Pianificare la distribuzione del dispositivo Azure Active Directory

Questo articolo consente di valutare i metodi per integrare il dispositivo con Azure AD, scegliere il piano di implementazione e fornire collegamenti chiave agli strumenti di gestione dei dispositivi supportati.

Il panorama dei dispositivi dell'utente è costantemente espanso. Le organizzazioni possono fornire desktop, portatili, telefoni, tablet e altri dispositivi. Gli utenti possono portare la propria matrice di dispositivi e accedere alle informazioni provenienti da posizioni diverse. In questo ambiente il processo come amministratore consiste nel mantenere sicure le risorse aziendali in tutti i dispositivi.

Azure Active Directory (Azure AD) consente all'organizzazione di soddisfare questi obiettivi con la gestione delle identità dei dispositivi. È ora possibile ottenere i dispositivi in Azure AD e controllarli da una posizione centrale nella portale di Azure. Questo processo offre un'esperienza unificata, una sicurezza avanzata e riduce il tempo necessario per configurare un nuovo dispositivo.

Esistono più metodi per integrare i dispositivi in Azure AD, possono funzionare separatamente o insieme in base al sistema operativo e ai requisiti:

Learn

Prima di iniziare, assicurarsi di avere familiarità con la panoramica della gestione delle identità del dispositivo.

Vantaggi

I vantaggi principali di offrire ai dispositivi un'identità Azure AD:

  • Aumentare la produttività: gli utenti possono eseguire l'accesso semplice (SSO) alle risorse locali e cloud, consentendo la produttività ovunque si trovino.

  • Aumentare la sicurezza: applicare criteri di accesso condizionale alle risorse in base all'identità del dispositivo o dell'utente. L'aggiunta di un dispositivo a Azure AD è un prerequisito per aumentare la sicurezza con una strategia senza password.

  • Migliorare l'esperienza utente: fornire agli utenti un accesso semplice alle risorse basate sul cloud dell'organizzazione da dispositivi personali e aziendali. Gli amministratori possono abilitare Enterprise Roaming stato per un'esperienza unificata in tutti i dispositivi Windows.

  • Semplificare la distribuzione e la gestione: semplificare il processo di inserimento dei dispositivi in Azure AD con Windows autopilot, provisioning bulk o self-service: Out of Box Experience (OOBE). Gestire i dispositivi con strumenti mdm (Mobile Gestione dispositivi) come Microsoft Intune e le relative identità in portale di Azure.

Pianificare il progetto di distribuzione

Considerare le esigenze organizzative quando si determina la strategia per la distribuzione nell'ambiente in uso.

Coinvolgere gli stakeholder appropriati

Quando i progetti tecnologici hanno esito negativo, in genere fanno a causa di aspettative non corrispondenti sull'impatto, sui risultati e sulle responsabilità. Per evitare queste insidie, assicurarsi di coinvolgere gli stakeholder corretti e che i ruoli degli stakeholder nel progetto siano ben compresi.

Per questo piano, aggiungere gli stakeholder seguenti all'elenco:

Ruolo Descrizione
Amministratore del dispositivo Rappresentante del team del dispositivo che può verificare che il piano soddisfi i requisiti del dispositivo dell'organizzazione.
Amministratore di rete Rappresentante del team di rete che può assicurarsi di soddisfare i requisiti di rete.
Team di gestione dei dispositivi Team che gestisce l'inventario dei dispositivi.
Team di amministrazione specifici del sistema operativo Teams che supportano e gestiscono versioni specifiche del sistema operativo. Ad esempio, potrebbe esserci un team incentrato su Mac o iOS.

Pianificare le comunicazioni

La comunicazione è fondamentale per il successo di un nuovo servizio. Comunica in modo proattivo con gli utenti su come cambierà l'esperienza, quando verrà modificata, e su come ottenere supporto in caso di problemi.

Pianificare un progetto pilota

È consigliabile che la configurazione iniziale del metodo di integrazione si trova in un ambiente di test o con un piccolo gruppo di dispositivi di test. Vedere Procedure consigliate per un progetto pilota.

È possibile eseguire una distribuzione di destinazione di Azure AD ibrida prima di abilitarla nell'intera organizzazione.

Avviso

Le organizzazioni devono includere un esempio di utenti di ruoli e profili diversi nel gruppo pilota. Un'implementazione mirata consente di identificare eventuali problemi che il piano potrebbe non essere stato risolto prima di abilitare per l'intera organizzazione.

Scegliere i metodi di integrazione

L'organizzazione può usare più metodi di integrazione dei dispositivi in un singolo tenant di Azure AD. L'obiettivo è scegliere i metodi adatti per ottenere i dispositivi gestiti in modo sicuro in Azure AD. Esistono molti parametri che guidano questa decisione, tra cui la proprietà, i tipi di dispositivo, il pubblico primario e l'infrastruttura dell'organizzazione.

