Практическое руководство. Планирование реализации присоединения к Microsoft Entra
Вы можете присоединить устройства непосредственно к идентификатору Microsoft Entra без необходимости присоединиться к локальная служба Active Directory при сохранении производительности и безопасности пользователей. Присоединение к Microsoft Entra готово для корпоративных и область развертываний. Единый вход (единый вход) к локальным ресурсам также доступен для устройств, присоединенных к Microsoft Entra. Дополнительные сведения см. в статье О том, как единый вход в локальные ресурсы работает на устройствах, присоединенных к Microsoft Entra.
В этой статье содержатся сведения, необходимые для планирования реализации присоединения к Microsoft Entra.
Необходимые компоненты
В этой статье предполагается, что вы знакомы с введением в управление устройствами в идентификаторе Microsoft Entra ID.
Планирование реализации
Чтобы спланировать реализацию присоединения к Microsoft Entra, ознакомьтесь со следующими сведениями:
- Изучение сценариев
- Изучение инфраструктуры удостоверений
- Оценка управления устройствами
- Рекомендации для приложений и ресурсов
- Изучение вариантов подготовки
- Настройка службы Enterprise State Roaming
- Настройка условного доступа
Изучение сценариев
Присоединение Microsoft Entra позволяет перейти к облачной модели с Windows. Если вы планируете модернизировать управление устройствами и сократить затраты на ИТ-ресурсы, связанные с устройствами, присоединение Microsoft Entra обеспечивает большую основу для достижения этих целей.
Рассмотрите возможность присоединения к Microsoft Entra, если ваши цели соответствуют следующим критериям:
- Вы внедряете Microsoft 365 как набор бизнес-приложений для своих пользователей.
- Вам нужно управлять устройствами с помощью облачного решения по управлению устройствами.
- Вам нужно упростить подготовку устройств для географически распределенных пользователей.
- Вы планируете модернизировать инфраструктуру приложений.
Изучение инфраструктуры удостоверений
Присоединение Microsoft Entra работает в управляемых и федеративных средах. Мы считаем, что большинство организаций развертывают управляемые домены. Сценарии управляемых доменов не требуют настройки сервера федерации, например службы федерации Active Directory (AD FS) (AD FS), и управления им.
Управляемая среда
Управляемая среда может быть развернута с помощью синхронизации хэша паролей или сквозной проверки подлинности с помощью простого единого входа.
Федеративная среда
У федеративной среды должен быть поставщик удостоверений, поддерживающий протоколы WS-Trust и WS-Fed:
- WS-Fed: этот протокол необходим для присоединения устройства к идентификатору Microsoft Entra.
- WS-Trust: этот протокол необходим для входа на устройство, присоединенное к Microsoft Entra.
При использовании AD FS нужно включить следующие конечные точки WS-Trust: /adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed
Если поставщик удостоверений не поддерживает эти протоколы, присоединение Microsoft Entra не работает в собственном коде.
Примечание.
В настоящее время присоединение Microsoft Entra не работает с AD FS 2019, настроенным с внешними поставщиками проверки подлинности в качестве основного метода проверки подлинности. Microsoft Entra присоединяется по умолчанию к проверке подлинности паролей в качестве основного метода, что приводит к сбоям проверки подлинности в этом сценарии.
Конфигурация пользователей
Если вы создаете пользователей в:
- Локальная служба Active Directory должна синхронизировать их с идентификатором Microsoft Entra с помощью Microsoft Entra Подключение.
- Идентификатор Microsoft Entra, дополнительная настройка не требуется.
Локальные имена субъектов-пользователей (UPN), отличные от имен участника-пользователя Microsoft Entra, не поддерживаются на устройствах, присоединенных к Microsoft Entra. Если пользователи используют локальную имя участника-пользователя, необходимо переключиться на использование основного имени участника-пользователя в идентификаторе Microsoft Entra.
Изменения имени субъекта-пользователя поддерживаются только с обновлениями Windows 10 2004. Пользователи на устройствах с этим обновлением не столкнутся с проблемами после изменения имени субъекта-пользователя (UPN) Для устройств, выпущенных до обновления Windows 10 2004, пользователи будут испытывать проблемы с единым входом и условным доступом. Сейчас пользователям нужно входить в Windows с помощью плитки "Другой пользователь", используя новое имя UPN для устранения этой проблемы.
