A Microsoft Entra eszköz telepítésének megtervezése

Ez a cikk segítséget nyújt az eszköz Microsoft Entra-azonosítóval való integrálásának módszereinek kiértékelésében, a megvalósítási terv kiválasztásában, valamint a támogatott eszközfelügyeleti eszközökre mutató fő hivatkozások kiválasztásában.

A felhasználói eszközök környezete folyamatosan bővül. A szervezetek asztali számítógépeket, laptopokat, telefonokat, táblagépeket és egyéb eszközöket is biztosíthatnak. A felhasználók saját eszközkészletet hozhatnak magukkal, és különböző helyekről férhetnek hozzá az információkhoz. Ebben a környezetben rendszergazdaként az a feladata, hogy a szervezeti erőforrásokat minden eszközön biztonságban tartsa.

A Microsoft Entra ID lehetővé teszi a szervezet számára, hogy megfeleljen ezeknek a céloknak az eszközidentitás-kezeléssel. Most már lekérheti eszközeit a Microsoft Entra-azonosítóban, és vezérelheti őket a Microsoft Entra felügyeleti központ központi helyről. Ez a folyamat egységes élményt, fokozott biztonságot nyújt, és csökkenti az új eszközök konfigurálásához szükséges időt.

Több módszer is létezik az eszközök Microsoft Entra-azonosítóba való integrálására, ezek az operációs rendszer és az Ön igényei alapján külön-külön is működhetnek:

Tanulás

Mielőtt hozzákezdene, győződjön meg arról, hogy ismeri az eszközidentitás-kezelés áttekintését.

Előnyök

Az eszközök Microsoft Entra-identitással való ellátásának fő előnyei:

  • A termelékenység növelése – A felhasználók zökkenőmentes bejelentkezést (SSO) végezhetnek a helyszíni és a felhőbeli erőforrásokon, így bárhol is vannak, lehetővé téve a termelékenységet.

  • A biztonság növelése – Feltételes hozzáférési szabályzatok alkalmazása az erőforrásokra az eszköz vagy a felhasználó identitása alapján. Az eszköz Microsoft Entra-azonosítóhoz való csatlakoztatása előfeltétele a biztonság jelszó nélküli stratégiával való növelésének.

  • Felhasználói élmény javítása – A felhasználók számára egyszerű hozzáférést biztosíthat a szervezet felhőalapú erőforrásaihoz mind a személyes, mind a vállalati eszközökről. Rendszergazda istratorok engedélyezhetik Enterprise State Roaming az összes Windows-eszközön egységes felhasználói élmény érdekében.

  • Az üzembe helyezés és a felügyelet egyszerűsítése – Egyszerűbbé teheti az eszközök Microsoft Entra-azonosítóba való helyezését a Windows Autopilottal, tömeges üzembe helyezéssel vagy önkiszolgáló szolgáltatással: Out of Box Experience (OOBE). Az eszközök kezelése Mobil Eszközkezelés (MDM) eszközökkel, például a Microsoft Intune-nal és identitásukkal a Microsoft Entra felügyeleti központban.

Az üzembehelyezési projekt megtervezése

Vegye figyelembe a szervezeti igényeket, miközben meghatározza az üzembe helyezés stratégiáját a környezetben.

A megfelelő érdekelt felek bevonása

Ha a technológiai projektek meghiúsulnak, általában a hatásokkal, az eredményekkel és a felelősségekkel kapcsolatos eltérő elvárások miatt hajtják végre a feladatokat. Ezeknek a buktatóknak a elkerülése érdekében győződjön meg arról, hogy a megfelelő érdekelt feleket szeretné bevonni, és hogy a projektben szereplő érdekelt szerepkörök jól érthetők legyenek.

Ehhez a tervhez adja hozzá a következő érdekelt feleket a listához:

Szerepkör Leírás
Eszközadminisztrátor Az eszközcsoport képviselője, aki ellenőrizheti, hogy a terv megfelel-e a szervezet eszközkövetelményeinek.
Hálózati rendszergazda A hálózati csapat képviselője, aki biztosan képes megfelelni a hálózati követelményeknek.
Eszközfelügyeleti csapat Az eszközök leltárát kezelő csapat.
Operációsrendszer-specifikus rendszergazdai csapatok Adott operációsrendszer-verziókat támogató és kezelő csapatok. Lehet például egy Mac vagy iOS rendszerű csapat.

