Planera din Azure Active Directory enhetsdistribution

Den här artikeln hjälper dig att utvärdera metoderna för att integrera din enhet med Azure AD, välja implementeringsplan och innehåller viktiga länkar till verktyg för enhetshantering som stöds.

Landskapet för användarens enheter expanderar ständigt. Organisationer kan tillhandahålla stationära datorer, bärbara datorer, telefoner, surfplattor och andra enheter. Användarna kan ta med sin egen matris med enheter och komma åt information från olika platser. I den här miljön är ditt jobb som administratör att skydda organisationens resurser på alla enheter.

Azure Active Directory (Azure AD) gör det möjligt för din organisation att uppfylla dessa mål med enhetsidentitetshantering. Nu kan du hämta dina enheter i Azure AD och styra dem från en central plats i Azure Portal. Den här processen ger dig en enhetlig upplevelse, förbättrad säkerhet och minskar den tid som krävs för att konfigurera en ny enhet.

Det finns flera metoder för att integrera dina enheter i Azure AD. De kan fungera separat eller tillsammans baserat på operativsystemet och dina krav:

Learn

Kontrollera att du är bekant med översikten över enhetsidentitetshantering innan du börjar.

Fördelar

De viktigaste fördelarna med att ge dina enheter en Azure AD-identitet:

Planera distributionsprojektet

Överväg organisationens behov medan du fastställer strategin för den här distributionen i din miljö.

Kontakta rätt intressenter

När teknikprojekt misslyckas gör de vanligtvis det på grund av felmatchade förväntningar på påverkan, resultat och ansvarsområden. Undvik dessa fallgropar genom att se till att du engagerar rätt intressenter och att intressenternas roller i projektet är väl förstådda.

Lägg till följande intressenter i listan för den här planen:

Roll Beskrivning
Enhetsadministratör En representant från enhetsteamet som kan kontrollera att planen uppfyller organisationens enhetskrav.
Nätverksadministratör En representant från nätverksteamet som kan se till att uppfylla nätverkskrav.
Enhetshanteringsteam Team som hanterar inventering av enheter.
OS-specifika administratörsteam Teams som stöder och hanterar specifika os-versioner. Det kan till exempel finnas ett Mac- eller iOS-fokuserat team.

Planera kommunikation

Kommunikation är avgörande för att alla nya tjänster ska lyckas. Kommunicera proaktivt med användarna om hur deras upplevelse kommer att förändras, när den ändras och hur de får support om de upplever problem.

Planera en pilot

Vi rekommenderar att den första konfigurationen av integreringsmetoden finns i en testmiljö eller med en liten grupp testenheter. Se Metodtips för en pilot.

Du kanske vill göra en riktad distribution av Azure AD-hybridanslutning innan du aktiverar den i hela organisationen.

Varning

Organisationer bör innehålla ett urval av användare från olika roller och profiler i pilotgruppen. En riktad distribution hjälper dig att identifiera eventuella problem som din plan kanske inte har åtgärdat innan du aktiverar för hela organisationen.

Välj dina integreringsmetoder

Din organisation kan använda flera metoder för enhetsintegrering i en enda Azure AD-klientorganisation. Målet är att välja de metoder som är lämpliga för att få dina enheter säkert hanterade i Azure AD. Det finns många parametrar som styr det här beslutet, inklusive ägarskap, enhetstyper, primär målgrupp och organisationens infrastruktur.

Följande information kan hjälpa dig att bestämma vilka integreringsmetoder som ska användas.

Beslutsträd för enhetsintegrering

Använd det här trädet för att fastställa alternativ för organisationsägda enheter.

Anteckning

Byod-scenarier (Personal or Bring Your Own Device) visas inte i det här diagrammet. De resulterar alltid i Azure AD-registrering.

Decision tree

Jämförelsematris

iOS- och Android-enheter kan bara vara Azure AD-registrerade. I följande tabell beskrivs överväganden på hög nivå för Windows klientenheter. Använd det som en översikt och utforska sedan de olika integreringsmetoderna i detalj.

