Planowanie wdrożenia urządzenia w usłudze Microsoft Entra
Ten artykuł pomaga ocenić metody integrowania urządzenia z identyfikatorem Firmy Microsoft Entra, wybrać plan implementacji i zawiera kluczowe linki do obsługiwanych narzędzi do zarządzania urządzeniami.
Poziom urządzeń użytkownika stale się rozwija. Organizacje mogą udostępniać komputery stacjonarne, laptopy, telefony, tablety i inne urządzenia. Użytkownicy mogą korzystać z własnej tablicy urządzeń i uzyskiwać dostęp do informacji z różnych lokalizacji. W tym środowisku Twoim zadaniem jako administrator jest zapewnienie bezpieczeństwa zasobów organizacji na wszystkich urządzeniach.
Microsoft Entra ID umożliwia organizacji spełnienie tych celów za pomocą zarządzania tożsamościami urządzeń. Teraz możesz pobrać swoje urządzenia w usłudze Microsoft Entra ID i kontrolować je z centralnej lokalizacji w centrum administracyjnym firmy Microsoft Entra. Ten proces zapewnia ujednolicone środowisko, zwiększone zabezpieczenia i skraca czas potrzebny do skonfigurowania nowego urządzenia.
Istnieje wiele metod integrowania urządzeń z identyfikatorem Entra firmy Microsoft. Mogą one działać oddzielnie lub razem na podstawie systemu operacyjnego i wymagań:
- Urządzenia można zarejestrować za pomocą identyfikatora Entra firmy Microsoft.
- Dołączanie urządzeń do identyfikatora Entra firmy Microsoft (tylko w chmurze).
- Urządzenia przyłączania hybrydowego firmy Microsoft Entra do domeny lokalna usługa Active Directory i identyfikatora Entra firmy Microsoft.
Nauka
Przed rozpoczęciem upewnij się, że zapoznasz się z omówieniem zarządzania tożsamościami urządzeń.
Świadczenia
Najważniejsze korzyści wynikające z zapewniania urządzeniom tożsamości firmy Microsoft Entra:
Zwiększenie produktywności — użytkownicy mogą bezproblemowo logować się do zasobów lokalnych i w chmurze, umożliwiając produktywność wszędzie tam, gdzie się znajdują.
Zwiększanie zabezpieczeń — stosowanie zasad dostępu warunkowego do zasobów na podstawie tożsamości urządzenia lub użytkownika. Dołączanie urządzenia do identyfikatora Entra firmy Microsoft jest wymaganiem wstępnym w celu zwiększenia bezpieczeństwa przy użyciu strategii bez hasła.
Ulepszanie środowiska użytkownika — zapewnij użytkownikom łatwy dostęp do zasobów opartych na chmurze w organizacji zarówno z urządzeń osobistych, jak i firmowych. Administracja istratory mogą włączyć Usługa Enterprise State Roaming w celu uzyskania ujednoliconego środowiska na wszystkich urządzeniach z systemem Windows.
Uproszczenie wdrażania i zarządzania — upraszcza proces przenoszenia urządzeń do identyfikatora Entra firmy Microsoft za pomocą rozwiązania Windows Autopilot, aprowizacji zbiorczej lub samoobsługi: środowisko OOBE (Out of Box Experience). Zarządzanie urządzeniami przy użyciu narzędzi do zarządzania urządzeniami mobilnymi Zarządzanie urządzeniami (MDM), takimi jak Usługa Microsoft Intune, oraz ich tożsamości w centrum administracyjnym firmy Microsoft Entra.
Planowanie projektu wdrożenia
Podczas określania strategii dla tego wdrożenia w danym środowisku należy wziąć pod uwagę potrzeby organizacji.
Angażowanie właściwych uczestników projektu
Gdy projekty technologiczne kończą się niepowodzeniem, zazwyczaj są wykonywane z powodu niezgodności oczekiwań dotyczących wpływu, wyników i obowiązków. Aby uniknąć tych pułapek, upewnij się, że angażujesz odpowiednich uczestników projektu i że role uczestników projektu są dobrze zrozumiałe.
