连成设备
微软EntraID加入设备设备直接连接微软EntraID(前称Azure主动目录)本选项主要设计Windows10和Windows11设备
Entra合并设备后,用户可使用EntraID证书登录虚拟机器,提供无缝一致跨设备认证经验并存云源资源消除依赖假设AD基础设施认证
必须指出,Entra合并设备并不是所有假想中传统域合并设备替代物。Windows复杂现场基础设施组织、特定群保需求组织或对租地资源访问需求组织可能仍偏爱使用主动目录域参用设备框架支持微软Entra合并设备模型Entra合并设备与现场激活目录域参合设备并发参考到我们官方解决方案指南详解
客户选择使用Entra合并设备有几个原因:
- 简化设备管理:Entra合并设备可以通过EntraID集中管理,允许精简设备管理配置而无需现场配置基础设施
- 云中心方法:那些高度依赖云服务并想利用EntraID能力的组织可受益于Entra合并设备与云优先策略相匹配,并能够与Azure服务更紧密地整合
- 增强安全访问控件:EntraID提供高级安全特征,如条件访问策略和多因子认证,可应用到Entra合并设备这有助于强制强安全措施获取公司资源
- 无缝存取云资源:Entra合并设备使用户能够无缝存取云基应用和服务并用EntraID,例如微软365和其他SAS应用并用EntraID证书
支持性基础设施和操作系统华府
框架支持Entra合并设备早期存取基础设施配置表
| 基础设施 | OS选项 | 账户类型 | 附加细节 |
|---|---|---|---|
| 休眠 | windows10或11服务器2019或2022 | 非持久性 | 原生Azure虚拟机扩展程序自动安装并用于在发布过程加入AzureVMs-EntraID |
| AHV | Windows10或11 | 持久性 | 终端用户必须通过微软Windows脱盒体验程序加入分配持久桌面EntraID |
预设条件华府
启动前保证有以下内容:
entraID租户:
- EntraID专用实例表示Azure组织的身份和访问管理
- AHV用户设置选项
EntraID >设备设置 >用户可加入设备EntraID对中任选所有用户或特定用户群允许加入VMsEntraID
操作系统:
- Windows10和Windows11:专业版、企业版和教育版home版不支持Entra合并设备
- Windows服务器2019和2022:仅供Azure使用
互联网连通性:
- 拟加入EntraID的设备必须连通互联网才能与EntraID通信并完成联通过程
访问框架:
- 访问框架客户、组织或账号实体作为客户、组织或账号管理员角色
框架账号:
- 框架账户使用BYOAzure订阅(拥有者角色)或AHV集群创建
搭建华府
Entra合并设备设置和配置视基础设施不同而异选择合适的基础设施获取更多细节
️ AHV
Windows10/11持久桌面框架账号
️ 休眠
Windows10/11服务器2019/2022持久非持久框架账户
框架SSO支持华府
框架SSO特征除经典域并发实例外,还可用于Entra并发设备参考框架SSO文档细节使用框架SSO
Intune移动设备管理华府
微软允许客户管理终端用户设备,包括工作量VM微软 Intune移动设备管理service.微软推荐Intune仅允许持久机使用,框架支持Intune仅允许Azure持久桌面账号使用
AHV客户使用持久桌面框架账号仍可建立微软AzureIntune管理终端用户工作量VM
Windows商务Hello华府
WindowsHello业务WH4B系统安全Windows10/11认证法,用户使用生物识别或PIN登录企业设备应用,消除密码需求增强安全并简化用户登录经验默认情况下,多客户使用EntraIDPremium订阅会默认启动WH4B
设置 PIN(WH4B签名示例选项),请注意您需要启动用户账控件UAC,默认该控件对框架工作量VMs失效启动UAC登录沙盒发布前执行Windows管理员Powershell命令
Set-ItemProperty-路径选择"HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system"-名称连通LUA-值1-类型DWORD语言
WH4B所有条件都得到满足(例如使用Gen2实例类型vTPM芯片)后,终端用户将能够设置PIN访问他们的框架桌面最佳做法WH4B应只装有持久桌面框架账号