規劃您的 Microsoft Entra 裝置部署
本文可協助您評估將裝置與 Microsoft Entra ID 整合的方法、選擇實作計畫,並提供支援之裝置管理工具的重要連結。
使用者的裝置環境不斷擴充。 組織可以提供桌上型電腦、膝上型電腦、手機、平板電腦和其他裝置。 您的使用者可能會攜帶自己的裝置陣列,以及從不同位置存取訊號。 在此環境中,身為系統管理員的工作是讓組織資源在所有裝置上保持安全。
Microsoft Entra ID 可讓您的組織使用裝置身分識別管理來達成這些目標。 您現在可以在 Microsoft Entra 識別碼中取得裝置,並從 Microsoft Entra 系統管理中心 的 中央位置加以控制。 此程式提供統一的體驗、增強的安全性,並減少設定新裝置所需的時間。
有多個方法可將裝置整合到 Microsoft Entra ID 中,它們可以根據作業系統和需求個別或共同運作:
- 您可以使用 Microsoft Entra 識別碼註冊裝置 。
- 將裝置 加入 Microsoft Entra ID(僅限雲端)。
- Microsoft Entra 混合式將裝置加入 您的內部部署的 Active Directory網域和 Microsoft Entra ID。
Learn
開始之前,請確定您已熟悉 裝置身分識別管理概觀 。
福利
為裝置提供 Microsoft Entra 身分識別的主要優點:
提升生產力 – 使用者可以順暢 地登入 內部部署和雲端資源,無論身在何處都能提高生產力。
增加安全性 – 根據裝置或使用者的身分識別,將條件式存取 原則套用 至資源。 將裝置加入 Microsoft Entra ID 是使用 無 密碼原則增加安全性的必要條件。
改善使用者體驗 – 讓使用者從個人和公司裝置輕鬆存取貴組織的雲端式資源。 管理員istrators 可以啟用 企業狀態漫遊 ,以在所有 Windows 裝置上統一體驗。
簡化部署和管理 – 簡化使用 Windows Autopilot 、大量布 建或 自助將裝置帶入 Microsoft Entra ID 的程式 :現成體驗 (OOBE)。 使用 Microsoft Intune 等 行動裝置裝置管理 (MDM) 工具來管理裝置,以及其在 Microsoft Entra 系統管理中心 的 身分識別。
規劃部署專案
當您在環境中判斷此部署的策略時,請考慮您的組織需求。
包含正確的專案關係人
當技術專案失敗時,通常會因為對影響、結果和責任的預期不符而造成。 若要避免這些陷阱, 請確定您正在吸引正確的專案關係人, 並清楚瞭解專案中的專案關係人角色。
針對此方案,將下列專案關係人新增至您的清單:
| 角色 | 描述 |
|---|---|
| 裝置系統管理員 | 裝置小組的代表,可確認方案符合貴組織的裝置需求。 |
| 網路系統管理員 | 來自網路小組的代表,可確保符合網路需求。 |
| 裝置管理小組 | 管理裝置清查的小組。 |
| 作業系統特定的系統管理小組 | 支援和管理特定 OS 版本的 Teams。 例如,可能有 Mac 或 iOS 焦點小組。 |
方案通訊
通訊對於任何新服務的成功至關重要。 主動與使用者溝通其體驗會如何變更、何時變更,以及如何在遇到問題時獲得支援。
規劃試驗
建議您將整合方法的初始設定設定放在測試環境中,或是使用一小群測試裝置。 請參閱 試驗 的最佳做法。
您可能想要先進行 Microsoft Entra 混合式聯結 的目標部署,再在整個組織中啟用。
警告
組織應該在其試驗群組中包含不同角色和設定檔的使用者範例。 目標推出可協助您識別計畫可能尚未解決的任何問題,再為整個組織啟用。
選擇整合方法
您的組織可以在單一 Microsoft Entra 租使用者中使用多個裝置整合方法。 目標是選擇適合在 Microsoft Entra 識別碼中安全地管理裝置的方法。 有許多參數可推動此決策,包括擁有權、裝置類型、主要物件,以及貴組織的基礎結構。
下列資訊可協助您決定要使用的整合方法。
裝置整合的決策樹
使用此樹狀目錄來判斷組織擁有裝置的選項。
注意
此圖未顯示個人或自備裝置 (BYOD) 案例。 它們一律會導致 Microsoft Entra 註冊。
比較矩陣
iOS 和 Android 裝置只能註冊 Microsoft Entra。 下表提供 Windows 用戶端裝置的高階考慮。 使用它做為概觀,然後詳細探索不同的整合方法。
| 考量事項 | 已註冊 Microsoft Entra | 已加入 Microsoft Entra | 已加入 Microsoft Entra 混合式 |
|---|---|---|---|
| 用戶端作業系統 | |||
| Windows 11 或 Windows 10 裝置 |  |
|
|
| Windows 下層裝置 (Windows 8.1 或 Windows 7) | |
||
| Linux 桌面 - Ubuntu 20.04/22.04 | |
||
| 登入選項 | |||
| 終端使用者本機認證 | |
||
| 密碼 | |
|
|
| 裝置 PIN | |
||
| Windows Hello | |
||
| Windows Hello 企業版 | |
|
|
| FIDO 2.0 安全性金鑰 | |
|
|
| Microsoft Authenticator 應用程式 (無密碼) | |
|
|
| 主要功能 | |||
| 雲端資源 SSO | |
|
|
| SSO 至內部部署資源 | |
|
|
| 條件式存取 (要求裝置標示為相容) (必須由 MDM 管理) |
|
|
|
| 條件式存取 (需要 Microsoft Entra 混合式已加入裝置) |
|
||
| 從 Windows 登入畫面重設自助式密碼 | |
|
|
| Windows Hello PIN 重設 | |
|
Microsoft Entra 註冊
已註冊的裝置通常會使用 Microsoft Intune 進行管理。 裝置會以數種方式在 Intune 中註冊,視作業系統而定。
Microsoft Entra 已註冊的裝置支援將您自己的裝置(BYOD)和公司擁有的裝置帶到雲端資源。 資源的存取是以套用至裝置和使用者的 Microsoft Entra 條件式存取 原則為基礎。
註冊裝置
已註冊的裝置通常會使用 Microsoft Intune 進行管理。 裝置會以數種方式在 Intune 中註冊,視作業系統而定。
BYOD 和公司擁有的行動裝置是由安裝公司入口網站應用程式的使用者所註冊。
如果註冊您的裝置是組織的最佳選項,請參閱下列資源:
- 此 Microsoft Entra 已註冊裝置 的概觀 。
- 關於在組織網路上 註冊個人裝置的這個使用者檔 。
Microsoft Entra 加入
Microsoft Entra join 可讓您使用 Windows 轉換至雲端優先模型。 如果您打算將裝置管理現代化並降低裝置相關的 IT 成本,它可提供絕佳的基礎。 Microsoft Entra Join 僅適用于 Windows 10 或更新版本裝置。 請將它視為新裝置的第一選擇。
加入 Microsoft Entra 的裝置可以在組織網路時 SSO 到內部部署資源 ,可以向內部部署伺服器進行驗證,例如檔案、列印和其他應用程式。
如果此選項最適合您的組織,請參閱下列資源:
- 此 Microsoft Entra 已加入裝置 的概觀 。
- 熟悉 Microsoft Entra join 實作計畫 。
布建已加入 Microsoft Entra 的裝置
若要將裝置布建至 Microsoft Entra Join,您有下列方法:
- 自助式: Windows 10 初次執行體驗
如果您在裝置上安裝Windows 10 專業版或Windows 10 企業版,體驗預設為公司擁有裝置的安裝程式。
仔細 比較這些方法 之後,請選擇您的部署程式。
您可以判斷 Microsoft Entra Join 是處於不同狀態之裝置的最佳解決方案。 下表顯示如何變更裝置的狀態。
| 目前的裝置狀態 | 所需的裝置狀態 | 操作方式 |
|---|---|---|
| 已加入內部部署網域 | 已加入 Microsoft Entra | 在加入 Microsoft Entra ID 之前,請先從內部部署網域取消加入裝置。 |
| 已加入 Microsoft Entra 混合式 | 已加入 Microsoft Entra | 先從內部部署網域和 Microsoft Entra ID 取消加入裝置,再加入 Microsoft Entra ID。 |
| 已註冊 Microsoft Entra | 已加入 Microsoft Entra | 在加入 Microsoft Entra ID 之前,請先取消註冊裝置。 |
Microsoft Entra 混合式加入
如果您有內部部署的 Active Directory環境,而且想要將現有的已加入網域的電腦加入 Microsoft Entra ID,您可以使用 Microsoft Entra 混合式聯結來完成這項工作。 它支援 廣泛的 Windows 裝置 ,包括 Windows 目前和 Windows 下層裝置。
大部分的組織已經有已加入網域的裝置,並透過群組原則或 System Center Configuration Manager 來管理它們。 在此情況下,建議您設定 Microsoft Entra 混合式聯結,以在使用現有投資時開始獲得好處。
如果 Microsoft Entra 混合式聯結是組織的最佳選項,請參閱下列資源:
- 此 Microsoft Entra 混合式已加入裝置 的概觀 。
- 熟悉 Microsoft Entra 混合式聯結實作 計畫。
布建 Microsoft Entra 混合式加入您的裝置
檢閱您的身分識別基礎結構 。 Microsoft Entra 連線提供精靈來設定下列專案的 Microsoft Entra 混合式聯結:
如果安裝必要的 Microsoft Entra 連線版本不是選項,請參閱 如何手動設定 Microsoft Entra 混合式聯結 。
注意
已加入內部部署網域的 Windows 10 或更新版本裝置會嘗試自動加入 Microsoft Entra 識別碼,預設會變成已加入 Microsoft Entra 混合式。 只有在您已設定正確的環境時,才會成功。
您可以判斷 Microsoft Entra 混合式聯結是處於不同狀態之裝置的最佳解決方案。 下表顯示如何變更裝置的狀態。
| 目前的裝置狀態 | 所需的裝置狀態 | 操作方式 |
|---|---|---|
| 已加入內部部署網域 | 已加入 Microsoft Entra 混合式 | 使用 Microsoft Entra 連線或 AD FS 加入 Azure。 |
| 已加入或新增內部部署工作組 | 已加入 Microsoft Entra 混合式 | 支援 Windows Autopilot 。 否則,裝置必須在 Microsoft Entra 混合式加入之前加入內部部署網域。 |
| 已加入 Microsoft Entra | 已加入 Microsoft Entra 混合式 | 從 Microsoft Entra ID 取消加入,這會將其置於內部部署工作組或新狀態。 |
| 已註冊 Microsoft Entra | 已加入 Microsoft Entra 混合式 | 取決於 Windows 版本。 請參閱這些考慮 。 |
管理您的裝置
註冊或將裝置加入 Microsoft Entra 識別碼之後,請使用 Microsoft Entra 系統管理中心 作為管理裝置身分識別的中心位置。 [Microsoft Entra 裝置] 頁面可讓您:
- 設定您的裝置設定 。
- 您必須是本機系統管理員,才能管理 Windows 裝置。 Microsoft Entra ID 會更新 Microsoft Entra 已加入裝置 的這個成員資格,以系統管理員身分將使用者自動新增為所有已加入裝置的使用者。
請確定您藉由 管理過時的裝置 來保持環境乾淨,並將資源集中在管理目前的裝置上。
支援的裝置管理工具
管理員istrators 可以使用其他裝置管理工具來保護和進一步控制已註冊和已加入的裝置。 這些工具可讓您強制執行設定,例如要求加密儲存體、密碼複雜度、軟體安裝和軟體更新。
檢閱整合式裝置的支援和不支援的平臺:
| 裝置管理工具 | 已註冊 Microsoft Entra | 已加入 Microsoft Entra | 已加入 Microsoft Entra 混合式 |
|---|---|---|---|
| 行動裝置管理 (MDM) 範例:Microsoft Intune |
|
|
|
| 與 Microsoft Intune 和 Microsoft Configuration Manager 共同管理 (Windows 10 或更新版本) |
|
|
|
| 群組原則 (僅限 Windows) |
|
建議您針對已註冊的 iOS 或 Android 裝置,考慮 使用或不使用裝置管理的 Microsoft Intune 行動應用程式管理 (MAM )。
管理員istrators 也可以 部署虛擬桌面基礎結構(VDI)平臺 ,裝載其組織中 Windows 作業系統,以簡化管理,並透過整合和集中資源來降低成本。