Procedura: Pianificare l'implementazione dell'aggiunta a Microsoft Entra
È possibile aggiungere i dispositivi direttamente a Microsoft Entra ID senza dover partecipare a Active Directory locale mantenendo gli utenti produttivi e sicuri. Microsoft Entra join è pronto per le aziende per le distribuzioni su larga scala e con ambito. L'accesso Single Sign-On (SSO) alle risorse locali è disponibile anche per i dispositivi aggiunti a Microsoft Entra. Per altre informazioni, vedere Funzionamento dell'accesso SSO alle risorse locali nei dispositivi aggiunti a Microsoft Entra.
Questo articolo fornisce le informazioni necessarie per pianificare l'implementazione dell'aggiunta a Microsoft Entra.
Prerequisiti
Questo articolo presuppone che l'utente abbia familiarità con l'introduzione alla gestione dei dispositivi in Microsoft Entra ID.
Pianificare l'implementazione
Per pianificare l'implementazione dell'aggiunta a Microsoft Entra, è necessario acquisire familiarità con:
- Esame degli scenari
- Esame dell'infrastruttura di gestione delle identità
- Valutazione della gestione dei dispositivi
- Analisi delle considerazioni relative a risorse e applicazioni
- Identificazione delle opzioni di provisioning
- Configurazione di Enterprise State Roaming
- Configurare l'accesso condizionale
Esame degli scenari
Microsoft Entra join consente di passare a un modello cloud-first con Windows. Se si prevede di modernizzare la gestione dei dispositivi e ridurre i costi IT correlati ai dispositivi, l'aggiunta a Microsoft Entra offre un'ottima base per raggiungere tali obiettivi.
Prendere in considerazione l'aggiunta a Microsoft Entra se gli obiettivi sono allineati ai criteri seguenti:
- Si sta adottando Microsoft 365 come suite di produttività per gli utenti.
- Si vuole gestire i dispositivi con una soluzione di gestione dei dispositivi basata sul cloud.
- Si vuole semplificare il provisioning dei dispositivi per utenti geograficamente distribuiti.
- Si prevede di modernizzare l'infrastruttura delle applicazioni.
Esame dell'infrastruttura di gestione delle identità
Microsoft Entra join funziona in ambienti gestiti e federati. La maggior parte delle organizzazioni distribuirà i domini gestiti. Gli scenari di dominio gestito non richiedono la configurazione e la gestione di un server federativo come Active Directory Federation Services (AD FS).
Ambiente gestito
Un ambiente gestito può essere distribuito tramite la sincronizzazione dell'hash delle password o l'autenticazione pass-through con accesso Single Sign-On facile.
Ambiente federato
Un ambiente federato deve includere un provider di identità che supporta i protocolli WS-Trust e WS-Fed:
- WS-Fed: questo protocollo è necessario per aggiungere un dispositivo all'ID Microsoft Entra.
- WS-Trust: questo protocollo è necessario per accedere a un dispositivo aggiunto a Microsoft Entra.
Quando si usa AD FS, è necessario abilitare gli endpoint WS-Trust seguenti: /adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed
Se il provider di identità non supporta questi protocolli, l'aggiunta a Microsoft Entra non funziona in modo nativo.
Nota
Attualmente, l'aggiunta a Microsoft Entra non funziona con AD FS 2019 configurato con provider di autenticazione esterni come metodo di autenticazione primario. L'aggiunta a Microsoft Entra per impostazione predefinita è l'autenticazione della password come metodo primario, che causa errori di autenticazione in questo scenario
Configurazioni degli utenti
Se si creano utenti in:
- Active Directory locale, è necessario sincronizzarli con Microsoft Entra ID usando Microsoft Entra Connessione.
- Microsoft Entra ID, non è necessaria alcuna configurazione aggiuntiva.
I nomi delle entità utente locali (UPN) diversi da Microsoft Entra UPN non sono supportati nei dispositivi aggiunti a Microsoft Entra. Se gli utenti usano un UPN locale, è consigliabile passare all'uso del relativo UPN primario in Microsoft Entra ID.
Le modifiche UPN sono supportate solo a partire dall'aggiornamento di Windows 10 2004. Gli utenti nei dispositivi con questo aggiornamento non avranno problemi dopo la modifica dei nomi UPN. Per i dispositivi prima dell'aggiornamento di Windows 10 2004, gli utenti avranno problemi di accesso SSO e condizionale nei propri dispositivi. È necessario accedere a Windows tramite il riquadro "Altro utente" usando il nuovo UPN per risolvere il problema.
Valutazione della gestione dei dispositivi
Dispositivi supportati
Microsoft Entra join:
- Supporta i dispositivi Windows 10 e Windows 11.
