Планирование развертывания устройства Microsoft Entra

Эта статья поможет оценить методы интеграции устройства с идентификатором Microsoft Entra ID, выбрать план реализации и предоставить ключевые ссылки на поддерживаемые средства управления устройствами.

Разнообразие устройств, на которых работают пользователи, постоянно растет. Организации могут предоставлять настольные компьютеры, ноутбуки, телефоны, планшеты и другие устройства. Пользователи могут приносить свои собственные устройства и получать доступ к информации из различных расположений. В этой среде ваша задача как администратора — обеспечение безопасности ресурсов организации на всех устройствах.

Идентификатор Microsoft Entra позволяет вашей организации соответствовать этим целям с помощью управления удостоверениями устройств. Теперь вы можете получить устройства в идентификаторе Microsoft Entra и управлять ими из центрального расположения в Центре администрирования Microsoft Entra. Этот процесс обеспечивает унифицированный интерфейс, улучшенную безопасность и сокращает время, необходимое для настройки нового устройства.

Существует несколько методов интеграции устройств с идентификатором Microsoft Entra, они могут работать отдельно или совместно на основе операционной системы и ваших требований:

Знакомство с

Перед началом работы убедитесь, что вы знакомы с обзором управления удостоверениями устройств.

Льготы

Основные преимущества предоставления устройствам удостоверения Microsoft Entra:

  • Повышение производительности — пользователи могут выполнять простой вход (SSO) в локальные и облачные ресурсы, обеспечивая производительность в любом месте.

  • Повышение безопасности — применяйте политики условного доступа к ресурсам на основе удостоверения устройства или пользователя. Присоединение устройства к идентификатору Microsoft Entra является необходимым условием для повышения безопасности с помощью стратегии без пароля.

  • Улучшение взаимодействия с пользователем — предоставьте пользователям простой доступ к облачным ресурсам организации с персональных и корпоративных устройств. Администраторы могут включить службу Enterprise State Roaming для единого взаимодействия на всех устройствах Windows.

  • Упрощение развертывания и управления. Упрощение процесса доставки устройств в идентификатор Microsoft Entra с помощью Windows Autopilot, массовой подготовки или самостоятельной подготовки: вне box experience (OOBE). Управление устройствами с помощью средств мобильных Управление устройствами (MDM), таких как Microsoft Intune, и их удостоверений в Центре администрирования Microsoft Entra.

Планирование проекта развертывания

Учитывайте потребности организации при определении стратегии развертывания в вашей среде.

Привлечение соответствующих заинтересованных лиц

Причиной неудач технических проектов обычно являются неоправданные ожидания относительно их значимости и результатов, а также обязанностей сотрудников и заинтересованных лиц. Чтобы избежать этих ошибок, убедитесь, что вы являетесь правильными заинтересованными лицами, и что роли заинтересованных лиц в проекте хорошо поняты.

Для этого плана добавьте в список следующих заинтересованных лиц.

Роль Description
Администратор устройств Представитель группы разработчиков устройств, который будет проверять, соответствует ли план требованиям вашей организации к устройствам.
Администратор сети Представитель группы "сетевиков", который будет обеспечивать соответствие требованиям к сети.
Группа управления устройствами Команда, управляющая инвентаризацией устройств.
Группы администраторов, относящиеся к конкретной операционной системе Группы, которые поддерживают определенные версии ОС и управляют ими. Например, может быть группа по Mac или iOS.

Планирование информирования

Информирование важно для успеха любой новой службы. Заблаговременное сообщайте пользователям, как изменится их взаимодействие с системой, когда это произойдет и как получить поддержку в случае возникновения проблем.

Планирование пилотного проекта

Рекомендуется использовать первоначальную конфигурацию метода интеграции в тестовой среде или с небольшой группой тестовых устройств. Ознакомьтесь с рекомендациями по пилотным проектам.

Вы можете выполнить целевое развертывание гибридного соединения Microsoft Entra, прежде чем включить его во всей организации.

Предупреждение

Организации должны включить выборку пользователей из различных ролей и профилей в свою пилотную группу. Целевое развертывание поможет определить проблемы, которые не были учтены в вашем плане, прежде чем включать эту возможность для всей организации.

Выбор методов интеграции

Ваша организация может использовать несколько методов интеграции устройств в одном клиенте Microsoft Entra. Цель — выбрать методы, подходящие для безопасного управления устройствами в идентификаторе Microsoft Entra. Существует много параметров, которые влияют на это решение, включая владельцев, типы устройств, основную аудиторию и инфраструктуру организации.

Следующая информация поможет вам решить, какой из методов интеграции использовать.

