如何:规划 Microsoft Entra 联接实现

可在保持用户高效、安全的同时,将设备直接联接 Microsoft Entra ID,而无需联接本地 Active Directory。 Microsoft Entra 联接面向企业大规模和大范围的部署。 已联接 Microsoft Entra 的设备也可以使用单一登录 (SSO) 访问本地资源。 有关详细信息,请参阅本地资源的 SSO 在已联接 Microsoft Entra 的设备上的工作原理

本文介绍规划 Microsoft Entra 联接实现所需的信息。

先决条件

本文假设读者已熟悉 Microsoft Entra ID 中的设备管理简介

规划实施

若要规划 Microsoft Entra 联接实现,应熟悉:

  • 查看方案
  • 查看标识基础结构
  • 评估设备管理
  • 了解有关应用程序和资源的注意事项
  • 了解预配选项
  • 配置企业状态漫游
  • 配置条件访问

查看方案

Microsoft Entra 联接让你能够使用 Windows 转换到云优先的模型。 如果想要实现设备管理的现代化并减少设备相关的 IT 成本,Microsoft Entra 联接提供达成上述目标的绝佳基础。

如果你的目标符合以下条件,则可以考虑 Microsoft Entra 联接:

  • 正在采用 Microsoft 365 作为用户的生产力套件。
  • 想要使用云设备管理解决方案管理设备。
  • 想要简化地理位置分散的用户的设备预配。
  • 计划实现应用程序基础结构现代化。

查看标识基础结构

Microsoft Entra 联接适用于托管环境和联合环境。 我们认为大多数组织将部署托管域。 托管域方案不需要配置和管理联合服务器,如 Active Directory 联合身份验证服务 (AD FS)。

托管环境

可使用无缝单一登录通过密码哈希同步直通身份验证来部署托管环境。

联合环境

联合环境应具有支持 WS-Trust 和 WS-Fed 协议的标识提供者:

  • WS-Fed:将设备联接到 Microsoft Entra ID 时需要此协议。
  • WS-Trust:登录到 Microsoft Entra 联接设备时需要此协议。

使用 AD FS 时,需要启用以下 WS-Trust 终结点:/adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

如果标识提供者不支持这些协议,则 Microsoft Entra 联接无法本机运行。

注意

目前,Microsoft Entra 联接不适用于将外部身份验证提供程序配置为主要身份验证方法的 AD FS 2019。 Microsoft Entra 联接默认将密码身份验证作为主要方法,在此方案中会导致身份验证失败

用户配置

如果在下列情况下创建用户:

  • 对于本地 Active Directory,你需要使用 Microsoft Entra Connect 将它们同步到 Microsoft Entra ID。
  • Microsoft Entra ID,无需额外设置。

已联接 Microsoft Entra 的设备不支持与 Microsoft Entra UPN 不同的本地用户主体名称 (UPN)。 如果用户使用本地 UPN,你应计划转换成使用其 Microsoft Entra 中的主 UPN。

从 Windows 10 2004 更新开始,才支持 UPN 更改。 如果用户的设备上包含此更新,他们在更改其 UPN 后就不会出现任何问题。 对于 Windows 10 2004 更新之前的设备,用户设备上将出现 SSO 和条件访问问题。 他们需要使用其新 UPN 通过“其他用户”磁贴来登录 Windows,以解决此问题。

评估设备管理

支持的设备

Microsoft Entra 联接:

  • 支持 Windows 10 和 Windows 11 设备。
  • 在旧版 Windows 或其他操作系统中不受支持。 如果有 Windows 7/8.1 设备,则必须至少升级到 Windows 10 以部署 Microsoft Entra 联接。
  • 受符合 FIPS 的 TPM 2.0 支持,但不受 TPM 1.2 支持。 如果设备具有符合 FIPS 的 TPM 1.2,则必须先将其禁用,然后才能继续混合 Microsoft Entra 联接。 Microsoft 不提供任何工具来禁用 TPM 的 FIPS 模式,因为这依赖于 TPM 制造商。 请联系硬件 OEM 获取支持。

建议:始终使用最新的 Windows 发布版本以充分利用更新的功能。

管理平台

已联接 Microsoft Entra 的设备的设备管理基于移动设备管理 (MDM) 平台,例如 Intune 和 MDM CSP。 从 Windows 10 开始,有一个内置的 MDM 代理,可与所有兼容的 MDM 解决方案一起使用。

注意

Microsoft Entra 联接设备不支持组策略,因为它们未连接到本地 Active Directory。 只能通过 MDM 管理 Microsoft Entra 联接设备

管理 Microsoft Entra 联接设备有两种方法:

  • 仅限 MDM - MDM 提供程序(例如 Intune)以独占方式托管设备。 所有策略都作为 MDM 注册过程的一部分提供。 对于 Microsoft Entra ID P1、P2 或 EMS 客户,MDM 注册是 Microsoft Entra 联接过程中的一个自动化步骤。
  • 共同管理 - 设备由 MDM 提供程序和 Microsoft Configuration Manager 管理。 使用这种方法时,将在 MDM 管理的设备上安装 Microsoft Configuration Manager 代理来管理某些特性。

如果使用组策略,请使用 Microsoft Intune 中的组策略分析来评估 GPO 和 MDM 策略一致性。

查看支持和不支持的策略,以确定是否可以使用 MDM 解决方案,而不是组策略。 对于不支持的策略,请考虑以下问题:

  • Microsoft Entra 联接设备或用户是否需要不支持的策略?
  • 不支持的策略是否适用于云驱动部署?

