Plánování nasazení zařízení Microsoft Entra
Tento článek vám pomůže vyhodnotit metody integrace zařízení s Microsoft Entra ID, zvolit plán implementace a poskytuje klíčové odkazy na podporované nástroje pro správu zařízení.
Krajina zařízení uživatele se neustále rozšiřuje. Organizace můžou poskytovat stolní počítače, notebooky, telefony, tablety a další zařízení. Vaši uživatelé můžou používat vlastní pole zařízení a přistupovat k informacím z různých míst. V tomto prostředí je vaším úkolem jako správce zajistit zabezpečení prostředků organizace na všech zařízeních.
Microsoft Entra ID umožňuje vaší organizaci splnit tyto cíle pomocí správy identit zařízení. Zařízení teď můžete získat v Microsoft Entra ID a řídit je z centrálního umístění v Centru pro správu Microsoft Entra. Tento proces poskytuje jednotné prostředí, lepší zabezpečení a zkracuje čas potřebný ke konfiguraci nového zařízení.
Existují různé metody integrace zařízení do Microsoft Entra ID, které můžou pracovat samostatně nebo společně na základě operačního systému a vašich požadavků:
- Zařízení můžete zaregistrovat pomocí Microsoft Entra ID.
- Připojte zařízení k Microsoft Entra ID (jenom cloud).
- Hybridní připojení zařízení Microsoft Entra k vaší místní Active Directory doméně a ID Microsoft Entra.
Informace
Než začnete, ujistěte se, že znáte přehled správy identit zařízení.
Zaměstnanecké výhody
Hlavní výhody poskytování identity Microsoft Entra pro vaše zařízení:
Zvýšení produktivity – Uživatelé můžou bezproblémově přihlašovat (SSO) k místním a cloudovým prostředkům a umožnit tak produktivitu bez ohledu na to, kde jsou.
Zvýšení zabezpečení – Použití zásad podmíněného přístupu na prostředky na základě identity zařízení nebo uživatele Připojení zařízení k Microsoft Entra ID je předpokladem pro zvýšení zabezpečení pomocí strategie bez hesla .
Vylepšení uživatelského prostředí – Poskytněte uživatelům snadný přístup ke cloudovým prostředkům vaší organizace z osobních i firemních zařízení. Správa istrátory můžou povolit Enterprise State Roaming pro jednotné prostředí na všech zařízeních s Windows
Zjednodušení nasazení a správy – Zjednodušte proces přenesení zařízení do Microsoft Entra ID pomocí Windows Autopilotu, hromadného zřizování nebo samoobslužného prostředí: Prostředí OOBE (Out of Box Experience). Spravujte zařízení pomocí nástrojů mdm (Mobile Správa zařízení), jako je Microsoft Intune, a jejich identit v Centru pro správu Microsoft Entra.
Plánování projektu nasazení
Při určování strategie pro toto nasazení ve vašem prostředí zvažte potřeby vaší organizace.
Zapojení správných zúčastněných stran
Když technologické projekty selžou, obvykle to dělají kvůli neshodě očekávání ohledně dopadu, výsledků a zodpovědností. Abyste se těmto nástrahám vyhnuli, zajistěte, abyste se zapojili do správných zúčastněných stran a aby role účastníků v projektu byly dobře srozumitelné.
Pro tento plán přidejte do seznamu následující zúčastněné strany:
| Role | Popis |
|---|---|
| Správce zařízení | Zástupce týmu zařízení, který může ověřit, že plán bude splňovat požadavky vaší organizace. |
| Správce sítě | Zástupce od síťového týmu, který se může ujistit, že splňuje požadavky na síť. |
| Tým pro správu zařízení | Tým, který spravuje inventář zařízení |
| Týmy pro správu specifické pro operační systém | Týmy, které podporují a spravují konkrétní verze operačního systému. Může se například jednat o tým zaměřený na Mac nebo iOS. |
Plánování komunikace
Komunikace je důležitá pro úspěch jakékoli nové služby. Proaktivně komunikujte s uživateli, jak se jejich prostředí změní, kdy se změní, a jak získat podporu, pokud dojde k problémům.
Plánování pilotního nasazení
Doporučujeme, aby počáteční konfigurace vaší metody integrace byla v testovacím prostředí nebo s malou skupinou testovacích zařízení. Podívejte se na osvědčené postupy pro pilotní nasazení.
Před povolením hybridního připojení Microsoft Entra v celé organizaci můžete chtít provést cílené nasazení hybridního připojení Microsoft Entra.
Upozorňující
Organizace by měly ve své pilotní skupině obsahovat ukázku uživatelů z různých rolí a profilů. Cílené zavedení vám pomůže identifikovat všechny problémy, které váš plán nemusí řešit, než povolíte pro celou organizaci.
Volba metod integrace
Vaše organizace může použít více metod integrace zařízení v jednom tenantovi Microsoft Entra. Cílem je zvolit metody vhodné k zabezpečené správě vašich zařízení v Microsoft Entra ID. Toto rozhodnutí řídí mnoho parametrů, včetně vlastnictví, typů zařízení, primární cílové skupiny a infrastruktury vaší organizace.
Následující informace vám můžou pomoct při rozhodování, které metody integrace se mají použít.
Rozhodovací strom pro integraci zařízení
Tento strom slouží k určení možností pro zařízení vlastněná organizací.
Poznámka:
Osobní nebo vlastní zařízení (BYOD) se v tomto diagramu nezobrazují. Vždy vedou k registraci Microsoft Entra.
Srovnávací matice
Zařízení s iOSem a Androidem můžou být zaregistrovaná pouze v Microsoft Entra. Následující tabulka uvádí základní aspekty klientských zařízení s Windows. Použijte ho jako přehled a podrobně prozkoumejte různé metody integrace.
| Situace | Registrace k Microsoft Entra | Připojení k Microsoft Entra | Hybridní připojení k Microsoft Entra |
|---|---|---|---|
| Klientské operační systémy | |||
| Zařízení s Windows 11 nebo Windows 10 |  |
|
|
| Zařízení s Windows nižší úrovně (Windows 8.1 nebo Windows 7) | |
||
| Linux Desktop – Ubuntu 20.04/22.04 | |
||
| Možnosti přihlášení | |||
| Místní přihlašovací údaje koncového uživatele | |
||
| Password | |
|
|
| PIN kód zařízení | |
||
| Windows Hello | |
||
| Windows Hello pro firmy | |
|
|
| Klíče zabezpečení FIDO 2.0 | |
|
|
| Aplikace Microsoft Authenticator (bez hesla) | |
|
|
| Klíčové funkce | |||
| Jednotné přihlašování ke cloudovým prostředkům | |
|
|
| Jednotné přihlašování k místním prostředkům | |
|
|
| Podmíněný přístup (Vyžadovat, aby zařízení byla označená jako vyhovující) (Musí být spravován pomocí MDM) |
|
|
|
| Podmíněný přístup (Vyžadovat zařízení připojená k hybridní službě Microsoft Entra) |
|
||
| Samoobslužné resetování hesla z přihlašovací obrazovky Windows | |
|
|
| Resetování PIN kódu Windows Hello | |
|
Registrace Microsoft Entra
Registrovaná zařízení se často spravují pomocí Microsoft Intune. Zařízení se registrují v Intune několika způsoby v závislosti na operačním systému.
Registrovaná zařízení Microsoft Entra poskytují podporu pro přineste si vlastní zařízení (BYOD) a zařízení vlastněná společností pro jednotné přihlašování ke cloudovým prostředkům. Přístup k prostředkům je založený na zásadách podmíněného přístupu Microsoft Entra použitých na zařízení a uživatele.
Registrace zařízení
Registrovaná zařízení se často spravují pomocí Microsoft Intune. Zařízení se registrují v Intune několika způsoby v závislosti na operačním systému.
Uživatelé, kteří instalují aplikaci Portál společnosti, zaregistrují mobilní zařízení vlastněná společností.
Pokud je registrace zařízení nejlepší volbou pro vaši organizaci, projděte si následující zdroje informací:
- Tento přehled zařízení registrovaných společností Microsoft Entra.
- Tato dokumentace koncového uživatele k registraci osobního zařízení v síti vaší organizace.
Připojení Microsoft Entra
Spojení Microsoft Entra umožňuje přechod na cloudový model s Windows. Poskytuje skvělý základ, pokud plánujete modernizovat správu zařízení a snížit náklady na IT související se zařízeními. Připojení Microsoft Entra funguje jenom s Windows 10 nebo novějšími zařízeními. Zvažte ji jako první volbu pro nová zařízení.
Zařízení připojená k Microsoftu Entra můžou při připojení k místním prostředkům v síti organizace provádět ověřování u místních serverů, jako jsou soubory, tisk a další aplikace.
Pokud je tato možnost pro vaši organizaci nejvhodnější, projděte si následující zdroje informací:
- Tento přehled zařízení připojených k Microsoft Entra.
- Seznamte se s plánem implementace microsoft Entra Join.
Zřizování zařízení připojených k Microsoft Entra
Pokud chcete zřídit zařízení pro připojení k Microsoft Entra, máte následující přístupy:
- Samoobslužná služba: Prostředí prvního spuštění Windows 10
Pokud máte na zařízení nainstalovaný systém Windows 10 Professional nebo Windows 10 Enterprise, výchozím prostředím pro zařízení vlastněná společností bude proces instalace.
Po pečlivém porovnání těchto přístupů zvolte svůj postup nasazení.
Můžete zjistit, že připojení Microsoft Entra je nejlepším řešením pro zařízení v jiném stavu. Následující tabulka ukazuje, jak změnit stav zařízení.
| Aktuální stav zařízení | Požadovaný stav zařízení | Postupy |
|---|---|---|
| Připojení k místní doméně | Připojení k Microsoft Entra | Před připojením k ID Microsoft Entra odpojte zařízení z místní domény. |
| Hybridní připojení k Microsoft Entra | Připojení k Microsoft Entra | Před připojením k Microsoft Entra ID odpojte zařízení z místní domény a z ID Microsoft Entra. |
| Registrace k Microsoft Entra | Připojení k Microsoft Entra | Před připojením k MICROSOFT Entra ID zrušíte registraci zařízení. |
Hybridní připojení Microsoft Entra
Pokud máte místní Active Directory prostředí a chcete připojit stávající počítače připojené k doméně k Microsoft Entra ID, můžete tuto úlohu provést pomocí hybridního připojení Microsoft Entra. Podporuje širokou škálu zařízení s Windows, včetně zařízení s Windows aktuální i windows nižší úrovně.
Většina organizací už má zařízení připojená k doméně a spravuje je prostřednictvím zásad skupiny nebo nástroje System Center Configuration Manager (SCCM). V takovém případě doporučujeme nakonfigurovat hybridní připojení Microsoft Entra, abyste mohli začít získávat výhody při využívání stávajících investic.
Pokud je hybridní připojení Microsoft Entra nejlepší volbou pro vaši organizaci, projděte si následující zdroje informací:
- Tento přehled hybridních zařízení připojených k Microsoft Entra
- Seznamte se s plánem implementace hybridního připojení Microsoft Entra.
Zřizování hybridního připojení Microsoft Entra k vašim zařízením
Zkontrolujte infrastrukturu identit. Microsoft Entra Připojení poskytuje průvodce ke konfiguraci hybridního připojení Microsoft Entra pro:
Pokud instalace požadované verze microsoft Entra Připojení není možnost, podívejte se, jak ručně nakonfigurovat hybridní připojení Microsoft Entra.
Poznámka:
Místní zařízení s Windows 10 nebo novějším připojeným k doméně se pokusí automaticky připojit k Microsoft Entra ID a ve výchozím nastavení se stane hybridním připojeným microsoft Entra. To bude úspěšné pouze v případě, že jste nastavili správné prostředí.
Můžete zjistit, že hybridní připojení Microsoft Entra je nejlepším řešením pro zařízení v jiném stavu. Následující tabulka ukazuje, jak změnit stav zařízení.
| Aktuální stav zařízení | Požadovaný stav zařízení | Postupy |
|---|---|---|
| Připojení k místní doméně | Hybridní připojení k Microsoft Entra | K připojení k Azure použijte Microsoft Entra Připojení nebo AD FS. |
| Místní pracovní skupina připojená nebo nová | Hybridní připojení k Microsoft Entra | Podporováno ve Windows Autopilotu. Jinak musí být zařízení připojené k místní doméně před hybridním spojením Microsoft Entra. |
| Připojení k Microsoft Entra | Hybridní připojení k Microsoft Entra | Odpojte se od Microsoft Entra ID, které ho umístí do místní pracovní skupiny nebo do nového stavu. |
| Registrace k Microsoft Entra | Hybridní připojení k Microsoft Entra | Závisí na verzi Windows. Podívejte se na tyto aspekty. |
Správa zařízení
Po registraci nebo připojení zařízení k ID Microsoft Entra použijte Centrum pro správu Microsoft Entra jako centrální místo pro správu identit zařízení. Stránka Zařízení Microsoft Entra umožňuje:
- Nakonfigurujte nastavení zařízení.
- Abyste mohli spravovat zařízení s Windows, musíte být místním správcem. Microsoft Entra ID aktualizuje toto členství pro zařízení připojená k Microsoft Entra a automaticky přidává uživatele s rolí správce zařízení jako správci na všechna připojená zařízení.
Ujistěte se, že prostředí udržujete čisté tím , že spravujete zastaralá zařízení, a zaměřte se na správu aktuálních zařízení.
Podporované nástroje pro správu zařízení
Správa istrátory mohou zabezpečit a dále řídit zaregistrovaná a připojená zařízení pomocí jiných nástrojů pro správu zařízení. Tyto nástroje poskytují způsob, jak vynutit konfigurace, jako je vyžadování šifrování úložiště, složitost hesla, instalace softwaru a aktualizace softwaru.
Projděte si podporované a nepodporované platformy pro integrovaná zařízení:
| Nástroje pro správu zařízení | Registrace k Microsoft Entra | Připojení k Microsoft Entra | Hybridní připojení k Microsoft Entra |
|---|---|---|---|
| Správa mobilních zařízení (MDM) Příklad: Microsoft Intune |
|
|
|
| Spoluspráva s Microsoft Intune a Microsoft Configuration Managerem (Windows 10 nebo novější) |
|
|
|
| Zásady skupiny (Jenom Windows) |
|
Doporučujeme zvážit správu mobilních aplikací (MAM) Microsoft Intune s zaregistrovanými zařízeními s iOSem nebo Androidem nebo bez správy zařízení.
Správa istrátory mohou také nasadit platformy infrastruktury virtuálních klientských počítačů (VDI) hostující operační systémy Windows v jejich organizacích, aby zjednodušily správu a snížily náklady prostřednictvím konsolidace a centralizace prostředků.