Дерево принятия решений для интеграции устройств

Используйте это дерево для определения параметров для устройств, принадлежащих организации.

Примечание.

В этой схеме не изображены сценарии для личных устройств, которые можно взять с собой в офис (BYOD). Они всегда приводят к регистрации Microsoft Entra.

Decision tree

Матрица сравнения

Устройства iOS и Android могут быть зарегистрированы только в Microsoft Entra. В следующей таблице представлены обобщенные рекомендации для клиентских устройств Windows. Используйте ее в качестве обзора, а затем подробно изучите различные методы интеграции.

Фактор зарегистрированы в Microsoft Entra. присоединены к Microsoft Entra; имеют гибридное присоединение к Microsoft Entra;
Клиентские операционные системы
Устройства Windows 11 или Windows 10 Checkmark for these values. Checkmark for these values. Checkmark for these values.
Устройства Windows ранних версий (Windows 8.1 или Windows 7) Checkmark for these values.
Настольный компьютер Linux — Ubuntu 20.04/22.04 Checkmark for these values.
Параметры входа
Локальные учетные данные конечного пользователя Checkmark for these values.
Password Checkmark for these values. Checkmark for these values. Checkmark for these values.
ПИН-код устройства Checkmark for these values.
Windows Hello Checkmark for these values.
Windows Hello для бизнеса Checkmark for these values. Checkmark for these values.
Ключи безопасности FIDO 2.0 Checkmark for these values. Checkmark for these values.
Вход без пароля с использованием приложения Microsoft Authenticator Checkmark for these values. Checkmark for these values. Checkmark for these values.
Ключевые возможности
Единый вход (SSO) для облачных ресурсов Checkmark for these values. Checkmark for these values. Checkmark for these values.
Единый вход для доступа к локальным ресурсам Checkmark for these values. Checkmark for these values.
Условный доступ
(Требовать, чтобы устройства были помечены как соответствующие)
(Управление должно осуществляться с помощью MDM)
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Условный доступ
(Требовать гибридные устройства, присоединенные к Microsoft Entra)
Checkmark for these values.
Самостоятельный сброс пароля на экране входа в Windows Checkmark for these values. Checkmark for these values.
Сброс PIN на экране приветствия Windows Checkmark for these values. Checkmark for these values.

Регистрация Microsoft Entra

Зарегистрированные устройства часто управляются Microsoft Intune. Устройства регистрируются в Intune несколькими способами в зависимости от операционной системы.

Зарегистрированные устройства Microsoft Entra обеспечивают поддержку использования собственных устройств (BYOD) и корпоративных устройств для единого входа в облачные ресурсы. Доступ к ресурсам основан на политиках условного доступа Microsoft Entra, применяемых к устройству и пользователю.

Регистрация устройств

Зарегистрированные устройства часто управляются Microsoft Intune. Устройства регистрируются в Intune несколькими способами в зависимости от операционной системы.

Собственные и корпоративные мобильные устройства регистрируются пользователями, устанавливающими приложение корпоративного портала.

Если регистрация устройств является лучшим вариантом для вашей организации, см. следующие ресурсы.

Присоединение к Microsoft Entra

Присоединение Microsoft Entra позволяет перейти к облачной модели с Windows. Оно предоставляет превосходную основу, если вы планируете модернизировать управление устройствами и снизить затраты на ИТ-ресурсы. Присоединение Microsoft Entra работает только с устройствами Под управлением Windows 10 или более новых версий. Рекомендуется использовать его в качестве первого варианта для новых устройств.

Устройства, присоединенные к Microsoft Entra, могут выполнять единый вход в локальные ресурсы , когда они находятся в сети организации, могут проходить проверку подлинности на локальных серверах, таких как файл, печать и другие приложения.

Если регистрация устройств является лучшим вариантом для вашей организации, см. приведенные ниже ресурсы.

  • В этом обзоре устройств, присоединенных к Microsoft Entra.
  • Ознакомьтесь с планом реализации присоединения к Microsoft Entra.

Подготовка устройств, присоединенных к Microsoft Entra

Для подготовки устройств к присоединению к Microsoft Entra у вас есть следующие подходы:

Если на устройстве установлена операционная система Windows 10 Профессиональная или Windows 10 Корпоративная, автоматически запускается процесс установки устройств, принадлежащих компании.

После тщательного сравнения этих подходов выберите процедуру развертывания.

Вы можете определить, что присоединение Microsoft Entra является лучшим решением для устройства в другом состоянии. В следующей таблице показано, как изменить состояние устройства.

