Azure AD 加入：了解设备身份

---

Microsoft 设计 Azure Active Directory (Azure AD) 时，通过引入 Azure AD 加入、Azure AD 注册和混合 Azure AD 加入的新设备信任类型，对设备身份的概念进行了现代化改造。

这些设备标识可以在 Azure AD 中进行管理，类似于用户、组和应用程序标识；但是，每种信任类型都有独特的功能和优势，决定了哪种信任类型最适合您环境中存在的用例。所有这三种情况都可以而且很可能在一个组织中共存。

Supported OS Targeted Devices Hybrid Azure AD join Windows 10 or newer, 8.1 and 7 Windows Server 2008R2, 2012R2, 2016 and 2019 Corporate-owned AD domain-joined devices Azure AD registration iOS, Android, and macOS Windows 10 or newer, 8.1 via Workplace Join BYODs, mobile devices, and corporate-owned non-domain-joined devices Azure AD join All Windows 11 and Windows 10 devices except home editions Windows Server 2019 VM’s in Azure Corporate-owned non-AD domain-joined devices[NY(1] [BC(2]

图 1：Azure AD 中的设备标识

如果您尚未对这些新的信任类型有充分的了解，那么您可能会犹豫是否要开始采用和投资这些新技术，包括决定何时从传统的 AD 加入设备转换为 Azure AD 加入设备。

在本博客中，我们将致力于理清用于将最终用户设备绑定到 Azure AD 的新信任类型网络，帮助阐明每种信任类型之间的优势和差异，并研究它们与传统本地域加入的比较。

什么是混合 Azure AD 加入？

让我们从一个非常常见的用例开始，混合 Azure AD 连接。这些设备只是加入 AD 的 Windows 终结点，已从本地 Active Directory 同步到 Azure AD。它们依靠传统的本地 Active Directory 域服务 (AD DS) 进行身份和访问管理 (IAM)，并且还向 Azure AD 注册（见图 2）。

图 2：混合 Azure AD 设备

如果您已经安装了 Azure AD Connect (AADC) 并将本地 AD DS 同步到 Azure，则您的环境中很可能已经拥有混合 Azure-AD 加入的设备，因为它们是使用 Windows Autojoin 自动配置的特征。有关自动加入等混合配置选项的更多信息，您可以在此处查看 Microsoft 的文档。

现代化端点管理

由于设备已加入 AD，因此可以继续使用传统的组策略和 SCCM 以及您可能已开始部署的 Microsoft Endpoint Manager (MEM) 等任何较新的管理工具进行管理。由于它们在 Azure AD 中也有设备标识，因此它们还将支持一些扩展的 Azure AD 管理和安全功能，我们稍后将介绍这些功能。

Microsoft 表示，混合 Azure AD 加入是 Azure AD 加入道路上的过渡步骤。对于某些组织来说可能是这样，但不一定对每个组织都是如此。混合信托类型的存在有几个原因。一是支持 Windows 7 和 Windows Server 2008 等较旧的操作系统，这些操作系统无法加入 Azure-AD。另一种是支持已由 GPO 等本地系统或其他方法管理的现有计算机，并且当前无法切换到不同的管理系统。

将所有端点管理迁移到云端是一项昂贵且复杂的事件，可能需要数月甚至数年才能完成，具体取决于组织基础设施的规模。因此，说采用混合 Azure-AD 加入的设备只是采用纯 Azure-AD 模型之前的一个临时步骤并不完全准确。

什么是 Azure AD 注册？

Azure-AD 注册设备满足了企业中不断增长的用例的需求，即为利用“自带设备”(BYOD) 策略的最终用户提供支持。这些设备既未加入 AD，也未加入 Azure AD，而只是在 Azure AD 中注册，以便您可以部署和管理设备设置和软件（见图 3）。此设备标识主要用于移动设备管理，其中设备由组织或用户拥有，具有多个登录选项，允许组织通过专注于移动设备管理的基于云的服务应用设置和策略（ MDM）和移动应用程序管理（MAM），例如 Microsoft Intune 或第三方统一设备管理工具，例如 KACE。

图 3：Azure AD 注册设备

还可以将 Azure AD 注册用于其他设备，例如 BYOD 计算机，您可能会在其中遇到术语 Workplace Join。这通常标识已注册 Azure AD 的 Windows 8.1，但在使用命令 dsregcmd /status 检索任何 Windows 计算机的 Azure AD 加入状态时，您也会看到此术语。工作场所加入值为“是”表示该设备是已注册的 BYOD。