Le informazioni seguenti consentono di decidere quali metodi di integrazione usare.

Albero delle decisioni per l'integrazione dei dispositivi

Usare questo albero per determinare le opzioni per i dispositivi di proprietà dell'organizzazione.

Nota

Gli scenari BYOD (Personal o Bring Your Own Device) non sono illustrati in questo diagramma. Generano sempre Azure AD registrazione.

Decision tree

Matrice di confronto

I dispositivi iOS e Android possono essere registrati solo Azure AD. La tabella seguente presenta considerazioni di alto livello per i dispositivi client Windows. Usarlo come panoramica, quindi esplorare i diversi metodi di integrazione in dettaglio.

Considerazioni Registrato con AAD Aggiunta ad Azure AD Aggiunta a Azure AD ibrido
Sistemi operativi client
dispositivi Windows 11 o Windows 10 Checkmark for these values. Checkmark for these values. Checkmark for these values.
Windows dispositivi a basso livello (Windows 8.1 o Windows 7) Checkmark for these values.
Opzioni di accesso
Credenziali locali dell'utente finale Checkmark for these values.
Password Checkmark for these values. Checkmark for these values. Checkmark for these values.
PIN per i dispositivi Checkmark for these values.
Windows Hello Checkmark for these values.
Windows Hello for Business Checkmark for these values. Checkmark for these values.
Chiavi di sicurezza FIDO 2.0 Checkmark for these values. Checkmark for these values.
Microsoft Authenticator App (senza password) Checkmark for these values. Checkmark for these values. Checkmark for these values.
Funzionalità principali
Accesso Single Sign-On alle risorse cloud Checkmark for these values. Checkmark for these values. Checkmark for these values.
Accesso SSO alle risorse locali Checkmark for these values. Checkmark for these values.
Accesso condizionale
(Richiedi che i dispositivi siano contrassegnati come conformi)
(Deve essere gestito da MDM)
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Accesso condizionale
(Richiedere dispositivi aggiunti a Azure AD ibridi)
Checkmark for these values.
Reimpostazione della password self-service dalla schermata di accesso Windows Checkmark for these values. Checkmark for these values.
reimpostazione del PIN Windows Hello Checkmark for these values. Checkmark for these values.

registrazione Azure AD

I dispositivi registrati vengono spesso gestiti con Microsoft Intune. I dispositivi vengono registrati in Intune in diversi modi, a seconda del sistema operativo.

Azure AD dispositivi registrati forniscono supporto per i dispositivi Bring Your Own Devices (BYOD) e i dispositivi di proprietà dell'azienda per l'accesso Single Sign-On alle risorse cloud. L'accesso alle risorse si basa sui criteri di accesso condizionale Azure AD applicati al dispositivo e all'utente.

Registrazione dei dispositivi

I dispositivi registrati vengono spesso gestiti con Microsoft Intune. I dispositivi vengono registrati in Intune in diversi modi, a seconda del sistema operativo.

BYOD e dispositivi mobili di proprietà dell'azienda vengono registrati dagli utenti che installano l'app Portale aziendale.

Se la registrazione dei dispositivi è l'opzione migliore per l'organizzazione, vedere le risorse seguenti:

Aggiunta ad Azure AD

Azure AD join consente di passare a un modello cloud-first con Windows. Offre un'ottima base se si prevede di modernizzare la gestione dei dispositivi e ridurre i costi IT correlati ai dispositivi. Azure AD join funziona solo con dispositivi Windows 10 o più recenti. Considerarlo come la prima scelta per i nuovi dispositivi.

Azure AD dispositivi aggiunti possono accedere SSO alle risorse locali quando si trovano nella rete dell'organizzazione, possono eseguire l'autenticazione a server locali come file, stampa e altre applicazioni.

Se questa opzione è ideale per l'organizzazione, vedere le risorse seguenti:

Provisioning Azure AD dispositivi aggiunti

Per effettuare il provisioning dei dispositivi per Azure AD join, sono disponibili gli approcci seguenti:

Se nel dispositivo è installato Windows 10 Professional o Windows 10 Enterprise, per impostazione predefinita viene avviato il processo di installazione dei dispositivi di proprietà dell'azienda.

Scegliere la procedura di distribuzione dopo un attento confronto di questi approcci.

È possibile determinare che Azure AD join è la soluzione migliore per un dispositivo in uno stato diverso. La tabella seguente illustra come modificare lo stato di un dispositivo.