Att tänka på Azure AD-registrerad Azure AD-ansluten Hybrid Azure AD-ansluten
Klientoperativsystem
Windows 11 eller Windows 10 enheter Checkmark for these values. Checkmark for these values. Checkmark for these values.
Windows enheter på nednivå (Windows 8.1 eller Windows 7) Checkmark for these values.
Inloggningsalternativ
Lokala autentiseringsuppgifter för slutanvändare Checkmark for these values.
Lösenord Checkmark for these values. Checkmark for these values. Checkmark for these values.
PIN-kod för enhet Checkmark for these values.
Windows Hello Checkmark for these values.
Windows Hello för företag Checkmark for these values. Checkmark for these values.
FIDO 2.0-säkerhetsnycklar Checkmark for these values. Checkmark for these values.
Microsoft Authenticator App (lösenordslös) Checkmark for these values. Checkmark for these values. Checkmark for these values.
De viktigaste funktionerna
Enkel inloggning till molnresurser Checkmark for these values. Checkmark for these values. Checkmark for these values.
Enkel inloggning till lokala resurser Checkmark for these values. Checkmark for these values.
Villkorlig åtkomst
(Kräv att enheter markeras som kompatibla)
(Måste hanteras av MDM)
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Villkorlig åtkomst
(Kräv Azure AD-anslutna hybridenheter)
Checkmark for these values.
Lösenordsåterställning via självbetjäning från inloggningsskärmen för Windows Checkmark for these values. Checkmark for these values.
Windows Hello PIN-återställning Checkmark for these values. Checkmark for these values.

Azure AD-registrering

Registrerade enheter hanteras ofta med Microsoft Intune. Enheter registreras i Intune på flera sätt, beroende på operativsystemet.

Azure AD-registrerade enheter ger stöd för BYOD (Bring Your Own Devices) och företagsägda enheter till SSO till molnresurser. Åtkomsten till resurser baseras på de principer för villkorsstyrd åtkomst i Azure AD som tillämpas på enheten och användaren.

Registrera enheter

Registrerade enheter hanteras ofta med Microsoft Intune. Enheter registreras i Intune på flera sätt, beroende på operativsystemet.

BYOD och företagsägda mobila enheter registreras av användare som installerar företagsportalappen.

Om registrering av dina enheter är det bästa alternativet för din organisation kan du läsa följande resurser:

Azure Active Directory-anslutning

Med Azure AD Join kan du gå över till en molnbaserad modell med Windows. Det ger en bra grund om du planerar att modernisera enhetshanteringen och minska enhetsrelaterade IT-kostnader. Azure AD-anslutning fungerar endast med Windows 10 eller nyare enheter. Se det som det första valet för nya enheter.

Azure AD-anslutna enheter kan enkel inloggning till lokala resurser när de finns i organisationens nätverk, kan autentisera till lokala servrar som fil, utskrift och andra program.

Om det här alternativet är bäst för din organisation kan du läsa följande resurser:

Etablera Azure AD-anslutna enheter

Om du vill etablera enheter till Azure AD-anslutning har du följande metoder:

Om du har Windows 10 Professional eller Windows 10 Enterprise installerat på en enhet är standardinställningen konfigurationsprocessen för företagsägda enheter.

Välj distributionsproceduren efter noggrann jämförelse av dessa metoder.

Du kan avgöra att Azure AD-anslutning är den bästa lösningen för en enhet i ett annat tillstånd. Följande tabell visar hur du ändrar tillståndet för en enhet.

Aktuellt enhetstillstånd Önskat enhetstillstånd Så här gör du
Lokal domänansluten Azure AD-ansluten Koppla bort enheten från den lokala domänen innan du ansluter till Azure AD.
Hybrid Azure AD-ansluten Azure AD-ansluten Koppla från enheten från den lokala domänen och från Azure AD innan du ansluter till Azure AD.
Azure AD-registrerad Azure AD-ansluten Avregistrera enheten innan du ansluter till Azure AD.

