Инструкции. Планирование реализации присоединения к Azure AD

Вы можете подключать устройства непосредственно к Azure Active Directory (Azure AD) без необходимости в присоединении к локальной службе Active Directory, в то же время поддерживая продуктивность и безопасность работы пользователей. Присоединение к Azure AD готово к использованию на предприятиях как в масштабных, так и в ограниченных развертываниях. Доступ с единым входом к локальным ресурсам также доступен для устройств, присоединенных к Azure AD. Дополнительные сведения см. в статье How SSO to on-premises resources works on Azure AD joined devices (Как единый вход для локальных ресурсов работает на подключенных к Azure AD устройствах).

В этой статье содержатся сведения, необходимые для планирования реализации присоединения к Azure AD.

Предварительные требования

Предполагается, что вы уже ознакомлены с общими сведениями об управлении устройствами в Azure Active Directory.

Планирование реализации

Чтобы спланировать реализацию присоединения к Azure AD, вам нужно ознакомиться со следующими разделами.

• Изучение сценариев
• Изучение инфраструктуры удостоверений
• Оценка управления устройствами
• Рекомендации для приложений и ресурсов
• Изучение вариантов подготовки
• Настройка службы Enterprise State Roaming
• Настройка условного доступа

Изучение сценариев

Присоединение к Azure AD позволяет перейти в модель работы в Windows, где облако имеет приоритет. Если вы планируете модернизировать управление устройствами и сократить ИТ-расходы, связанные с устройствами, то присоединение к Azure AD сформирует отличную основу для достижения этих целей.

Оцените присоединение к Azure AD, если ваши цели отвечают следующим условиям.

• Вы внедряете Microsoft 365 как набор бизнес-приложений для своих пользователей.
• Вам нужно управлять устройствами с помощью облачного решения по управлению устройствами.
• Вам нужно упростить подготовку устройств для географически распределенных пользователей.
• Вы планируете модернизировать инфраструктуру приложений.

Изучение инфраструктуры удостоверений

Присоединение к Azure AD работает как для управляемых, так и для федеративных сред. Мы предполагаем, что большинство организаций будут выполнять развертывание с использованием управляемых доменов. Сценарии управляемых доменов не требуют настройки сервера федерации, например службы федерации Active Directory (AD FS) (AD FS), и управления им.

Управляемая среда

Управляемую среду можно развернуть при помощи синхронизации хэша паролей или сквозной аутентификации с удобным единым входом.

Федеративная среда

У федеративной среды должен быть поставщик удостоверений, поддерживающий протоколы WS-Trust и WS-Fed:

• WS-Fed. Этот протокол необходим для присоединения устройства к Azure AD.
• WS-Trust. Этот протокол необходим для входа на присоединенном к Azure AD устройстве.

При использовании AD FS нужно включить следующие конечные точки WS-Trust: /adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

Если ваш поставщик удостоверений не поддерживает эти протоколы, то присоединение Azure AD не работает по умолчанию.

Примечание

Сейчас присоединение к Azure AD не работает со службами федерации ADFS 2019, настроенными с внешними поставщиками проверки подлинности в качестве основного метода проверки подлинности. По умолчанию для присоединения к Azure AD используются проверки паролем в качестве основного метода, что приводит к сбоям проверки подлинности в этом сценарии

Конфигурация пользователей

Если вы создаете пользователей в:

• локальной службе Active Directory, необходимо синхронизировать их в Azure AD при помощи Azure AD Connect;
• Azure AD, дополнительная настройка не требуется.

Локальные имена участников-пользователей, которые отличаются от имен участников-пользователей Azure AD, не поддерживаются на устройствах, присоединенных к Azure AD. Если пользователи применяют локальное имя участника-пользователя, то следует запланировать переход на использование основного имени участника-пользователя в Azure AD.

Изменения имени субъекта-пользователя поддерживаются только с обновлениями Windows 10 2004. Пользователи на устройствах с этим обновлением не столкнутся с проблемами после изменения имени субъекта-пользователя (UPN) Для устройств, выпущенных до обновления Windows 10 2004, пользователи будут испытывать проблемы с единым входом и условным доступом. Сейчас пользователям нужно входить в Windows с помощью плитки "Другой пользователь", используя новое имя UPN для устранения этой проблемы.