Оценка управления устройствами
Поддерживаемые устройства
Присоединение к Microsoft Entra:
- поддерживает устройства Windows 10 и Windows 11;
- не поддерживается на предыдущих версиях Windows и в других операционных системах. Если у вас есть устройства с Windows 7/8.1, необходимо обновить по крайней мере до Windows 10, чтобы развернуть присоединение к Microsoft Entra.
- Поддерживается для федерального стандарта обработки информации (FIPS) доверенного платформенного модуля (TPM) 2.0, но не поддерживается для доверенного платформенного модуля TPM 1.2. Если на устройствах есть TPM 1.2, необходимо отключить их, прежде чем продолжить присоединение к Microsoft Entra. Корпорация Майкрософт не предоставляет средств для отключения режима FIPS для доверенных платформенных модулей, так как это действие зависит от производителя доверенного платформенного модуля. Обратитесь за поддержкой к изготовителю оборудования.
Рекомендация. Всегда используйте последний выпуск Windows, чтобы воспользоваться обновленными функциями.
Платформа управления
Управление устройствами для устройств, присоединенных к Microsoft Entra, основано на платформе управления мобильными устройствами (MDM), такой как Intune, и ПОСТАВЩИКИ MDM. Начиная с Windows 10, доступен встроенный агент MDM, работающий со всеми совместимыми решениями MDM.
Примечание.
Групповые политики не поддерживаются на устройствах, присоединенных к Microsoft Entra, так как они не подключены к локальная служба Active Directory. Управление устройствами, присоединенными к Microsoft Entra, возможно только с помощью MDM
Существует два подхода к управлению устройствами, присоединенными к Microsoft Entra:
- Только MDM — устройством управляет только поставщик MDM, например Intune. Все политики доставляются в рамках регистрации MDM. Для клиентов Microsoft Entra ID P1 или P2 или EMS регистрация MDM — это автоматический шаг, который входит в состав соединения Microsoft Entra.
- Совместное управление — устройство управляется поставщиком MDM и Microsoft Configuration Manager. В этом подходе агент Microsoft Configuration Manager устанавливается на управляемом MDM устройстве для администрирования определенных аспектов.
Если вы используете групповые политики, оцените объект групповой политики (GPO) и четность политик MDM с помощью аналитики групповой политики в Microsoft Intune.
Просмотрите поддерживаемые и неподдерживаемые политики, чтобы определить, можно ли использовать решение MDM вместо групповых политик. Для неподдерживаемых политик обдумайте следующие вопросы.
- Необходимы ли неподдерживаемые политики для устройств или пользователей, присоединенных к Microsoft Entra?
- Применимы ли эти неподдерживаемые политики в облачном развертывании?
Если решение MDM недоступно через коллекцию приложений Microsoft Entra, его можно добавить после процесса, описанного в интеграции Microsoft Entra с MDM.
С помощью совместного управления можно использовать Microsoft Configuration Manager для управления определенными аспектами устройств во время доставки политик с помощью платформы MDM. Microsoft Intune обеспечивает совместное управление с Microsoft Configuration Manager. Дополнительные сведения о совместном управлении для устройств Windows 10 и более поздних версий см. в статье Что такое совместное управление?. Если вместо Intune вы используете другой продукт MDM, обратитесь к поставщику этого продукта и выясните применимые сценарии совместного управления.
Рекомендация. Рассмотрим только управление MDM для устройств, присоединенных к Microsoft Entra.
Рекомендации для приложений и ресурсов
Рекомендуем перенести приложения из локальной среды в облако, чтобы повысить удобство работы пользователей и управления доступом. Устройства, присоединенные к Microsoft Entra, могут легко предоставлять доступ к локальным и облачным приложениям. Дополнительные сведения см. в статье О том, как единый вход в локальные ресурсы работает на устройствах, присоединенных к Microsoft Entra.
В следующих разделах представлены рекомендации для различных типов приложений и ресурсов.
Облачные приложения
Если приложение добавляется в коллекцию приложений Microsoft Entra, пользователи получают единый вход через устройства, присоединенные к Microsoft Entra. Дальнейшая настройка не требуется. Пользователям доступен единый вход через браузеры Microsoft Edge и Chrome. Для Chrome необходимо развернуть расширение Windows 10 Accounts.
Все приложения Win32, которые:
- Использование диспетчера веб-учетных записей (WAM) для запросов маркеров также получает единый вход на устройствах, присоединенных к Microsoft Entra.
- Не полагаться на WAM может запрашивать проверку подлинности пользователей.
Локальные веб-приложения
Если ваши приложения создаются или размещаются локально, их необходимо добавить на надежные сайты браузера:
- обеспечить работу встроенной проверки подлинности Windows;
- предоставить пользователям возможность единого входа без запроса.
Если вы используете AD FS, см. статью Проверка единого входа в службы федерации Active Directory и управление им.
Рекомендация. Рассмотрите возможность размещения в облаке (например, Azure) и интеграции с идентификатором Microsoft Entra для улучшения работы.
Локальные приложения, использующие устаревшие протоколы
Пользователи получают единый вход от устройств, присоединенных к Microsoft Entra, если устройство имеет доступ к контроллеру домена.
Примечание.
Устройства, присоединенные к Microsoft Entra, могут легко предоставлять доступ к локальным и облачным приложениям. Дополнительные сведения см. в статье О том, как единый вход в локальные ресурсы работает на устройствах, присоединенных к Microsoft Entra.
Рекомендация. Развертывание прокси приложения Microsoft Entra для обеспечения безопасного доступа для этих приложений.
Локальные сетевые папки
У пользователей есть единый вход с устройств, присоединенных к Microsoft Entra, когда устройство имеет доступ к локальному контроллеру домена. Узнайте, как это работает
Printers
Мы рекомендуем развернуть универсальную печать, чтобы получить облачное решение для управления печатью без зависимостей от локальной среды.
Локальные приложения, использующие проверку подлинности компьютера
Устройства, присоединенные к Microsoft Entra, не поддерживают локальные приложения, использующие проверку подлинности компьютера.
Рекомендация. Рекомендуем прекратить использование этих приложений и перейти на их современные аналоги.
Службы удаленного рабочего стола
Подключение удаленного рабочего стола к устройствам, присоединенным к Microsoft Entra, требует, чтобы главный компьютер был присоединен либо к Microsoft Entra, либо к гибридному присоединению Microsoft Entra. Подключения по протоколу удаленного рабочего стола с устройств без подключения к Azure AD или с ОС, отличной от Windows, не поддерживаются. Дополнительные сведения см. в разделе Подключение удаленного компьютера, присоединенного к Microsoft Entra
Начиная с обновления Windows 10 2004, пользователи также могут использовать удаленный рабочий стол с зарегистрированного Устройства Microsoft Entra 10 или более нового устройства на другое устройство, присоединенное к Microsoft Entra.
Проверка подлинности RADIUS и Wi-Fi
В настоящее время устройства, присоединенные к Microsoft Entra, не поддерживают проверку подлинности RADIUS с помощью локального объекта компьютера и сертификата для подключения к точкам доступа Wi-Fi, так как RADIUS использует наличие локального объекта компьютера в этом сценарии. В качестве альтернативы можно использовать сертификаты, отправленные с помощью Intune, или учетные данные пользователя при проверке подлинности для Wi-Fi.
Изучение вариантов подготовки
Примечание.
[Устройства, присоединенные к Microsoft Entra, не могут быть развернуты с помощью средства подготовки системы (Sysprep) или аналогичных средств создания образов.
Устройства, присоединенные к Microsoft Entra, можно подготовить с помощью следующих подходов:
- Самообслуживание в OOBE/Параметры . В режиме самообслуживания пользователи проходят процесс присоединения к Microsoft Entra либо во время windows Out of Box Experience (OOBE) или из Windows Параметры. Дополнительные сведения см. в статье Присоединение рабочего устройства к сети организации.
- Windows Autopilot — Windows Autopilot позволяет предварительно настроить устройства для более плавного взаимодействия с Microsoft Entra в OOBE. Дополнительные сведения см. в статье Общие сведения о Windows Autopilot.
- Массовая регистрация . Массовая регистрация позволяет администратору присоединиться к Microsoft Entra с помощью средства массовой подготовки для настройки устройств. Дополнительные сведения см. в статье Массовая регистрация для устройств Windows.
Вот сравнение этих трех подходов
| Элемент | Самостоятельная настройка | Windows Autopilot | Массовая регистрация |
|---|---|---|---|
| Для настройки требуется участие пользователя | Да | Да | Нет |
| Требуется участие ИТ-персонала | No | Да | Да |
| Применимые потоки | OOBE и параметры | Только OOBE | Только OOBE |
| Права локального администратора для основного пользователя | Да, по умолчанию | Конфигурируемый | No |
| Требуется поддержка изготовителя устройства | No | Да | Нет |
| Поддерживаемые версии | 1511+ | 1709+ | 1703+ |
Чтобы выбрать подходы к развертыванию, изучите предыдущую таблицу и ознакомьтесь с приведенными ниже рекомендациями по их реализации.