- Non è supportato nelle versioni precedenti di Windows o in altri sistemi operativi. Se si dispone di dispositivi Windows 7/8.1, è necessario eseguire l'aggiornamento almeno a Windows 10 per distribuire l'aggiunta a Microsoft Entra.
- È supportato per Il modulo TPM (Trusted Platform Module) conforme a FIPS (Federal Information Processing Standard) 2.0, ma non supportato per TPM 1.2. Se i dispositivi hanno TPM 1.2 conforme a FIPS, è necessario disabilitarli prima di procedere con l'aggiunta a Microsoft Entra. Microsoft non fornisce strumenti per disabilitare la modalità FIPS per i TPM perché dipende dal produttore del TPM. Contattare l'OEM hardware per assistenza.
Raccomandazione: usare sempre la versione più recente di Windows per sfruttare le funzionalità aggiornate.
Piattaforma di gestione
La gestione dei dispositivi per i dispositivi aggiunti a Microsoft Entra si basa su una piattaforma di gestione di dispositivi mobili (MDM), ad esempio Intune e CSP MDM. A partire da Windows 10 è disponibile un agente MDM predefinito che funziona con tutte le soluzioni MDM compatibili.
Nota
I criteri di gruppo non sono supportati nei dispositivi aggiunti a Microsoft Entra perché non sono connessi a Active Directory locale. La gestione dei dispositivi aggiunti a Microsoft Entra è possibile solo tramite MDM
Esistono due approcci per la gestione dei dispositivi aggiunti a Microsoft Entra:
- Solo MDM: un dispositivo viene gestito in modo esclusivo da un provider MDM come Intune. Tutti i criteri vengono forniti come parte del processo di registrazione MDM. Per i clienti Microsoft Entra ID P1 o P2 o EMS, la registrazione MDM è un passaggio automatizzato che fa parte di un join a Microsoft Entra.
- Co-gestione : un dispositivo viene gestito da un provider MDM e da Microsoft Configuration Manager. In questo approccio, l'agente di Microsoft Configuration Manager viene installato in un dispositivo gestito da MDM per amministrare determinati aspetti.
Se si usano Criteri di gruppo, valutare l'oggetto Criteri di gruppo e la parità dei criteri MDM usando Analisi criteri di gruppo in Microsoft Intune.
Esaminare i criteri supportati e non supportati per determinare se sia possibile usare una soluzione MDM anziché criteri di gruppo. Per i criteri non supportati, considerare le domande seguenti:
- I criteri non supportati sono necessari per i dispositivi o gli utenti aggiunti a Microsoft Entra?
- I criteri non supportati sono applicabili in una distribuzione basata sul cloud?
Se la soluzione MDM non è disponibile tramite la raccolta di app Microsoft Entra, è possibile aggiungerla seguendo il processo descritto in Integrazione di Microsoft Entra con MDM.
Tramite la co-gestione, è possibile usare Microsoft Configuration Manager per gestire determinati aspetti dei dispositivi mentre i criteri vengono distribuiti tramite la piattaforma MDM. Microsoft Intune consente la co-gestione con Microsoft Configuration Manager. Per altre informazioni sulla co-gestione per i dispositivi Windows 10 o versioni successive, vedere Che cos'è la co-gestione?. Se si usa un prodotto MDM diverso da Intune, rivolgersi al provider MDM in scenari di co-gestione applicabili.
Raccomandazione: prendere in considerazione la gestione mdm solo per i dispositivi aggiunti a Microsoft Entra.
Analisi delle considerazioni relative a risorse e applicazioni
È consigliabile eseguire la migrazione delle applicazioni da un ambiente locale al cloud per ottenere un'esperienza utente e un controllo di accesso migliori. I dispositivi aggiunti a Microsoft Entra possono fornire facilmente l'accesso alle applicazioni sia locali che cloud. Per altre informazioni, vedere Funzionamento dell'accesso SSO alle risorse locali nei dispositivi aggiunti a Microsoft Entra.
Le sezioni seguenti elencano alcune considerazioni per i diversi tipi di applicazioni e risorse.
Applicazioni basate sul cloud
Se un'applicazione viene aggiunta alla raccolta di app Microsoft Entra, gli utenti ottengono l'accesso SSO tramite dispositivi aggiunti a Microsoft Entra. Non è necessaria alcuna configurazione aggiuntiva. Gli utenti ottengono SSO sia in Microsoft Edge sia in Chrome. Per Chrome, è necessario distribuire l'estensione per gli account Windows 10.
Tutte le applicazioni Win32 che:
- Affidarsi a Web Account Manager (WAM) per le richieste di token, ottenere anche l'accesso SSO nei dispositivi aggiunti a Microsoft Entra.
- Non basarsi su WAM potrebbe richiedere l'autenticazione agli utenti.