Hybrid Azure Active Directory-anslutning

Om du har en lokal Active Directory miljö och vill ansluta dina befintliga domänanslutna datorer till Azure AD kan du utföra den här uppgiften med Hybrid Azure AD-anslutning. Den stöder ett brett utbud av Windows enheter, inklusive både Windows aktuella och Windows enheter på nednivå.

De flesta organisationer har redan domänanslutna enheter och hanterar dem via grupprincip eller System Center Configuration Manager (SCCM). I så fall rekommenderar vi att du konfigurerar Azure AD-hybridanslutning för att börja få fördelar när du använder befintliga investeringar.

Om Azure AD-hybridanslutning är det bästa alternativet för din organisation kan du läsa följande resurser:

Etablera Azure AD-hybridanslutning till dina enheter

Granska din identitetsinfrastruktur. Med Azure AD Anslut får du en guide för att konfigurera Azure AD-hybridanslutning för:

Om du inte kan installera den version av Azure AD som krävs Anslut kan du läsa hur du konfigurerar Azure AD-hybridanslutning manuellt.

Anteckning

Den lokala domänanslutna Windows 10 eller nyare enhet försöker ansluta automatiskt till Azure AD för att bli azure AD-hybridansluten som standard. Detta lyckas bara om du har konfigurerat rätt miljö.

Du kan avgöra att Azure AD-hybridanslutning är den bästa lösningen för en enhet i ett annat tillstånd. Följande tabell visar hur du ändrar tillståndet för en enhet.

Aktuellt enhetstillstånd Önskat enhetstillstånd Så här gör du
Lokal domänansluten Hybrid Azure AD-ansluten Använd Azure AD Connect eller AD FS för att ansluta till Azure.
Lokal arbetsgrupp ansluten eller ny Hybrid Azure AD-ansluten Stöds med Windows Autopilot. Annars måste enheten vara lokal domänansluten innan Azure AD-hybridanslutningen.
Azure AD-ansluten Hybrid Azure AD-ansluten Koppla från Azure AD, vilket placerar den i den lokala arbetsgruppen eller i ett nytt tillstånd.
Azure AD-registrerad Hybrid Azure AD-ansluten Beror på Windows version. Se dessa överväganden.

Hantera dina enheter

När du har registrerat eller anslutit dina enheter till Azure AD använder du Azure Portal som en central plats för att hantera dina enhetsidentiteter. På sidan Azure Active Directory enheter kan du:

Se till att hålla miljön ren genom att hantera inaktuella enheter och fokusera dina resurser på att hantera aktuella enheter.

Verktyg för enhetshantering som stöds

Administratörer kan skydda och ytterligare kontrollera registrerade och anslutna enheter med andra verktyg för enhetshantering. De här verktygen ger dig ett sätt att framtvinga konfigurationer som kräver att lagring krypteras, lösenordskomplexitet, programvaruinstallationer och programuppdateringar.

Granska plattformar som stöds och inte stöds för integrerade enheter:

Verktyg för enhetshantering Azure AD-registrerad Azure AD-ansluten Hybrid Azure AD-ansluten
Mobile Enhetshantering (MDM)
Exempel: Microsoft Intune
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Samhantering med Microsoft Intune och Microsoft Endpoint Configuration Manager
(Windows 10 eller senare)
Checkmark for these values. Checkmark for these values.
Grupprincip
(endast Windows)
Checkmark for these values.

Vi rekommenderar att du överväger Microsoft Intune hantering av mobilprogram (MAM) med eller utan enhetshantering för registrerade iOS- eller Android-enheter.

Administratörer kan också distribuera VDI-plattformar (Virtual Desktop Infrastructure) som är värdar för Windows operativsystem i sina organisationer för att effektivisera hanteringen och minska kostnaderna genom konsolidering och centralisering av resurser.

Nästa steg