什么是 Microsoft Entra 联接？

7 分钟

现在你已经对设备标识和条件访问有了更好的了解。你希望深入了解 Microsoft Entra 联接以及如何将其用于改进 Azure 和本地 Active Directory 域服务的设备管理。

本单元将介绍 Microsoft Entra 联接以及如何将其用于基础结构和设备管理。

Microsoft Entra 联接的基础知识

通过 Microsoft Entra 联接，可将设备联接到 Microsoft Entra 组织，无需与本地 Active Directory 实例同步。尽管可以在混合云和本地环境中运行，但 Microsoft Entra 联接最适合主要基于云的组织。

支持的设备

Microsoft Entra 联接适用于 Windows 10、Windows 11 或 Windows Server 2019 设备。不支持 Windows Server 2019 服务器内核安装。如果使用的是较早版本的 Windows 操作系统，则需要升级到 Windows 10、Windows 11 或 Windows Server 2019。

标识基础结构

确定哪种身份基础结构模型最能满足组织的需求：

托管环境：此环境使用传递身份验证或密码哈希同步为设备提供单一登录 (SSO)。
联合环境：此环境要求使用标识提供者。该提供者必须支持 WS-Trust 和 WS-Fed 协议，这样 Microsoft Entra 联接才能以本机方式与 Windows 设备一起工作。需要 WS-Fed 才能将设备与 Microsoft Entra ID 联接。需要 WS-Trust 才能登录到已联接 Microsoft Entra 的设备。
智能卡和基于证书的身份验证：这些方法不是将设备与 Microsoft Entra ID 联接的有效方法。但是，如果配置了 Active Directory 联合身份验证服务可以使用智能卡登录到已联接 Microsoft Entra 的设备。建议使用 Windows Hello 企业版等服务，此类服务支持对 Windows 10 和 Windows 11 设备进行无密码身份验证。
手动用户配置：如果在本地 Active Directory 实例中创建用户，需要使用 Microsoft Entra Connect 将帐户同步到 Microsoft Entra ID。如果在 Microsoft Entra ID 中创建用户无需进行其他设置。

设备管理

Microsoft Entra 联接使用移动设备管理 (MDM) 平台来管理连接到 Microsoft Entra ID 的设备。 MDM 提供了一种方法来强制实施组织所需的配置，例如要求对存储进行加密、密码复杂性、软件安装和软件更新。

最新版本的 Windows 10 和 Windows 11 有一个内置的 MDM 客户端，该客户端适用于所有兼容的 MDM 系统。

有两种方法管理已联接 Microsoft Entra 的设备：

仅限 MDM：所有联接的设备都完全通过 MDM 提供程序（如 Intune）进行管理。如果组织使用组策略，则需要查看 MDM 策略以获得支持。
共同管理：所有联接的设备都结合使用本地安装的 System Center Configuration Manager 代理和 MDM 提供程序。 Microsoft Intune 通过 Configuration Manager 提供共同管理功能。可以使用 Configuration Manager 管理设备，而 MDM 提供用户管理策略。

建议使用仅限 MDM 的方法管理所有已联接 Microsoft Entra 的设备。

资源和应用程序访问的注意事项

为了获得最佳用户体验并改进对应用程序的访问，应考虑将所有应用程序和资源移动到 Azure。尽管在某些情况下可以这样做，但此做法并不总是可行。本部分将介绍应用程序和资源的访问选项：

基于云的应用程序：任何迁移的应用和所有新应用程序都将添加到 Microsoft Entra 应用库。 Microsoft Entra 联接用户可以使用 SSO 访问这些应用程序。大多数浏览器都支持 SSO。 Microsoft Entra 联接为仍使用 Win32 的应用程序设备访问提供 SSO 支持。
本地 Web 应用程序：仍可通过 Microsoft Entra 联接访问本地托管的任何定制或自定义软件。访问这些应用程序需要每个用户根据应用所在位置将应用添加到其受信任的站点或 Intranet 区域。此操作允许应用程序使用 Windows 集成身份验证，而不会提示用户进行身份验证。
其他设备：此选项包括通过较早协议和本地网络共享的现有应用程序。在设备已连接到域控制器的情况下，两者都可通过 SSO 用于已联接 Microsoft Entra 的设备。
打印机资源：这些资源不会通过 Microsoft Entra 联接自动提供。用户仍可使用其 UNC 路径直接连接到打印机。

预配选项

部署 Microsoft Entra 联接时，可以通过三种方式预配设备并将其联接到 Microsoft Entra ID：

自助服务：要求用户在面向新设备的 Windows 全新体验 (OOBE) 中手动配置设备，或通过对旧设备使用 Windows 设置来手动配置设备。自助服务更适合拥有强大技术背景的用户。
Windows Autopilot：允许预配置 Windows 设备，包括自动将设备联接到 Active Directory 组织、自动执行 MDM 注册以及创建客户 OOBE 内容。此方法简化了组织内设备的管理和部署。可以预配和部署 Windows 设备。用户可以像新用户一样完成 OOBE。
批量注册：允许设置同时应用于大量新 Windows 设备的预配包。

下表显示了每种方法的主要功能：

功能	自助服务	Windows Autopilot	批量注册
设置期间的用户交互	是	是	否
IT 参与	否	是	是
适用的流	OOBE 和设置	仅限 OOBE	仅限 OOBE
主要用户的本地管理员权限	是	可配置	否
需要的 OEM 支持	否	是	否

设备设置

在 Azure 门户中，可以控制新设备加入组织的方式。转到“Microsoft Entra ID>”“设备>”“设备设置”。在此处，可以配置以下功能并打开 Microsoft Entra 联接。

Screenshot of the Microsoft Entra device settings.