Na potrzeby tego planu dodaj do listy następujące osoby biorące udział w projekcie:
| Rola | opis |
|---|---|
| Administrator urządzenia | Przedstawiciel zespołu urządzeń, który może sprawdzić, czy plan spełnia wymagania dotyczące urządzeń w organizacji. |
| Administrator sieci | Przedstawiciel zespołu ds. sieci, który może upewnić się, że spełnia wymagania dotyczące sieci. |
| Zespół zarządzania urządzeniami | Zespół zarządzający spisem urządzeń. |
| Zespoły administracyjne specyficzne dla systemu operacyjnego | Zespoły, które obsługują określone wersje systemu operacyjnego i zarządzają nimi. Na przykład może istnieć zespół skoncentrowany na komputerach Mac lub iOS. |
Planowanie komunikacji
Komunikacja ma kluczowe znaczenie dla sukcesu każdej nowej usługi. Proaktywne komunikowanie się z użytkownikami, jak zmieni się ich środowisko, kiedy zmieni się i jak uzyskać pomoc techniczną, jeśli wystąpią problemy.
Planowanie pilotażu
Zalecamy, aby początkowa konfiguracja metody integracji znajduje się w środowisku testowym lub w małej grupie urządzeń testowych. Zobacz Najlepsze rozwiązania dotyczące pilotażu.
Zanim włączysz je w całej organizacji, możesz wykonać ukierunkowane wdrożenie dołączania hybrydowego firmy Microsoft Entra.
Ostrzeżenie
Organizacje powinny zawierać przykład użytkowników z różnych ról i profilów w grupie pilotażowej. Wdrożenie docelowe pomoże zidentyfikować wszelkie problemy, które plan mógł nie rozwiązać przed włączeniem dla całej organizacji.
Wybieranie metod integracji
Twoja organizacja może używać wielu metod integracji urządzeń w jednej dzierżawie firmy Microsoft Entra. Celem jest wybranie metod odpowiednich do bezpiecznego zarządzania urządzeniami w usłudze Microsoft Entra ID. Istnieje wiele parametrów, które napędzają tę decyzję, w tym własność, typy urządzeń, odbiorców głównych i infrastrukturę organizacji.
Poniższe informacje mogą pomóc w podjęciu decyzji, które metody integracji mają być używane.
Drzewo decyzyjne integracji urządzeń
To drzewo służy do określania opcji dla urządzeń należących do organizacji.
Uwaga
Scenariusze byOD (Personal or bring-your own device) nie są przedstawiane na tym diagramie. Zawsze powodują rejestrację w usłudze Microsoft Entra.
Macierz porównania
Urządzenia z systemami iOS i Android mogą być zarejestrowane tylko przez firmę Microsoft Entra. W poniższej tabeli przedstawiono ogólne zagadnienia dotyczące urządzeń klienckich z systemem Windows. Użyj go jako przeglądu, a następnie zapoznaj się ze szczegółowymi metodami integracji.
| Kwestie wymagające rozważenia | Zarejestrowano usługę Microsoft Entra | Dołączono do usługi Microsoft Entra | Przyłączono hybrydową usługę Microsoft Entra |
|---|---|---|---|
| Systemy operacyjne klienta | |||
| Urządzenia z systemem Windows 11 lub Windows 10 |  |
|
|
| Urządzenia z systemem Windows na poziomie podrzędnym (Windows 8.1 lub Windows 7) | |
||
| Linux Desktop — Ubuntu 20.04/22.04 | |
||
| Opcje logowania | |||
| Poświadczenia lokalne użytkownika końcowego | |
||
| Password | |
|
|
| Numer PIN urządzenia | |
||
| Windows Hello | |
||
| Windows Hello for Business | |
|
|
| Klucze zabezpieczeń FIDO 2.0 | |
|
|
| Aplikacja Microsoft Authenticator (bez hasła) | |
|
|
| Kluczowe możliwości | |||
| Logowanie jednokrotne do zasobów w chmurze | |
|
|
| Logowanie jednokrotne do zasobów lokalnych | |
|
|
| Dostęp warunkowy (Wymagaj, aby urządzenia były oznaczone jako zgodne) (Musi być zarządzane przez rozwiązanie MDM) |
|
|
|
| Dostęp warunkowy (Wymagaj urządzeń dołączonych hybrydową do firmy Microsoft Entra) |
|
||
| Samoobsługowe resetowanie hasła na ekranie logowania systemu Windows | |
|
|
| Resetowanie numeru PIN funkcji Windows Hello | |
|
Rejestracja w usłudze Microsoft Entra
Zarejestrowane urządzenia są często zarządzane w usłudze Microsoft Intune. Urządzenia są rejestrowane w usłudze Intune na kilka sposobów, w zależności od systemu operacyjnego.
Zarejestrowane urządzenia firmy Microsoft zapewniają obsługę urządzeń byOD (Bring Your Own Devices) i urządzeń należących do firmy w celu logowania jednokrotnego do zasobów w chmurze. Dostęp do zasobów jest oparty na zasadach dostępu warunkowego firmy Microsoft stosowanych do urządzenia i użytkownika.