Applicazioni Web locali
Se le app sono create o ospitate in locale personalizzate, è necessario aggiungerle ai siti attendibili del browser per:
- Abilitare il funzionamento dell'autenticazione integrata di Windows
- Offrire agli utenti un'esperienza SSO senza richieste.
Se si usa AD FS, vedere Verificare e gestire l'accesso Single Sign-On con AD FS.
Raccomandazione: prendere in considerazione l'hosting nel cloud (ad esempio, Azure) e l'integrazione con Microsoft Entra ID per un'esperienza migliore.
Applicazioni locali basate su protocolli legacy
Gli utenti ottengono l'accesso SSO dai dispositivi aggiunti a Microsoft Entra se il dispositivo ha accesso a un controller di dominio.
Nota
I dispositivi aggiunti a Microsoft Entra possono fornire facilmente l'accesso alle applicazioni sia locali che cloud. Per altre informazioni, vedere Funzionamento dell'accesso SSO alle risorse locali nei dispositivi aggiunti a Microsoft Entra.
Raccomandazione: distribuire il proxy dell'applicazione Microsoft Entra per abilitare l'accesso sicuro per queste applicazioni.
Condivisioni di rete locali
Gli utenti hanno l'accesso SSO da dispositivi aggiunti a Microsoft Entra quando un dispositivo ha accesso a un controller di dominio locale. Informazioni su come funziona
Printers
È consigliabile distribuire Stampa universale per avere una soluzione di gestione della stampa basata sul cloud senza dipendenze locali.
Applicazioni locali basate sull'autenticazione del computer
I dispositivi aggiunti a Microsoft Entra non supportano le applicazioni locali che si basano sull'autenticazione del computer.
Consiglio: valutare se ritirare queste applicazioni e passare ad applicazioni alternative più moderne.
Servizi Desktop remoto
La connessione desktop remoto a un dispositivo aggiunto a Microsoft Entra richiede che il computer host sia aggiunto a Microsoft Entra o aggiunto a Microsoft Entra ibrido. Desktop remoto da un dispositivo non unito o non Windows non è supportato. Per altre informazioni, vedere Connessione al PC aggiunto a Microsoft Entra remoto
A partire dall'aggiornamento di Windows 10 2004, gli utenti possono anche usare desktop remoto da un dispositivo Windows 10 registrato da Microsoft Entra o versione successiva a un altro dispositivo aggiunto a Microsoft Entra.
Autenticazione RADIUS e Wi-Fi
Attualmente, i dispositivi aggiunti a Microsoft Entra non supportano l'autenticazione RADIUS usando un oggetto computer locale e un certificato per la connessione ai punti di accesso Wi-Fi, poiché RADIUS si basa sulla presenza di un oggetto computer locale in questo scenario. In alternativa, è possibile usare i certificati di cui è stato eseguito il push tramite Intune o le credenziali utente per l'autenticazione in Wi-Fi.
Identificazione delle opzioni di provisioning
Nota
[I dispositivi aggiunti a Microsoft Entra non possono essere distribuiti tramite System Preparation Tool (Sysprep) o strumenti di imaging simili.
È possibile effettuare il provisioning dei dispositivi aggiunti a Microsoft Entra usando gli approcci seguenti:
- Self-service in Configurazione guidata/Impostazioni: nella modalità self-service gli utenti passano attraverso il processo di aggiunta a Microsoft Entra durante la Configurazione guidata di Windows o da Windows Impostazioni. Per altre informazioni, vedere Aggiungere il dispositivo aziendale alla rete dell'organizzazione.
- Windows Autopilot: Windows Autopilot consente la preconfigurazione dei dispositivi per un'esperienza di aggiunta a Microsoft Entra più fluida nella configurazione guidata. Per altre informazioni, vedere Panoramica di Windows Autopilot.
- Registrazione in blocco: la registrazione in blocco consente a un amministratore di aggiungere Microsoft Entra usando uno strumento di provisioning in blocco per configurare i dispositivi. Per altre informazioni, vedere Registrazione in blocco per dispositivi Windows.
Ecco un confronto tra questi tre approcci
| Elemento | Configurazione self-service | Windows Autopilot | Registrazione in blocco |
|---|---|---|---|
| Richiesta dell'interazione dell'utente per la configurazione | Sì | Sì | No |
| Richiesta di attività IT | No | Sì | Sì |
| Flussi applicabili | Configurazione guidata e impostazioni | Solo Configurazione guidata | Solo Configurazione guidata |
| Diritti di amministratore locale all'utente primario | Sì, per impostazione predefinita | Configurabile | No |
| Richiesta del supporto dell'OEM del dispositivo | No | Sì | No |
| Versioni supportate | 1511+ | 1709+ | 1703+ |
Scegliere l'approccio o gli approcci di distribuzione esaminando la tabella precedente ed esaminando le considerazioni seguenti per l'adozione di uno dei due approcci:
- Gli utenti sono sufficientemente esperti per completare personalmente la configurazione?
