Мне интересно, как лучше всего подключать корпоративные машины к Azure. У нас нет локального AD / DC, только Azure AD. У меня есть предстоящий проект с открытием нового офиса с 40 машинами и 35 пользователями - это все корпоративные ноутбуки и настольные компьютеры.
Я исхожу из традиционного фона, когда при вводе нового устройства оно отображается, присоединяется к домену, а затем передается пользователю. Я хочу добиться того же процесса с Azure - мне нужно, чтобы они управлялись с помощью Intune, чтобы у меня была возможность развертывать компьютерные политики, а не только мобильные политики; и мне нужно, чтобы устройства были правильно связаны с пользователем, который их использует.
ТАК ... Лучше:
а. Откройте «Пользователи могут присоединять устройства к AzureAD» для ВСЕХ пользователей и ограничьте количество устройств - создайте образ машины, затем попросите КОНЕЧНОГО ПОЛЬЗОВАТЕЛЯ выполнить действия по присоединению к AzureAD через настройки под своей учетной записью
б. Установите «Пользователи могут присоединять устройства к Azure AD» для некоторой группы администраторов с учетными записями пользователей нашего технического специалиста, установите ограничение на неограниченное количество устройств - создайте образ машины, присоедините машину к Azure под моей учетной записью / учетной записью собственной компании технического специалиста, затем разверните для конечного пользователя
c. Создайте ограниченного администратора с единственной целью регистрации машин в AzureAD, ограничьте «Пользователи могут присоединять устройства к AzureAD» настраиваемой группой для зарегистрированного пользователя, установите ограничение на количество устройств на Неограниченное. Создайте образ машины и используйте эту единственную учетную запись для присоедините устройство к Azure.
В любом из этих методов, как это повлияет на BYOD пользователей? Большинство пользователей принесут свои смартфоны или планшеты / гибриды, и я хочу, чтобы они были зарегистрированы, но не присоединились. Я по-прежнему хочу развернуть базовые политики соответствия, но они не являются корпоративными устройствами, и никакие технические специалисты не возьмут в руки эти устройства для настройки, поэтому это должно быть простым для пользователя.