Rejestrowanie urządzeń
Zarejestrowane urządzenia są często zarządzane w usłudze Microsoft Intune. Urządzenia są rejestrowane w usłudze Intune na kilka sposobów, w zależności od systemu operacyjnego.
Urządzenia BYOD i firmowe urządzenia przenośne są rejestrowane przez użytkowników instalujących aplikację Portal firmy.
Jeśli rejestrowanie urządzeń jest najlepszą opcją dla organizacji, zobacz następujące zasoby:
- To omówienie zarejestrowanych urządzeń firmy Microsoft.
- Ta dokumentacja użytkownika końcowego dotycząca rejestrowania urządzenia osobistego w sieci organizacji.
Dołączenie do usługi Microsoft Entra
Dołączenie do firmy Microsoft Entra umożliwia przejście do modelu opartego na chmurze z systemem Windows. Jest to świetna podstawa, jeśli planujesz modernizację zarządzania urządzeniami i zmniejszenie kosztów IT związanych z urządzeniami. Sprzężenia Microsoft Entra współdziała tylko z urządzeniami z systemem Windows 10 lub nowszym. Należy wziąć pod uwagę to jako pierwszy wybór dla nowych urządzeń.
Urządzenia dołączone do firmy Microsoft mogą korzystać z logowania jednokrotnego do zasobów lokalnych, gdy znajdują się w sieci organizacji, mogą uwierzytelniać się na serwerach lokalnych, takich jak pliki, drukowanie i inne aplikacje.
Jeśli ta opcja jest najlepsza dla twojej organizacji, zobacz następujące zasoby:
- To omówienie urządzeń dołączonych do firmy Microsoft.
- Zapoznaj się z planem implementacji dołączania do firmy Microsoft Entra.
Aprowizowanie urządzeń przyłączonych do firmy Microsoft
Aby aprowizować urządzenia do dołączania do firmy Microsoft Entra, masz następujące podejścia:
Jeśli masz system Windows 10 Professional lub Windows 10 Enterprise zainstalowany na urządzeniu, środowisko użytkownika domyślnie rozpocznie proces konfiguracji urządzeń firmowych.
- Środowisko Windows Out of Box Experience (OOBE) lub z systemu Windows Ustawienia
- Windows Autopilot
- Rejestracja zbiorcza
Wybierz procedurę wdrażania po starannym porównaniu tych podejść.
Możesz określić, że dołączanie microsoft Entra jest najlepszym rozwiązaniem dla urządzenia w innym stanie. W poniższej tabeli pokazano, jak zmienić stan urządzenia.
| Bieżący stan urządzenia | Żądany stan urządzenia | Porady |
|---|---|---|
| Przyłączone do domeny lokalnej | Dołączono do usługi Microsoft Entra | Odłącz urządzenie od domeny lokalnej przed dołączeniem do identyfikatora Entra firmy Microsoft. |
| Przyłączono hybrydową usługę Microsoft Entra | Dołączono do usługi Microsoft Entra | Odłącz urządzenie od domeny lokalnej i identyfikatora Entra firmy Microsoft przed dołączeniem do identyfikatora Entra firmy Microsoft. |
| Zarejestrowano usługę Microsoft Entra | Dołączono do usługi Microsoft Entra | Wyrejestruj urządzenie przed dołączeniem do identyfikatora Entra firmy Microsoft. |
Dołączanie hybrydowe firmy Microsoft Entra
Jeśli masz środowisko lokalna usługa Active Directory i chcesz dołączyć istniejące komputery przyłączone do domeny do firmy Microsoft Entra ID, możesz wykonać to zadanie za pomocą dołączania hybrydowego firmy Microsoft Entra. Obsługuje ona szeroką gamę urządzeń z systemem Windows, w tym zarówno urządzeń z systemem Windows, jak i urządzeń z systemem Windows na poziomie podrzędnym.
Większość organizacji ma już urządzenia przyłączone do domeny i zarządza nimi za pośrednictwem zasad grupy lub programu System Center Configuration Manager (SCCM). W takim przypadku zalecamy skonfigurowanie dołączania hybrydowego firmy Microsoft Entra, aby rozpocząć uzyskiwanie korzyści podczas korzystania z istniejących inwestycji.
Jeśli dołączanie hybrydowe firmy Microsoft Entra jest najlepszą opcją dla twojej organizacji, zobacz następujące zasoby:
- To omówienie urządzeń dołączonych hybrydową do firmy Microsoft Entra.
- Zapoznaj się z planem implementacji dołączania hybrydowego firmy Microsoft Entra.
