消费者设备和无处不在的信息访问数量迅速增加正在改变人们感知其技术的方式。 整天不断使用信息技术,以及轻松获取信息,正在模糊工作与家庭生活之间的传统界限。 这些转变的界限都伴随着一个信念,即个人技术(精选和定制,以满足用户的个性、活动和日程安排)应延伸到工作区。 为了适应个人消费者设备连接到企业网络日益增长的需求,我们引入了以下价值主张:
管理员可以控制谁有权访问基于应用程序、用户、设备和位置的公司资源。
员工可以在任何设备上随时随地访问应用程序和数据。 员工可以在浏览器应用程序或企业应用程序中使用单一登录。
解决方案中引入的关键概念
工作区加入
通过使用工作区加入功能,员工可以将他们的个人设备与公司办公电脑连接,以访问公司的资源和服务。 当你将自己的个人设备加入工作区时,它将成为已知设备并提供工作区资源和应用程序的无缝第二重身份验证和单一登录。 当通过 Workplace Join 加入设备后,为了向应用程序授权颁发安全令牌,可从该目录检索设备的属性以推动有条件的访问。 Windows 8.1 和 iOS 6.0+ 和 Android 4.0+ 设备可以使用 Workplace Join 加入。
Microsoft Entra 设备注册服务
Workplace Join 由 Microsoft Entra 设备注册服务实现。 当设备通过 Workplace Join 加入时,该服务会在 Microsoft Entra ID 中配置一个设备对象,然后在本地设备上设置一个密钥,用于表示设备身份。 然后,可以将此设备标识与云中和本地托管的应用程序的访问控制规则一起使用。
有关详细信息,请参阅 Microsoft Entra ID 中的设备管理简介。
Workplace Join 作为无缝第二重身份验证
公司可以管理与信息访问相关的风险,并推动治理和合规性,同时授予使用者设备对公司资源的访问权限。 设备上的 Workplace Join 为管理员提供了以下功能:
使用设备身份验证标识已知设备。 管理员可以使用此信息来驱动条件访问和控制对资源的访问。
为用户提供更无缝的登录体验,以便从受信任的设备访问公司资源。
单一登录
单一登录 (SSO) 在此情况下的上下文中是指这样的功能:该功能可减少最终用户为了从已知设备访问公司资源而必须输入密码的提示次数。 此功能意味着,在 SSO 有效期内,用户仅会被提示一次,从而可以从此设备访问公司应用程序和资源。 如果设备使用 Workplace Join,则注册使用此设备的用户将默认获得永久性 SSO,为期 7 天。 此用户在同一会话或新会话中具有无缝登录体验。
解决方案概述
作为此解决方案的一部分,你将了解如何在支持的设备上使用 Workplace Join,以及体验对公司资源的单一登录。
注释
若要支持 Windows 8.1、iOS 6.0+ 和 Android 4.0+ 设备,必须配置 Microsoft Entra 设备注册以及设备对象写回,请参阅 使用 Microsoft Entra 设备注册服务的本地条件访问分步指南
此解决方案指南将指导你完成以下操作实例的步骤: