A Microsoft Entra-eszköz üzembe helyezésének megtervezése
Ez a cikk segítséget nyújt az eszköz Microsoft Entra-azonosítóval való integrálásának módszereinek kiértékelésében, a megvalósítási terv kiválasztásában, valamint a támogatott eszközfelügyeleti eszközökre mutató fő hivatkozások kiválasztásában.
A felhasználói eszközök környezete folyamatosan bővül. A szervezetek asztali számítógépeket, laptopokat, telefonokat, táblagépeket és egyéb eszközöket is biztosíthatnak. A felhasználók saját eszköztömböt hozhatnak magukkal, és különböző helyekről férhetnek hozzá az információkhoz. Ebben a környezetben rendszergazdaként az a feladata, hogy a szervezeti erőforrásokat minden eszközön biztonságban tartsa.
A Microsoft Entra ID lehetővé teszi a szervezet számára, hogy megfeleljen ezeknek a céloknak az eszközidentitás-kezeléssel. Most már bejelentkezhet a készülékeivel a Microsoft Entra ID-ben, és egy központi helyről irányíthatja őket a Microsoft Entra Adminisztrációs központ-ben. Ez a folyamat egységes élményt, fokozott biztonságot nyújt, és csökkenti az új eszközök konfigurálásához szükséges időt.
Az eszközök a Microsoft Entra ID-ba való integrálására több módszer is létezik. Ezek a módszerek az operációs rendszer és a követelmények alapján külön-külön vagy együtt is működhetnek:
- A Microsoft Entra-azonosítóval eszközök
regisztrálhatók. - Eszközök csatlakoztatása a Microsoft Entra-azonosítóhoz (csak felhőalapú).
- Hibrid csatlakoztatás Microsoft Entra-val a eszközök helyszíni Active Directory-tartományhoz és Microsoft Entra-azonosítóhoz.
Tanul
Mielőtt hozzákezdene, győződjön meg arról, hogy ismeri az eszközidentitás-kezelés áttekintését.
Előnyök
Az eszközök Microsoft Entra-identitással való ellátásának fő előnyei:
A termelékenység növelése – A felhasználók közvetlen bejelentkezést (SSO) végezhetnek a helyszíni és a felhőbeli erőforrásokon, így bárhol is legyenek, a termelékenységet is lehetővé téve.
A biztonság növelése – feltételes hozzáférési szabályzatok alkalmazása az erőforrásokra az eszköz vagy a felhasználó identitása alapján. Az eszköz Microsoft Entra-azonosítóhoz való csatlakoztatása előfeltétele a biztonság növelésének egy jelszó nélküli stratégiával.
Felhasználói élmény javítása – A felhasználók számára egyszerű hozzáférést biztosíthat a szervezet felhőalapú erőforrásaihoz mind a személyes, mind a vállalati eszközökről. A rendszergazdák engedélyezhetik a Nagyvállalati állapot vándorlást az egységes felhasználói élmény érdekében az összes Windows-eszközön.
Az üzembe helyezés és a felügyelet egyszerűsítése – Egyszerűbbé teszi az eszközök Microsoft Entra-azonosítóba való helyezését Windows Autopilot, tömeges üzembe helyezésivagy önkiszolgáló: Out of Box Experience (OOBE). Eszközök és azok identitásának kezelése mobileszköz-kezelési (MDM) eszközökkel, például Microsoft Intune, a Microsoft Entra felügyeleti központban.
Az üzembehelyezési projekt megtervezése
Vegye figyelembe a szervezeti igényeket, miközben meghatározza az üzembe helyezés stratégiáját a környezetben.
A megfelelő érdekelt felek bevonása
Amikor a technológiai projektek kudarcot vallanak, az rendszerint az érintett hatásokkal, eredményekkel és felelősségekkel kapcsolatos eltérő elvárások miatt történik. A buktatók elkerülése érdekében győződjön meg arról, hogy bevonja a megfelelő érdekelt feleket, és hogy a projektben az érdekelt felek szerepkörei jól érthetők.
Ehhez a tervhez adja hozzá a következő érdekelt feleket a listához:
| Szerep | Leírás |
|---|---|
| Eszközadminisztrátor | Az eszközcsoport képviselője, aki ellenőrizheti, hogy a terv megfelel-e a szervezet eszközkövetelményeinek. |
| Hálózati rendszergazda | A hálózati csapat képviselője, aki biztosan képes megfelelni a hálózati követelményeknek. |
| Eszközfelügyeleti csapat | Az eszközök leltárát kezelő csapat. |
| Operációsrendszer-specifikus rendszergazdai csapatok | Adott operációsrendszer-verziókat támogató és kezelő csapatok. Lehet például egy Mac vagy iOS-alapú csapat. |
Kommunikáció tervezése
A kommunikáció kritikus fontosságú az új szolgáltatások sikeressége szempontjából. Proaktív módon kommunikálhat a felhasználókkal a felhasználói élmény változásairól, a változásokról, valamint arról, hogy hogyan nyerhetnek támogatást, ha problémákat tapasztalnak.
