Anvisningar: Planera implementeringen av Din Azure AD-anslutning

Du kan ansluta enheter direkt till Azure Active Directory (Azure AD) utan att behöva ansluta till lokala Active Directory samtidigt som användarna är produktiva och säkra. Azure AD-anslutning är företagsklar för både skalbara och begränsade distributioner. Åtkomst med enkel inloggning (SSO) till lokala resurser är också tillgängligt för enheter som är Azure AD-anslutna. Mer information finns i Så här fungerar enkel inloggning till lokala resurser på Azure AD-anslutna enheter.

Den här artikeln innehåller den information du behöver för att planera implementeringen av Din Azure AD-anslutning.

Förutsättningar

Den här artikeln förutsätter att du är bekant med introduktionen till enhetshantering i Azure Active Directory.

Planera implementeringen

Om du vill planera implementeringen av Azure AD-anslutningen bör du bekanta dig med:

  • Granska dina scenarier
  • Granska din identitetsinfrastruktur
  • Utvärdera din enhetshantering
  • Förstå överväganden för program och resurser
  • Förstå dina etableringsalternativ
  • Konfigurera företagstillståndsroaming
  • Konfigurera villkorlig åtkomst

Granska dina scenarier

Med Azure AD Join kan du gå över till en molnbaserad modell med Windows. Om du planerar att modernisera din enhetshantering och minska enhetsrelaterade IT-kostnader ger Azure AD Join en bra grund för att uppnå dessa mål.

Överväg Azure AD-anslutning om dina mål överensstämmer med följande kriterier:

  • Du använder Microsoft 365 som produktivitetssvit för dina användare.
  • Du vill hantera enheter med en lösning för hantering av molnenheter.
  • Du vill förenkla enhetsetablering för geografiskt distribuerade användare.
  • Du planerar att modernisera programinfrastrukturen.

Granska din identitetsinfrastruktur

Azure AD-anslutning fungerar i hanterade och federerade miljöer. Vi tror att de flesta organisationer kommer att distribuera med hanterade domäner. Scenarier med hanterade domäner kräver inte att du konfigurerar och hanterar en federationsserver som Active Directory Federation Services (AD FS).

Hanterad miljö

En hanterad miljö kan distribueras antingen via synkronisering av lösenordshash eller genomströmningsautentisering med sömlös enkel inloggning.

Federerad miljö

En federerad miljö bör ha en identitetsprovider som stöder både WS-Trust och WS-Fed protokoll:

  • WS-Fed: Det här protokollet krävs för att ansluta en enhet till Azure AD.
  • WS-Trust: Det här protokollet krävs för att logga in på en Azure AD-ansluten enhet.

När du använder AD FS måste du aktivera följande WS-Trust slutpunkter: /adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

Om din identitetsprovider inte stöder dessa protokoll fungerar inte Azure AD-anslutningen internt.

Anteckning

För närvarande fungerar Inte Azure AD-anslutning med AD FS 2019 som konfigurerats med externa autentiseringsprovidrar som primär autentiseringsmetod. Azure AD ansluter som standard till lösenordsautentisering som primär metod, vilket resulterar i autentiseringsfel i det här scenariot

Användarkonfiguration

Om du skapar användare i:

  • Lokal Active Directory behöver du synkronisera dem med Azure AD med hjälp av Azure AD Connect.
  • Azure AD, ingen extra installation krävs.

Lokala användarhuvudnamn (UPN) som skiljer sig från Azure AD UPN stöds inte på Azure AD-anslutna enheter. Om användarna använder ett lokalt UPN bör du planera att växla till att använda deras primära UPN i Azure AD.

UPN-ändringar stöds endast vid start av Windows 10 2004-uppdateringen. Användare på enheter med den här uppdateringen har inga problem när de har ändrat sina UPN. För enheter före Windows 10 2004-uppdateringen skulle användarna ha problem med enkel inloggning och villkorsstyrd åtkomst på sina enheter. De måste logga in på Windows via panelen "Annan användare" med hjälp av sitt nya UPN för att lösa problemet.

Utvärdera din enhetshantering

Enheter som stöds

Azure AD-anslutning:

  • Stöder Windows 10- och Windows 11-enheter.
  • Stöds inte i tidigare versioner av Windows eller andra operativsystem. Om du har Windows 7/8.1-enheter måste du uppgradera minst till Windows 10 för att distribuera Azure AD-anslutning.
  • Stöds för FIPS-kompatibel TPM 2.0 men stöds inte för TPM 1.2. Om dina enheter har FIPS-kompatibel TPM 1.2 måste du inaktivera dem innan du fortsätter med Azure AD-anslutning. Microsoft tillhandahåller inga verktyg för att inaktivera FIPS-läge för TPM eftersom det är beroende av TPM-tillverkaren. Kontakta maskinvaru-OEM-tillverkaren om du vill ha support.

Rekommendation: Använd alltid den senaste Windows-versionen för att dra nytta av uppdaterade funktioner.

Hanteringsplattform

Enhetshantering för Azure AD-anslutna enheter baseras på en MDM-plattform (hantering av mobila enheter), till exempel Intune och MDM-CSP:er. Från och med Windows 10 finns det en inbyggd MDM-agent som fungerar med alla kompatibla MDM-lösningar.

Anteckning

Grupprinciper stöds inte i Azure AD-anslutna enheter eftersom de inte är anslutna till lokala Active Directory. Hantering av Azure AD-anslutna enheter är endast möjligt via MDM

Det finns två metoder för att hantera Azure AD-anslutna enheter:

  • ENDAST MDM – En enhet hanteras exklusivt av en MDM-provider som Intune. Alla principer levereras som en del av MDM-registreringsprocessen. För Azure AD Premium- eller EMS-kunder är MDM-registrering ett automatiserat steg som ingår i en Azure AD-anslutning.
  • Samhantering – En enhet hanteras av en MDM-provider och Microsoft Endpoint Configuration Manager. I den här metoden installeras Microsoft Endpoint Configuration Manager-agenten på en MDM-hanterad enhet för att administrera vissa aspekter.

Om du använder grupprinciper utvärderar du grupprincipobjektet och MDM-princippariteten med hjälp av grupprincipanalys i Microsoft Endpoint Manager.

Granska principer som stöds och som inte stöds för att avgöra om du kan använda en MDM-lösning i stället för grupprinciper. Tänk på följande frågor för principer som inte stöds:

  • Är principerna som inte stöds nödvändiga för Azure AD-anslutna enheter eller användare?
  • Gäller principerna som inte stöds i en molndriven distribution?

Om din MDM-lösning inte är tillgänglig via Azure AD-appgalleriet kan du lägga till den enligt den process som beskrivs i Azure Active Directory-integrering med MDM.

Med samhantering kan du använda Microsoft Endpoint Configuration Manager för att hantera vissa aspekter av dina enheter medan principer levereras via DIN MDM-plattform. Microsoft Intune möjliggör samhantering med Microsoft Endpoint Configuration Manager. Mer information om samhantering för Windows 10- eller senare enheter finns i Vad är samhantering?. Om du använder en annan MDM-produkt än Intune kan du kontakta MDM-providern om tillämpliga samhanteringsscenarier.

Rekommendation: Överväg att endast hantera MDM för Azure AD-anslutna enheter.

Förstå överväganden för program och resurser

Vi rekommenderar att du migrerar program från lokalt till molnet för en bättre användarupplevelse och åtkomstkontroll. Azure AD-anslutna enheter kan sömlöst ge åtkomst till både lokala program och molnprogram. Mer information finns i Så här fungerar enkel inloggning till lokala resurser på Azure AD-anslutna enheter.

I följande avsnitt beskrivs överväganden för olika typer av program och resurser.

Molnbaserade program

Om ett program läggs till i Azure AD-appgalleriet får användarna enkel inloggning via Azure AD-anslutna enheter. Ingen annan konfiguration krävs. Användare får enkel inloggning på både Microsoft Edge- och Chrome-webbläsare. För Chrome måste du distribuera Windows 10-kontotillägget.

Alla Win32-program som:

  • Förlita dig på Web Account Manager (WAM) för tokenbegäranden och få även enkel inloggning på Azure AD-anslutna enheter.
  • Förlita dig inte på WAM kan fråga användarna om autentisering.

Lokala webbprogram

Om dina appar är anpassade och/eller värdbaserade lokalt måste du lägga till dem på webbläsarens betrodda webbplatser för att:

  • Aktivera Windows-integrerad autentisering för att fungera
  • Ge användarna en upplevelse med enkel inloggning utan uppmaning.