Оценка управления устройствами

Поддерживаемые устройства

Присоединение к Azure AD:

• поддерживает устройства Windows 10 и Windows 11;
• не поддерживается на предыдущих версиях Windows и в других операционных системах. Если у вас есть устройства с Windows 7 или Windows 8.1, то необходимо перейти как минимум на Windows 10, чтобы развернуть присоединение к Azure AD.
• Поддерживается для FIPS-совместимого доверенного платформенного модуля 2.0, но не поддерживается для версии 1.2. Если на устройствах установлен совместимый с FIPS доверенный платформенный модуль версии 1.2, необходимо отключить их перед тем, как продолжить присоединение к Azure AD. Корпорация Майкрософт не предоставляет средств для отключения режима FIPS для доверенных платформенных модулей, так как это действие зависит от производителя доверенного платформенного модуля. Обратитесь за поддержкой к изготовителю оборудования.

Рекомендация. Всегда используйте последний выпуск Windows, чтобы воспользоваться обновленными функциями.

Платформа управления

Управление устройствами для устройств, подключенных к Azure AD, основано на платформе управления мобильными устройствами (MDM), например, Intune, и поставщиках служб шифрования MDM. Начиная с Windows 10, доступен встроенный агент MDM, работающий со всеми совместимыми решениями MDM.

Примечание

Групповые политики не поддерживаются на устройствах, присоединенных к Azure AD, поскольку они не подключаются к локальной службе Active Directory. Управление устройствами, присоединенными к Azure AD, возможно только через MDM

Существует два подхода к управлению устройствами, подключенными к Azure AD:

• Только MDM — устройством управляет только поставщик MDM, например Intune. Все политики доставляются в рамках регистрации MDM. Для пользователей Azure AD Premium или EMS развертывание MDM выполняется автоматически в ходе присоединения к Azure AD.
• Совместное управление. Устройством управляет поставщик MDM и microsoft Configuration Manager. При таком подходе агент Microsoft Configuration Manager устанавливается на устройстве, управляемом MDM, для администрирования определенных аспектов.

Если вы используете групповые политики, оцените четность GPO и политики MDM с помощью групповая политика аналитики в Microsoft Intune.

Просмотрите поддерживаемые и неподдерживаемые политики, чтобы определить, можно ли использовать решение MDM вместо групповых политик. Для неподдерживаемых политик обдумайте следующие вопросы.

• Необходимы ли неподдерживаемые политики для присоединенных к Azure AD устройств или пользователей?
• Применимы ли эти неподдерживаемые политики в облачном развертывании?

Если решение MDM недоступно в коллекции приложений Azure AD, вы можете добавить его с помощью процесса, описанного в статье Интеграция Azure Active Directory с MDM.

Благодаря совместному управлению вы можете использовать microsoft Configuration Manager для управления определенными аспектами устройств, пока политики доставляются через платформу MDM. Microsoft Intune обеспечивает совместное управление с microsoft Configuration Manager. Дополнительные сведения о совместном управлении для устройств Windows 10 и более поздних версий см. в статье Что такое совместное управление?. Если вместо Intune вы используете другой продукт MDM, обратитесь к поставщику этого продукта и выясните применимые сценарии совместного управления.

Рекомендация. Рассмотрите возможность управления только с помощью MDM для устройств, подключенных к Azure AD.

Рекомендации для приложений и ресурсов

Рекомендуем перенести приложения из локальной среды в облако, чтобы повысить удобство работы пользователей и управления доступом. Подключенные к Azure AD устройства могут легко предоставлять доступ как к локальным, так и к облачным приложениям. Дополнительные сведения см. в статье How SSO to on-premises resources works on Azure AD joined devices (Как единый вход для локальных ресурсов работает на подключенных к Azure AD устройствах).

В следующих разделах представлены рекомендации для различных типов приложений и ресурсов.

Облачные приложения

Если приложение добавлено в коллекцию приложений Azure AD, пользователи получают возможность единого входа с устройств, присоединенных к Azure AD. Дальнейшая настройка не требуется. Пользователям доступен единый вход через браузеры Microsoft Edge и Chrome. Для Chrome необходимо развернуть расширение Windows 10 Accounts.

Все приложения Win32, которые:

• используют диспетчер учетных веб-записей (WAM) для запросов маркеров, также получают возможность единого входа на устройствах подключенных к Azure AD;
• не используют WAM, могут запрашивать проверку подлинности пользователей.