Próbaüzem megtervezása
Javasoljuk, hogy az integrációs módszer kezdeti konfigurációja tesztkörnyezetben vagy teszteszközök kis csoportjában legyen. Tekintse meg legjobb gyakorlatokat kísérleti programhoz.
Érdemes lehet a Microsoft Entra hibrid csatlakozásának
Figyelmeztetés
A szervezeteknek mintaként kell tartalmazniuk a különböző szerepkörökből és profilokból származó felhasználókat a próbacsoportjukban. A célzott bevezetés segít azonosítani azokat a problémákat, amelyeket a terv nem oldott meg, mielőtt engedélyezené a teljes szervezet számára.
Az integrációs módszerek kiválasztása
A szervezet több eszközintegrációs módszert is használhat egyetlen Microsoft Entra-bérlőben. A cél egy vagy több olyan módszer kiválasztása, amely alkalmas az eszközök biztonságos felügyeletére a Microsoft Entra ID-ban. A döntést számos paraméter hajtja, beleértve a tulajdonjogot, az eszköztípusokat, az elsődleges célközönséget és a szervezet infrastruktúráját.
Az alábbi információk segíthetnek eldönteni, hogy mely integrációs módszereket érdemes használni.
Döntési fa az eszközök integrációjához
Ezen a fán határozhatja meg a szervezeti tulajdonban lévő eszközök beállításait.
Jegyzet
A személyes vagy saját eszközökre (BYOD) vonatkozó forgatókönyvek nem jelennek meg ebben a diagramban. Ezek mindig Microsoft Entra-regisztrációt eredményeznek.
Összehasonlító mátrix
Az iOS- és Android-eszközök csak a Microsoft Entra rendszerében vannak regisztrálva. Az alábbi táblázat a Windows-ügyféleszközökkel kapcsolatos magas szintű szempontokat mutatja be. Használja áttekintésként, majd vizsgálja meg részletesen a különböző integrációs módszereket.
| Megfontolás | Microsoft Entra regisztráció megtörtént | Microsoft Entra csatlakozott | Microsoft Entra hibrid csatlakoztatva |
|---|---|---|---|
| ügyfél operációs rendszerek | |||
| Windows 11 vagy Windows 10 rendszerű eszközök |
|
|
|
| Linux Desktop – Ubuntu 20.04/22.04/24.04, RHEL 8/9 |
|
||
| Bejelentkezési beállítások | |||
| Végfelhasználói helyi hitelesítő adatok |
|
||
| Jelszó |
|
|
|
| Eszköz PIN-kódja |
|
||
| Windows Hello |
|
||
| Windows Hello üzleti felhasználók számára |
|
|
|
| FIDO 2.0 biztonsági kulcsok |
|
|
|
| Microsoft Authenticator alkalmazás (jelszó nélküli) |
|
|
|
| főbb képességek | |||
| Egyszeri bejelentkezés felhőbeli erőforrásokhoz |
|
|
|
| Egyszeri bejelentkezési lehetőség vállalati belső erőforrásokhoz |
|
|
|
| Feltételes hozzáférés (Az eszközök megfelelőként való megjelölésének megkövetelése) (MDM-nek kell felügyelnie) |
|
|
|
| Feltételes hozzáférés (Microsoft Entra hibrid csatlakoztatott eszközök megkövetelése) |
|
||
| Önkiszolgáló jelszó-visszaállítás a Windows bejelentkezési képernyőről |
|
|
|
| A Windows Hello PIN-kód alaphelyzetbe állítása |
|
|
Microsoft Entra-regisztráció
A regisztrált eszközöket gyakran Microsoft Intunekezelik. Az eszközök az operációs rendszertől függően többféleképpen regisztrálhatók az Intune-ban.
A Microsoft Entra regisztrált eszközei támogatják a saját eszközök (BYOD) és a vállalati tulajdonú eszközök egyszeri bejelentkezését a felhőalapú erőforrásokhoz. Az erőforrásokhoz való hozzáférés a Microsoft Entra feltételes hozzáférési szabályzatokon alapul, vonatkoznak az eszközre és a felhasználóra.
