Azure AD 加入裝置
任何組織都可以部署加入 Azure AD 的裝置,不論其大小或產業為何。 Azure AD 聯結即使在混合式環境中也可以運作,讓您可同時存取雲端及內部部署應用程式與資源。
| Azure AD Join | Description |
|---|---|
| [定義] | 僅加入到需要組織帳戶才能登入裝置的 Azure AD |
| 主要對象 | 適用於僅限雲端和混合式組織。 |
| 適用於組織中的所有使用者 | |
| 裝置擁有權 | 組織 |
| 作業系統 | 除了家用版以外的所有 Windows 11 和 Windows 10 裝置 |
| 不支援在 Azure (Server 核心中執行的 Windows Server 2019 和更新版本虛擬機器) | |
| 佈建 | 自助:Windows Out of Box Experience (OOBE) 或設定 |
| 大量註冊 | |
| Windows Autopilot | |
| 裝置登入選項 | 使用下列項目的組織帳戶: |
| 密碼 | |
| Windows Hello 企業版 | |
| FIDO2.0 安全性金鑰 (預覽) | |
| 裝置管理 | 行動裝置管理 (例如:Microsoft Intune) |
| 獨立使用 Configuration Manager 或搭配 Microsoft Intune 共同管理 | |
| 主要功能 | 雲端和內部部署資源的 SSO |
| 透過 MDM 註冊和 MDM 合規性評估進行條件式存取 | |
| 在鎖定畫面上進行自助式密碼重設和 Windows Hello PIN 重設 |
加入 Azure AD 的裝置會使用組織 Azure AD 帳戶登入。 您可以根據套用至裝置的 Azure AD 帳戶和條件式存取原則來控制資源的存取權。
系統管理員可以使用行動裝置裝置管理 (MDM) 工具來保護及進一步控制已加入 Azure AD 的裝置,例如使用 Microsoft Configuration Manager Microsoft Intune 或共同管理案例。 這些工具提供一種方法來強制執行組織所需的設定,例如:
- 需要加密儲存體
- 密碼複雜度
- 軟體安裝
- 軟體更新
系統管理員可以使用 Configuration Manager,將組織應用程式提供給加入 Azure AD 的裝置,進而管理商務用和教育用 Microsoft Store 中的應用程式。
您可以使用全新體驗 (OOBE)、大量註冊或 Windows Autopilot 等自助選項來完成 Azure AD Join。
加入 Azure AD 的裝置仍可在組織的網路上,維持對內部部署資源的單一登入存取權。 加入 Azure AD 的裝置仍然可以向內部部署伺服器進行驗證,例如檔案、列印和其他應用程式。
案例
Azure AD 聯結可用於各種案例,例如:
- 您想要使用 Azure AD 和 MDM (例如 Intune) 來轉換成雲端式基礎結構。
- 您無法使用內部部署網域加入,例如,如果您需要控制平板電腦和手機等行動裝置。
- 您的使用者主要需要存取 Microsoft 365 或其他整合 Azure AD 的 SaaS 應用程式。
- 您想要在 Azure AD 中管理使用者群組,而不是在 Active Directory 中。 例如,此案例可以套用於季節工、約聘員工或學生。
- 您要為內部部署基礎結構受到限制的居家或遠端分公司工作者提供聯結功能。
您可以設定所有 Windows 11 和 Windows 10 裝置的 Azure AD 聯結 (家用版除外)。
Azure AD 加入裝置的目標是簡化:
- 公司擁有裝置的 Windows 部署
- 從任何 Windows 裝置存取組織應用程式和資源
- 公司擁有裝置的雲端式管理
- 使用者可以使用其 Azure AD 或已同步 Active Directory 公司或學校帳戶登入他們的裝置。
您可以使用下列任何一種方法來部署 Azure AD Join: