A Microsoft Entra eszköz telepítésének megtervezése
Ez a cikk segítséget nyújt az eszköz Microsoft Entra-azonosítóval való integrálásának módszereinek kiértékelésében, a megvalósítási terv kiválasztásában, valamint a támogatott eszközfelügyeleti eszközökre mutató fő hivatkozások kiválasztásában.
A felhasználói eszközök környezete folyamatosan bővül. A szervezetek asztali számítógépeket, laptopokat, telefonokat, táblagépeket és egyéb eszközöket is biztosíthatnak. A felhasználók saját eszközkészletet hozhatnak magukkal, és különböző helyekről férhetnek hozzá az információkhoz. Ebben a környezetben rendszergazdaként az a feladata, hogy a szervezeti erőforrásokat minden eszközön biztonságban tartsa.
A Microsoft Entra ID lehetővé teszi a szervezet számára, hogy megfeleljen ezeknek a céloknak az eszközidentitás-kezeléssel. Most már lekérheti eszközeit a Microsoft Entra-azonosítóban, és vezérelheti őket a Microsoft Entra felügyeleti központ központi helyről. Ez a folyamat egységes élményt, fokozott biztonságot nyújt, és csökkenti az új eszközök konfigurálásához szükséges időt.
Több módszer is létezik az eszközök Microsoft Entra-azonosítóba való integrálására, ezek az operációs rendszer és az Ön igényei alapján külön-külön is működhetnek:
- Az eszközöket a Microsoft Entra-azonosítóval regisztrálhatja.
- Eszközök csatlakoztatása a Microsoft Entra-azonosítóhoz (csak felhőben).
- A Microsoft Entra hibrid csatlakoztatási eszközei a helyi Active Directory tartományhoz és a Microsoft Entra-azonosítóhoz.
Tanulás
Mielőtt hozzákezdene, győződjön meg arról, hogy ismeri az eszközidentitás-kezelés áttekintését.
Előnyök
Az eszközök Microsoft Entra-identitással való ellátásának fő előnyei:
A termelékenység növelése – A felhasználók zökkenőmentes bejelentkezést (SSO) végezhetnek a helyszíni és a felhőbeli erőforrásokon, így bárhol is vannak, lehetővé téve a termelékenységet.
A biztonság növelése – Feltételes hozzáférési szabályzatok alkalmazása az erőforrásokra az eszköz vagy a felhasználó identitása alapján. Az eszköz Microsoft Entra-azonosítóhoz való csatlakoztatása előfeltétele a biztonság jelszó nélküli stratégiával való növelésének.
Felhasználói élmény javítása – A felhasználók számára egyszerű hozzáférést biztosíthat a szervezet felhőalapú erőforrásaihoz mind a személyes, mind a vállalati eszközökről. Rendszergazda istratorok engedélyezhetik Enterprise State Roaming az összes Windows-eszközön egységes felhasználói élmény érdekében.
Az üzembe helyezés és a felügyelet egyszerűsítése – Egyszerűbbé teheti az eszközök Microsoft Entra-azonosítóba való helyezését a Windows Autopilottal, tömeges üzembe helyezéssel vagy önkiszolgáló szolgáltatással: Out of Box Experience (OOBE). Az eszközök kezelése Mobil Eszközkezelés (MDM) eszközökkel, például a Microsoft Intune-nal és identitásukkal a Microsoft Entra felügyeleti központban.
Az üzembehelyezési projekt megtervezése
Vegye figyelembe a szervezeti igényeket, miközben meghatározza az üzembe helyezés stratégiáját a környezetben.
A megfelelő érdekelt felek bevonása
Ha a technológiai projektek meghiúsulnak, általában a hatásokkal, az eredményekkel és a felelősségekkel kapcsolatos eltérő elvárások miatt hajtják végre a feladatokat. Ezeknek a buktatóknak a elkerülése érdekében győződjön meg arról, hogy a megfelelő érdekelt feleket szeretné bevonni, és hogy a projektben szereplő érdekelt szerepkörök jól érthetők legyenek.
Ehhez a tervhez adja hozzá a következő érdekelt feleket a listához:
Szerepkör | Leírás |
---|---|
Eszközadminisztrátor | Az eszközcsoport képviselője, aki ellenőrizheti, hogy a terv megfelel-e a szervezet eszközkövetelményeinek. |
Hálózati rendszergazda | A hálózati csapat képviselője, aki biztosan képes megfelelni a hálózati követelményeknek. |
Eszközfelügyeleti csapat | Az eszközök leltárát kezelő csapat. |
Operációsrendszer-specifikus rendszergazdai csapatok | Adott operációsrendszer-verziókat támogató és kezelő csapatok. Lehet például egy Mac vagy iOS rendszerű csapat. |
Kommunikáció tervezése
A kommunikáció kritikus fontosságú az új szolgáltatások sikeressége szempontjából. Proaktív módon kommunikáljon a felhasználókkal, hogyan változik a felhasználói élményük, mikor változik meg, és hogyan szerezhet támogatást, ha problémákat tapasztalnak.
Próbaüzem megtervezása
Javasoljuk, hogy az integrációs módszer kezdeti konfigurációja tesztkörnyezetben vagy teszteszközök kis csoportjában legyen. Tekintse meg a próbaüzem ajánlott eljárásait.
Érdemes lehet a Microsoft Entra hibrid csatlakozás célzott üzembe helyezését elvégezni, mielőtt a teljes szervezeten belül engedélyeznénk.
Figyelmeztetés
A szervezeteknek mintaként kell tartalmazniuk a különböző szerepkörökből és profilokból származó felhasználókat a próbacsoportjukban. A célzott bevezetés segít azonosítani azokat a problémákat, amelyeket a terv nem oldott meg, mielőtt engedélyezené a teljes szervezet számára.
Az integrációs módszerek kiválasztása
A szervezet több eszközintegrációs módszert is használhat egyetlen Microsoft Entra-bérlőben. A cél az, hogy kiválassza azokat a metódus(ok)t, amely alkalmas az eszközök biztonságos felügyeletére a Microsoft Entra ID-ban. A döntést számos paraméter hajtja, beleértve a tulajdonjogot, az eszköztípusokat, az elsődleges célközönséget és a szervezet infrastruktúráját.
Az alábbi információk segíthetnek eldönteni, hogy mely integrációs módszereket érdemes használni.
Döntési fa az eszközök integrációjához
Ezen a fán határozhatja meg a szervezeti tulajdonban lévő eszközök beállításait.
Megjegyzés:
A személyes vagy saját eszközökre (BYOD) vonatkozó forgatókönyvek nem jelennek meg ebben a diagramban. Ezek mindig Microsoft Entra-regisztrációt eredményeznek.
Összehasonlító mátrix
Az iOS- és Android-eszközök csak a Microsoft Entra regisztrálva lehetnek. Az alábbi táblázat a Windows-ügyféleszközökkel kapcsolatos magas szintű szempontokat mutatja be. Használja áttekintésként, majd vizsgálja meg részletesen a különböző integrációs módszereket.
Szempont | Regisztrált Microsoft Entra | Csatlakoztatott Microsoft Entra | Csatlakoztatott Microsoft Entra hibrid |
---|---|---|---|
Ügyfél operációs rendszerei | |||
Windows 11 vagy Windows 10 rendszerű eszközök | |||
Windows alacsonyabb szintű eszközök (Windows 8.1 vagy Windows 7) | |||
Linux Desktop – Ubuntu 20.04/22.04 | |||
Bejelentkezési beállítások | |||
Végfelhasználói helyi hitelesítő adatok | |||
Jelszó | |||
Eszköz PIN-kódja | |||
Windows Hello | |||
Vállalati Windows Hello | |||
FIDO 2.0 biztonsági kulcsok | |||
Microsoft Authenticator alkalmazás (jelszó nélküli) | |||
Főbb képességek | |||
Egyszeri bejelentkezés felhőbeli erőforrásokhoz | |||
Egyszeri bejelentkezés a helyszíni erőforrásokba | |||
Feltételes hozzáférés (Az eszközök megfelelőként való megjelölésének megkövetelése) (MDM-nek kell felügyelnie) |
|||
Feltételes hozzáférés (Hibrid Microsoft Entra csatlakoztatott eszközök megkövetelése) |
|||
Önkiszolgáló jelszó-visszaállítás a Windows bejelentkezési képernyőről | |||
A Windows Hello PIN-kód alaphelyzetbe állítása |
Microsoft Entra-regisztráció
A regisztrált eszközöket gyakran a Microsoft Intune kezeli. Az eszközök az operációs rendszertől függően többféleképpen regisztrálhatók az Intune-ban.
A Microsoft Entra regisztrált eszközei támogatják a Saját eszközök (BYOD) és a vállalati tulajdonú eszközök egyszeri bejelentkezését a felhőbeli erőforrásokba. Az erőforrásokhoz való hozzáférés az eszközre és a felhasználóra alkalmazott Microsoft Entra feltételes hozzáférési szabályzatokon alapul.
Eszközök regisztrálása
A regisztrált eszközöket gyakran a Microsoft Intune kezeli. Az eszközök az operációs rendszertől függően többféleképpen regisztrálhatók az Intune-ban.
A BYOD-t és a vállalati tulajdonban lévő mobileszközt a Vállalati portál alkalmazást telepítő felhasználók regisztrálják.
Ha az eszközök regisztrálása a legjobb megoldás a szervezet számára, tekintse meg az alábbi erőforrásokat:
- A Microsoft Entra regisztrált eszközeinek áttekintése.
- Ez a végfelhasználói dokumentáció a személyes eszköz regisztrálásáról a szervezet hálózatán.
A Microsoft Entra csatlakoztatása
A Microsoft Entra join lehetővé teszi, hogy áttérjen egy felhőbeli modellre a Windows használatával. Nagyszerű alapot nyújt, ha az eszközfelügyelet modernizálását és az eszközhöz kapcsolódó informatikai költségek csökkentését tervezi. A Microsoft Entra join csak Windows 10 vagy újabb eszközökkel működik. Vegye figyelembe, hogy ez az első választás az új eszközök számára.
A Microsoft Entra-hoz csatlakoztatott eszközök egyszeri bejelentkezést végezhetnek a helyszíni erőforrásokba , amikor a szervezet hálózatán vannak, és hitelesítést végezhetnek a helyszíni kiszolgálókon, például fájlokkal, nyomtatással és más alkalmazásokkal.
Ha ez a lehetőség a legjobb a szervezet számára, tekintse meg a következő erőforrásokat:
- A Microsoft Entra-hoz csatlakoztatott eszközök áttekintése.
- Ismerkedjen meg a Microsoft Entra join implementációs tervével.
A Microsoft Entra-hoz csatlakoztatott eszközök kiépítése
Az eszközök Microsoft Entra-csatlakozáshoz való kiépítéséhez az alábbi módszereket kell alkalmaznia:
- Önkiszolgáló: Windows 10 első futtatási felület
Ha egy eszközön a Windows 10 Professional vagy a Windows 10 Enterprise rendszer van telepítve, az FRX élmény alapértelmezés szerint a vállalati eszközök beállítási folyamatát indítja el.
A fenti megközelítések gondos összehasonlítása után válassza ki az üzembe helyezési eljárást.
Megállapíthatja, hogy a Microsoft Entra illesztés a legjobb megoldás egy másik állapotú eszközhöz. Az alábbi táblázat bemutatja, hogyan módosíthatja az eszköz állapotát.
Az eszköz aktuális állapota | Kívánt eszközállapot | How-to |
---|---|---|
Helyszíni tartományhoz csatlakoztatva | Csatlakoztatott Microsoft Entra | A Microsoft Entra ID-hoz való csatlakozás előtt törölje az eszköz csatlakoztatását a helyszíni tartományból. |
Csatlakoztatott Microsoft Entra hibrid | Csatlakoztatott Microsoft Entra | A Microsoft Entra ID-hoz való csatlakozás előtt törölje az eszköz csatlakoztatását a helyszíni tartományból és a Microsoft Entra-azonosítóból. |
Regisztrált Microsoft Entra | Csatlakoztatott Microsoft Entra | A Microsoft Entra-azonosítóhoz való csatlakozás előtt törölje az eszköz regisztrációját. |
Microsoft Entra hibrid csatlakozás
Ha helyi Active Directory környezettel rendelkezik, és meglévő tartományhoz csatlakoztatott számítógépeit a Microsoft Entra-azonosítóhoz szeretné csatlakoztatni, ezt a feladatot a Microsoft Entra hibrid illesztéssel végezheti el. A Windows-eszközök széles skáláját támogatja, beleértve a Windows jelenlegi és a Windows alacsonyabb szintű eszközeit is.
A legtöbb szervezet már rendelkezik tartományhoz csatlakoztatott eszközökkel, és kezeli őket a Csoportházirend vagy a System Center Configuration Manager (SCCM) használatával. Ebben az esetben azt javasoljuk, hogy konfigurálja a Microsoft Entra hibrid csatlakozást, hogy a meglévő befektetések használata során előnyökhöz jusson.
Ha a Microsoft Entra hibrid csatlakozás a legjobb megoldás a szervezet számára, tekintse meg a következő erőforrásokat:
- A Microsoft Entra hibrid csatlakoztatott eszközeinek áttekintése.
- Ismerkedjen meg a Microsoft Entra hibrid csatlakozás implementálási tervével.
A Microsoft Entra hibrid csatlakoztatásának kiépítése az eszközökhöz
Tekintse át az identitásinfrastruktúrát. A Microsoft Entra Csatlakozás egy varázslóval konfigurálja a Microsoft Entra hibrid csatlakozást az alábbiakhoz:
Ha a Microsoft Entra Csatlakozás szükséges verziójának telepítése nem lehetséges, tekintse meg, hogyan konfigurálhatja manuálisan a Microsoft Entra hibrid csatlakozást.
Megjegyzés:
A helyszíni tartományhoz csatlakoztatott Windows 10 vagy újabb eszköz automatikusan csatlakozni próbál a Microsoft Entra-azonosítóhoz, hogy alapértelmezés szerint a Microsoft Entra hibrid legyen. Ez csak akkor lesz sikeres, ha a megfelelő környezetet állította be.
Megállapíthatja, hogy a Microsoft Entra hibrid illesztése a legjobb megoldás egy másik állapotú eszközhöz. Az alábbi táblázat bemutatja, hogyan módosíthatja az eszköz állapotát.
Az eszköz aktuális állapota | Kívánt eszközállapot | How-to |
---|---|---|
Helyszíni tartományhoz csatlakoztatva | Csatlakoztatott Microsoft Entra hibrid | A Microsoft Entra Csatlakozás vagy az AD FS használatával csatlakozzon az Azure-hoz. |
A helyszíni munkacsoport csatlakozott vagy új | Csatlakoztatott Microsoft Entra hibrid | A Windows Autopilot támogatja. Ellenkező esetben az eszköznek a Microsoft Entra hibrid csatlakoztatása előtt helyszíni tartományhoz kell csatlakoznia. |
Csatlakoztatott Microsoft Entra | Csatlakoztatott Microsoft Entra hibrid | A Microsoft Entra ID-ból való bekapcsolódás megszüntetése, amely a helyszíni munkacsoportba vagy az új állapotba helyezi. |
Regisztrált Microsoft Entra | Csatlakoztatott Microsoft Entra hibrid | A Windows-verziótól függ. Tekintse meg ezeket a szempontokat. |
Saját eszközök kezelése
Miután regisztrálta vagy csatlakoztatta az eszközöket a Microsoft Entra-azonosítóhoz, a Microsoft Entra felügyeleti központot használja központi helyként az eszközidentitások kezeléséhez. A Microsoft Entra-eszközök lap a következőket teszi lehetővé:
- Konfigurálja az eszköz beállításait.
- A Windows-eszközök kezeléséhez helyi rendszergazdának kell lennie. A Microsoft Entra ID frissíti ezt a tagságot a Microsoft Entra-hoz csatlakoztatott eszközökhöz, és automatikusan hozzáadja az eszközkezelői szerepkörrel rendelkező felhasználókat az összes csatlakoztatott eszközhöz.
Az elavult eszközök kezelésével gondoskodjon arról, hogy a környezet tisztán maradjon, és az erőforrásokat az aktuális eszközök kezelésére összpontosítsa.
Támogatott eszközfelügyeleti eszközök
Rendszergazda istratorok más eszközfelügyeleti eszközökkel is biztonságossá tehetik és szabályozhatják a regisztrált és csatlakoztatott eszközöket. Ezek az eszközök lehetővé teszik a konfigurációk kikényszerítését, például a tárolás titkosítását, a jelszó összetettségét, a szoftvertelepítéseket és a szoftverfrissítéseket.
Az integrált eszközök támogatott és nem támogatott platformjainak áttekintése:
Eszközfelügyeleti eszközök | Regisztrált Microsoft Entra | Csatlakoztatott Microsoft Entra | Csatlakoztatott Microsoft Entra hibrid |
---|---|---|---|
Mobil Eszközkezelés (MDM) Példa: Microsoft Intune |
|||
Együttműködés a Microsoft Intune-nal és a Microsoft Configuration Managerrel (Windows 10 vagy újabb) |
|||
Csoportházirend (csak Windows) |
Javasoljuk, hogy fontolja meg a Microsoft Intune mobilalkalmazás-kezelést (MAM) a regisztrált iOS- vagy Android-eszközök eszközfelügyeletével vagy anélkül.
Rendszergazda istratorok virtuális asztali infrastruktúra (VDI) platformokat is üzembe helyezhetnek, amelyek windowsos operációs rendszereket üzemeltetnek a szervezetükben, hogy egyszerűbbé tegye a felügyeletet és csökkentse a költségeket az erőforrások konszolidálásával és központosításával.