专业提示：对于加入域且混合 Azure-AD 加入的计算机，此值应该为 NO。如果值为 YES，则在混合 Azure AD 加入完成之前添加工作或学校帐户。在这种情况下，当您使用 Windows 10 版本 1607 或更高版本时，该帐户将被忽略。

请注意，非移动设备的 Azure AD 注册并不常见，因为公司通常更喜欢使用计算机的其他信任类型之一，要求设备加入 Azure-AD 或混合 Azure-AD 加入。

什么是 Azure AD 加入？

加入 Azure AD 的设备有助于满足纯云环境的需求，允许组织通过将设备直接加入其 Azure AD 并允许使用用户 Azure AD 帐户登录来管理公司拥有的设备。

您可以指示最终用户通过打开“开始”>“设置”>“访问工作或学校”>“连接”在现有设备上执行 Azure AD 加入，此时他们可以使用其 Azure AD 凭据进行身份验证。或者，管理员可以通过第三方端点管理工具 Intune 批量注册或使用 Windows Autopilot 来自动执行设备加入。您还可以部署新的或重新分配的笔记本电脑，将它们运送给世界各地的最终用户，然后让用户 Azure AD 使用初始 Windows 开箱即用体验 (OOBE) 设置过程自行加入设备。

与 Azure AD 注册设备类似，加入 Azure AD 的设备可以使用 Microsoft Intune 进行管理，从而允许组织为用户提供对 Intune 公司门户应用程序的访问权限，从而帮助员工安全地管理对其公司应用程序、数据和资源的访问。

图 4：Azure AD 连接设备

比较：Active Directory 与 Azure Active Directory

现在您已经了解了 Azure Active Directory 可以使用哪些信任类型，我们将尝试通过检查各种基础结构类型之间的差异来减少一些混乱，这样您就不必花时间自己进行编译。

在对每个 Azure AD 设备信任选项（包括 Azure-AD 加入、Azure-AD 注册和混合 Azure-AD）进行更详细的比较之前，需要首先考虑传统 Active Directory 和 Azure AD 之间的一些核心差异-加入了。

验证

当设备加入本地 Active Directory 时，会在本地 AD DS 中创建一个对象，该对象用于组织帐户、用户设备和服务器的身份和访问管理 (IAM)。此配置使用 Kerberos 单点登录 (SSO) 为用户提供对资源的透明访问。

为了让用户登录并验证加入 AD 的设备，该设备需要具有对域控制器的网络访问权限。对于远程用户来说，这意味着他们必须利用 VPN 或类似方式来进行身份验证并连接到组织的本地资源。如果用户之前缓存了凭据，则他们仍然可以在本地登录，但如果没有网络访问权限，则无法访问本地公司资源。

当设备加入 Azure-AD 时，该设备只需要访问云中的 Azure AD 进行身份验证，而不需要访问域控制器。您可以向加入 Azure AD 或混合 Azure AD 的设备颁发主刷新令牌 (PRT)，以添加特定于设备的声明并向 Azure AD 资源提供额外的无缝单点登录 (SSO) 功能。

Azure AD 身份验证本身存在一些需要考虑的挑战，您应该确保它支持所有关键业务应用程序。 Azure AD 不支持 Kerberos/NTLM 身份验证和轻量级目录访问协议 (LDAP) 连接，并且需要额外的资源以及可能的服务器迁移到 Azure。您还可以考虑 Azure AD 域服务 (Azure AD DS)，它提供域加入、组策略、LDAP 和 Kerberos/NTLM 身份验证等托管域服务，而无需部署、管理和修补域控制器。

管理

加入 Active Directory 的设备主要依靠组策略来管理和部署策略和设置，以确保您的用户设备满足公司和监管要求。此设置的挑战之一是管理和保护远程用户的设备可能更加困难。随着云应用程序在执行日常活动中变得越来越普遍，远程用户连接到 VPN 的频率可能会降低，从而导致他们错过及时接收更新的机会。

通过将设备标识注册或加入 Azure AD，您可以开始使用基于设备的条件访问策略来管理安全功能。如果您尚未开始使用 Microsoft Endpoint Manager (MEM)、Intune 或第三方工具来协助管理和监控传统 AD 加入的设备，您会发现它具有许多功能来协助管理和配置加入 Azure-AD、混合 Azure-AD 和 Azure-AD 注册的设备，包括移动设备。您可以确定 MEM 的哪些组件适合您的环境，包括使用 Configuration Manager 和 Intune 进行设备管理。

