rendszerű eszközökön.
- Manuális felhasználói konfiguráció: Ha felhasználókat hoz létre a helyi Active Directory-példányban, szinkronizálnia kell a fiókokat a Microsoft Entra-azonosítóval a Microsoft Entra Csatlakozás használatával. Ha felhasználókat hoz létre a Microsoft Entra-azonosítóban, nincs szükség további telepítésre.
Eszközfelügyelet
A Microsoft Entra join a mobileszköz-kezelési (MDM) platformot használja a Microsoft Entra ID-hez csatlakoztatott eszközök kezelésére. Az MDM lehetővé teszi a szervezet számára szükséges konfigurációk kikényszerítését, például a tároló titkosítását, a jelszó összetettségét, a szoftvertelepítéseket és a szoftverfrissítéseket.
A Windows 10 és a Windows 11 legújabb verziói beépített MDM-ügyféllel rendelkeznek, amely minden kompatibilis MDM-rendszerrel működik.
A Microsoft Entra-hoz csatlakoztatott eszközök kétféleképpen kezelhetők:
Csak MDM: Az összes csatlakoztatott eszköz kezelése kizárólag MDM-szolgáltatón keresztül történik, például az Intune-on keresztül. Ha a vállalat csoportszabályzatokat használ, akkor a támogatáshoz felül kell vizsgálnia az MDM-szabályzatot.
Társfelügyelet: Minden csatlakoztatott eszköz egy helyileg telepített System Center Configuration Manager-ügynök és az MDM-szolgáltató kombinációját használja. A Microsoft Intune közös felügyeleti képességet biztosít a Configuration Managerrel. A Configuration Managerrel kezelheti az eszközt, miközben az MDM felhasználókezelési szabályzatokat biztosít.
Javasoljuk, hogy az MDM által csak az összes Microsoft Entra-hoz csatlakoztatott eszköz kezelésére használja az MDM-et.
Az erőforrásokhoz és alkalmazásokhoz való hozzáférés szempontjai
A legjobb felhasználói élmény és az alkalmazás jobb elérhetősége érdekében érdemes lehet minden alkalmazást és erőforrást áthelyezni az Azure-ba. Ez bizonyos esetekben lehetséges, de nem mindig praktikus. Ez a szakasz az alkalmazások és erőforrások elérésének lehetőségeit mutatja be:
Felhőalapú alkalmazások: A migrált alkalmazások és az összes új alkalmazás bekerül a Microsoft Entra alkalmazásgyűjteménybe. A Microsoft Entra join felhasználói egyszeri bejelentkezéssel érhetik el ezeket az alkalmazásokat. Az SSO-t a böngészők többsége támogatja. A Microsoft Entra join SSO-támogatást nyújt a Win32-t még használó alkalmazásokhoz való eszközhozzáféréshez.
Helyszíni webalkalmazások: A Microsoft Entra-csatlakozással továbbra is hozzáférhet a helyszínen üzemeltetett bármilyen egyedi vagy egyéni szoftverhez. Az ilyen alkalmazások használatához minden felhasználónak fel kell vennie az alkalmazást a megbízható helyek közé vagy az intranet zónába attól függően, hogy hol található az alkalmazás. Ezzel lehetővé teszik, hogy az alkalmazás integrált Windows-hitelesítést használjon anélkül, hogy hitelesítő adatokat kérne a felhasználóktól.
Egyéb eszközök: Ez a beállítás a korábbi protokollokon és helyszíni hálózati megosztásokon keresztüli meglévő alkalmazásokat is magában foglalja. Mindkettő elérhető a Microsoft Entra-hoz csatlakoztatott eszközök számára egyszeri bejelentkezéssel, ha az eszköz csatlakozik a tartományvezérlőhöz.
Nyomtatóerőforrások: Ezek az erőforrások nem lesznek automatikusan elérhetők a Microsoft Entra-csatlakozáson keresztül. A felhasználók továbbra is közvetlenül csatlakozhatnak a nyomtatóhoz az UNC elérési útján.