Kommunikáció tervezése

A kommunikáció kritikus fontosságú az új szolgáltatások sikeressége szempontjából. Proaktív módon kommunikáljon a felhasználókkal, hogyan változik a felhasználói élményük, mikor változik meg, és hogyan szerezhet támogatást, ha problémákat tapasztalnak.

Próbaüzem megtervezása

Javasoljuk, hogy az integrációs módszer kezdeti konfigurációja tesztkörnyezetben vagy teszteszközök kis csoportjában legyen. Tekintse meg a próbaüzem ajánlott eljárásait.

Érdemes lehet a Microsoft Entra hibrid csatlakozás célzott üzembe helyezését elvégezni, mielőtt a teljes szervezeten belül engedélyeznénk.

Figyelmeztetés

A szervezeteknek mintaként kell tartalmazniuk a különböző szerepkörökből és profilokból származó felhasználókat a próbacsoportjukban. A célzott bevezetés segít azonosítani azokat a problémákat, amelyeket a terv nem oldott meg, mielőtt engedélyezené a teljes szervezet számára.

Az integrációs módszerek kiválasztása

A szervezet több eszközintegrációs módszert is használhat egyetlen Microsoft Entra-bérlőben. A cél az, hogy kiválassza azokat a metódus(ok)t, amely alkalmas az eszközök biztonságos felügyeletére a Microsoft Entra ID-ban. A döntést számos paraméter hajtja, beleértve a tulajdonjogot, az eszköztípusokat, az elsődleges célközönséget és a szervezet infrastruktúráját.

Az alábbi információk segíthetnek eldönteni, hogy mely integrációs módszereket érdemes használni.

Döntési fa az eszközök integrációjához

Ezen a fán határozhatja meg a szervezeti tulajdonban lévő eszközök beállításait.

Megjegyzés:

A személyes vagy saját eszközökre (BYOD) vonatkozó forgatókönyvek nem jelennek meg ebben a diagramban. Ezek mindig Microsoft Entra-regisztrációt eredményeznek.

Decision tree

Összehasonlító mátrix

Az iOS- és Android-eszközök csak a Microsoft Entra regisztrálva lehetnek. Az alábbi táblázat a Windows-ügyféleszközökkel kapcsolatos magas szintű szempontokat mutatja be. Használja áttekintésként, majd vizsgálja meg részletesen a különböző integrációs módszereket.

Szempont Regisztrált Microsoft Entra Csatlakoztatott Microsoft Entra Csatlakoztatott Microsoft Entra hibrid
Ügyfél operációs rendszerei
Windows 11 vagy Windows 10 rendszerű eszközök Checkmark for these values. Checkmark for these values. Checkmark for these values.
Windows alacsonyabb szintű eszközök (Windows 8.1 vagy Windows 7) Checkmark for these values.
Linux Desktop – Ubuntu 20.04/22.04 Checkmark for these values.
Bejelentkezési beállítások
Végfelhasználói helyi hitelesítő adatok Checkmark for these values.
Jelszó Checkmark for these values. Checkmark for these values. Checkmark for these values.
Eszköz PIN-kódja Checkmark for these values.
Windows Hello Checkmark for these values.
Vállalati Windows Hello Checkmark for these values. Checkmark for these values.
FIDO 2.0 biztonsági kulcsok Checkmark for these values. Checkmark for these values.
Microsoft Authenticator alkalmazás (jelszó nélküli) Checkmark for these values. Checkmark for these values. Checkmark for these values.
Főbb képességek
Egyszeri bejelentkezés felhőbeli erőforrásokhoz Checkmark for these values. Checkmark for these values. Checkmark for these values.
Egyszeri bejelentkezés a helyszíni erőforrásokba Checkmark for these values. Checkmark for these values.
Feltételes hozzáférés
(Az eszközök megfelelőként való megjelölésének megkövetelése)
(MDM-nek kell felügyelnie)
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Feltételes hozzáférés
(Hibrid Microsoft Entra csatlakoztatott eszközök megkövetelése)
Checkmark for these values.
Önkiszolgáló jelszó-visszaállítás a Windows bejelentkezési képernyőről Checkmark for these values. Checkmark for these values.
A Windows Hello PIN-kód alaphelyzetbe állítása Checkmark for these values. Checkmark for these values.

Microsoft Entra-regisztráció

A regisztrált eszközöket gyakran a Microsoft Intune kezeli. Az eszközök az operációs rendszertől függően többféleképpen regisztrálhatók az Intune-ban.

A Microsoft Entra regisztrált eszközei támogatják a Saját eszközök (BYOD) és a vállalati tulajdonú eszközök egyszeri bejelentkezését a felhőbeli erőforrásokba. Az erőforrásokhoz való hozzáférés az eszközre és a felhasználóra alkalmazott Microsoft Entra feltételes hozzáférési szabályzatokon alapul.

Eszközök regisztrálása

A regisztrált eszközöket gyakran a Microsoft Intune kezeli. Az eszközök az operációs rendszertől függően többféleképpen regisztrálhatók az Intune-ban.

A BYOD-t és a vállalati tulajdonban lévő mobileszközt a Vállalati portál alkalmazást telepítő felhasználók regisztrálják.

Ha az eszközök regisztrálása a legjobb megoldás a szervezet számára, tekintse meg az alábbi erőforrásokat:

A Microsoft Entra csatlakoztatása

A Microsoft Entra join lehetővé teszi, hogy áttérjen egy felhőbeli modellre a Windows használatával. Nagyszerű alapot nyújt, ha az eszközfelügyelet modernizálását és az eszközhöz kapcsolódó informatikai költségek csökkentését tervezi. A Microsoft Entra join csak Windows 10 vagy újabb eszközökkel működik. Vegye figyelembe, hogy ez az első választás az új eszközök számára.

A Microsoft Entra-hoz csatlakoztatott eszközök egyszeri bejelentkezést végezhetnek a helyszíni erőforrásokba , amikor a szervezet hálózatán vannak, és hitelesítést végezhetnek a helyszíni kiszolgálókon, például fájlokkal, nyomtatással és más alkalmazásokkal.

Ha ez a lehetőség a legjobb a szervezet számára, tekintse meg a következő erőforrásokat:

A Microsoft Entra-hoz csatlakoztatott eszközök kiépítése

Az eszközök Microsoft Entra-csatlakozáshoz való kiépítéséhez az alábbi módszereket kell alkalmaznia:

Ha egy eszközön a Windows 10 Professional vagy a Windows 10 Enterprise rendszer van telepítve, az FRX élmény alapértelmezés szerint a vállalati eszközök beállítási folyamatát indítja el.

A fenti megközelítések gondos összehasonlítása után válassza ki az üzembe helyezési eljárást.

Megállapíthatja, hogy a Microsoft Entra illesztés a legjobb megoldás egy másik állapotú eszközhöz. Az alábbi táblázat bemutatja, hogyan módosíthatja az eszköz állapotát.

Az eszköz aktuális állapota Kívánt eszközállapot How-to
Helyszíni tartományhoz csatlakoztatva Csatlakoztatott Microsoft Entra A Microsoft Entra ID-hoz való csatlakozás előtt törölje az eszköz csatlakoztatását a helyszíni tartományból.
Csatlakoztatott Microsoft Entra hibrid Csatlakoztatott Microsoft Entra A Microsoft Entra ID-hoz való csatlakozás előtt törölje az eszköz csatlakoztatását a helyszíni tartományból és a Microsoft Entra-azonosítóból.
Regisztrált Microsoft Entra Csatlakoztatott Microsoft Entra A Microsoft Entra-azonosítóhoz való csatlakozás előtt törölje az eszköz regisztrációját.

Microsoft Entra hibrid csatlakozás

Ha helyi Active Directory környezettel rendelkezik, és meglévő tartományhoz csatlakoztatott számítógépeit a Microsoft Entra-azonosítóhoz szeretné csatlakoztatni, ezt a feladatot a Microsoft Entra hibrid illesztéssel végezheti el. A Windows-eszközök széles skáláját támogatja, beleértve a Windows jelenlegi és a Windows alacsonyabb szintű eszközeit is.

A legtöbb szervezet már rendelkezik tartományhoz csatlakoztatott eszközökkel, és kezeli őket a Csoportházirend vagy a System Center Configuration Manager (SCCM) használatával. Ebben az esetben azt javasoljuk, hogy konfigurálja a Microsoft Entra hibrid csatlakozást, hogy a meglévő befektetések használata során előnyökhöz jusson.

Ha a Microsoft Entra hibrid csatlakozás a legjobb megoldás a szervezet számára, tekintse meg a következő erőforrásokat:

  • A Microsoft Entra hibrid csatlakoztatott eszközeinek áttekintése.
  • Ismerkedjen meg a Microsoft Entra hibrid csatlakozás implementálási tervével.

A Microsoft Entra hibrid csatlakoztatásának kiépítése az eszközökhöz

Tekintse át az identitásinfrastruktúrát. A Microsoft Entra Csatlakozás egy varázslóval konfigurálja a Microsoft Entra hibrid csatlakozást az alábbiakhoz:

Ha a Microsoft Entra Csatlakozás szükséges verziójának telepítése nem lehetséges, tekintse meg, hogyan konfigurálhatja manuálisan a Microsoft Entra hibrid csatlakozást.

Megjegyzés:

A helyszíni tartományhoz csatlakoztatott Windows 10 vagy újabb eszköz automatikusan csatlakozni próbál a Microsoft Entra-azonosítóhoz, hogy alapértelmezés szerint a Microsoft Entra hibrid legyen. Ez csak akkor lesz sikeres, ha a megfelelő környezetet állította be.

Megállapíthatja, hogy a Microsoft Entra hibrid illesztése a legjobb megoldás egy másik állapotú eszközhöz. Az alábbi táblázat bemutatja, hogyan módosíthatja az eszköz állapotát.

Az eszköz aktuális állapota Kívánt eszközállapot How-to
Helyszíni tartományhoz csatlakoztatva Csatlakoztatott Microsoft Entra hibrid A Microsoft Entra Csatlakozás vagy az AD FS használatával csatlakozzon az Azure-hoz.
A helyszíni munkacsoport csatlakozott vagy új Csatlakoztatott Microsoft Entra hibrid A Windows Autopilot támogatja. Ellenkező esetben az eszköznek a Microsoft Entra hibrid csatlakoztatása előtt helyszíni tartományhoz kell csatlakoznia.
Csatlakoztatott Microsoft Entra Csatlakoztatott Microsoft Entra hibrid A Microsoft Entra ID-ból való bekapcsolódás megszüntetése, amely a helyszíni munkacsoportba vagy az új állapotba helyezi.
Regisztrált Microsoft Entra Csatlakoztatott Microsoft Entra hibrid A Windows-verziótól függ. Tekintse meg ezeket a szempontokat.

Saját eszközök kezelése

Miután regisztrálta vagy csatlakoztatta az eszközöket a Microsoft Entra-azonosítóhoz, a Microsoft Entra felügyeleti központot használja központi helyként az eszközidentitások kezeléséhez. A Microsoft Entra-eszközök lap a következőket teszi lehetővé:

Az elavult eszközök kezelésével gondoskodjon arról, hogy a környezet tisztán maradjon, és az erőforrásokat az aktuális eszközök kezelésére összpontosítsa.

Támogatott eszközfelügyeleti eszközök

Rendszergazda istratorok más eszközfelügyeleti eszközökkel is biztonságossá tehetik és szabályozhatják a regisztrált és csatlakoztatott eszközöket. Ezek az eszközök lehetővé teszik a konfigurációk kikényszerítését, például a tárolás titkosítását, a jelszó összetettségét, a szoftvertelepítéseket és a szoftverfrissítéseket.

Az integrált eszközök támogatott és nem támogatott platformjainak áttekintése:

Eszközfelügyeleti eszközök Regisztrált Microsoft Entra Csatlakoztatott Microsoft Entra Csatlakoztatott Microsoft Entra hibrid
Mobil Eszközkezelés (MDM)
Példa: Microsoft Intune
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Együttműködés a Microsoft Intune-nal és a Microsoft Configuration Managerrel
(Windows 10 vagy újabb)
Checkmark for these values. Checkmark for these values.
Csoportházirend
(csak Windows)
Checkmark for these values.

Javasoljuk, hogy fontolja meg a Microsoft Intune mobilalkalmazás-kezelést (MAM) a regisztrált iOS- vagy Android-eszközök eszközfelügyeletével vagy anélkül.

Rendszergazda istratorok virtuális asztali infrastruktúra (VDI) platformokat is üzembe helyezhetnek, amelyek windowsos operációs rendszereket üzemeltetnek a szervezetükben, hogy egyszerűbbé tegye a felügyeletet és csökkentse a költségeket az erőforrások konszolidálásával és központosításával.

További lépések