Присоединение Windows 10 Mobile к Azure Active Directory

Устройства под управлением Windows 10 Mobile могут быть присоединены к Azure Active Directory (Azure AD), если устройство настраивается при первом включении (OOBE). В этой статье описываются вопросы и возможности использования Windows 10 Mobile в Azure AD в вашей организации.

Зачем присоединять устройства с Windows 10 Mobile к Azure AD

Если устройство под управлением Windows 10 Mobile присоединяется к Azure AD, оно получает возможность на эксклюзивной основе использовать учетные данные, принадлежащие вашей организации, и вы можете быть уверены, что пользователи выполняют вход в учетную запись с соблюдением всех требований для входа, действующих в вашей организации. Присоединение устройства с Windows 10 Mobile к Azure AD предоставляет множество таких же преимуществ, что и при присоединении настольных устройств; ниже перечислены некоторые из них.

• Единый вход (SSO) в приложения, такие как Почта, Word и OneDrive, с использованием ресурсов, поддерживаемых Azure AD.

• Единый вход в браузере Microsoft Edge в подключенные к Azure AD веб-приложения, такие как Office 365 Portal, Visual Studio и еще более 2500 приложений сторонних разработчиков.

• Единый вход в локальные ресурсы.

• Автоматическая регистрация в службе управления мобильными устройствами (MDM).

• Включение переноса параметров в рамках предприятия. (В настоящее время не поддерживается, но реализация запланирована)

• Использование Магазина Windows для бизнеса для подбора приложений по необходимостям пользователей.

Вы проводите обновление имеющихся устройств до Windows 10 Mobile?

Windows Phone 8.1 поддерживала только возможность подключения устройства к личным облачным службам с помощью учетной записи Майкрософт для проверки подлинности. Это требовало создания учетных записей Майкрософт для использования в рабочих целях. В Windows 10 Mobile предусмотрена возможность присоединения устройств напрямую к Azure AD без необходимости создания личной учетной записи Майкрософт.

Если у вас уже есть устройства с Windows Phone 8.1, прежде всего вам необходимо понять, можно ли обновить эти устройства до Windows 10 Mobile. Корпорация Майкрософт в ближайшее время обнародует дополнительные сведения о доступности обновлений. По мере появления новая информация будет размещаться на странице Как получить Windows 10 Mobile. Корпоративным клиентам, использующим поддержку Premier, которым по деловым соображениям требуется отложить обновление до Windows 10 Mobile, следует обратиться к своему менеджеру по технической поддержке за пояснениями по поводу возможных вариантов обновления.

Перед обновлением и присоединением устройств к Azure AD необходимо оценить нынешнее использование данных. Способы использования имеющихся устройств и данные, которые хранятся локально, отличаются для каждого клиента. Используются ли SMS в рабочих целях и следует ли создать резервные копии сообщений, чтобы обеспечить их доступность после обновления? Есть ли фотографии, которые хранятся локально или с привязкой к учетной записи Майкрософт? Необходимо ли сохранение каких-либо параметров устройств и приложений? Хранятся ли какие-либо контакты на SIM-карте или с привязкой к учетной записи Майкрософт? Перед присоединением устройств к Azure AD вам потребуется изучить различные методы извлечения и сохранения данных, которые необходимо перенести. Фотографии, музыкальные файлы и документы, хранящиеся локально на устройстве, можно скопировать с устройства по USB-соединению на компьютер.

Для присоединения обновленных мобильных устройств к Azure AD устройства необходимо сбросить до состояния запуска при первом включении для настройки. Присоединение устройства к Azure AD не относится к изменениям, которые можно внести с сохранением существующих данных пользователя. Этот процесс аналогичен переводу устройства из личного пользования в пользование организации. Когда пользователь присоединяется к домену организации, от него требуется выполнить вход в качестве пользователя домена и начать работу с новым профилем пользователя. Новый профиль пользователя означает, что в нем не будет никаких сохраненных параметров, приложений или данных из предыдущего личного профиля.

Если вы хотите обойтись без процедуры сброса устройства, рассмотрите возможность добавления рабочих учетных записей вместо присоединения устройства к Azure AD.

Различия между добавлением рабочей учетной записи и присоединением к Azure AD

Хотя присоединение устройств с Windows 10 Mobile к Azure AD обеспечивает наилучшие результаты в целом, существует два способа, которые позволяют использовать добавленную рабочую учетную запись вместо присоединения устройства к Azure AD в соответствии с требованиями организации.

• Вы можете выполнить процедуру запуска при первом включении, используя параметр Войти позже. Это позволяет начать использование Windows 10 Mobile с любой подключенной учетной записью Майкрософт или Azure AD.

• Можно добавить доступ к ресурсам с поддержкой Azure AD на устройстве без сброса устройства.

Однако ни один из этих методов не обеспечивает использование единого входа в Магазин Windows или для доступа к локальным ресурсам, а также не предоставляет возможность переноса параметров на основании учетной записи Azure AD с использованием переноса параметров в рамках предприятия. Сведения о переносе параметров в рамках предприятия в Azure AD.

Используя меню Параметры > Учетные записи > Ваша почта и учетные записи > Добавить рабочую или учебную учетную запись для работы и школы, пользователи могут добавить свою учетную запись Azure AD на устройство. Кроме того, рабочую учетную запись можно добавить при входе пользователя в такие приложения, как Почта, Word и т. п. Если вы включите автоматическую регистрацию в настройках MDM, устройство будет автоматически зарегистрировано в MDM.

Добавленная рабочая учетная запись обеспечивает использование того же механизма единого входа в браузерных приложениях, таких как Office 365 (портал Office, веб-версия Outlook, Календарь, Люди, OneDrive), приложении смены пароля и профиля Azure AD и Visual Studio. Обеспечивается единый вход для встроенных приложений, таких как Почта, Календарь, Люди, OneDrive, а также доступ к файлам, размещенным на OneDrive, без запросов пароля. В приложениях Office, таких как Microsoft Word, Microsoft Excel и т. п., вы можете просто выбрать учетную запись Azure AD и затем открывать файлы без ввода пароля.

Подготовка к Windows 10 Mobile

• Конфигурация Azure AD

  В настоящее время функция присоединения к Azure AD поддерживает только самостоятельную подготовку, то есть во время начальной настройки устройства необходимо использовать учетные данные пользователя устройства. Если ваш мобильный оператор выполняет подготовку устройств за вас, это повлияет на возможность присоединения устройства к Azure AD. Многим ИТ-администраторам, возможно, захочется настроить устройства для для своих сотрудников, но процедура присоединения к Azure AD оптимизирована для конечных пользователей, включая возможность автоматической регистрации MDM.

  По умолчанию в Azure AD все настроено таким образом, чтобы разрешить присоединение устройств и использование корпоративных учетных данных пользователями на принадлежащих организации устройствах и личных устройствах. В записи блога Присоединение к Azure AD на устройствах с Windows 10 приводятся дополнительные сведения о том, где можно посмотреть свои параметры Azure AD. Вы можете настроить Azure AD так, чтобы запретить кому-либо присоединяться, чтобы разрешить всем сотрудникам вашей организации присоединяться, а также можно выбрать определенные группы Azure AD, в которые можно вступать.

• Настройка устройств

  Устройство под управлением Windows 10 Mobile может присоединиться к Azure AD только во время запуска при первом включении. Новые устройства, полученные от мобильных операторов, находятся в этом состоянии при получении. Устройства с Windows Phone 8.1, обновляемые до Windows 10 Mobile, потребуют сброса для возврата в состояние запуска при первом включении для настройки устройства.

• Управление мобильными устройствами

  Служба MDM необходима для управления устройствами, присоединенными к Azure AD. MDM можно использовать для переноса параметров на устройства, а также для приложений и сертификатов, используемых VPN, Wi-Fi и т.п. Лицензии Azure AD Premium и Enterprise Mobility Suite (EMS) необходимы для настройки присоединенных к Azure AD устройств для автоматической регистрации в MDM. Дополнительные сведения о настройке клиента Azure AD для автоматической регистрации в MDM.

• Microsoft Passport

  Создание Microsoft Passport (PIN-код) необходимо на Windows 10 Mobile по умолчанию, и это требование невозможно отключить. Политиками Microsoft Passport можно управлять с помощью элементов управления в MDM, например Intune. Поскольку устройство присоединяется с использованием учетных данных организации, на устройстве должен быть задан PIN-код для разблокировки. Для проверки подлинности в Passport можно использовать Windows Hello (биометрические данные, такие как отпечаток пальца или снимок радужной оболочки). Создание Microsoft Passport требует от пользователя выполнения многофакторной проверки личности, поскольку PIN-код представляет собой надежный способ аутентификации. Дополнительные сведения о Microsoft Passport для Azure AD.

• Условный доступ

  В Windows 10 Mobile также можно применять политики условного доступа. Политики соответствия устройства и многофакторной проверки подлинности можно применять для пользователей или ресурсов, и они будут запрашивать выполнение пользователем этих требований перед предоставлением доступа к ресурсам. Политики, такие как Присоединение к домену, которые поддерживают стандартное присоединение к домену, распространяются только на настольные ПК. Политики, зависимые от диапазона IP-адресов, будет сложно реализовать на телефонах, поскольку, если пользователь не подключается к корпоративной сети Wi-Fi или VPN, используется IP-адрес оператора.

• Известные проблемы

  • Приложения для Резервного копирования и восстановления устройства, а также для синхронизации фотографий с OneDrive работают только с учетной записью Майкрософт, заданной в качестве основной; эти приложения не будут работать на устройствах присоединенных к Azure AD.

  • Поиск телефона будет работать в зависимости от того, как вы добавите учетную запись Майкрософт на устройство, например приложение Кортана будет входить, используя вашу учетную запись Майкрософт таким образом, при котором Поиск телефона будет работать. И Кортана, и OneNote работают с учетными записями Azure AD, но сначала их необходимо настроить, используя учетную запись Майкрософт.

  • OneNote требует, чтобы пользователь входил, используя учетную запись Майкрософт, но это приложение также предоставляет доступ к записным книжкам, используя учетную запись Azure AD.

  • Если в вашей организации выполнены настройки на федеративность с Azure AD, ваш прокси-сервер федерации должен относиться к службам федерации Active Directory (ADFS) или стороннему серверу, поддерживающему конечные точки WS-Trust аналогично ADFS.

Как присоединить устройство с Windows 10 Mobile к Azure AD

1. Во время запуска при первом включении на экране Будьте в курсе выберите параметр Входить, используя рабочую учетную запись, а затем нажмите Далее.

   

2. Введите учетную запись Azure AD. Если ваша учетная запись Azure AD является федеративной, вы будете перенаправлены на страницу входа вашей организации, в противном случае введите пароль здесь.

   

   Если вас направляют на страницу входа вашей организации, вам может понадобиться пройти двухфакторную аутентификацию.

   

3. После проверки подлинности регистрация устройства завершается. Если у вашей службы MDM есть страница условий использования, она также будет представлена здесь. От федеративных пользователей потребуется снова ввести пароль, чтобы завершить проверку подлинности в Windows. Пользователи с паролями, обрабатываемыми в облаке, не будут видеть эти дополнительные запросы проверки подлинности. Для такого федеративного входа требуется, чтобы ваш сервер федерации поддерживал активную конечную точку WS-Trust.

   

4. Затем вам необходимо задать ПИН-код.

   Примечание  Подробные сведения о требованиях по PIN-кодам см. в разделе Почему PIN-код лучше пароля.

    

Проверка присоединения к Azure AD

• Перейдите в меню Параметры > Учетные записи > Ваша почта и учетные записи. Вы увидите свою учетную запись Azure AD вверху, а также в качестве учетной записи, используемой другими приложениями. Если была настроена автоматическая регистрация в MDM, в меню Параметры > Учетные записи > Рабочий доступ вы увидите, что устройство правильно зарегистрировано в MDM. Если MDM предлагает сертификат для использования сетью VPN, в меню Параметры > Сеть и беспроводные устройства > VPN будет отображаться возможность подключения к вашей сети VPN.

  

Настройте почту и календарь

Настройка электронной почты на устройстве, присоединенном к Azure AD, выполняется просто. При запуске приложения Почта вы увидите страницу Учетные записи. У большинства пользователей учетные записи электронной почты будут размещены в Office 365, и для них автоматически начнется синхронизация. Просто нажмите Готово к работе.

Если почта размещается на локальном сервере Exchange, от пользователя потребуется предоставить учетные данные, чтобы установить подключение для базовой проверки подлинности к серверу Exchange. Коснитесь пункта Добавить учетную запись, чтобы посмотреть, какие типы учетных записей почты можно добавить, включая вашу учетную запись Azure AD.

После выбора типа учетной записи необходимо предоставить учетные данные для полной настройки этого почтового ящика.

Настройка приложения Календарь проводится аналогично. Откройте приложение, и вы увидите свою учетную запись Azure AD — просто нажмите Готово к работе.

Вернитесь в меню Параметры > Учетные записи > Ваша почта и учетные записи, и вы увидите свою учетную запись Azure AD, используемую для электронной почты, календаря и контактов.

Используйте приложения Office и OneDrive

Приложения Office, такие как Microsoft Word и Microsoft PowerPoint, автоматически выполняют вход, используя вашу учетную запись Azure AD. При запуске приложения Office вы увидите экран, который позволяет выбрать учетную запись Майкрософт или Azure AD. Office отображает экран и одновременно выполняет вход за вас, так что подождите пару секунд, и Office автоматически выполнит вход, используя вашу учетную запись Azure AD.

Microsoft Word автоматически отображает документы, недавно открытые на других устройствах. Открытие документа позволит перейти непосредственно в тот же раздел, в котором вы внесли последние изменения на другом устройстве.

Microsoft PowerPoint отображает недавно открытые наборы слайдов.

Приложение OneDrive также использует единый вход, отображает все ваши документы и позволяет открыть их без какой-либо проверки подлинности.

В дополнение к единому входу в приложениях устройства, присоединенные к Azure AD, также получают возможность единого входа в приложениях для веб-браузеров, доверяющих Azure AD, например веб-приложениях, Visual Studio, на портале Office 365 и в OneDrive для бизнеса.

OneNote требует наличие учетной записи Майкрософт, но это приложение также можно использовать с учетной записью Azure AD.

После входа в OneNote перейдите в раздел "Параметры" > "Учетные записи", и вы увидите, что ваша учетная запись Azure AD автоматически добавлена.

Чтобы просмотреть заметки, к которым имеет доступ ваша учетная запись Azure AD, нажмите Другие заметки и выберите заметку, которую нужно открыть.

Использование Магазина Windows для бизнеса

Магазин Windows для бизнеса позволяет определить приложения, которые будут доступны вашим пользователям в приложении Магазин Windows. Эти приложения отображаются на вкладке с названием вашей компании. Приложения, утвержденные в Магазине Windows для бизнеса, могут быть установлены пользователями.