Планирование развертывания устройства Microsoft Entra
Эта статья поможет оценить методы интеграции устройства с идентификатором Microsoft Entra ID, выбрать план реализации и предоставить ключевые ссылки на поддерживаемые средства управления устройствами.
Разнообразие устройств, на которых работают пользователи, постоянно растет. Организации могут предоставлять настольные компьютеры, ноутбуки, телефоны, планшеты и другие устройства. Пользователи могут приносить свои собственные устройства и получать доступ к информации из различных расположений. В этой среде ваша задача как администратора — обеспечение безопасности ресурсов организации на всех устройствах.
Идентификатор Microsoft Entra позволяет вашей организации соответствовать этим целям с помощью управления удостоверениями устройств. Теперь вы можете получить устройства в идентификаторе Microsoft Entra и управлять ими из центрального расположения в Центре администрирования Microsoft Entra. Этот процесс обеспечивает унифицированный интерфейс, улучшенную безопасность и сокращает время, необходимое для настройки нового устройства.
Существует несколько методов интеграции устройств с идентификатором Microsoft Entra, они могут работать отдельно или совместно на основе операционной системы и ваших требований:
- Вы можете зарегистрировать устройства с помощью идентификатора Microsoft Entra.
- Присоединение устройств к идентификатору Microsoft Entra (только для облака).
- Устройства гибридного соединения Microsoft Entra с доменом локальная служба Active Directory и идентификатором Microsoft Entra.
Знакомство с
Перед началом работы убедитесь, что вы знакомы с обзором управления удостоверениями устройств.
Льготы
Основные преимущества предоставления устройствам удостоверения Microsoft Entra:
Повышение производительности — пользователи могут выполнять простой вход (SSO) в локальные и облачные ресурсы, обеспечивая производительность в любом месте.
Повышение безопасности — применяйте политики условного доступа к ресурсам на основе удостоверения устройства или пользователя. Присоединение устройства к идентификатору Microsoft Entra является необходимым условием для повышения безопасности с помощью стратегии без пароля.
Улучшение взаимодействия с пользователем — предоставьте пользователям простой доступ к облачным ресурсам организации с персональных и корпоративных устройств. Администраторы могут включить службу Enterprise State Roaming для единого взаимодействия на всех устройствах Windows.
Упрощение развертывания и управления. Упрощение процесса доставки устройств в идентификатор Microsoft Entra с помощью Windows Autopilot, массовой подготовки или самостоятельной подготовки: вне box experience (OOBE). Управление устройствами с помощью средств мобильных Управление устройствами (MDM), таких как Microsoft Intune, и их удостоверений в Центре администрирования Microsoft Entra.
Планирование проекта развертывания
Учитывайте потребности организации при определении стратегии развертывания в вашей среде.
Привлечение соответствующих заинтересованных лиц
Причиной неудач технических проектов обычно являются неоправданные ожидания относительно их значимости и результатов, а также обязанностей сотрудников и заинтересованных лиц. Чтобы избежать этих ошибок, убедитесь, что вы являетесь правильными заинтересованными лицами, и что роли заинтересованных лиц в проекте хорошо поняты.
Для этого плана добавьте в список следующих заинтересованных лиц.
| Роль | Description |
|---|---|
| Администратор устройств | Представитель группы разработчиков устройств, который будет проверять, соответствует ли план требованиям вашей организации к устройствам. |
| Администратор сети | Представитель группы "сетевиков", который будет обеспечивать соответствие требованиям к сети. |
| Группа управления устройствами | Команда, управляющая инвентаризацией устройств. |
| Группы администраторов, относящиеся к конкретной операционной системе | Группы, которые поддерживают определенные версии ОС и управляют ими. Например, может быть группа по Mac или iOS. |
Планирование информирования
Информирование важно для успеха любой новой службы. Заблаговременное сообщайте пользователям, как изменится их взаимодействие с системой, когда это произойдет и как получить поддержку в случае возникновения проблем.
Планирование пилотного проекта
Рекомендуется использовать первоначальную конфигурацию метода интеграции в тестовой среде или с небольшой группой тестовых устройств. Ознакомьтесь с рекомендациями по пилотным проектам.
Вы можете выполнить целевое развертывание гибридного соединения Microsoft Entra, прежде чем включить его во всей организации.
Предупреждение
Организации должны включить выборку пользователей из различных ролей и профилей в свою пилотную группу. Целевое развертывание поможет определить проблемы, которые не были учтены в вашем плане, прежде чем включать эту возможность для всей организации.
Выбор методов интеграции
Ваша организация может использовать несколько методов интеграции устройств в одном клиенте Microsoft Entra. Цель — выбрать методы, подходящие для безопасного управления устройствами в идентификаторе Microsoft Entra. Существует много параметров, которые влияют на это решение, включая владельцев, типы устройств, основную аудиторию и инфраструктуру организации.
Следующая информация поможет вам решить, какой из методов интеграции использовать.
Дерево принятия решений для интеграции устройств
Используйте это дерево для определения параметров для устройств, принадлежащих организации.