- La modalità self-service può essere l'approccio più adatto per questi utenti. Prendere in considerazione Windows Autopilot per migliorare l'esperienza utente.
- Gli utenti sono remoti o si trovano in un ambiente aziendale locale?
- La modalità self-service o Windows Autopilot sono entrambi approcci adatti per gli utenti remoti per una configurazione senza problemi.
- Si preferisce una configurazione eseguita dall'utente o gestita dall'amministratore?
- La registrazione in blocco funziona meglio per la distribuzione guidata dall'amministratore per configurare i dispositivi prima di passare agli utenti.
- Si acquistano dispositivi da 1 o 2 OEM o la distribuzione di dispositivi OEM è più estesa?
- Se si acquista da un numero limitato di OEM che supportano anche Autopilot, è possibile trarre vantaggio da un'integrazione maggiore con Autopilot.
Configurare le impostazioni dei dispositivi
L'interfaccia di amministrazione di Microsoft Entra consente di controllare la distribuzione dei dispositivi aggiunti a Microsoft Entra nell'organizzazione. Per configurare le impostazioni correlate, passare a Dispositivi>identità>Tutte le impostazioni del dispositivo.> Ulteriori informazioni
Gli utenti potrebbero aggiungere dispositivi a Microsoft Entra ID
Impostare questa opzione su Tutti o Selezionati in base all'ambito della distribuzione e a chi si vuole configurare un dispositivo aggiunto a Microsoft Entra.
Amministratori locali aggiuntivi su dispositivi aggiunti a Microsoft Entra
Scegliere Selezionato e selezionare gli utenti che si desidera aggiungere al gruppo di amministratori locali in tutti i dispositivi aggiunti a Microsoft Entra.
Richiedere l'autenticazione a più fattori (MFA) per aggiungere i dispositivi
Selezionare "Sì se si richiede agli utenti di eseguire l'autenticazione a più fattori durante l'aggiunta di dispositivi all'ID Microsoft Entra.
Raccomandazione: usare l'azione dell'utente Registrare o aggiungere dispositivi nell'accesso condizionale per l'applicazione dell'autenticazione a più fattori per l'aggiunta di dispositivi.
Configurare le impostazioni di mobilità
Prima di poter configurare le impostazioni di mobilità, potrebbe essere necessario aggiungere prima un provider MDM.
Per aggiungere un provider MDM:
Nella sezione Gestisci della pagina Microsoft Entra ID selezionare
Mobility (MDM and MAM).Seleziona Aggiungi applicazione.
Selezionare il provider MDM nell'elenco.
Selezionare il provider MDM per configurare le impostazioni correlate.
Ambito utente MDM
Selezionare In parte o Tutti in base all'ambito della distribuzione.
A seconda dell'ambito, si verifica una delle situazioni seguenti:
- L'utente è nell'ambito MDM: se si ha una sottoscrizione microsoft Entra ID P1 o P2, la registrazione MDM viene automatizzata insieme all'aggiunta a Microsoft Entra. Tutti gli utenti con ambito devono avere una licenza appropriata per MDM. Se la registrazione MDM non riesce in questo scenario, verrà eseguito anche il rollback dell'aggiunta a Microsoft Entra.
- L'utente non è nell'ambito MDM: se gli utenti non sono inclusi nell'ambito MDM, l'aggiunta a Microsoft Entra viene completata senza alcuna registrazione MDM. Questo ambito comporta un dispositivo non gestito.
URL MDM
Esistono tre URL correlati alla configurazione MDM:
- URL delle condizioni per l'utilizzo di MDM
- URL individuazione MDM
- URL conformità MDM
Per ogni URL è disponibile un valore predefinito. Se questi campi sono vuoti, contattare il provider MDM per altre informazioni.
Impostazioni MAM
Gestione di applicazioni mobili (MAM) non si applica all'aggiunta a Microsoft Entra.
Configurazione di Enterprise State Roaming
Se si vuole abilitare il roaming dello stato in Microsoft Entra ID in modo che gli utenti possano sincronizzare le impostazioni tra i dispositivi, vedere Abilitare Enterprise State Roaming in Microsoft Entra ID.
Raccomandazione: abilitare questa impostazione anche per i dispositivi aggiunti all'ibrido Microsoft Entra.
Configurare l'accesso condizionale
Se si dispone di un provider MDM configurato per i dispositivi aggiunti a Microsoft Entra, il provider contrassegna il dispositivo come conforme non appena il dispositivo è in gestione.
È possibile usare questa implementazione per richiedere dispositivi gestiti per l'accesso alle app cloud con l'accesso condizionale.