Eszközök regisztrálása
A regisztrált eszközöket gyakran Microsoft Intunekezelik. Az eszközök az operációs rendszertől függően többféleképpen regisztrálhatók az Intune-ban.
A felhasználók a Vállalati portál alkalmazást telepítik a BYOD és a vállalati tulajdonban lévő mobileszközök regisztrálásához.
Ha az eszközök regisztrálása a legjobb megoldás a szervezet számára, tekintse meg az alábbi erőforrásokat:
- A Microsoft Entra által regisztrált eszközökáttekintése.
- Ez a végfelhasználói dokumentáció Személyes eszköz regisztrálása a szervezet hálózati.
Microsoft Entra csatlakozás
A Microsoft Entra join lehetővé teszi, hogy áttérjen egy felhőbeli modellre a Windows használatával. Nagyszerű alapot nyújt, ha az eszközfelügyelet modernizálását és az eszközhöz kapcsolódó informatikai költségek csökkentését tervezi. A Microsoft Entra join csak Windows 10 vagy újabb eszközökkel működik. Vegye figyelembe, hogy ez az első választás az új eszközök számára.
A Microsoft Entra-hoz csatlakoztatott eszközök egyszeri bejelentkezést hajthatnak végre a helyszíni erőforrásokhoz, amikor a szervezet hálózatán vannak, és képesek hitelesíteni a helyszíni kiszolgálókon, például fájlszervereken, nyomtatókon és más alkalmazásokon.
Ha ez a lehetőség a legjobb a szervezet számára, tekintse meg a következő erőforrásokat:
- A Microsoft Entra-hoz csatlakoztatott eszközök áttekintése.
- Ismerkedjen meg a Microsoft Entra csatlakozási megvalósítási tervével .
A Microsoft Entra-hoz csatlakoztatott eszközök kiépítése
Az eszközök Microsoft Entra-hozzáadáshoz való kiépítéséhez az alábbi módszereket alkalmazhatja:
- Önkiszolgáló: Windows 10 első használati élménye
Ha a Windows 10 Professional vagy a Windows 10 Enterprise telepítve van egy eszközön, a felhasználói élmény alapértelmezés szerint a vállalati tulajdonban lévő eszközök beállítási folyamatához tartozik.
- Windows Out of Box Experience (OOBE) vagy a Windows-beállítások
- Windows Autopilot
- tömeges beiratkozás
Válassza ki az üzembe helyezési eljárást, miután gondosan összehasonlítani ezeket a megközelítéseket.
Megállapíthatja, hogy a Microsoft Entra csatlakozás a legjobb megoldás egy másik konfigurációjú eszközhöz. Az alábbi táblázat bemutatja, hogyan módosíthatja az eszköz állapotát.
| Az eszköz aktuális állapota | Kívánt eszközállapot | Útmutató |
|---|---|---|
| Helyszíni tartományhoz csatlakoztatva | Microsoft Entra csatlakozott | A Microsoft Entra ID-hoz való csatlakozás előtt törölje az eszköz csatlakoztatását a helyszíni tartományból. |
| Microsoft Entra hibrid csatlakoztatva | Microsoft Entra csatlakozott | A Microsoft Entra ID-hoz való csatlakozás előtt törölje az eszköz csatlakoztatását a helyszíni tartományból és a Microsoft Entra-azonosítóból. |
| A Microsoft Entra regisztrálva lett | Microsoft Entra csatlakozott | A Microsoft Entra-azonosítóhoz való csatlakozás előtt törölje az eszköz regisztrációját. |
Microsoft Entra hibrid csatlakozás
Ha helyszíni Active Directory-környezettel rendelkezik, és meglévő tartományhoz csatlakoztatott számítógépeit a Microsoft Entra-azonosítóhoz szeretné csatlakoztatni, ezt a feladatot a Microsoft Entra hibrid csatlakoztatásával is elvégezheti. Támogatja Windows-eszközök széles skáláját.
A legtöbb szervezet már rendelkezik tartományhoz csatlakoztatott eszközökkel, és kezeli őket a Csoportházirend vagy a System Center Configuration Manager (SCCM) használatával. Ebben az esetben azt javasoljuk, hogy konfigurálja a Microsoft Entra hibrid csatlakozást, hogy a meglévő befektetések használata során előnyökhöz jusson.
Ha a Microsoft Entra hibrid csatlakozás a legjobb megoldás a szervezet számára, tekintse meg a következő erőforrásokat:
- Ez a Microsoft Entra hibrid csatlakozású eszközökáttekintése.