请注意，从组策略过渡到 MEM 需要详细的培训、规划、测试和实施。基于设备的条件访问还存在租户范围的许可要求，而 Microsoft Endpoint Manager 需要企业移动性 + 安全性 E3 或 E5 许可证。

配置

您会发现，由于 Azure 设备标识提供了更广泛的预配选项，包括使用 Autopilot 或通过开箱即用体验自动配置设备的选项，因此可以更轻松地将加入 Azure AD 的设备移交给最终用户（ OOBE）以及通过公司门户部署软件的能力。

根据您组织的需求，您可以选择使用不再需要管理员密码的自助服务选项，也可以以管理员专门管理的更受控的方式配置设备。

操作系统

本地 Active Directory 的主要优势之一是对旧版操作系统的支持，许多组织在计划如何将业务关键型应用程序和服务器迁移到加入 Azure Active Directory 域服务的云虚拟机或升级到Windows 11。

随着这些旧版操作系统达到 Microsoft 的支持终止期限，迁移本地托管应用程序和服务的动力将会增强。一旦发生这种情况，云将主导确定本地支持哪些操作系统。

比较：AD 加入与混合 Azure AD 加入与 Azure AD 加入

下图（参见表 1）提供了传统 AD 加入、混合 Azure-AD 加入和 Azure-AD 加入的设备之间的并排比较。

请记住，与任何基于订阅的 SaaS 平台一样，一些替代本地内置功能的高级服务将附带额外的许可要求。这些服务还将包括管理员需要学习、实施和推动组织采用的全新技术。

始终考虑随着采用需要高级许可的新设备管理工具，成本将如何变化。在下面的比较图中，具有相关溢价成本的服务链接到来自 Microsoft 的适用许可信息。

表 1：Active Directory 加入 VS 混合 Azure AD 加入 VS Azure AD 加入

On-Premises
Active Directory Join Hybrid
Hybrid Azure AD Join Cloud
Azure AD Join Suitable Organizations Cloud-only ✘ ✘ ✓ Hybrid ✓ ✓ ✓ Suitable Devices Organization-owned computers ✓ ✓ ✓ BYOD computers ✘ ✘ ✘ Mobile devices ✘ ✘ ✘ Supported Operating Systems Windows 7 & 8.1 ✓ ✓ ✘ Windows 10 & 11 ✓ ✓ ✓ 2008R2, 2012R2, 2016 & 2019 ✓ ✓ ✘ 2019 VMs in Azure ✘ ✘ ✓ iOS, Android, macOS ✘ ✘ ✘ Provisioning Options Self-Service: Settings ✓ ✘ ✓ Self-Service: OOBE ✘ ✘ ✓ Bulk enrollment ✓ ✘ ✓ Domain join via Autopilot✘ ✓ ✓ Domain join via MSI ✓ ✓ ✘ Autojoin via Azure AD Connect ✘ ✓ ✘ Autojoin via ADFS config ✘ ✓ ✘ Company Portal✘ ✓ ✓ Authentication Password ✓ ✓ ✓ Windows Hello ✘ ✘ ✘ Windows Hello for Business✓ ✓ ✓ PIN ✓ ✓ ✓ Biometrics or Pattern ✓ ✓ ✓ FIDO2.0 security keys ✘ ✓ ✓ Local Creds ✘ ✘ ✘ Local Cached Creds ✓ ✓ ✓ NTLM ✓ ✓ ✘ Kerberos ✓ ✓ ✘ LDAP ✓ ✓ ✘ MS Authenticator App ✘ ✘ ✘ Management Mobile Device Management✘ ✘ ✓ Configuration Manager ✓ ✓ ✓ Co-management (Intune)✓ ✓ ✓ Group Policy ✓ ✓ ✘ Mobile Application Management ✘ ✘ ✘ Key Features SSO to Cloud ✘ ✓ ✓ SSO to On-premises ✓ ✓ ✓ Self-service PW & PIN Reset ✓ ✓ ✓ Conditional Access (MDM)✘ ✘ ✓ Conditional Access (Domain Join) ✓ ✓ ✘ Conditional Access via Intune✘ ✓ ✘

比较：Azure AD 注册与 Azure AD 加入

下图（参见表 2）重点介绍了两个纯云选项，如果您准备好完全脱离本地基础设施，则可以使用这两个选项，并提供已加入 Azure-AD 的设备之间的并排比较和 Azure-AD 注册。

请记住，虽然 Azure AD 注册的主要用例是支持移动设备，但它可用于任何 BYOD，并且 Azure AD 加入和 Azure AD 注册之间存在需要考虑的重要差异，包括不同的管理和预配选项以及不同的支持系统。

具有相关溢价的服务会链接到 Microsoft 提供的适用许可信息。

表 2：Azure AD 注册与 Azure AD 加入

Cloud
Azure AD Join BYOD/Mobile
Azure AD Registered Suitable Organizations Cloud-only ✓ ✓ Hybrid ✓ ✓ Suitable Devices Organization-owned computers ✓ ✘ BYOD computers ✘ ✓ Mobile devices ✘ ✓ Supported Operating Systems Win7 & 8.1 ✘ ✓ Win10 & 11 ✓ ✓ 2008R2, 2012R2, 2016 & 2019 ✘ ✘ 2019 VMs in Azure ✓ ✘ iOS, Android, macOS ✘ ✓ Provisioning Options Self-Service: Settings ✓ ✓ Self-Service: OOBE ✓ ✘ Bulk enrollment ✓ ✘ Domain join via Autopilot ✓ ✘ Domain join via MSI ✘ ✘ Autojoin via Azure AD Connect ✘ ✘ Autojoin via ADFS config ✘ ✘ Company Portal (Intune) ✓ ✓ Authentication Password ✓ ✓ Windows Hello ✘ ✓ Windows Hello for Business✓ ✘ PIN ✓ ✓ Biometrics or Pattern ✓ ✓ FIDO2.0 keys ✓ ✘ Local Creds ✘ ✓ Local Cached Creds ✓ ✘ NTLM ✘ ✘ Kerberos ✘ ✘ LDAP ✘ ✘ MS Authenticator App ✘ ✓ Management Mobile Device Management✓ ✓ Configuration Manager ✓ ✘ Co-management (Intune)✓ ✘ Group Policy ✘ ✘ Mobile Application Management ✘ ✓ Key Features SSO (Cloud) ✓ ✓ SSO (On-premises) ✓ ✘ Self-service PW & PIN Reset ✓ ✘ Conditional Access (MDM)✓ ✘ Conditional Access (Domain Join) ✘ ✓ Conditional Access (Intune)✘ ✓

结论

您很可能会在现代企业环境中看到混合使用 Azure-AD 加入、混合 Azure-AD 加入和 Azure-AD 注册的设备。您甚至可能会遇到冲突、重复注册和其他令人讨厌的异常情况需要追查。因此，了解和学习支持每种连接类型的所有选项和相关组件以及每种连接类型所需的相关技术和组件非常重要，并且应根据组织的要求、优先级以及技术和业务来决定使用其中任何一种限制。

也就是说，有一些关键要点可以帮助您就组织采用云端点管理和云设备身份的潜在路径做出最佳决策。

1. 如果你现在在本地管理设备，那么你应该首先为混合 Azure AD 设备实施 Azure AD 服务，无论你决定保持长期混合状态还是计划完全迁移到纯云状态。如果您的组织仍然需要在本地维护一些 IAM 系统，那么混合可能是一项长期策略。它还可以成为垫脚石，让您在最终过渡到纯云之前有时间规划和实施新的管理方法和技术。
2. 如果您没有任何本地基础设施，则可以使用 Azure AD join 为您的公司拥有的计算机和设备获得最佳保护和最大价值，包括新功能、更强大的管理和增强的预配实践。
3. 如果您更喜欢笔记本电脑的 BYOD 模型或者想要管理移动设备，那么 Azure AD 注册是这些计算机和设备的选项。请记住，某些组织已将其用于从未加入 Azure AD 的企业自有 BYOD 设备，但这可能不是企业自有设备管理和安全性的最明智的长期策略。

Microsoft 正在大力推动云技术的发展，通过改变技术来提高采用率，并提供激励措施来降低所有 IT 领域的成本。当开始实施时，请确保进行概念验证以了解基础知识，然后启动试点计划，然后再向全球人口全面推出新服务。没有什么比可能影响最终用户的访问和生产力的颠覆性部署更糟糕的了。