Примечание.
В этой схеме не изображены сценарии для личных устройств, которые можно взять с собой в офис (BYOD). Они всегда приводят к регистрации Microsoft Entra.
Матрица сравнения
Устройства iOS и Android могут быть зарегистрированы только в Microsoft Entra. В следующей таблице представлены обобщенные рекомендации для клиентских устройств Windows. Используйте ее в качестве обзора, а затем подробно изучите различные методы интеграции.
| Фактор | зарегистрированы в Microsoft Entra. | присоединены к Microsoft Entra; | имеют гибридное присоединение к Microsoft Entra; |
|---|---|---|---|
| Клиентские операционные системы | |||
| Устройства Windows 11 или Windows 10 |  |
|
|
| Устройства Windows ранних версий (Windows 8.1 или Windows 7) | |
||
| Настольный компьютер Linux — Ubuntu 20.04/22.04 | |
||
| Параметры входа | |||
| Локальные учетные данные конечного пользователя | |
||
| Password | |
|
|
| ПИН-код устройства | |
||
| Windows Hello | |
||
| Windows Hello для бизнеса | |
|
|
| Ключи безопасности FIDO 2.0 | |
|
|
| Вход без пароля с использованием приложения Microsoft Authenticator | |
|
|
| Ключевые возможности | |||
| Единый вход (SSO) для облачных ресурсов | |
|
|
| Единый вход для доступа к локальным ресурсам | |
|
|
| Условный доступ (Требовать, чтобы устройства были помечены как соответствующие) (Управление должно осуществляться с помощью MDM) |
|
|
|
| Условный доступ (Требовать гибридные устройства, присоединенные к Microsoft Entra) |
|
||
| Самостоятельный сброс пароля на экране входа в Windows | |
|
|
| Сброс PIN на экране приветствия Windows | |
|
Регистрация Microsoft Entra
Зарегистрированные устройства часто управляются Microsoft Intune. Устройства регистрируются в Intune несколькими способами в зависимости от операционной системы.
Зарегистрированные устройства Microsoft Entra обеспечивают поддержку использования собственных устройств (BYOD) и корпоративных устройств для единого входа в облачные ресурсы. Доступ к ресурсам основан на политиках условного доступа Microsoft Entra, применяемых к устройству и пользователю.
Регистрация устройств
Зарегистрированные устройства часто управляются Microsoft Intune. Устройства регистрируются в Intune несколькими способами в зависимости от операционной системы.
Собственные и корпоративные мобильные устройства регистрируются пользователями, устанавливающими приложение корпоративного портала.
- iOS
- Android
- Windows 10 или более поздние версии
- macOS
- Настольный компьютер Linux — Ubuntu 20.04/22.04
Если регистрация устройств является лучшим вариантом для вашей организации, см. следующие ресурсы.
- В этом обзоре зарегистрированных устройств Microsoft Entra.
- Эта документация для конечных пользователей посвящена регистрации личного устройства в сети организации.
Присоединение к Microsoft Entra
Присоединение Microsoft Entra позволяет перейти к облачной модели с Windows. Оно предоставляет превосходную основу, если вы планируете модернизировать управление устройствами и снизить затраты на ИТ-ресурсы. Присоединение Microsoft Entra работает только с устройствами Под управлением Windows 10 или более новых версий. Рекомендуется использовать его в качестве первого варианта для новых устройств.
Устройства, присоединенные к Microsoft Entra, могут выполнять единый вход в локальные ресурсы , когда они находятся в сети организации, могут проходить проверку подлинности на локальных серверах, таких как файл, печать и другие приложения.
Если регистрация устройств является лучшим вариантом для вашей организации, см. приведенные ниже ресурсы.
- В этом обзоре устройств, присоединенных к Microsoft Entra.
- Ознакомьтесь с планом реализации присоединения к Microsoft Entra.
Подготовка устройств, присоединенных к Microsoft Entra
Для подготовки устройств к присоединению к Microsoft Entra у вас есть следующие подходы:
- Самообслуживание: настройка Windows 10 при первом запуске
Если на устройстве установлена операционная система Windows 10 Профессиональная или Windows 10 Корпоративная, автоматически запускается процесс установки устройств, принадлежащих компании.
- Интерфейс Windows при первом запуске компьютера (OOBE) или параметры Windows
- Windows Autopilot
- Массовая регистрация
После тщательного сравнения этих подходов выберите процедуру развертывания.
