Share via


如何:規劃您的 Microsoft Entra Join 實作

您可以直接將裝置加入 Microsoft Entra 識別碼,而不需要加入 內部部署的 Active Directory,同時讓您的使用者保持生產力和安全。 Microsoft Entra Join 已準備好進行大規模和限定範圍的部署。 內部部署資源的單一登錄 (SSO) 存取也可供已加入 Microsoft Entra 的裝置使用。 如需詳細資訊,請參閱 SSO 對內部部署資源的如何運作於已加入 Microsoft Entra 的裝置上。

本文提供規劃 Microsoft Entra Join 實作所需的資訊。

必要條件

本文假設您已熟悉 Microsoft Entra ID 中的裝置管理簡介。

計劃您的實作

若要規劃您的 Microsoft Entra Join 實作,您應該熟悉:

  • 檢閱您的案例
  • 檢閱您的身分識別基礎結構
  • 評估您的裝置管理
  • 瞭解應用程式和資源的考慮
  • 瞭解您的布建選項
  • 設定企業狀態漫遊
  • 設定條件式存取

檢閱您的案例

Microsoft Entra join 可讓您使用 Windows 轉換至雲端優先模型。 如果您打算將裝置管理現代化並降低與裝置相關的IT成本,Microsoft Entra Join為達成這些目標提供了絕佳的基礎。

如果您的目標符合下列準則,請考慮 Microsoft Entra join:

  • 您採用 Microsoft 365 作為使用者的生產力套件。
  • 您想要使用雲端裝置管理解決方案來管理裝置。
  • 您想要簡化分散地理位置使用者的裝置布建。
  • 您計劃將應用程式基礎結構現代化。

檢閱您的身分識別基礎結構

Microsoft Entra Join 適用於受控和同盟環境。 我們認為大多數組織都會部署受控網域。 受控網域案例不需要設定和管理同盟伺服器,例如 Active Directory 同盟服務 (AD FS)。

受管理的環境

受控環境可以透過 密碼哈希同步使用無縫單一登錄傳遞驗證 來部署。

同盟環境

同盟環境應該有支援 WS-Trust 和 WS-Fed 通訊協定的識別提供者:

  • WS-Fed: 需要此通訊協定,才能將裝置加入 Microsoft Entra ID。
  • WS-Trust: 需要此通訊協定才能登入已加入 Microsoft Entra 的裝置。

當您使用 AD FS 時,必須啟用下列 WS-Trust 端點: /adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

如果您的識別提供者不支援這些通訊協定,Microsoft Entra join 將無法以原生方式運作。

注意

目前,Microsoft Entra join 不適用於 以外部驗證提供者設定為主要驗證方法的 AD FS 2019。 Microsoft Entra 聯結預設為密碼驗證作為主要方法,這會導致此案例中的驗證失敗

使用者設定

如果您在下列專案中建立使用者:

  • 在內部部署 Active Directory 中,您必須使用 Microsoft Entra 連線 將其同步處理至 Microsoft Entra 識別碼。
  • Microsoft Entra ID,不需要額外的設定。

已加入 Microsoft Entra 的裝置不支援與 Microsoft Entra UPN 不同的內部部署用戶主體名稱。 如果您的使用者使用內部部署 UPN,您應該計劃切換為在 Microsoft Entra ID 中使用其主要 UPN。

僅支持啟動 Windows 10 2004 更新的 UPN 變更。 在變更 UPN 之後,具有此更新之裝置上的使用者不會有任何問題。 針對 Windows 10 2004 更新之前的裝置,使用者在其裝置上會有 SSO 和條件式存取問題。 他們需要使用新的UPN透過「其他使用者」磚登入 Windows,以解決此問題。

評估您的裝置管理

支援的裝置

Microsoft Entra join:

  • 支援 Windows 10 和 Windows 11 裝置。
  • 舊版 Windows 或其他作業系統不支援。 如果您有 Windows 7/8.1 裝置,則必須至少升級至 Windows 10 以部署 Microsoft Entra Join。
  • 支援符合聯邦資訊處理標準 (FIPS) 規範的信任平台模組 (TPM) 2.0,但 TPM 1.2 不支援。 如果您的裝置具有符合 FIPS 規範的 TPM 1.2,您必須先停用它們,才能繼續加入 Microsoft Entra。 Microsoft 不會提供任何工具來停用 TPM 的 FIPS 模式,因為它相依於 TPM 製造商。 請連絡硬體 OEM 以取得支援。

建議: 一律使用最新的 Windows 版本來利用更新的功能。

管理平臺

Microsoft Entra 已加入裝置的裝置管理是以行動裝置管理 (MDM) 平台為基礎,例如 Intune 和 MDM CSP。 從 Windows 10 開始,有一個內建 MDM 代理程式可與所有相容的 MDM 解決方案搭配運作。

注意

加入 Microsoft Entra 的裝置不支援組策略,因為它們未連線到 內部部署的 Active Directory。 只有透過 MDM 才能管理已加入 Microsoft Entra 的裝置

有兩種方法可用來管理已加入 Microsoft Entra 的裝置:

  • 僅限 MDM - 裝置是由 Intune 等 MDM 提供者獨佔管理。 所有原則都會在 MDM 註冊程式中傳遞。 對於 Microsoft Entra ID P1 或 P2 或 EMS 客戶,MDM 註冊是 Microsoft Entra 加入的自動化步驟。
  • 共同管理 - 裝置是由 MDM 提供者和 Microsoft Configuration Manager 管理。 在此方法中,Microsoft Configuration Manager 代理程式會安裝在 MDM 管理的裝置上,以管理特定層面。

如果您使用組策略,請在 Microsoft Intune 中使用 組策略分析 來評估組策略物件 (GPO) 和 MDM 原則同位。

檢閱支援和不支持的原則,以判斷您是否可以使用 MDM 解決方案,而不是組策略。 針對不支持的原則,請考慮下列問題:

  • Microsoft Entra 已加入裝置或使用者所需的不支持原則嗎?
  • 雲端驅動部署中是否適用不支持的原則?

如果您的 MDM 解決方案無法透過 Microsoft Entra 應用連結庫取得,您可以遵循 Microsoft Entra 與 MDM 整合中所述的程式加以新增。

透過共同管理,您可以使用 Microsoft Configuration Manager 來管理裝置的某些層面,同時原則會透過 MDM 平台傳遞。 Microsoft Intune 可與 Microsoft Configuration Manager 共同管理。 如需 Windows 10 或更新版本裝置共同管理的詳細資訊,請參閱 什麼是共同管理?。 如果您使用 Intune 以外的 MDM 產品,請在適用的共同管理案例上洽詢 MDM 提供者。

建議: 請考慮只管理已加入 Microsoft Entra 的裝置的 MDM。

瞭解應用程式和資源的考慮

我們建議將應用程式從內部部署移轉至雲端,以提供更好的用戶體驗和訪問控制。 已加入 Microsoft Entra 的裝置可以順暢地存取內部部署和雲端應用程式。 如需詳細資訊,請參閱 SSO 對內部部署資源的如何運作於已加入 Microsoft Entra 的裝置上。

下列各節列出不同類型的應用程式和資源的考慮。

雲端式應用程式

如果應用程式新增至 Microsoft Entra 應用連結庫,用戶會透過已加入 Microsoft Entra 的裝置取得 SSO。 不需要其他設定。 使用者會在 Microsoft Edge 和 Chrome 瀏覽器上取得 SSO。 針對 Chrome,您必須部署 Windows 10 帳戶擴充功能

所有 Win32 應用程式:

  • 依賴 Web 帳戶管理員 (WAM) 進行令牌要求,也會在已加入 Microsoft Entra 的裝置上取得 SSO。
  • 不要依賴 WAM 可能會提示使用者進行驗證。

內部部署 Web 應用程式

如果您的應用程式是自訂建置或載入於內部部署環境,您必須將它們新增至瀏覽器的信任網站:

  • 讓 Windows 整合式驗證能夠運作
  • 為使用者提供無提示 SSO 體驗。

如果您使用AD FS,請參閱 使用AD FS驗證和管理單一登錄。

建議: 請考慮在雲端中裝載 (例如 Azure),並與 Microsoft Entra ID 整合,以取得更佳的體驗。

依賴舊版通訊協議的內部部署應用程式

如果用戶能夠存取域控制器,使用者會從已加入 Microsoft Entra 的裝置取得 SSO。

注意

已加入 Microsoft Entra 的裝置可以順暢地存取內部部署和雲端應用程式。 如需詳細資訊,請參閱 SSO 對內部部署資源的如何運作於已加入 Microsoft Entra 的裝置上。

建議: 部署 Microsoft Entra 應用程式 Proxy ,以啟用這些應用程式的安全存取。

內部部署網路共用

當裝置可存取內部部署域控制器時,您的使用者會有來自 Microsoft Entra 已加入裝置的 SSO。 瞭解其運作方式

印表機

建議您部署 通用列印,以擁有雲端式列印 管理解決方案,而不需要任何內部部署相依性。

依賴計算機驗證的內部部署應用程式

已加入 Microsoft Entra 的裝置不支援依賴電腦驗證的內部部署應用程式。

建議: 請考慮淘汰這些應用程式,並移至其新式替代方案。

遠端桌面服務

已加入 Microsoft Entra 裝置的遠端桌面連線需要主計算機已加入 Microsoft Entra 或已加入 Microsoft Entra 混合式。 不支持從未加入或非 Windows 裝置的遠端桌面。 如需詳細資訊,請參閱 連線 遠端加入 Microsoft Entra 的電腦

從 Windows 10 2004 更新開始,使用者也可以使用從 Microsoft Entra 註冊的 Windows 10 或更新版本的裝置到另一個已加入 Microsoft Entra 的裝置的遠端桌面。

RADIUS 和Wi-Fi驗證

目前,已加入 Microsoft Entra 的裝置不支援使用內部部署計算機對象和憑證來連線到 Wi-Fi 存取點的 RADIUS 驗證,因為 RADIUS 依賴此案例中的內部部署計算機物件存在。 或者,您可以使用透過 Intune 或使用者認證推送的憑證,向Wi-Fi 進行驗證。

瞭解您的布建選項

注意

[無法使用系統準備工具 (Sysprep) 或類似的映射工具來部署已加入 Microsoft Entra 的裝置。

您可以使用下列方法布建已加入 Microsoft Entra 的裝置:

  • OOBE/設定 中的自助 - 在自助模式中,用戶會經歷 Windows 現用體驗期間或 Windows 設定 期間的 Microsoft Entra 加入程式。 如需詳細資訊,請參閱 將工作裝置加入組織的網路
  • Windows Autopilot - Windows Autopilot 可讓您預先設定裝置,以在 OOBE 中提供更順暢的 Microsoft Entra 加入體驗。 如需詳細資訊,請參閱 Windows Autopilot 概觀。
  • 大量註冊 - 大量註冊 可讓系統管理員使用大量布建工具來設定裝置,讓系統管理員能夠加入 Microsoft Entra。 如需詳細資訊,請參閱 Windows 裝置的大量註冊。

以下是這三種方法的比較

元素 自助式設定 Windows Autopilot 大量註冊
需要用戶互動才能設定 Yes .是 No
需要IT工作 No .是 Yes
適用的流程 OOBE & 設定 僅限 OOBE 僅限 OOBE
主要使用者的本機系統管理員權限 是,預設為 可設定 No
需要裝置 OEM 支援 No .是 No
支援的版本 1511+ 1709+ 1703+

檢閱上表並檢閱下列採用任一方法的考慮,以選擇您的部署方法或方法:

  • 您的用戶技術精明是否要自行完成設定?
    • 自助最適合這些使用者。 請考慮使用 Windows Autopilot 來增強用戶體驗。
  • 您的使用者是遠端或公司內部部署嗎?
    • 自助或 Autopilot 最適合遠端用戶進行無麻煩設定。
  • 您偏好使用者驅動或系統管理員管理的設定嗎?
    • 大量註冊適用於系統管理員驅動的部署,以在將裝置移交給使用者之前設定裝置。
  • 您是否從 1 到 2 個 OEMS 購買裝置,或您有廣泛的 OEM 裝置分佈?
    • 如果從支援 Autopilot 的有限 OEM 購買,您可以從與 Autopilot 更緊密的整合中獲益。

設定您的裝置設定

Microsoft Entra 系統管理中心可讓您控制組織中已加入 Microsoft Entra 裝置的部署。 若要設定相關設定,請流覽至 [身分>識別裝置>所有裝置] [裝置>設定]。 深入了解

使用者可能會將裝置加入 Microsoft Entra 識別碼

根據部署的範圍,以及您想要設定已加入 Microsoft Entra 的裝置的人員,將此選項設定為 [全部 ] 或 [已選取 ]。

使用者可能會將裝置加入 Microsoft Entra 識別碼

在已加入 Microsoft Entra 的裝置上的其他本機系統管理員

選擇 [ 已選取 ],並選取您要新增至所有已加入 Microsoft Entra 裝置的本機系統管理員群組的使用者。

在已加入 Microsoft Entra 的裝置上的其他本機系統管理員

需要多重要素驗證 (MFA) 才能加入裝置

如果您需要使用者在將裝置加入 Microsoft Entra ID 時執行 MFA,請選取 [是 ]。

需要多重要素驗證才能加入裝置

建議: 使用使用者動作 在條件式存取中註冊或加入裝置 ,以強制執行 MFA 以加入裝置。

設定行動設定

您必須先新增 MDM 提供者,才能設定行動設定。

若要新增 MDM 提供者

  1. 在 [ Microsoft Entra 標識符] 頁面上的 [ 管理] 區段中,選取 Mobility (MDM and MAM)

  2. 選取新增應用程式

  3. 從清單中選取您的 MDM 提供者。

    Microsoft Entra ID [新增應用程式] 頁面的螢幕快照。列出數個 M D M 提供者。

選取您的 MDM 提供者以設定相關的設定。

MDM 使用者範圍

根據部署的範圍選取 [部分] 或 [全部]。

MDM 使用者範圍

根據您的範圍,會發生下列其中一項:

  • 用戶位於 MDM 範圍內: 如果您有 Microsoft Entra ID P1 或 P2 訂用帳戶,MDM 註冊會隨著 Microsoft Entra Join 自動進行。 所有限定範圍的用戶都必須有適當的 MDM 授權。 如果此案例中的 MDM 註冊失敗,Microsoft Entra Join 也會回復。
  • 使用者不在 MDM 範圍內: 如果使用者不在 MDM 範圍內,Microsoft Entra Join 會完成,而不需要任何 MDM 註冊。 此範圍會導致非受控裝置。

MDM URL

有三個 URL 與您的 MDM 組態相關:

  • MDM 使用規定 URL
  • MDM 探索 URL
  • MDM 合規性 URL

Microsoft Entra M D M 組態區段的螢幕快照,其中具有 M D M 使用規定、探索和合規性的 U R L 字段。

每個 URL 都有預先定義的預設值。 如果這些欄位為空白,請連絡 MDM 提供者以取得詳細資訊。

MAM 設定

行動應用程式管理 (MAM) 不適用於 Microsoft Entra Join。

設定企業狀態漫遊

如果您想要啟用狀態漫遊至 Microsoft Entra ID,讓使用者可以在裝置之間同步其設定,請參閱 在 Microsoft Entra ID 中啟用企業狀態漫遊。

建議:即使 Microsoft Entra 混合式已加入裝置也啟用此設定。

設定條件式存取

如果您已針對已加入 Microsoft Entra 的裝置設定 MDM 提供者,則提供者會在裝置管理後立即將裝置標幟為符合規範。

相容的裝置

您可以使用此實作來 要求受控裝置才能使用條件式存取進行雲端應用程式存取

下一步