查看快速参考指南下方的完整比较图表，其中包括其他链接并并排比较所有四个连接选项。请记住查看本博客中链接的所有 Microsoft 文档，以开始熟悉所有新的 Azure AD 功能和服务，并开始规划从 AD 加入到 Azure AD 加入的过渡。

表 3：比较四种连接选项

On-Premises Active Directory Join Hybrid Hybrid Azure AD Join Cloud Azure AD Join BYOD/Mobile Azure AD Registered Premium Service RequiredAdditional Notes Suitable Organizations Cloud-only ✘ ✘ ✓ ✓ Hybrid ✓ ✓ ✓ ✓ Suitable Devices Organization-owned computers ✓ ✓ ✓ ✘ Bring your own device computers ✘ ✘ ✘ ✓ Mobile devices ✘ ✘ ✘ ✓ Supported Operating Systems Windows 7 & 8.1 ✓ ✓ ✘ ✓ Workplace Join Required for Windows 8.1 Registered Devices Windows 10 & 11 ✓ ✓ ✓ ✓ Home editions of Windows 10 & 11 are not supported for Azure AD Join Devices Windows Server 2008R2, 2012R2, 2016 & 2019 ✓ ✓ ✘ ✘ Windows Server 2019 VMs in Azure✘ ✘ ✓ ✘ Server core isn't supported for Azure AD Join devices iOS, Android, macOS ✘ ✘ ✘ ✓ Provisioning Options Self-Service: Settings ✓ ✘ ✓ ✓ Windows 10+ for Registered Devices Self-Service: Windows Out of Box Experience (OOBE) ✘ ✘ ✓ ✘ Bulk enrollment ✓ ✘ ✓ ✘ Possible for On-premises only using custom methods Domain join via Autopilot ✘ ✓ ✓ ✘ ✓ Domain join via MSI ✓ ✓ ✘ ✘ 8.1, 7, 2012 R2, 2012, & 2008 R2 - Require MSI Autojoin via Azure AD Connect ✘ ✓ ✘ ✘ Autojoin via ADFS config ✘ ✓ ✘ ✘ Company Portal ✘ ✓ ✓ ✓ ✓ iOS/Android & macOS supported for Registered Devices; Hybrid Azure AD join and Azure AD join require InTune Authentication Password ✓ ✓ ✓ ✓ Windows Hello ✘ ✘ ✘ ✓ Windows Hello for Business = Windows Hello + the Asymmetric Authentication method (combines biometric and PKI mechanisms) Windows Hello for Business ✓ ✓ ✓ ✘ ✓ Requires Windows 10+ for Hybrid Devices PIN ✓ ✓ ✓ ✓ Requires Windows Hello for Business for Hybrid, On-Premises & Cloud Biometrics or Pattern ✓ ✓ ✓ ✓ Requires Windows Hello for Business for Hybrid, On-Premises & Cloud FIDO2.0 security keys ✘ ✓ ✓ ✘ Public preview of Azure AD support for FIDO2 security keys in hybrid environments End-user local credentials ✘ ✘ ✘ ✓ End-user local cached credentials ✓ ✓ ✓ ✘ NTLM ✓ ✓ ✘ ✘ Kerberos ✓ ✓ ✘ ✘ LDAP ✓ ✓ ✘ ✘ Microsoft Authenticator app ✘ ✘ ✘ ✓ iOS/Android is supported for Registered Devices Management Mobile Device Management ✘ ✘ ✓ ✓ ✓ MDM example: Microsoft Intune Configuration Manager✓ ✓ ✓ ✘ Co-management with Microsoft Intune✓ ✓ ✓ ✘ ✓ Group Policy✓ ✓ ✘ ✘ Mobile Application Management ✘ ✘ ✘ ✓ Key Features SSO to Cloud ✘ ✓ ✓ ✓ SSO to On-premises ✓ ✓ ✓ ✘ Self-service Password or PIN Reset✓ ✓ ✓ ✘ Password Reset and Windows Hello PIN reset on lock screen Conditional Access via MDM ✘ ✘ ✓ ✘ ✓ Through MDM enrollment and MDM compliance evaluation Conditional Access via Domain join ✓ ✓ ✘ ✘ Conditional Access via Intune ✘ ✓ ✘ ✓ ✓ Hybrid Azure AD joined devices must be co-managed Conditional Access via App protection policy ✘ ✘ ✘ ✓ ✓