Üzembe helyezési lehetőségek
A Microsoft Entra-csatlakozás üzembe helyezésekor három lehetőség közül választhat az eszközök üzembe helyezésének és a Microsoft Entra-azonosítóhoz való csatlakoztatásának módjáról:
Önkiszolgáló: Megköveteli, hogy a felhasználók manuálisan konfigurálják az eszközt a Windows beépített felhasználói felülete (OOBE) során az új eszközökhöz, vagy a Régebbi eszközök Windows-beállításainak használatával. Az önkiszolgálás leginkább a technikai jártassággal rendelkező felhasználóknak felel meg.
Windows Autopilot: Lehetővé teszi a Windows-eszközök előzetes konfigurálását, beleértve az eszköz automatikus csatlakoztatását az Active Directory-szervezethez, az automatikus MDM-regisztrációt és az ügyfél OOBE-tartalmak létrehozását. Ez a módszer egyszerűbbé teszi a vállalat összes eszközének felügyeletét és üzembe helyezését. Kiépítheti és üzembe helyezheti Windows-eszközeit. A felhasználó úgy végzi el az OOBE-folyamatot, mintha új felhasználó volna.
Tömeges regisztráció: Lehetővé teszi egy olyan kiépítési csomag beállítását, amely egyszerre sok új Windows-eszközre vonatkozik.
Az alábbi táblázat az egyes módszerek fő jellemzőit foglalja össze:
Funkció | Önkiszolgálás | Windows Autopilot | Csoportos regisztráció |
---|---|---|---|
Felhasználói beavatkozás a beállítás során | Igen | Igen | Nem |
Informatikai beavatkozás | Nem | Igen | Igen |
Érintett folyamatok | OOBE és beállítások | Csak OOBE | Csak OOBE |
Rendszergazdai jogosultságok az elsődleges felhasználó számára | Igen | Konfigurálható | Nem |
OEM-támogatás szükséges | Nem | Igen | Nem |
Eszközbeállítások
Az Azure Portalon szabályozhatja, hogyan csatlakoznak az új eszközök a szervezethez. Nyissa meg a Microsoft Entra ID-eszközök>>eszközbeállításai lehetőséget. Innen konfigurálhatja a következő funkciókat, és bekapcsolhatja a Microsoft Entra-csatlakozást.
Mező | Description |
---|---|
A felhasználók csatlakozhatnak az eszközökhöz a Microsoft Entra-azonosítóhoz | Az Összes beállítás minden felhasználó számára lehetővé teszi az eszköze beléptetését. A Kijelölt beállítással meghatározható azoknak a felhasználóknak a köre, akik beléptethetik az eszközöket. Az Egyik sem beállítás megakadályozza, hogy a felhasználók eszközöket léptessenek be. |
További helyi rendszergazdák a Microsoft Entra-hoz csatlakoztatott eszközökön | Lehetővé teszi más felhasználók megadását, akik minden beléptetett eszközön fel lesznek véve a helyi rendszergazdák közé. Ez a beállítás alapértelmezés szerint engedélyezve van. A Microsoft Entra ID helyi rendszergazdaként hozzáadja a globális rendszergazdai és eszközadminisztrátori szerepköröket az eszközökön. |
A felhasználók regisztrálhatják eszközeiket a Microsoft Entra-azonosítóval | Lehetővé teszi, hogy a felhasználók regisztrálhassák eszközeiket a Microsoft Entra-csatlakozással. Ha a Microsoft Intune vagy a Microsoft 365 mobileszköz-kezelés funkcióját használja, akkor regisztrálni kell az eszközt. Ha ezen szolgáltatások bármelyike konfigurálva van a Microsoft Entra-szervezetben, minden ki van jelölve, és ez a beállítás le van tiltva. |
Többtényezős hitelesítés megkövetelése az eszközök csatlakoztatásához | Lehetővé teszi, hogy a Microsoft Entra többtényezős hitelesítést kényszerítse ki, amikor az eszköz csatlakozik a Microsoft Entra-azonosítóhoz. Azoknak a felhasználóknak, akik többtényezős hitelesítéssel csatlakoznak az eszközökhöz a Microsoft Entra-azonosítóhoz, maga az eszköz lesz a második tényező. |
Eszközök felhasználónkénti maximális száma | Megadhatja, hogy a felhasználó hány eszközzel rendelkezhet a Microsoft Entra-azonosítóban. Ennek a korlátnak az elérése után a felhasználónak egy új eszköz felvételéhez először el kell távolítania egy eszközt. |
A modulban használt példában felvehetne egy teszt-felhasználócsoportot az AD-beléptetés kipróbálásához. Ebben az esetben válassza ki, hogy a Felhasználók csatlakozhatnak-e az eszközökhöz a Kijelölt Microsoft Entra-azonosítóhoz>, majd adja hozzá a próbacsoport tagjait. Ha készen áll a Microsoft Entra-csatlakozás üzembe helyezésére a teljes Microsoft Entra-szervezetben, válassza az Összes lehetőséget.
Mobilitási beállítások
A mobilitási beállítások konfigurálásához szükség lehet egy MDM-szolgáltató megadására. Az MDM-szolgáltató hozzáadásához lépjen a Microsoft Entra ID>Mobility (MDM és MAM)Add application (MDM és MAM)> alkalmazáshoz.
Az MDM-szolgáltató hozzáadásakor a következő mobilitási beállításokat konfigurálhatja:
Mobilitási beállítás | leírás |
---|---|
MDM-felhasználói hatókör | Válassza az Egyik sem, Néhány vagy Összes lehetőség egyikét. Ha a felhasználó az MDM hatókörébe tartozik , és Microsoft Entra ID P1 vagy P2 előfizetéssel rendelkezik, az MDM-regisztráció a Microsoft Entra-csatlakozással együtt automatikusan történik. A hatókörben lévő összes felhasználónak rendelkeznie kell az MDM-hez megfelelő licenccel. Ha nem, az MDM-regisztráció meghiúsul, és a Microsoft Entra-csatlakozás visszaáll. Ha a felhasználó nem szerepel az MDM hatókörében, a Microsoft Entra-csatlakozás MDM-regisztráció nélkül fejeződik be. Az eszköz felügyelet nélküli eszköz lesz. |
MDM-URL-címek | Az MDM-konfigurációhoz tartozó három URL-cím az MDM használati feltételeinek URL-címe, az MDM-felderítési URL-cím és az MDM megfelelőségi URL-címe. Mindegyik URL-címnek előre definiált alapértelmezett értéke van. Ha ezek a mezők üresek, kérjen további tájékoztatást az MDM-szolgáltatótól. |
MAM-beállítások | A mobilalkalmazás-kezelés (MAM) nem vonatkozik a Microsoft Entra-csatlakozásra. |
Azokra az eszközökre szeretné korlátozni a vállalati erőforrásokhoz való hozzáférést, amelyeket a vállalat felügyel, és megfelelőnek minősülnek a mobileszköz-kezelési (MDM) rendszerben. Ebben a helyzetben tehát a vállalat MDM-szolgáltatóját szeretné felvenni az MDM-felhasználói hatókör>Összes beállítással.
Felhasználói élmény Windows 10 vagy Windows 11 rendszerű eszközökhöz való csatlakozáskor
Új eszközt adott át egy hozzáértő alkalmazottnak. Az önkiszolgáló megközelítéssel csatlakoznak az eszközhöz az Active Directory-szervezethez, amely többtényezős hitelesítést használ. A munkafolyamatot az alábbi lépések szemléltetik:
Az eszköz elindítása után az alkalmazott az utasításokat követve elvégzi a beállításokat, beleértve a régió megadását és egy nyelv kiválasztását.
Az alkalmazott elolvassa és elfogadja a Microsoft szoftverlicenc-feltételeit.
Az alkalmazott kiválasztja a hálózati kapcsolatot a felhőhöz való csatlakozáshoz.
A Ki ennek a gépnek a tulajdonosa? kérdésre az alkalmazott kiválasztja az Ez az eszköz a vállalatomé választ.
Az alkalmazott a vállalat által megadott hitelesítő adatokkal jelentkezik be.
Az alkalmazottat a rendszer felszólítja a többtényezős hitelesítésre.
A Microsoft Entra ID ellenőrzi a konfigurációs beállításokat, és ellenőrzi, hogy az eszközt regisztrálni kell-e az MDM-ben.
Ha a konfiguráció ellenőrzése sikeres, az eszköz regisztrálva lesz a szervezet Microsoft Entra-példányában. MDM használata esetén az eszköz regisztrált és felügyelt lesz.