使用Microsoft Entra ID 进行共同管理

项目
11/18/2023

在云中，标识是新的控制平面。 Microsoft Entra ID 允许跨云和本地环境链接用户、设备和应用程序。将设备注册到Microsoft Entra ID 可提高用户的工作效率和资源的安全性。将设备Microsoft Entra ID 是共同管理和基于设备的条件访问的基础。

有关基于设备的条件访问的详细信息，请参阅如何：要求托管设备通过条件访问进行云应用访问。

在以下视频中，高级项目经理 Sandeep Deo 和产品营销经理 Adam Harbour 讨论并演示共同管理的Microsoft Entra ID：

Microsoft Entra ID 为公司拥有的设备提供了两个选项来满足组织的需求：

已加入Microsoft Entra设备：将Windows 10或更高版本的设备加入到Microsoft Entra ID，而无需将它们加入本地 Active Directory
- 支持Windows 10或更高版本
- 无需对本地环境进行任何其他配置即可进行设置
- 通过在 Microsoft Entra ID 中启用一些设置，可以让用户通过 Windows 设置体验 (OOBE) 加入设备以Microsoft Entra ID
- 有关详细信息，请参阅如何：规划Microsoft Entra联接实现
Microsoft Entra已加入混合的设备：将现有的已加入域的设备加入 Azure A
- 支持Windows 10或更高版本，或Windows 8.1
- 使用 AD FS 声明或 Microsoft Entra Connect 进行设置
- 对于Windows 10或更高版本，联接发生在计算机上下文中，因此用户不必执行额外的步骤
- 有关详细信息，请参阅如何规划Microsoft Entra混合联接实现

这两个选项为用户提供了类似的功能。你可以根据需要灵活选择其中一个。例如，可以从已加入Microsoft Entra的计算机访问本地资源，即使它们未加入 Active Directory。

无论使用何种身份验证方法，都可以将设备加入到各种环境中Microsoft Entra ID。例如，联合身份验证或云身份验证。

如果已有本地 Active Directory，则设置任一选项都非常简单。

优点

将设备加入到Microsoft Entra ID 可为组织带来以下优势：

单一登录云资源

在加入Microsoft Entra ID 的设备上，你将获得访问任何云或本地资源的集成体验。登录到已加入Microsoft Entra ID 的 Windows 计算机后，无需任何其他登录提示即可登录到所有应用程序。

Windows Hello 企业版

Windows Hello 企业版为 Windows 提供强无密码身份验证。通过将设备加入到Microsoft Entra ID，可以为云和本地资源跨用户群启用Windows Hello 企业版。 Windows Hello 企业版消除了记住复杂密码或无意中公开密码的问题。其登录过程既简单又安全。

有关详细信息，请参阅 Windows Hello 企业版。

基于设备的条件访问

基于设备状态启用条件访问，以更好地保护组织的数据。基于设备的条件访问需要托管设备。此设备必须是合规设备或Microsoft Entra混合联接设备。对于已加入Microsoft Entra的设备，需要 Intune 将设备标记为合规。但对于Microsoft Entra混合联接设备，设备状态本身用于评估条件访问。共同管理提供了通过 Intune 评估混合联接设备的符合性的额外优势Microsoft Entra。此功能可确保设备配置完好无损。

有关基于设备的条件访问的详细信息，请参阅如何：要求托管设备通过条件访问进行云应用访问。

自动设备许可

加入Microsoft Entra的所有 Windows 设备都经过许可证检查。这些检查使你能够通过 Microsoft 云自动将它们从 Pro 升级到企业版。从用户中删除相关订阅时，设备会自动降级其许可证。此功能提供用于管理 Windows 许可证的单一控制窗格，无需任何复杂的过程或本地系统。

自助服务功能

自助服务功能包括自助式密码重置和 BitLocker 恢复密钥。 Microsoft Entra ID 还提供了重置密码或访问 BitLocker 恢复密钥的直接选项。可以使用 Microsoft Entra ID 直接从 Windows 锁屏界面重置密码，而不是从 Web 浏览器重置密码。这些功能可减少用户的摩擦，并帮助降低组织的支持人员成本。

有关详细信息，请参阅教程：让用户使用Microsoft Entra自助密码重置解锁其帐户或重置密码。

企业状态漫游

加入Microsoft Entra ID 的所有设备都可以将其设置同步到云。用户登录的任何设备都会同步其所有设置，从而获得更高效的体验。

价值主张

通过任一方法将设备加入Microsoft Entra ID 可加速数字化转型。它支持 Microsoft 365 提供的更多功能。你将拥有更好的体验，并且数据具有更高的安全性。

Microsoft Entra ID 提供了多个选项来减轻工作负担，例如：

从单个位置管理组织中的所有设备标识。
通过启用自助密码重置来降低支持人员成本。然后，用户可以随时从设备上的 Windows 锁屏界面重置密码。

配置

如果已有本地 Active Directory环境，并且想要加入已加入域的设备以Microsoft Entra ID，请配置Microsoft Entra混合加入的设备。有关详细信息，请参阅如何：规划Microsoft Entra混合联接实现。

Configuration Manager具有一个客户端设置，设置为使用Microsoft Entra ID 自动注册新Windows 10或更高版本加入域的设备。有关配置客户端设置的详细信息，请参阅如何配置客户端设置。

如果要为设备配置Microsoft Entra加入，而不同时将它们加入本地域，请查看环境中Microsoft Entra加入的注意事项。决定使用Microsoft Entra加入后，可以根据组织的需求进行部署。有关详细信息，请参阅以下文章：