Локальные веб-приложения

Если ваши приложения разработаны по заказу и/или размещаются в локальной среде, то их необходимо добавить в список доверенных сайтов браузера, чтобы:

• обеспечить работу встроенной проверки подлинности Windows;
• предоставить пользователям возможность единого входа без запроса.

Если вы используете AD FS, см. статью Проверка единого входа в службы федерации Active Directory и управление им.

Рекомендация. Рассмотрите возможность размещения в облаке (например, Azure) и интеграции с Azure AD для большего удобства.

Локальные приложения, использующие устаревшие протоколы

Пользователи получают возможность единого входа с присоединенных к Azure AD устройств, у которых есть доступ к контроллеру домена.

Примечание

Подключенные к Azure AD устройства могут легко предоставлять доступ как к локальным, так и к облачным приложениям. Дополнительные сведения см. в статье How SSO to on-premises resources works on Azure AD joined devices (Как единый вход для локальных ресурсов работает на подключенных к Azure AD устройствах).

Рекомендация. Разверните прокси-сервер Azure AD App, чтобы обеспечить безопасный доступ для этих приложений.

Локальные сетевые папки

Пользователи получают возможность единого входа с подключенных к Azure AD устройств, у которых есть доступ к локальному контроллеру домена. Узнайте, как это работает

принтеры;

Мы рекомендуем развернуть универсальную печать, чтобы получить облачное решение для управления печатью без зависимостей от локальной среды.

Локальные приложения, использующие проверку подлинности компьютера

Присоединенные к Azure AD устройства не поддерживают локальные приложения, использующие проверку подлинности компьютера.

Рекомендация. Рекомендуем прекратить использование этих приложений и перейти на их современные аналоги.

Службы удаленных рабочих столов

Для подключения к удаленным рабочим столам на устройствах, подключенных к Azure AD, требуется хост-компьютер с обычным или гибридным присоединением к Azure AD. Подключения по протоколу удаленного рабочего стола с устройств без подключения к Azure AD или с ОС, отличной от Windows, не поддерживаются. Дополнительные сведения см. в статье Подключение к удаленному компьютеру, присоединенному к Azure Active Directory

Начиная с обновления Windows 10 2004 пользователи также могут использовать удаленный рабочий стол из зарегистрированного устройства Azure AD под управлением Windows 10 и более поздних версий для связи с устройством, присоединенным к Azure AD.

Проверка подлинности RADIUS и Wi-Fi

Сейчас устройства, присоединенные к Azure AD, не поддерживают проверку подлинности RADIUS для подключения к точкам доступа Wi-Fi, так как RADIUS зависит от наличия объекта локального компьютера. В качестве альтернативы можно использовать сертификаты, отправленные с помощью Intune, или учетные данные пользователя при проверке подлинности для Wi-Fi.

Изучение вариантов подготовки

Примечание: устройства, присоединенные к Azure AD, не могут быть развернуты с помощью средства подготовки системы (Sysprep) или аналогичных средств работы с образами

Вы можете подготовить к работе присоединенные к Azure AD устройства, используя описанные ниже подходы.

• Самообслуживание в OOBE или параметрах. В режиме самообслуживания пользователи выполняют присоединение к Azure AD через интерфейс запуска при первом включении компьютера с Windows (OOBE) или через параметры Windows. Дополнительные сведения см. в статье Присоединение рабочего устройства к сети организации.
• Windows Autopilot позволяет заранее настраивать устройства, чтобы выполнять присоединение к Azure AD через OOBE было проще. Дополнительные сведения см. в статье Общие сведения о Windows Autopilot.
• Массовая регистрация позволяет администратору выполнить присоединение к Azure AD, настраивая устройства с помощью средства массовой подготовки. Дополнительные сведения см. в статье Массовая регистрация для устройств Windows.

Ниже приведено сравнение этих трех подходов.

Элемент	Самостоятельная настройка	Windows Autopilot	Массовая регистрация
Для настройки требуется участие пользователя	Да	Да	Нет
Требуется участие ИТ-персонала	Нет	Да	Да
Применимые потоки	OOBE и параметры	Только OOBE	Только OOBE
Права локального администратора для основного пользователя	Да, по умолчанию	Настраиваемый	Нет
Требуется поддержка изготовителя устройства	Нет	Да	Нет
Поддерживаемые версии	1511+	1709+	1703+

Чтобы выбрать подходы к развертыванию, изучите предыдущую таблицу и ознакомьтесь с приведенными ниже рекомендациями по их реализации.