Текущее состояние устройства Требуемое состояние устройства Практические советы
Присоединен к локальному домену присоединены к Microsoft Entra; Перед присоединением к идентификатору Microsoft Entra отсоедините устройство из локального домена.
имеют гибридное присоединение к Microsoft Entra; присоединены к Microsoft Entra; Перед присоединением к идентификатору Microsoft Entra перед присоединением к идентификатору Microsoft Entra следует отсоединить устройство из локального домена и из идентификатора Microsoft Entra.
зарегистрированы в Microsoft Entra. присоединены к Microsoft Entra; Отмена регистрации устройства перед присоединением к идентификатору Microsoft Entra.

Гибридное соединение Microsoft Entra

Если у вас есть среда локальная служба Active Directory и вы хотите присоединить существующие компьютеры, присоединенные к домену, к идентификатору Microsoft Entra, можно выполнить эту задачу с помощью гибридного соединения Microsoft Entra. Эта функция поддерживает широкий спектр устройств Windows, включая как текущие, так и прежние версии Windows.

В большинстве организаций уже есть присоединенные к домену устройства и управление ими осуществляется с помощью групповой политики или System Center Configuration Manager (SCCM). В этом случае рекомендуется настроить гибридное соединение Microsoft Entra, чтобы приступить к получению преимуществ при использовании существующих инвестиций.

Если гибридное присоединение Microsoft Entra является лучшим вариантом для вашей организации, ознакомьтесь со следующими ресурсами:

Подготовка гибридного соединения Microsoft Entra к устройствам

Изучение инфраструктуры удостоверений. Microsoft Entra Подключение предоставляет мастер настройки гибридного соединения Microsoft Entra для:

Если установка требуемой версии Microsoft Entra Подключение не является вариантом для вас, см. инструкции по настройке гибридного соединения Microsoft Entra вручную.

Примечание.

Локально присоединенное к домену устройство Windows 10 или более новое устройство пытается автоматически присоединиться к идентификатору Microsoft Entra, чтобы стать гибридным присоединением к Microsoft Entra по умолчанию. Эта операция будет успешной, только если настроена правильная среда.

Вы можете определить, что гибридное соединение Microsoft Entra является лучшим решением для устройства в другом состоянии. В следующей таблице показано, как изменить состояние устройства.

Текущее состояние устройства Требуемое состояние устройства Практические советы
Присоединен к локальному домену имеют гибридное присоединение к Microsoft Entra; Используйте Microsoft Entra Подключение или AD FS для присоединения к Azure.
Присоединено к локальной рабочей группе или новое имеют гибридное присоединение к Microsoft Entra; Поддерживается в Windows Autopilot. В противном случае устройство должно быть присоединено к локальному домену перед гибридным присоединением к Microsoft Entra.
присоединены к Microsoft Entra; имеют гибридное присоединение к Microsoft Entra; Отсоединяйтесь от идентификатора Microsoft Entra, который помещает его в локальную рабочую группу или новое состояние.
зарегистрированы в Microsoft Entra. имеют гибридное присоединение к Microsoft Entra; Зависит от версии Windows. Следуйте указанным в данном разделе рекомендациям.

Управление устройствами

После регистрации или присоединения устройств к идентификатору Microsoft Entra используйте Центр администрирования Microsoft Entra в качестве центрального места для управления удостоверениями устройств. Страница устройств Microsoft Entra позволяет:

Следите за тем, чтобы среда была очищена с помощью управления устаревшими устройствами, а также сосредоточьте ресурсы на управлении текущими устройствами.

Поддерживаемые средства управления устройствами

Администраторы могут защищать и контролировать зарегистрированные и присоединенные устройства с помощью других средств управления устройствами. Эти инструменты позволяют применять различные конфигурации, например требовать шифрование хранилищ, задавать сложность пароля, обязательное программное обеспечение и (или) правила обновления.

Ознакомьтесь с поддерживаемыми и неподдерживаемыми платформами для интегрированных устройств.

Средства управления устройствами зарегистрированы в Microsoft Entra. присоединены к Microsoft Entra; имеют гибридное присоединение к Microsoft Entra;
Управление мобильными устройствами (MDM)
Пример: Microsoft Intune
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Совместное управление с Microsoft Intune и Microsoft Configuration Manager
(Windows 10 или более поздней версии)
Checkmark for these values. Checkmark for these values.
Групповая политика
(Только для Windows)
Checkmark for these values.

Мы рекомендуем рассмотреть возможность управления мобильными приложениями Microsoft Intune (MAM) как с управлением устройствами для зарегистрированных устройств iOS и Android, так и без него.

Администраторы также могут развертывать платформы инфраструктуры виртуальных рабочих столов (VDI), в которых размещаются операционные системы Windows в своих организациях, чтобы упростить управление и снизить затраты посредством консолидации и централизованного развертывания ресурсов.

Следующие шаги