規劃您的 Microsoft Entra 裝置部署
本文可協助您評估將裝置與 Microsoft Entra 整合的方法、選擇實作方案,以及提供受支援裝置管理工具的主要連結。
使用者裝置的橫向會不斷擴充。 組織可以提供桌上型電腦、膝上型電腦、手機、平板電腦和其他裝置。 您的使用者可能會攜帶自己的裝置陣列,並存取來自不同位置的資訊。 在此環境中,您身為系統管理員的工作是讓貴組織的資源在所有裝置上保持安全。
Microsoft Entra ID 讓貴組織能以裝置身分識別管理來符合這些目標。 您現在可以在 Microsoft Entra ID 中取得裝置,並從 Microsoft Entra 系統管理中心的集中位置加以控制。 此程序可提供您一致的體驗、增強的安全性,並減少設定新裝置所需的時間。
有多種方法可將您的裝置整合至 Microsoft Entra,其可根據作業系統和您的需求來個別或共同運作:
- 在 Microsoft Entra ID 中註冊裝置。
- 將裝置加入 Microsoft Entra ID (僅限雲端)。
- 混合式 Microsoft Entra Join 裝置加入您的內部部署 Active Directory 網域和 Microsoft Entra ID。
了解
開始之前,請確定您已熟悉裝置身分識別管理概觀。
福利
為您的裝置提供 Microsoft Entra 身分識別的主要優點:
提高生產力:使用者可以在您的內部部署和雲端資源進行無縫登入 (SSO),讓他們隨時隨地都能保持生產力。
提高安全性:根據裝置或使用者的身分識別,將條件式存取原則套用至資源。 將裝置加入 Microsoft Entra ID 是利用無密碼策略提高安全性的先決條件。
改善使用者體驗:讓您的使用者能夠輕鬆地從個人和公司裝置存取貴組織的雲端式資源。 系統管理員可以在所有 Windows 裝置上啟用企業狀態漫遊的統一體驗。
簡化部署和管理:利用 Windows Autopilot、大量佈建或自助式:全新體驗 (OOBE),來簡化將裝置帶入 Microsoft Entra ID 的程序。 使用行動裝置管理 (MDM) 工具 (例如 Microsoft Intune) 以及其在 Microsoft Entra 系統管理中心中的身分識別來管理裝置。
規劃部署專案
在決定環境中此部署的策略時,請考慮您的組織需求。
包含正確的專案關係人
當技術專案失敗時,其通常是因為人員對影響、結果與責任抱持不相符的預期而造成。 若要避免這些問題,請確定您已包含適當的利害關係人,並且了解專案中的利害關係人角色。
針對此方案,請將下列專案關係人新增至您的清單:
角色 | 描述 |
---|---|
裝置管理員 | 裝置小組的代表,可驗證方案是否符合貴組織的裝置需求。 |
網路管理員 | 網路小組的代表,可確保符合網路需求。 |
裝置管理小組 | 管理裝置清查的小組。 |
作業系統特定的系統管理小組 | 支援和管理特定作業系統版本的小組。 例如,可能有專注使用 Mac 或 iOS 的小組。 |
方案通訊
溝通對於任何新服務的成功非常重要。 主動與您的使用者溝通其體驗將如何改變、何時會改變,以及如何在遇到問題時取得支援。
規劃試驗
建議您在測試環境中,或使用一小組測試裝置來初始設定您的整合方法。 請參閱試驗的最佳做法 \(部分機器翻譯\)。
您可能需要執行混合式 Microsoft Entra Join 的目標式部署,再於整個組織內將其啟用。
警告
組織應該在其試驗群組中包含來自不同角色和設定檔的使用者範例。 目標推出將有助於找出在為整個組織啟用之前,您的方案可能未解決的任何問題。
選擇您的整合方法
貴組織可以在單一 Microsoft Entra 租用戶中使用多個裝置整合方法。 目標是選擇適用的方法,以便在 Microsoft Entra 中安全地管理您的裝置。 有許多參數會推動這類決策,包括擁有權、裝置類型、主要對象和貴組織的基礎結構。
下列資訊可協助您決定要使用的整合方法。
裝置整合的決策樹
使用此樹狀結構來判斷組織所擁有裝置的選項。
注意
本圖中未顯示個人或攜帶您自己的裝置 (BYOD) 案例。 其一律會導致 Microsoft Entra 註冊。
比較矩陣
iOS 和 Android 裝置可能只會註冊 Microsoft Entra。 下表提供 Windows 用戶端裝置的高階考量。 請使用其做為概觀,然後詳細探索不同的整合方法。
考量 | 已註冊 Microsoft Entra | 已加入 Microsoft Entra | 已加入 Microsoft Entra 混合式 |
---|---|---|---|
用戶端作業系統 | |||
Windows 11 或 Windows 10 裝置 | |||
Windows 下層裝置 (Windows 8.1 或 Windows 7) | |||
Linux 桌面 - Ubuntu 20.04/22.04 | |||
登入選項 | |||
終端使用者本機認證 | |||
密碼 | |||
裝置 PIN | |||
Windows Hello | |||
Windows Hello 企業版 | |||
FIDO 2.0 安全性金鑰 | |||
Microsoft Authenticator 應用程式 (無密碼) | |||
主要功能 | |||
雲端資源 SSO | |||
SSO 至內部部署資源 | |||
條件式存取 (裝置需要標記為符合規範) (必須由 MDM 管理) |
|||
條件式存取 (需要 Microsoft Entra 混合式加入裝置) |
|||
從 Windows 登入畫面自助式密碼重設 | |||
Windows Hello PIN 重設 |
Microsoft Entra 註冊
註冊的裝置通常會使用 Microsoft Intune 來管理。 裝置在 Intune 中有數種註冊方式,視作業系統而定。
已註冊 Microsoft Entra 的裝置可支援攜帶您自己的裝置 (BYOD) 和公司擁有的裝置,以 SSO 至雲端資源。 存取資源取決於套用至裝置和使用者的 Microsoft Entra 條件式存取原則。
註冊裝置
註冊的裝置通常會使用 Microsoft Intune 來管理。 裝置在 Intune 中有數種註冊方式,視作業系統而定。
安裝公司入口網站應用程式的使用者會註冊 BYOD 和公司擁有的行動裝置。
如果貴組織的最佳選項是註冊您的裝置,請參閱下列資源:
- 此已註冊 Microsoft Entra 裝置的概觀。
- 此使用者文件關於在貴組織的網路上註冊您的個人裝置。
Microsoft Entra 聯結
Microsoft Entra Join 可讓您使用 Windows 轉換至雲端優先模型。 如果您打算將裝置管理現代化,並減少裝置相關的 IT 成本,其可提供絕佳的基礎。 Microsoft Entra Join 僅適用於 Windows 10 或更新版本的裝置。 將其視為新裝置的優先選擇。
已加入 Microsoft Entra 的裝置可以在組織的網路上進行內部部署資源的 SSO,可驗證內部部署伺服器,例如檔案、列印和其他應用程式。
如果此選項最適合貴組織,請參閱下列資源:
佈建已加入 Microsoft Entra 的裝置
若要將裝置佈建至 Microsoft Entra Join,您可以使用下列方法:
如果您在裝置上安裝了 Windows 10 專業版或 Windows 10 企業版,體驗則預設為公司所擁有裝置的安裝程序。
在仔細比較這些方法之後,請選擇您的部署程序。
您可以判斷混合式 Microsoft Entra Join 是處於不同狀態裝置的最佳解決方案。 下表說明如何變更裝置的狀態。
目前的裝置狀態 | 所需的裝置狀態 | 操作方式 |
---|---|---|
內部部署已加入網域 | 已加入 Microsoft Entra | 先從內部部署網域退出裝置之後,再加入 Microsoft Entra ID。 |
已加入 Microsoft Entra 混合式 | 已加入 Microsoft Entra | 先從內部部署網域和從 Microsoft Entra ID 退出裝置之後,再加入 Microsoft Entra ID。 |
已註冊 Microsoft Entra | 已加入 Microsoft Entra | 先將裝置取消註冊之後,再加入 Microsoft Entra ID。 |
Microsoft Entra 混合式聯結
如果您有內部部署 Active Directory 環境,且想要將加入網域的現有電腦加入 Microsoft Entra ID,則可使用混合式 Microsoft Entra Join 來完成。 其支援廣泛的 Windows 裝置,包括 Windows 目前和 Windows 下層裝置。
大部分的組織已經有加入網域的裝置,並透過群組原則或 System Center Configuration Manager (SCCM) 來加以管理。 在此情況下,建議您設定混合式 Microsoft Entra Join,以在使用現有的投資時開始獲得優勢。
如果混合式 Microsoft Entra Join 是貴組織的最佳選項,請參閱下列資源:
佈建混合式 Microsoft Entra Join 至您的裝置
檢閱您的身分識別基礎結構。 Microsoft Entra Connect 提供精靈來設定下列專案的混合式 Microsoft Entra Join:
如果您無法安裝所需版本的 Microsoft Entra Connect,請參閱如何手動設定混合式 Microsoft Entra Join。
注意
已加入內部部署網域的 Windows 10 或更新版本裝置在預設情況下會嘗試自動加入 Microsoft Entra 成為已加入混合式 Microsoft Entra。 只有當您已設定正確的環境時,才會成功。
您可以判斷混合式 Microsoft Entra Join 是處於不同狀態裝置的最佳解決方案。 下表說明如何變更裝置的狀態。
目前的裝置狀態 | 所需的裝置狀態 | 操作方式 |
---|---|---|
內部部署已加入網域 | 已加入 Microsoft Entra 混合式 | 使用 Microsoft Entra Connect 或 AD FS 來加入 Azure。 |
已加入或新增內部部署工作群組 | 已加入 Microsoft Entra 混合式 | Windows Autopilot 支援。 否則,裝置必須是在混合式 Microsoft Entra Join 之前加入的內部部署網域。 |
已加入 Microsoft Entra | 已加入 Microsoft Entra 混合式 | 從 Microsoft Entra ID 退出,以將其放在內部部署工作群組或新的狀態。 |
已註冊 Microsoft Entra | 已加入 Microsoft Entra 混合式 | 相依於 Windows 版本。 請參閱這些考慮。 |
管理您的裝置
一旦您已將裝置註冊或加入 Microsoft Entra ID 後,請使用 Microsoft Entra 系統管理中心做為管理裝置身分識別的集中位置。 [Microsoft Entra 裝置] 頁面可讓您:
- 設定您的裝置設定。
- 您必須是本機系統管理員,才能管理 Windows 裝置。 Microsoft Entra ID 會更新已加入 Microsoft Entra 裝置的成員資格,自動將具有裝置管理員角色的使用者新增為所有已加入裝置的系統管理員。
管理過時裝置,並將您的資源集中在管理目前的裝置上,確定您可以保持環境乾淨。
支援的裝置管理工具
系統管理員可以使用其他裝置管理工具來保護已註冊及已加入的裝置,並進一步加以控制。 這些工具可讓您強制執行設定,例如要求儲存加密、密碼複雜性、軟體安裝和軟體更新。
針對整合式裝置檢閱支援和不支援的平台:
裝置管理工具 | 已註冊 Microsoft Entra | 已加入 Microsoft Entra | 已加入 Microsoft Entra 混合式 |
---|---|---|---|
行動裝置管理 (MDM) 範例:Microsoft Intune |
|||
Microsoft Intune 與 Microsoft Configuration Manager 共同管理 (Windows 10 或更新版本) |
|||
群組原則 (僅限 Windows) |
建議您考慮 Microsoft Intune 行動應用程式管理 (MAM) (不論是否有裝置管理用於已註冊的 iOS 或 Android 裝置)。
系統管理員也可以部署在其組織中裝載 Windows 作業系統的虛擬桌面基礎結構 (VDI) 平台,以透過合併和集中資源來簡化管理及降低成本。