规划 Microsoft Entra 设备部署
本文可帮助你评估以下操作方法:将设备与 Microsoft Entra ID 集成,选择实施计划,以及提供指向受支持的设备管理工具的关键链接。
用户设备的使用范围不断扩大。 组织可以提供台式机、笔记本电脑、手机、平板电脑和其他设备。 你的用户可以携带自己的设备阵列,并访问来自世界各地的信息。 在此环境中,作为管理员,你的工作是确保所有设备上的组织资源安全性。
Microsoft Entra ID 使你的组织能够通过设备标识管理实现这些目标。 现在,你可以在 Microsoft Entra ID 中获取设备,并在 Microsoft Entra 管理中心的中心位置控制设备。 此过程为你提供了统一的体验,增强了安全性,并缩短了配置新设备所需的时间。
可通过多种方法将设备集成到 Microsoft Entra ID 中,这些方法可单独使用,也可以根据操作系统和要求结合使用:
- 你可以使用 Microsoft Entra ID 注册设备。
- 联接设备与 Microsoft Entra ID(仅云)。
- 将设备 Microsoft Entra 混合联接到本地 Active Directory 域和 Microsoft Entra ID。
Learn
开始之前,请确保你熟悉设备标识管理概述。
好处
为设备提供 Microsoft Entra 标识的主要好处:
提高工作效率 - 用户可以无缝登录 (SSO) 到本地和云资源,随时随地都能提高工作效率。
提高安全性 - 根据设备或用户的标识对资源应用条件访问策略。 要使用无密码策略提高安全性,必须将设备联接到 Microsoft Entra ID。
改善用户体验 - 使用户可以从个人和企业设备轻松访问你的组织中基于云的资源。
简化部署和管理 - 使用 Windows Autopilot、批量预配或自助服务:全新体验 (OOBE) 来简化将设备引入 Microsoft Entra ID 的过程。 在 Microsoft Entra 管理中心中使用移动设备管理 (MDM) 工具(例如 Microsoft Intune)来管理设备及其标识。
规划部署项目
在环境中确定此部署的策略时,请考虑组织的需求。
让合适的利益干系人参与
如果技术项目失败,它们通常是由于在影响、结果和责任方面不符合预期而导致的。 若要避免这些问题,请确保选择适当的利益干系人并充分了解项目中的利益干系人角色。
对于此计划,向列表添加以下利益干系人:
| 角色 | 说明 |
|---|---|
| 设备管理员 | 设备团队的代表,可以验证计划是否符合组织的设备要求。 |
| 网络管理员 | 网络团队的代表,可以确保满足网络要求。 |
| 设备管理工具团队 | 管理设备清单的团队。 |
| 特定于 OS 的管理团队 | 支持和管理特定 OS 版本的团队。 例如,可能存在特定于 Mac 或 iOS 的团队。 |
规划沟通
沟通对于任何新服务的成功都至关重要。 主动与用户交流他们的体验将如何变化、何时会变化以及在遇到问题时如何获取支持。
规划试点
建议在测试环境中,或使用一小组测试设备初始配置集成方法。 请参阅关于试点的最佳做法。
在整个组织中启用 Microsoft Entra 混合联接之前,需要对其进行针对性部署。
警告
组织应在其试点组中包含不同角色和配置文件的用户示例。 针对性推出有助于确定在为整个组织启用之前你的计划可能尚未解决的任何问题。
选择集成方法
你的组织可以在单个 Microsoft Entra 租户中使用多个设备集成方法。 目标是选择适合在 Microsoft Entra ID 中安全管理设备的方法。 驱动此决策的参数很多,包括所有权、设备类型、主要受众和组织的基础结构。
以下信息可以帮助你决定使用哪些集成方法。
设备集成决策树
使用此树可以确定组织拥有的设备的选项。
注意
此图中未显示个人或自带设备 (BYOD) 方案。 它们始终会以 Microsoft Entra 注册为结果。
比较矩阵
iOS 和 Android 设备只能注册 Microsoft Entra。 下表列出了 Windows 客户端设备的大致注意事项。 使用此表进行概述,然后详细了解不同的集成方法。
| 注意事项 | 已注册 Microsoft Entra | 已建立 Microsoft Entra 联接 | 已进行 Microsoft Entra 混合联接 |
|---|---|---|---|
| 客户端操作系统 | |||
| Windows 11 或 Windows 10 设备 |  |
|
|
| Windows 低端设备(Windows 8.1 或 Windows 7) | |
||
| Linux 桌面 - Ubuntu 20.04/22.04 | |
||
| 登录选项 | |||
| 最终用户本地凭据 | |
||
| 密码 | |
|
|
| 设备 PIN | |
||
| Windows Hello | |
||
| Windows Hello 企业版 | |
|
|
| FIDO 2.0 安全密钥 | |
|
|
| Microsoft Authenticator 应用(无密码) | |
|
|
| 关键功能 | |||
| SSO 到云资源 | |
|
|
| SSO 到本地资源 | |
|
|
| 条件性访问 (要求将设备标记为合规) (必须由 MDM 托管) |
|
|
|
| 条件性访问 (需要 Microsoft Entra 混合联接设备) |
|
||
| 从 Windows 登录屏幕进行的自助式密码重置 | |
|
|
| Windows Hello PIN 重置 | |
|
Microsoft Entra 注册
已注册的设备通常由 Microsoft Intune 管理。 可根据操作系统,通过多种方式在 Intune 中注册设备。
已注册 Microsoft Entra 的设备支持通过自带设备 (BYOD) 和公司拥有的设备单一登录到云资源。 对资源的访问基于应用于设备和用户的 Microsoft Entra 条件访问策略。
注册设备
已注册的设备通常由 Microsoft Intune 管理。 可根据操作系统,通过多种方式在 Intune 中注册设备。
BYOD 和公司拥有的移动设备由安装公司门户应用的用户注册。
如果注册设备是组织的最佳选择,请参阅以下资源:
