Planeie a sua implementação de dispositivos Azure Ative Directory

Este artigo ajuda-o a avaliar os métodos para integrar o seu dispositivo com a Azure AD, escolher o plano de implementação e fornecer links-chave para ferramentas de gestão de dispositivos suportados.

A paisagem dos dispositivos do seu utilizador está em constante expansão. As organizações podem fornecer computadores portáteis, portáteis, telefones, tablets e outros dispositivos. Os seus utilizadores podem trazer a sua própria variedade de dispositivos e aceder a informações de locais variados. Neste ambiente, o seu trabalho como administrador é manter os seus recursos organizacionais seguros em todos os dispositivos.

Azure Ative Directory (Azure AD) permite que a sua organização cumpra estes objetivos com a gestão da identidade do dispositivo. Agora pode obter os seus dispositivos em Azure AD e controlá-los a partir de uma localização central no portal do Azure. Este processo proporciona-lhe uma experiência unificada, segurança reforçada e reduz o tempo necessário para configurar um novo dispositivo.

Existem vários métodos para integrar os seus dispositivos no Azure AD, que podem funcionar separadamente ou em conjunto com base no sistema operativo e nos seus requisitos:

Learn

Antes de começar, certifique-se de que está familiarizado com a visão geral da gestão da identidade do dispositivo.

Benefícios

Os principais benefícios de dar aos seus dispositivos uma identidade AD Azure:

Planear o projeto de implantação

Considere as suas necessidades organizacionais enquanto determina a estratégia para esta implantação no seu ambiente.

Envolver as partes interessadas certas

Quando os projetos tecnológicos falham, normalmente fazem-no devido às expectativas desajustadas no impacto, resultados e responsabilidades. Para evitar estas armadilhas, certifique-se de que está a envolver as partes interessadas certas e que as partes interessadas no projeto são bem compreendidas.

Para este plano, adicione as seguintes partes interessadas à sua lista:

Função Description
Administrador de dispositivos Um representante da equipa de dispositivos que pode verificar se o plano irá satisfazer os requisitos do dispositivo da sua organização.
Administrador de rede Um representante da equipa de rede que pode certificar-se de que cumpre os requisitos da rede.
Equipa de gestão de dispositivos Equipa que gere o inventário dos dispositivos.
Equipas de administração específicas do OS Teams que suportam e gerem versões específicas do SISTEMA. Por exemplo, pode haver uma equipa focada no Mac ou iOS.

Planear as comunicações

A comunicação é fundamental para o sucesso de qualquer novo serviço. Comunicar proativamente com os seus utilizadores como a sua experiência vai mudar, quando vai mudar, e como ganhar apoio se eles experimentarem problemas.

Planeie um piloto

Recomendamos que a configuração inicial do seu método de integração esteja num ambiente de teste, ou com um pequeno grupo de dispositivos de teste. Consulte as melhores práticas para um piloto.

Você pode querer fazer uma implementação direcionada da ad híbrida Azure antes de permitir que ele em toda a organização.

Aviso

As organizações devem incluir uma amostra de utilizadores de diferentes funções e perfis no seu grupo piloto. Um lançamento direcionado ajudará a identificar quaisquer problemas que o seu plano possa não ter abordado antes de ativar para toda a organização.

Escolha os seus métodos de integração

A sua organização pode utilizar vários métodos de integração de dispositivos num único inquilino AZure AD. O objetivo é escolher os métodos(s) adequados para obter os seus dispositivos geridos de forma segura em Azure AD. Existem muitos parâmetros que impulsionam esta decisão, incluindo a propriedade, tipos de dispositivos, audiência primária e infraestrutura da sua organização.

As seguintes informações podem ajudá-lo a decidir quais os métodos de integração a utilizar.

Árvore de decisão para integração de dispositivos

Use esta árvore para determinar opções para dispositivos pertencentes à organização.

Nota

Os cenários pessoais ou próprios do dispositivo (BYOD) não são retratados neste diagrama. Resultam sempre no registo AZure AD.

Decision tree

Matriz de comparação

Os dispositivos iOS e Android só podem estar registados no Azure AD. O quadro seguinte apresenta considerações de alto nível para Windows dispositivos clientes. Use-o como uma visão geral, em seguida, explore os diferentes métodos de integração em detalhe.

Consideração Azure AD registado Azure AD associado associado ao Azure AD Híbrido
Sistemas operativos do cliente
dispositivos Windows 11 ou Windows 10 Checkmark for these values. Checkmark for these values. Checkmark for these values.
Windows dispositivos de nível inferior (Windows 8.1 ou Windows 7) Checkmark for these values.
Iniciar sinsções
Credenciais locais de utilizador final Checkmark for these values.
Palavra-passe Checkmark for these values. Checkmark for these values. Checkmark for these values.
PIN do dispositivo Checkmark for these values.
Windows Hello Checkmark for these values.
Windows Hello para empresas Checkmark for these values. Checkmark for these values.
Chaves de segurança FIDO 2.0 Checkmark for these values. Checkmark for these values.
Microsoft Authenticator App (sem palavras-passe) Checkmark for these values. Checkmark for these values. Checkmark for these values.
Principais capacidades
SSO para cloud resources Checkmark for these values. Checkmark for these values. Checkmark for these values.
Recursos de SSO para o local Checkmark for these values. Checkmark for these values.
Acesso Condicional
(Exigir que os dispositivos sejam marcados como conformes)
(Deve ser gerido pelo MDM)
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Acesso Condicional
(Requera dispositivos híbridos AZure AD)
Checkmark for these values.
Palavra-passe de autosserviço reposta a partir do ecrã de login Windows Checkmark for these values. Checkmark for these values.
Windows Hello RESET PIN Checkmark for these values. Checkmark for these values.

Registo Azure Ad

Os dispositivos registados são frequentemente geridos com Microsoft Intune. Os dispositivos são matriculados em Intune de várias formas, dependendo do sistema operativo.

Os dispositivos registados Azure AD fornecem suporte para Bring Your Own Devices (BYOD) e dispositivos corporativos para SSO para cloud resources. O acesso aos recursos baseia-se nas políticas de Acesso Condicional Azure AD aplicadas ao dispositivo e ao utilizador.

Registar dispositivos

Os dispositivos registados são frequentemente geridos com Microsoft Intune. Os dispositivos são matriculados em Intune de várias formas, dependendo do sistema operativo.

A BYOD e o dispositivo móvel de propriedade corporativa são registados pelos utilizadores que instalam a aplicação portal da Empresa.

Se registar os seus dispositivos é a melhor opção para a sua organização, consulte os seguintes recursos:

Associação ao Azure AD

A ad azure permite-lhe transitar para um modelo de primeira nuvem com Windows. Fornece uma grande base se estiver a planear modernizar a gestão do seu dispositivo e reduzir os custos de TI relacionados com o dispositivo. A Azure AD junta-se a obras apenas com Windows 10 ou dispositivos mais recentes. Considere-o como a primeira escolha para novos dispositivos.

Os dispositivos azure AD podem SSO para recursos no local quando estão na rede da organização, pode autenticar para servidores no local como ficheiros, impressão e outras aplicações.

Se esta opção for melhor para a sua organização, consulte os seguintes recursos:

Provisioning Azure AD Dispositivos Unidos

Para a disponibilização de dispositivos para aderir à Azure AD, tem as seguintes abordagens:

Se tiver o Windows 10 Professional ou o Windows 10 Enterprise instalado num dispositivo, a experiência predefine o processo de instalação dos dispositivos da empresa.

Escolha o seu procedimento de implantação após uma comparação cuidadosa destas abordagens.

Pode determinar que a junção a Azure AD é a melhor solução para um dispositivo num estado diferente. A tabela seguinte mostra como alterar o estado de um dispositivo.

Estado atual do dispositivo Estado do dispositivo desejado Procedimentos
Domínio no local aderido Azure AD associado Unte o dispositivo do domínio no local antes de se juntar ao Azure AD.
associado ao Azure AD Híbrido Azure AD associado Unte o dispositivo do domínio no local e do Azure AD antes de se juntar ao Azure AD.
Azure AD registado Azure AD associado Desagregar o dispositivo antes de se juntar ao Azure AD.

Associação ao Azure AD Híbrido

Se tiver um ambiente Ative Directory no local e quiser juntar os seus computadores existentes ligados ao domínio para a Azure AD, pode realizar esta tarefa com a ad híbrida Azure. Suporta uma ampla gama de dispositivos Windows, incluindo dispositivos Windows atuais e Windows de nível inferior.

A maioria das organizações já tem dispositivos de domínio e gerenciá-los através de Política de Grupo ou System Center Configuration Manager (SCCM). Nesse caso, recomendamos que o Azure AD híbrido se junte para começar a obter benefícios enquanto utiliza os investimentos existentes.

Se a adada híbrida Azure for a melhor opção para a sua organização, consulte os seguintes recursos:

Provisionando híbrido Azure AD junta-se aos seus dispositivos

Reveja a sua infraestrutura de identidade. A Azure AD Ligação fornece-lhe um assistente para configurar a Ad híbrida Azure para:

Se instalar a versão requerida do Azure AD Ligação não é uma opção para si, consulte como configurar manualmente a ad azure híbrida.

Nota

O dispositivo Windows 10 ou dispositivo mais recente no local, que se junta ao Windows 10 ou dispositivo mais recente, tenta juntar-se automaticamente ao Azure AD para se tornar híbrido Azure AD, aderido por padrão. Isto só terá sucesso se tiver criado o ambiente certo.

Pode determinar que a junção híbrida Azure AD é a melhor solução para um dispositivo em um estado diferente. A tabela seguinte mostra como alterar o estado de um dispositivo.

Estado atual do dispositivo Estado do dispositivo desejado Procedimentos
Domínio no local aderido associado ao Azure AD Híbrido Utilize a ligação AD AD ou AD FS para se juntar ao Azure.
Grupo de trabalho no local aderiu ou novo associado ao Azure AD Híbrido Apoiado com Windows Autopilot. Caso contrário, o dispositivo precisa de ser incluído no domínio antes da ad azure híbrida se juntar.
Azure AD associado associado ao Azure AD Híbrido Un-sein da Azure AD, que o coloca no grupo de trabalho no local ou no estado novo.
Azure AD registado associado ao Azure AD Híbrido Depende da versão Windows. Veja estas considerações.

Faça a gestão dos seus dispositivos

Depois de ter registado ou juntado os seus dispositivos ao Azure AD, utilize o portal do Azure como local central para gerir as identidades do seu dispositivo. A página Azure Ative Directory dispositivos permite-lhe:

Certifique-se de que mantém o ambiente limpo gerindo dispositivos antigos e concentre os seus recursos na gestão dos dispositivos atuais.

Ferramentas de gestão de dispositivos suportadas

Os administradores podem proteger e controlar ainda mais os dispositivos registados e unidos utilizando outras ferramentas de gestão de dispositivos. Estas ferramentas fornecem-lhe uma forma de impor configurações como exigir que o armazenamento seja encriptado, complexidade de passwords, instalações de software e atualizações de software.

Rever plataformas suportadas e não suportadas para dispositivos integrados:

Ferramentas de gestão de dispositivos Azure AD registado Azure AD associado associado ao Azure AD Híbrido
Gestão de Dispositivos móveis (MDM)
Exemplo: Microsoft Intune
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Cogestão com Microsoft Intune e Microsoft Endpoint Configuration Manager
(Windows 10 ou mais recentes)
Checkmark for these values. Checkmark for these values.
Política de grupo
(apenas Windows)
Checkmark for these values.

Recomendamos que considere Microsoft Intune gestão de aplicações móveis (MAM) com ou sem gestão de dispositivos para dispositivos iOS ou Android registados.

Os administradores também podem implementar plataformas virtuais de infraestruturas de desktop (VDI) que acolhem sistemas operativos Windows nas suas organizações para simplificar a gestão e reduzir custos através da consolidação e centralização de recursos.

Passos seguintes