Om du använder AD FS läser du Verifiera och hantera enkel inloggning med AD FS.

Rekommendation: Överväg att vara värd i molnet (till exempel Azure) och integrera med Azure AD för en bättre upplevelse.

Lokala program som förlitar sig på äldre protokoll

Användare får enkel inloggning från Azure AD-anslutna enheter om enheten har åtkomst till en domänkontrollant.

Anteckning

Azure AD-anslutna enheter kan sömlöst ge åtkomst till både lokala program och molnprogram. Mer information finns i Så här fungerar enkel inloggning till lokala resurser på Azure AD-anslutna enheter.

Rekommendation: Distribuera Azure AD-appproxy för att aktivera säker åtkomst för dessa program.

Lokala nätverksresurser

Användarna har enkel inloggning från Azure AD-anslutna enheter när en enhet har åtkomst till en lokal domänkontrollant. Lär dig hur det här fungerar

Skrivare

Vi rekommenderar att du distribuerar Universal Print för att ha en molnbaserad lösning för utskriftshantering utan några lokala beroenden.

Lokala program som förlitar sig på datorautentisering

Azure AD-anslutna enheter stöder inte lokala program som förlitar sig på datorautentisering.

Rekommendation: Överväg att dra tillbaka dessa program och flytta till deras moderna alternativ.

Fjärrskrivbordstjänster

Fjärrskrivbordsanslutning till en Azure AD-ansluten enhet kräver att värddatorn är antingen Azure AD-ansluten eller Hybrid Azure AD-ansluten. Fjärrskrivbord från en otilldelad eller icke-Windows-enhet stöds inte. Mer information finns i Ansluta till fjärransluten Azure AD-ansluten dator

Från och med Windows 10 2004-uppdateringen kan användarna också använda fjärrskrivbord från en Azure AD-registrerad Windows 10- eller senare enhet till en annan Azure AD-ansluten enhet.

RADIUS- och Wi-Fi-autentisering

För närvarande stöder inte Azure AD-anslutna enheter RADIUS-autentisering för att ansluta till Wi-Fi åtkomstpunkter, eftersom RADIUS förlitar sig på förekomsten av ett lokalt datorobjekt. Alternativt kan du använda certifikat som push-överförts via Intune eller användarautentiseringsuppgifter för att autentisera till Wi-Fi.

Förstå dina etableringsalternativ

Obs! Azure AD-anslutna enheter kan inte distribueras med systemförberedelseverktyget (Sysprep) eller liknande avbildningsverktyg

Du kan etablera Azure AD-anslutna enheter med hjälp av följande metoder:

  • Självbetjäning i OOBE/Inställningar – I självbetjäningsläget går användarna igenom Azure AD-anslutningsprocessen antingen under Windows Out of Box Experience (OOBE) eller från Windows-inställningar. Mer information finns i Ansluta din arbetsenhet till organisationens nätverk.
  • Windows Autopilot – Windows Autopilot möjliggör förkonfiguration av enheter för en smidigare Azure AD-anslutning i OOBE. Mer information finns i Översikt över Windows Autopilot.
  • Massregistrering – Massregistrering möjliggör en administratörsdriven Azure AD-anslutning med hjälp av ett massetableringsverktyg för att konfigurera enheter. Mer information finns i Massregistrering för Windows-enheter.

Här är en jämförelse av dessa tre metoder

Element Självbetjäningskonfiguration Windows Autopilot Massregistrering
Kräv användarinteraktion för att konfigurera Ja Ja Inga
Kräv IT-arbete Inga Ja Ja
Tillämpliga flöden OOBE-inställningar & Endast OOBE Endast OOBE
Lokal administratörsbehörighet till primär användare Ja, som standard Konfigurerbar Nej
Kräv oem-stöd för enheten Inga Ja Inga
Versioner som stöds 1511+ 1709+ 1703+

Välj distributionsmetod eller -metoder genom att granska föregående tabell och granska följande överväganden för att använda någon av metoderna:

  • Är användarna tekniskt kunniga för att själva gå igenom konfigurationen?
    • Självbetjäning kan fungera bäst för dessa användare. Överväg Att använda Windows Autopilot för att förbättra användarupplevelsen.
  • Är användarna fjärranslutna eller i företagets lokaler?
    • Självbetjäning eller Autopilot fungerar bäst för fjärranvändare för en problemfri installation.
  • Föredrar du en användardriven eller en administratörshanterad konfiguration?
    • Massregistrering fungerar bättre för administratörsdriven distribution för att konfigurera enheter innan de överlämnas till användarna.
  • Köper du enheter från 1–2 OEM-tillverkare eller har du en bred distribution av OEM-enheter?
    • Om du köper från begränsade OEM-tillverkare som också stöder Autopilot kan du dra nytta av en närmare integrering med Autopilot.

Konfigurera enhetsinställningarna

Med Azure-portalen kan du styra distributionen av Azure AD-anslutna enheter i din organisation. Om du vill konfigurera relaterade inställningar går du till sidan Azure Active Directory och väljer Devices > Device settings. Läs mer

Användare kan ansluta enheter till Azure AD

Ställ in det här alternativet på Alla eller Valt baserat på omfånget för distributionen och vem du vill konfigurera en Azure AD-ansluten enhet.

Users may join devices to Azure AD

Ytterligare lokala administratörer på Azure AD-anslutna enheter

Välj Markerad och välj de användare som du vill lägga till i den lokala administratörsgruppen på alla Azure AD-anslutna enheter.

Additional local administrators on Azure AD joined devices

Kräv multifaktorautentisering (MFA) för att ansluta enheter

Välj "Ja om du kräver att användarna gör MFA när de ansluter enheter till Azure AD.

Require multi-factor Auth to join devices

Rekommendation: Använd användaråtgärden Registrera eller ansluta enheter i villkorsstyrd åtkomst för att framtvinga MFA för att ansluta enheter.

Konfigurera dina mobilitetsinställningar

Innan du kan konfigurera dina mobilitetsinställningar kan du först behöva lägga till en MDM-provider.

Så här lägger du till en MDM-provider:

  1. sidan Azure Active Directory går du till avsnittet Hantera och väljer Mobility (MDM and MAM).

  2. Välj Lägg till program.

  3. Välj MDM-providern i listan.

    Screenshot of the Azure Active Directory Add an application page. Several M D M providers are listed.

Välj MDM-providern för att konfigurera de relaterade inställningarna.

MDM-användaromfång

Välj Vissa eller Alla baserat på omfånget för distributionen.

MDM user scope

Baserat på ditt omfång händer något av följande:

  • Användaren är i MDM-omfång: Om du har en Azure AD Premium-prenumeration automatiseras MDM-registreringen tillsammans med Azure AD-anslutning. Alla användare med omfång måste ha en lämplig licens för din MDM. Om MDM-registreringen misslyckas i det här scenariot återställs även Azure AD-anslutningen.
  • Användaren är inte i MDM-omfång: Om användarna inte ingår i MDM-omfånget slutförs Azure AD-anslutningen utan någon MDM-registrering. Det här omfånget resulterar i en ohanterad enhet.

MDM-URL:er

Det finns tre URL:er som är relaterade till MDM-konfigurationen:

  • Webbadress till MDM-användarvillkor
  • Webbadress till MDM-identifiering
  • Webbadress till MDM-kompatibilitet

Screenshot of part of the Azure Active Directory M D M configuration section, with U R L fields for M D M terms of use, discovery, and compliance.

Varje URL har ett fördefinierat standardvärde. Om dessa fält är tomma kan du kontakta din MDM-provider för att få mer information.

MAM-inställningar

MAM gäller inte för Azure AD-anslutning.

Konfigurera enterprise state roaming

Om du vill aktivera tillståndsroaming till Azure AD så att användarna kan synkronisera sina inställningar mellan enheter kan du läsa Aktivera Enterprise State Roaming i Azure Active Directory.

Rekommendation: Aktivera den här inställningen även för Azure AD-anslutna hybridenheter.

Konfigurera villkorlig åtkomst

Om du har en MDM-provider konfigurerad för dina Azure AD-anslutna enheter flaggar providern enheten så kompatibel så snart enheten hanteras.

Compliant device

Du kan använda den här implementeringen för att kräva hanterade enheter för åtkomst till molnappar med villkorsstyrd åtkomst.

Nästa steg