如果 MDM 解决方案不能通过 Microsoft Entra 应用库获取,则可以按照 Microsoft Entra 与 MDM 集成中概述的过程添加该解决方案。

通过共同管理,可以使用 Microsoft Configuration Manager 来管理设备的某些特性,同时通过 MDM 平台提供策略。 Microsoft Intune 支持使用 Microsoft Configuration Manager 来进行共同管理。 有关适用于 Windows 10 或更新版本设备的共同管理的详细信息,请参阅什么是共同管理?。 如果使用除 Intune 之外的 MDM 产品,请与 MDM 提供商联系,了解适用的共同管理方案。

建议:请考虑仅对 Microsoft Entra 联接设备进行 MDM 管理。

了解有关应用程序和资源的注意事项

我们建议将应用程序从本地迁移到云,以获得更好的用户体验和访问控制。 Microsoft Entra 联接设备可以无缝提供到本地和云应用程序的访问权限。 有关详细信息,请参阅本地资源的 SSO 在已联接 Microsoft Entra 的设备上的工作原理

以下部分列出不同类型的应用程序和资源的注意事项。

基于云的应用程序

如果将应用程序添加到 Microsoft Entra 应用库,则用户通过 Microsoft Entra 联接设备使用 SSO。 无需其他配置。 用户在 Microsoft Edge 和 Chrome 浏览器上获取 SSO。 对于 Chrome,需要部署 Windows 10 帐户扩展

所有 Win32 应用程序,其:

  • 依赖 Web 帐户管理器 (WAM) 处理令牌请求,也可在 Microsoft Entra 联接设备上使用 SSO。
  • 不要依赖可能会提示用户进行身份验证的 WAM。

本地 Web 应用

如果应用是自定义生成和/或托管在本地,需要将其添加到浏览器的受信任站点,以:

  • 确保 Windows 集成身份验证运行
  • 为用户提供无提示的 SSO 体验。

如果使用 AD FS,请参阅使用 AD FS 验证和管理单一登录

建议:考虑托管在云中(例如 Azure),并与 Microsoft Entra ID 集成,以获得更好的体验。

依赖旧版协议的本地应用程序

如果设备有权访问域控制器,则用户从 Microsoft Entra 联接设备获取 SSO。

注意

Microsoft Entra 联接设备可以无缝提供到本地和云应用程序的访问权限。 有关详细信息,请参阅本地资源的 SSO 在已联接 Microsoft Entra 的设备上的工作原理

建议:部署 Microsoft Entra 应用程序代理,以启用这些应用程序的安全访问。

本地网络共享

设备有权访问本地域控制器时,你的用户从 Microsoft Entra 联接设备获取 SSO。 了解工作原理

打印机

建议部署通用打印以拥有一个基于云的打印管理解决方案,而不需要任何本地依赖项。

依赖计算机身份验证的本地应用程序

Microsoft Entra 联接设备不支持依赖计算机身份验证的本地应用程序。

建议:考虑停用这些应用程序并移动到其新式替代项。

远程桌面服务

与 Microsoft Entra 联接设备的远程桌面连接要求主机为 Microsoft Entra 联接或 Microsoft Entra 混合联接。 不支持未联接设备或非 Windows 设备的远程桌面。 有关详细信息,请参阅连接到远程 Microsoft Entra 联接电脑

从 Windows 10 2004 更新开始,用户还可以使用远程桌面从注册了 Microsoft Entra 的 Windows 10 或更新版本设备连接到另一个 Microsoft Entra 联接设备。

RADIUS 和 Wi-Fi 身份验证

目前,已加入 Microsoft Entra 的设备不支持使用本地计算机对象和证书进行 RADIUS 身份验证以连接到 Wi-Fi 接入点,因为 RADIUS 依赖于此方案中本地计算机对象的存在。 作为替代方法,可以使用通过 Intune 或用户凭据推送的证书来向 Wi-Fi 进行身份验证。

了解预配选项

注意:不能使用系统准备工具 (Sysprep) 或类似的映像工具部署 Microsoft Entra 联接设备

可以使用以下方法预配 Microsoft Entra 联接设备:

  • OOBE/设置中的自助式 - 在自助模式下,用户在 Windows 现成体验 (OOBE) 期间或通过 Windows 设置完成 Microsoft Entra 联接过程。 有关详细信息,请参阅将工作设备加入组织的网络
  • Windows Autopilot - Windows Autopilot 支持预先配置设备,可比 OOBE 实现更顺畅的 Microsoft Entra 联接体验。 有关详细信息,请参阅 Windows Autopilot 概述
  • 批量注册 - 批量注册通过使用批量预配工具来配置设备,从而实现管理员驱动的 Microsoft Entra 联接。 有关详细信息,请参阅Windows 设备的批量注册

下面是这三种方法的比较

元素 自助式设置 Windows Autopilot 批量注册
需要用户交互以进行设置
需要 IT 工作量
适用的流 OOBE 和设置 仅限 OOBE 仅限 OOBE
主要用户的本地管理员权限 是,默认情况下 可配置
需要设备 OEM 的支持
支持的版本 1511+ 1709+ 1703+

查看上表和以下采用任一方法的注意事项,选择一个或多个部署方法:

  • 技术精湛的用户是否自行完成设置?
    • 自助式最适合这些用户。 考虑使用 Windows Autopilot 来增强用户体验。
  • 用户是远程还是公司内部?
    • 自助式或 Autopilot 最适合远程用户进行轻松设置。
  • 你更喜欢用户驱动的配置还是管理员托管的配置?
    • 批量注册更适合管理员驱动的部署,以便在转交给用户之前设置设备。
  • 你是从 1-2 家 OEM 厂商处购买设备,或者有广泛的 OEM 设备经销渠道?
    • 如果从有限的且还支持 Autopilot 的 OEM 厂商处购买,可从与 Autopilot 的紧密集成中受益。

配置设备设置

Microsoft Entra 管理中心让你可以控制组织中 Microsoft Entra 联接设备的部署。 若要配置相关设置,请浏览到“标识”>“设备”>“所有设备”>“设备设置”。 了解详细信息

用户可以建立设备与 Microsoft Entra ID 的联接

根据部署范围和要设置 Microsoft Entra 联接设备的人员,将此选项设置为“全部”或“选定”。

Users may join devices to Microsoft Entra ID

Microsoft Entra 联接设备上的额外本地管理员

选择“选定”,然后选择你想要添加到所有 Microsoft Entra 联接设备上的本地管理员组的用户。

Additional local administrators on Microsoft Entra joined devices

需要多重身份验证 (MFA) 才能加入设备

如果将设备联接到 Microsoft Entra 的同时需要用户执行多重身份验证,则选择“”。

Require multifactor Auth to join devices

建议:在条件访问中使用注册或联接设备这一用户操作,以便在联接设备时强制实施 MFA。

配置移动性设置

可能必须首先添加 MDM 提供程序,然后才可以配置移动性设置。

若要添加 MDM 提供程序

  1. 在“Microsoft Entra ID 页”上的“管理”部分中,选择“Mobility (MDM and MAM)”。

  2. 选择“添加应用程序”。

  3. 从列表中选择 MDM 提供程序。

    Screenshot of the Microsoft Entra ID Add an application page. Several M D M providers are listed.

选择 MDM 提供程序配置相关设置。

MDM 用户范围

根据部署范围,选择“部分”或“全部”

MDM user scope

根据范围,会发生以下某种情况:

  • 用户处于 MDM 范围内:如果你有 Microsoft Entra ID P1 或 P2 订阅,则 MDM 注册与 Microsoft Entra 联接会一起自动执行。 范围内所有用户必须具有相应的 MDM 许可证。 如果此方案中 MDM 注册失败,Microsoft Entra 联接也将回滚。
  • 用户不在 MDM 范围内:如果用户不在 MDM 范围内,则无需任何 MDM 注册即可完成 Microsoft Entra 联接。 此范围会产生非管理的设备。

MDM URL

三个与 MDM 配置相关的 URL:

  • MDM 使用条款 URL
  • MDM 发现 URL
  • MDM 符合性 URL

Screenshot of part of the Microsoft Entra M D M configuration section, with U R L fields for M D M terms of use, discovery, and compliance.

每个 URL 都有一个预定义的默认值。 如果这些字段为空,请与 MDM 提供商联系以了解更多信息。

MAM 设置

MAM 不适用于 Microsoft Entra 联接。

配置企业状态漫游

如果想要启用 Microsoft Entra ID 的状态漫游,以便用户可以跨设备同步其设置,请参阅在 Microsoft Entra ID 中启用企业状态漫游

建议:即使对于 Microsoft Entra 混合联接设备,也启用此设置。

配置条件访问

如果你为 Microsoft Entra 联接设备配置了 MDM 提供程序,则只要该设备处于受管理状态,提供程序就会将其标记为合规。

Compliant device

可使用此实现通过条件访问要求使用托管设备进行云应用访问

后续步骤