Вы можете определить, что присоединение Microsoft Entra является лучшим решением для устройства в другом состоянии. В следующей таблице показано, как изменить состояние устройства.
| Текущее состояние устройства | Требуемое состояние устройства | Практические советы |
|---|---|---|
| Присоединен к локальному домену | присоединены к Microsoft Entra; | Перед присоединением к идентификатору Microsoft Entra отсоедините устройство из локального домена. |
| имеют гибридное присоединение к Microsoft Entra; | присоединены к Microsoft Entra; | Перед присоединением к идентификатору Microsoft Entra перед присоединением к идентификатору Microsoft Entra следует отсоединить устройство из локального домена и из идентификатора Microsoft Entra. |
| зарегистрированы в Microsoft Entra. | присоединены к Microsoft Entra; | Отмена регистрации устройства перед присоединением к идентификатору Microsoft Entra. |
Гибридное соединение Microsoft Entra
Если у вас есть среда локальная служба Active Directory и вы хотите присоединить существующие компьютеры, присоединенные к домену, к идентификатору Microsoft Entra, можно выполнить эту задачу с помощью гибридного соединения Microsoft Entra. Эта функция поддерживает широкий спектр устройств Windows, включая как текущие, так и прежние версии Windows.
В большинстве организаций уже есть присоединенные к домену устройства и управление ими осуществляется с помощью групповой политики или System Center Configuration Manager (SCCM). В этом случае рекомендуется настроить гибридное соединение Microsoft Entra, чтобы приступить к получению преимуществ при использовании существующих инвестиций.
Если гибридное присоединение Microsoft Entra является лучшим вариантом для вашей организации, ознакомьтесь со следующими ресурсами:
- В этом обзоре гибридных устройств, присоединенных к Microsoft Entra.
- Ознакомьтесь с планом реализации гибридного соединения Microsoft Entra.
Подготовка гибридного соединения Microsoft Entra к устройствам
Изучение инфраструктуры удостоверений. Microsoft Entra Подключение предоставляет мастер настройки гибридного соединения Microsoft Entra для:
Если установка требуемой версии Microsoft Entra Подключение не является вариантом для вас, см. инструкции по настройке гибридного соединения Microsoft Entra вручную.
Примечание.
Локально присоединенное к домену устройство Windows 10 или более новое устройство пытается автоматически присоединиться к идентификатору Microsoft Entra, чтобы стать гибридным присоединением к Microsoft Entra по умолчанию. Эта операция будет успешной, только если настроена правильная среда.
Вы можете определить, что гибридное соединение Microsoft Entra является лучшим решением для устройства в другом состоянии. В следующей таблице показано, как изменить состояние устройства.
| Текущее состояние устройства | Требуемое состояние устройства | Практические советы |
|---|---|---|
| Присоединен к локальному домену | имеют гибридное присоединение к Microsoft Entra; | Используйте Microsoft Entra Подключение или AD FS для присоединения к Azure. |
| Присоединено к локальной рабочей группе или новое | имеют гибридное присоединение к Microsoft Entra; | Поддерживается в Windows Autopilot. В противном случае устройство должно быть присоединено к локальному домену перед гибридным присоединением к Microsoft Entra. |
| присоединены к Microsoft Entra; | имеют гибридное присоединение к Microsoft Entra; | Отсоединяйтесь от идентификатора Microsoft Entra, который помещает его в локальную рабочую группу или новое состояние. |
| зарегистрированы в Microsoft Entra. | имеют гибридное присоединение к Microsoft Entra; | Зависит от версии Windows. Следуйте указанным в данном разделе рекомендациям. |
Управление устройствами
После регистрации или присоединения устройств к идентификатору Microsoft Entra используйте Центр администрирования Microsoft Entra в качестве центрального места для управления удостоверениями устройств. Страница устройств Microsoft Entra позволяет:
- Настройка параметров устройства.
- Для управления устройствами Windows необходимы права локального администратора. Идентификатор Microsoft Entra обновляет это членство для устройств, присоединенных к Microsoft Entra, автоматически добавляя пользователей с ролью диспетчера устройств в качестве администраторов на все присоединенные устройства.
Следите за тем, чтобы среда была очищена с помощью управления устаревшими устройствами, а также сосредоточьте ресурсы на управлении текущими устройствами.
Поддерживаемые средства управления устройствами
Администраторы могут защищать и контролировать зарегистрированные и присоединенные устройства с помощью других средств управления устройствами. Эти инструменты позволяют применять различные конфигурации, например требовать шифрование хранилищ, задавать сложность пароля, обязательное программное обеспечение и (или) правила обновления.
Ознакомьтесь с поддерживаемыми и неподдерживаемыми платформами для интегрированных устройств.
| Средства управления устройствами | зарегистрированы в Microsoft Entra. | присоединены к Microsoft Entra; | имеют гибридное присоединение к Microsoft Entra; |
|---|---|---|---|
| Управление мобильными устройствами (MDM) Пример: Microsoft Intune |
|
|
|
| Совместное управление с Microsoft Intune и Microsoft Configuration Manager (Windows 10 или более поздней версии) |
|
|
|
| Групповая политика (Только для Windows) |
|
Мы рекомендуем рассмотреть возможность управления мобильными приложениями Microsoft Intune (MAM) как с управлением устройствами для зарегистрированных устройств iOS и Android, так и без него.
Администраторы также могут развертывать платформы инфраструктуры виртуальных рабочих столов (VDI), в которых размещаются операционные системы Windows в своих организациях, чтобы упростить управление и снизить затраты посредством консолидации и централизованного развертывания ресурсов.