- Ваши пользователи достаточно квалифицированы, чтобы выполнить настройку самостоятельно?
- Для таких пользователей лучше всего подойдет самообслуживание. Вы также можете упростить настройку при помощи Windows Autopilot.
- Ваши пользователи работают удаленно или в здании предприятия?
- Удобную настройку для удаленных пользователей лучше всего обеспечивает самообслуживание или Autopilot.
- Вы предпочитаете, чтобы настройку выполняли пользователи или администраторы?
- Если развертывание выполняет администратор, оптимальным вариантом будет массовая регистрация, позволяющая настроить устройства, прежде чем передавать их пользователям.
- Вы приобретаете устройства у 1–2 изготовителей или используете широкий ассортимент устройств от различных поставщиков?
- Если вы покупаете устройства у небольшого количества изготовителей, которые также поддерживают Autopilot, то вам может быть полезна более тесная интеграция с Autopilot.
Настройка параметров устройства
Центр администрирования Microsoft Entra позволяет управлять развертыванием устройств, присоединенных к Microsoft Entra в вашей организации. Чтобы настроить связанные параметры, перейдите к параметрам устройств удостоверений>>всех устройств.> Подробнее
Пользователи могут присоединить устройства к идентификатору Microsoft Entra
Задайте для этого параметра значение All или Selected на основе область развертывания и того, кто вы хотите настроить устройство, присоединенное к Microsoft Entra.
Дополнительные локальные администраторы на устройствах, присоединенных к Microsoft Entra
Выберите выбранный и выбирает пользователей, которые необходимо добавить в группу локальных администраторов на всех устройствах, присоединенных к Microsoft Entra.
Требовать многофакторную проверку подлинности (MFA) для присоединения устройств
Выберите "Да , если требуется, чтобы пользователи выполняли многофакторную проверку подлинности при присоединении устройств к идентификатору Microsoft Entra.
Рекомендации: используйте действие пользователя Регистрировать или присоединить устройство в условном доступе, чтобы включить MFA для присоединения устройств.
Настройка параметров мобильности
Прежде чем настроить параметры мобильности, сначала необходимо добавить поставщика MDM.
Добавление поставщика MDM:
На странице идентификатора Записи Майкрософт в разделе "Управление" выберите
Mobility (MDM and MAM).Выберите Добавить приложение.
Выберите поставщика MDM из списка.
Выберите поставщика MDM и настройте соответствующие параметры.
Область пользователей MDM
Выберите Некоторые или Все в зависимости от области развертывания.
В зависимости от области происходит одно из следующих событий:
- Пользователь находится в MDM область: если у вас есть подписка Microsoft Entra ID P1 или P2, регистрация MDM автоматизирована вместе с присоединением к Microsoft Entra. У всех пользователей в области должна быть подходящая лицензия для MDM. Если регистрация MDM завершается сбоем в этом сценарии, присоединение Microsoft Entra также будет откатом.
- Пользователь не находится в MDM область: если пользователи не в MDM область, присоединение Microsoft Entra завершается без регистрации MDM. С такой областью устройство становится неуправляемым.
URL-адреса MDM
С конфигурацией MDM связано URL-адреса:
- URL-адрес условий использования MDM;
- URL-адрес обнаружения MDM;
- URL-адрес соответствия MDM.
Каждый URL-адрес имеет предопределенное значение по умолчанию. Если эти поля пусты, обратитесь к поставщику MDM за дополнительными сведениями.
Параметры MAM
Управление мобильными приложениями (MAM) не применяется к присоединению к Microsoft Entra.
Настройка службы Enterprise State Roaming
Если вы хотите включить перемещение состояния в идентификатор Microsoft Entra, чтобы пользователи могли синхронизировать свои параметры на разных устройствах, см. статью "Включить перемещение состояния предприятия" в идентификаторе Microsoft Entra.
Рекомендация. Включите этот параметр даже для гибридных устройств, присоединенных к Microsoft Entra.
Настройка условного доступа
Если у вас есть поставщик MDM, настроенный для устройств, присоединенных к Microsoft Entra, поставщик помечает устройство как соответствующее, как только устройство находится под управлением.
Эту реализацию можно использовать, чтобы сделать обязательным использование управляемых устройств для доступа к облачным приложениям при помощи условного доступа.