- Microsoft Entra 已注册设备概述。
- 关于在组织的网络上注册个人设备的最终用户文档。
Microsoft Entra 联接
Microsoft Entra 联接让你能够使用 Windows 转换到云优先的模型。 如果想要实现设备管理的现代化并减少设备相关的 IT 成本,Azure AD 联接是一个很好的基础。 Microsoft Entra 联接仅适用于 Windows 10 或更高版本设备。 可将其视为新设备的优先选择。
Microsoft Entra 联接设备可以通过 SSO 登录到组织网络中的本地资源,可以向本地服务器(例如文件、打印和其他应用程序)进行身份验证。
如果这是最适合你的组织的选择,请参阅以下资源:
预配 Microsoft Entra 联接设备
若要预配 Microsoft Entra 联接设备,可使用以下方法:
- 自助服务:Windows 10 首次运行体验
如果设备安装了 Windows 10 专业版或 Windows 10 企业版,则体验将默认为公司所拥有设备的设置过程。
仔细比较这些方法后,选择部署过程。
可以确定 Microsoft Entra 联接是否为处于不同状态的设备的最佳解决方案。 下表显示了如何更改设备的状态。
| 当前设备状态 | 所需设备状态 | 操作说明 |
|---|---|---|
| 已加入本地域 | 已建立 Microsoft Entra 联接 | 在联接 Microsoft Entra ID 之前,从本地域中取消联接设备。 |
| 已进行 Microsoft Entra 混合联接 | 已建立 Microsoft Entra 联接 | 联接 Microsoft Entra ID 之前,从本地域和 Microsoft Entra ID 取消联接设备。 |
| 已注册 Microsoft Entra | 已建立 Microsoft Entra 联接 | 在联接 Microsoft Entra ID 之前注销设备。 |
Microsoft Entra 混合联接
如果你有本地 Active Directory 环境,并想要将已联接域的现有计算机联接到 Microsoft Entra ID,可以使用 Microsoft Entra 混合联接来完成此任务。 Azure AD 联接支持范围广泛的 Windows 设备,包括 Windows 当前设备和 Windows 低端设备。
大多数组织已经拥有加入域的设备,并通过组策略或 System Center Configuration Manager (SCCM) 管理它们。 在这种情况下,我们建议配置 Microsoft Entra 混合联接,在利用现有投资的同时获得优势。
如果 Microsoft Entra 混合联接是组织的最佳选择,请参阅以下资源:
将 Microsoft Entra 混合联接预配到设备
查看标识基础结构。 Microsoft Entra Connect 提供了为以下项配置 Microsoft Entra 混合联接的向导:
如果无法安装所需版本的 Microsoft Entra Connect,请参阅如何手动配置 Microsoft Entra 混合联接。
注意
已联接本地域的 Windows 10 或更高版本设备会默认尝试自动联接到 Microsoft Entra ID,以成为 Microsoft Entra 联接混合设备。 仅当设置了正确的环境时,此操作才会成功。
可以确定 Microsoft Entra 混合联接是否为处于不同状态的设备的最佳解决方案。 下表显示了如何更改设备的状态。
| 当前设备状态 | 所需设备状态 | 操作说明 |
|---|---|---|
| 已加入本地域 | 已进行 Microsoft Entra 混合联接 | 使用 Microsoft Entra Connect 或 AD FS 联接 Azure。 |
| 已加入本地工作组或新状态 | 已进行 Microsoft Entra 混合联接 | Windows Autopilot 支持。 否则,在 Microsoft Entra 混合联接之前,设备需要已联接本地本地域。 |
| 已建立 Microsoft Entra 联接 | 已进行 Microsoft Entra 混合联接 | 从 Microsoft Entra ID 取消联接,使其处于本地工作组或新状态。 |
| 已注册 Microsoft Entra | 已进行 Microsoft Entra 混合联接 | 取决于 Windows 版本。 请参阅这些注意事项。 |
管理设备
将设备注册或联接到 Microsoft Entra ID 后,使用 Microsoft Entra 管理中心作为一个中心位置来管理设备标识。 “Microsoft Entra 设备”页让你能够:
- 配置设备设置。
- 你需要是本地管理员才能管理 Windows 设备。 Microsoft Entra ID 将更新 Microsoft Entra 联接设备的成员身份,自动将具有设备管理员角色的用户添加为所有联接设备的管理员。
确保通过管理陈旧设备来保持环境清洁,并将资源集中在管理当前设备上。
受支持的设备管理工具
管理员可以使用其他设备管理工具来保护和进一步控制已注册和已加入的设备。 通过这些工具,可以强制实施要求加密存储、密码复杂性、软件安装和软件更新等方面的配置。
查看集成设备受支持且不受支持的平台:
| 设备管理工具 | 已注册 Microsoft Entra | 已建立 Microsoft Entra 联接 | 已进行 Microsoft Entra 混合联接 |
|---|---|---|---|
| 移动设备管理 (MDM) 示例:Microsoft Intune |
|
|
|
| 使用 Microsoft Intune 和 Microsoft Configuration Manager 共同管理 (Windows 10 或更高版本) |
|
|
|
| 组策略 (仅限 Windows) |
|
建议考虑对已注册的 iOS 或 Android 设备进行带或不带设备管理的 Microsoft Intune 移动应用管理 (MAM)。
管理员还可以在其组织中部署托管 Windows 操作系统的虚拟桌面基础结构 (VDI) 平台,以简化管理并通过资源的合并和集中化来降低成本。