• Ваши пользователи достаточно квалифицированы, чтобы выполнить настройку самостоятельно?
  • Для таких пользователей лучше всего подойдет самообслуживание. Вы также можете упростить настройку при помощи Windows Autopilot.
• Ваши пользователи работают удаленно или в здании предприятия?
  • Удобную настройку для удаленных пользователей лучше всего обеспечивает самообслуживание или Autopilot.
• Вы предпочитаете, чтобы настройку выполняли пользователи или администраторы?
  • Если развертывание выполняет администратор, оптимальным вариантом будет массовая регистрация, позволяющая настроить устройства, прежде чем передавать их пользователям.
• Вы приобретаете устройства у 1–2 изготовителей или используете широкий ассортимент устройств от различных поставщиков?
  • Если вы покупаете устройства у небольшого количества изготовителей, которые также поддерживают Autopilot, то вам может быть полезна более тесная интеграция с Autopilot.

Настройка параметров устройства

На портале Azure можно управлять развертыванием подключенных к Azure AD устройств в организации. Чтобы настроить соответствующие параметры, на странице Azure Active Directory выберите Devices > Device settings. Дополнительные сведения

Пользователи могут присоединять устройства к Azure AD

Задайте для этого параметра значение Все или Выбранные в зависимости от области развертывания и от того, каким сотрудникам вы доверите настройку устройства, подключенного к Azure AD.

Дополнительные локальные администраторы на устройствах, присоединенных к Azure AD

Нажмите Выбранные и выберите пользователей, которых требуется добавить в группу локальных администраторов на всех устройствах, присоединенных к Azure AD.

Требовать многофакторную проверку подлинности (MFA) для присоединения устройств

Выберите Да, если пользователям необходимо проходить MFA для присоединения устройств к Azure AD.

Рекомендации: используйте действие пользователя Регистрировать или присоединить устройство в условном доступе, чтобы включить MFA для присоединения устройств.

Настройка параметров мобильности

Прежде чем настраивать параметры мобильности, может потребоваться добавить поставщика MDM.

Добавление поставщика MDM:

1. На странице Azure Active Directory в разделе Управление выберите Mobility (MDM and MAM).

2. Щелкните Добавить приложение.

3. Выберите поставщика MDM из списка.

   

Выберите поставщика MDM и настройте соответствующие параметры.

Область пользователей MDM

Выберите Некоторые или Все в зависимости от области развертывания.

В зависимости от области происходит одно из следующих событий:

• Пользователь находится в области MDM. Если у вас есть подписка Azure AD Premium, регистрация MDM выполняется автоматически в ходе присоединения к Azure AD. У всех пользователей в области должна быть подходящая лицензия для MDM. Если регистрация MDM в этом сценарии не удастся, присоединение к Azure AD также будет отменено.
• Пользователь не входит в область MDM. Если пользователи находятся вне области MDM, присоединение к Azure AD выполняется без регистрации MDM. С такой областью устройство становится неуправляемым.

URL-адреса MDM

С конфигурацией MDM связано URL-адреса:

• URL-адрес условий использования MDM;
• URL-адрес обнаружения MDM;
• URL-адрес соответствия MDM.

Каждый URL-адрес имеет предопределенное значение по умолчанию. Если эти поля пусты, обратитесь к поставщику MDM за дополнительными сведениями.

Параметры MAM

MAM не применяется при присоединении к Azure AD.

Настройка службы Enterprise State Roaming

Если вы хотите включить роуминг состояния в Azure AD, чтобы пользователи могли синхронизировать свои параметры между устройствами, см. статью Включение службы Enterprise State Roaming в Azure Active Directory.

Рекомендация. Включайте этот параметр даже для устройств, присоединенных к гибридной службе Azure AD.

Настройка условного доступа

Если для устройств, присоединенных к Azure AD, настроен поставщик MDM, то он отмечает устройство как соответствующее требованиям, как только для него включается управление.

Эту реализацию можно использовать, чтобы сделать обязательным использование управляемых устройств для доступа к облачным приложениям при помощи условного доступа.

Дальнейшие действия

• Присоединение нового устройства Windows 10 с помощью Azure AD во время первого запуска
• Присоединения рабочего устройства к сети организации