- Ismerkedjen meg a Microsoft Entra hibrid csatlakozás implementálási tervével.
A Microsoft Entra hibrid csatlakozásának bekapcsolása az eszközökre
Identitásinfrastruktúra áttekintése. A Microsoft Entra Connect egy varázslóval konfigurálja a Microsoft Entra hibrid csatlakozást az alábbiakhoz:
Ha a Microsoft Entra Connect szükséges verziójának telepítése nem lehetséges, tekintse meg , hogyan konfigurálhatja manuálisan a Microsoft Entra hibrid csatlakozást.
Jegyzet
A helyszíni tartományhoz csatlakoztatott Windows 10 vagy újabb eszköz megpróbál automatikusan csatlakozni a Microsoft Entra ID-hez, hogy alapértelmezés szerint Microsoft Entra hibrid csatlakoztatott legyen. Ez csak akkor lesz sikeres, ha a megfelelő környezetet állította be.
Meghatározhatja, hogy a Microsoft Entra hibrid csatlakozás a legjobb megoldás egy másik állapotban lévő eszközhöz. Az alábbi táblázat bemutatja, hogyan módosíthatja az eszköz állapotát.
| Az eszköz aktuális állapota | Kívánt eszközállapot | Útmutató |
|---|---|---|
| Helyszíni tartományhoz csatlakoztatva | Microsoft Entra hibrid csatlakozás | A Microsoft Entra Connect vagy az AD FS használatával csatlakozhat az Azure-hoz. |
| A helyi munkacsoport csatlakozott vagy újonnan létrehozott | A Microsoft Entra hibrid csatlakoztatása | A Windows Autopilottámogatott. Ellenkező esetben az eszköznek a Microsoft Entra hibrid csatlakoztatása előtt helyszíni tartományhoz kell csatlakoznia. |
| Microsoft Entra csatlakozott | A Microsoft Entra hibrid csatlakoztatása | A Microsoft Entra ID-ból való bekapcsolódás megszüntetése, amely a helyszíni munkacsoportba vagy az új állapotba helyezi. |
| Microsoft Entra regisztrálva | A Microsoft Entra hibrid csatlakoztatása | A Windows-verziótól függ. Tekintse meg ezeket a szempontokat. |
Eszközök kezelése
Miután regisztrálta vagy csatlakoztatta az eszközeit a Microsoft Entra-azonosítóhoz, használja a Microsoft Entra felügyeleti központot központi helyként az eszközidentitások kezeléséhez. A Microsoft Entra-eszközök lap a következőket teszi lehetővé:
- Eszközbeállítások konfigurálása.
- A Windows-eszközök kezeléséhez helyi rendszergazdának kell lennie. Microsoft Entra ID frissíti ezt a tagságot a Microsoft Entra-hoz csatlakoztatott eszközökhöz, és automatikusan hozzáadja az eszközkezelői szerepkörrel rendelkező felhasználókat az összes csatlakoztatott eszközhöz.
Gondoskodjon arról, hogy a környezetet tisztán tartsa elavult eszközökfelügyeletével, és az erőforrásokat az aktuális eszközök kezelésére összpontosítsa.
Támogatott eszközfelügyeleti eszközök
A rendszergazdák más eszközfelügyeleti eszközökkel is biztonságossá tehetik és szabályozhatják a regisztrált és csatlakoztatott eszközöket. Ezek az eszközök lehetővé teszik a konfigurációk kikényszerítését, például a tároló titkosítását, a jelszó összetettségét, a szoftvertelepítéseket és a szoftverfrissítéseket.
Az integrált eszközök támogatott és nem támogatott platformjainak áttekintése:
| Eszközfelügyeleti eszközök | Microsoft Entra bejegyezve | Microsoft Entra csatlakozott | A Microsoft Entra hibrid csatlakozása |
|---|---|---|---|
|
Mobilkészülék-kezelés (MDM) Példa: Microsoft Intune |
|
|
|
|
Microsoft Intune és a Microsoft Configuration Manager együttes kezelése (Windows 10 vagy újabb) |
|
|
|
|
Csoportházirend (csak Windows rendszeren) |
|
Javasoljuk, hogy fontolja meg Microsoft Intune Mobile Application Management (MAM) regisztrált iOS- vagy Android-eszközök eszközfelügyeletével vagy anélkül.
A rendszergazdák virtuális asztali infrastruktúra (VDI) platformokat is üzembe helyezhetnek, windowsos operációs rendszereket üzemeltethetnek a szervezetükben, hogy egyszerűbbé tegye a felügyeletet és csökkentse a költségeket az erőforrások konszolidálásával és központosításával.