Stato del dispositivo corrente Stato del dispositivo desiderato Procedure
Aggiunto a un dominio locale Aggiunta ad Azure AD Separare il dispositivo dal dominio locale prima di partecipare a Azure AD.
Aggiunta a Azure AD ibrido Aggiunta ad Azure AD Separare il dispositivo dal dominio locale e da Azure AD prima di partecipare a Azure AD.
Registrato con AAD Aggiunta ad Azure AD Annullare la registrazione del dispositivo prima dell'aggiunta a Azure AD.

Aggiunta ad Azure AD ibrido

Se si dispone di un ambiente Active Directory locale e si vuole aggiungere i computer esistenti aggiunti a un dominio a Azure AD, è possibile eseguire questa attività con l'aggiunta ad Azure AD ibrido. Supporta un'ampia gamma di dispositivi Windows, tra cui sia Windows dispositivi correnti che Windows di livello inferiore.

La maggior parte delle organizzazioni dispone già di dispositivi aggiunti a un dominio e li gestisce tramite Criteri di gruppo o System Center Configuration Manager (SCCM). In questo caso, è consigliabile configurare Azure AD ibrido per iniziare a ottenere vantaggi usando gli investimenti esistenti.

Se l'aggiunta a Azure AD ibrida è l'opzione migliore per l'organizzazione, vedere le risorse seguenti:

Provisioning di Azure AD ibridi aggiunti ai dispositivi

Esaminare l'infrastruttura di gestione delle identità. Azure AD Connessione offre una procedura guidata per configurare l'aggiunta ad Azure AD ibrida per:

Se l'installazione della versione richiesta di Azure AD Connessione non è un'opzione, vedere come configurare manualmente l'aggiunta ad Azure AD ibrido.

Nota

Il Windows 10 aggiunto a un dominio locale o un dispositivo più recente tenta di eseguire l'aggiunta automatica a Azure AD per diventare Azure AD ibrido aggiunto per impostazione predefinita. Questa operazione avrà esito positivo solo se è stato configurato l'ambiente corretto.

È possibile determinare che l'aggiunta a Azure AD ibrida è la soluzione migliore per un dispositivo in uno stato diverso. La tabella seguente illustra come modificare lo stato di un dispositivo.

Stato del dispositivo corrente Stato del dispositivo desiderato Procedure
Aggiunto a un dominio locale Aggiunta a Azure AD ibrido Usare Azure AD connettersi o AD FS per l'aggiunta ad Azure.
Gruppo di lavoro locale aggiunto o nuovo Aggiunta a Azure AD ibrido Supportato con Windows Autopilot. In caso contrario, il dispositivo deve essere aggiunto a un dominio locale prima dell'aggiunta ad Azure AD ibrido.
Aggiunta ad Azure AD Aggiunta a Azure AD ibrido Unjoin from Azure AD, che lo inserisce nel gruppo di lavoro locale o nuovo stato.
Registrato con AAD Aggiunta a Azure AD ibrido Dipende dalla versione Windows. Vedere queste considerazioni.

Gestire i dispositivi

Dopo aver registrato o aggiunto i dispositivi a Azure AD, usare l'portale di Azure come luogo centrale per gestire le identità del dispositivo. La pagina dei dispositivi Azure Active Directory consente di:

Assicurarsi di mantenere l'ambiente pulito gestendo i dispositivi non aggiornati e concentrarsi sulle risorse sulla gestione dei dispositivi correnti.

Strumenti di gestione dei dispositivi supportati

Gli amministratori possono proteggere e controllare ulteriormente i dispositivi registrati e aggiunti usando altri strumenti di gestione dei dispositivi. Questi strumenti consentono di applicare configurazioni come la necessità di crittografare l'archiviazione, la complessità delle password, le installazioni software e gli aggiornamenti software.

Esaminare le piattaforme supportate e non supportate per i dispositivi integrati:

Strumenti di gestione dei dispositivi Registrato con AAD Aggiunta ad Azure AD Aggiunta a Azure AD ibrido
Dispositivi mobili Gestione dispositivi (MDM)
Esempio: Microsoft Intune
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Co-gestione con Microsoft Intune e Microsoft Endpoint Configuration Manager
(Windows 10 o versione successiva)
Checkmark for these values. Checkmark for these values.
Criteri di gruppo
(solo Windows)
Checkmark for these values.

È consigliabile prendere in considerazione Microsoft Intune gestione di applicazioni mobili (MAM) con o senza gestione dei dispositivi per dispositivi iOS o Android registrati.

Gli amministratori possono anche distribuire piattaforme VDI (Virtual Desktop Infrastructure) che ospitano Windows sistemi operativi nelle loro organizzazioni per semplificare la gestione e ridurre i costi attraverso il consolidamento e la centralizzazione delle risorse.

Passaggi successivi