Aprowizowanie przyłączania hybrydowego firmy Microsoft Entra do urządzeń
Przejrzyj infrastrukturę tożsamości. Firma Microsoft Entra Połączenie udostępnia kreator konfigurowania dołączania hybrydowego firmy Microsoft Entra dla:
Jeśli instalacja wymaganej wersji programu Microsoft Entra Połączenie nie jest opcją, zobacz, jak ręcznie skonfigurować dołączanie hybrydowe firmy Microsoft Entra.
Uwaga
Przyłączone do domeny lokalnej urządzenie z systemem Windows 10 lub nowszym próbuje automatycznie dołączyć do identyfikatora Entra firmy Microsoft, aby domyślnie dołączyć hybrydowo do firmy Microsoft Entra. Powiedzie się to tylko w przypadku skonfigurowania odpowiedniego środowiska.
Możesz określić, że dołączenie hybrydowe firmy Microsoft Entra jest najlepszym rozwiązaniem dla urządzenia w innym stanie. W poniższej tabeli pokazano, jak zmienić stan urządzenia.
| Bieżący stan urządzenia | Żądany stan urządzenia | Porady |
|---|---|---|
| Przyłączone do domeny lokalnej | Przyłączono hybrydową usługę Microsoft Entra | Dołącz do platformy Azure za pomocą usługi Microsoft Entra Połączenie lub AD FS. |
| Dołączona lokalna grupa robocza lub nowa | Przyłączono hybrydową usługę Microsoft Entra | Obsługiwane w przypadku rozwiązania Windows Autopilot. W przeciwnym razie urządzenie musi być przyłączone do domeny lokalnej przed dołączeniem hybrydowym firmy Microsoft Entra. |
| Dołączono do usługi Microsoft Entra | Przyłączono hybrydową usługę Microsoft Entra | Odłącz się od identyfikatora Entra firmy Microsoft, który umieszcza go w lokalnej grupie roboczej lub nowym stanie. |
| Zarejestrowano usługę Microsoft Entra | Przyłączono hybrydową usługę Microsoft Entra | Zależy od wersji systemu Windows. Zapoznaj się z tymi zagadnieniami. |
Zarządzanie urządzeniami
Po zarejestrowaniu lub dołączeniu urządzeń do usługi Microsoft Entra ID użyj centrum administracyjnego firmy Microsoft Entra jako centralnego miejsca do zarządzania tożsamościami urządzeń. Strona Urządzeń firmy Microsoft Entra umożliwia:
- Skonfiguruj ustawienia urządzenia.
- Aby zarządzać urządzeniami z systemem Windows, musisz być administratorem lokalnym. Identyfikator entra firmy Microsoft aktualizuje to członkostwo dla urządzeń dołączonych do firmy Microsoft, automatycznie dodając użytkowników z rolą menedżera urządzeń jako administratorów do wszystkich dołączonych urządzeń.
Upewnij się, że środowisko jest czyste, zarządzając nieaktywnymi urządzeniami, i skoncentruj zasoby na zarządzaniu bieżącymi urządzeniami.
Obsługiwane narzędzia do zarządzania urządzeniami
Administracja istratory mogą zabezpieczyć i dodatkowo kontrolować zarejestrowane i przyłączone urządzenia przy użyciu innych narzędzi do zarządzania urządzeniami. Te narzędzia umożliwiają wymuszanie konfiguracji, takich jak wymaganie szyfrowania magazynu, złożoności haseł, instalacji oprogramowania i aktualizacji oprogramowania.
Przejrzyj obsługiwane i nieobsługiwane platformy dla zintegrowanych urządzeń:
| Narzędzia do zarządzania urządzeniami | Zarejestrowano usługę Microsoft Entra | Dołączono do usługi Microsoft Entra | Przyłączono hybrydową usługę Microsoft Entra |
|---|---|---|---|
| Zarządzanie urządzeniami mobilnymi (MDM) Przykład: Microsoft Intune |
|
|
|
| Współzarządzanie przy użyciu usługi Microsoft Intune i programu Microsoft Configuration Manager (Windows 10 lub nowszy) |
|
|
|
| Zasady grupy (Tylko system Windows) |
|
Zalecamy rozważenie zarządzania aplikacjami mobilnymi (MAM) w usłudze Microsoft Intune z zarządzaniem urządzeniami zarejestrowanymi w systemach iOS lub Android lub bez zarządzania nimi.
Administracja istratory mogą również wdrażać platformy infrastruktury pulpitu wirtualnego (VDI) hostują systemy operacyjne Windows w swoich organizacjach, aby usprawnić zarządzanie i obniżyć koszty dzięki konsolidacji i centralizacji zasobów.