字段	说明
用户可以建立设备与 Microsoft Entra ID 的联接	“所有”- 允许任何用户联接其设备。 “选定”- 你可以添加可联接设备的特定用户。 “无”- 阻止所有用户联接其设备。
Microsoft Entra 联接设备上的额外本地管理员	允许在所有联接的设备上指定要作为本地管理员包含在内的其他用户。此选项默认启用。 Microsoft Entra ID 将全局管理员和设备管理员角色添加为设备上的本地管理员。
用户可以向 Microsoft Entra ID 注册其设备	允许用户向 Microsoft Entra 联接注册设备。如果使用 Microsoft 365 移动设备管理或 Microsoft Intune，则需要注册设备。如果在 Microsoft Entra 组织中配置了其中一个服务，则会选中“全部”并且此选项将禁用。
需要多重身份验证才能加入设备	允许在设备联接 Microsoft Entra ID 时强制实施 Microsoft Entra 多重身份验证。对于使用多重身份验证将设备联接到 Microsoft Entra ID 的用户，设备本身将成为第二重身份验证。
每个用户的最大设备数	让你可以指定用户可以在 Microsoft Entra ID 中拥有的最大设备数。如果用户达到此最大值，他们需要删除设备才能添加新设备。

对于我们的场景，我们可以添加一个用户试点组来尝试 AD 联接。在这种情况下，请选择“用户可以将设备联接到 Microsoft Entra ID>”“选定”，然后添加试点组的成员。准备好将 Microsoft Entra 联接部署到整个 Microsoft Entra 组织后，请选择“全部”。

移动性设置

需要添加 MDM 提供程序才能配置移动性设置。要添加 MDM 提供程序，请转到“Microsoft Entra ID>”“移动性（MDM 和 MAM）>”“添加应用程序”。

Screenshot that shows mobility applications you can add, like Microsoft Intune.

添加 MDM 提供程序后，可以配置以下移动性设置：

移动性设置	描述
MDM 用户范围	选择“无”、“部分”或“全部”。如果用户在 MDM 范围内并且你有 Microsoft Entra ID P1 或 P2 订阅，MDM 注册将自动与 Microsoft Entra 联接一起进行。范围内的所有用户都必须具有适用于 MDM 的相应许可证。否则，MDM 注册将失败，并且 Microsoft Entra 联接会回滚。如果用户不在 MDM 范围内，Microsoft Entra 联接将完成，但不会执行任何 MDM 注册。设备为非管理的设备。
MDM URL	与 MDM 配置相关的三个 URL 是 MDM 使用条款 URL、MDM 发现 URL 和 MDM 符合性 URL。每个 URL 都有一个预定义的默认值。如果这些字段为空，请与 MDM 提供商联系以了解更多信息。
MAM 设置	移动应用程序管理 (MAM) 不适用于 Microsoft Entra 联接。

回想一下，你需要将对组织资源的访问权限限制为仅由组织管理且 MDM 系统认为合规的设备。对于我们的方案，我们希望添加组织的 MDM 提供程序，并选择“MDM 用户范围”>“全部”。

联接 Windows 10 或 Windows 11 设备时的用户体验

你为精通技术的员工提供了新的设备。他们将使用自助服务方法将设备联接到使用多重身份验证的 Active Directory 组织。以下步骤将显示该工作流的流程：

启动设备后，员工会按照提示进行设置，包括自定义其区域和选择语言。
员工接受 Microsoft 软件许可条款。
员工选择连接到云所用的网络连接。
出现“谁是这台电脑的所有者？”问题时，员工选择“此设备属于我的组织”。
员工使用组织提供的凭据登录。
系统提示该员工进行多重身份验证。
Microsoft Entra ID 将检查配置设置以查看是否应在 MDM 中注册设备。
配置检查成功后，设备将注册到组织的 Microsoft Entra 实例中。如果正在使用 MDM，则设备将进行注册和接受管理。

知识检查

通过 Microsoft Entra 联接可使用哪些预配选项？

使用 Windows 全新体验 (OOBE) 的自助服务、Windows Autopilot 或批量注册

使用 MDM、Windows Autopilot 或批量注册的自助服务

Windows Autopilot 或批量注册

设备不在 MDM 范围内时会发生什么情况？

系统将要求用户将设备添加到 MDM，然后设备才可以加入 Microsoft Entra ID。

需要向 MDM 注册设备，然后设备才可与 Microsoft Entra ID 联接。

Microsoft Entra 联接在未注册 MDM 的情况下完成。

在检查工作前，必须回答所有问题。

继续