Dzięki wdrożeniu urządzeń przyłączonych hybrydowo w Microsoft Entra, jeden z naszych klientów zyskał szereg usprawnień – m.in. łatwiejszą konfigurację nowych urządzeń, możliwość nadawania uprawnień do lokalnych zasobów oraz integrację z zewnętrznymi rozwiązaniami.
Aby to osiągnąć, konieczne było uruchomienie lokalnego środowiska Active Directory i połączenie go z Microsoft Intune. Klientowi zależało przede wszystkim na sprawnym zarządzaniu dostępem do lokalnych zasobów. Ważne było też, aby w razie potrzeby można było zdalnie zablokować lub wyczyścić komputer.
Dodatkowo, wdrożenie dało naszemu klientowi większe możliwości konfiguracji w Microsoft 365 – w tym dostęp do systemu EDR, o którym pisaliśmy w tym artykule.
Konfiguracja Środowiska
Aby wdrożyć to rozwiązanie, najpierw należało skonfigurować Entra Connect – narzędzie, które łączy lokalne środowisko z chmurą. Pomocna podczas wdrożenia była domena Active Directory. Na początek skonfigurowano synchronizację kont użytkowników, wykorzystując tzw. synchronizację haseł (Password Hash Synchronization). Dzięki temu użytkownicy mogą logować się jednym hasłem – zarówno lokalnie, jak i w chmurze.
Następnie, przy pomocy tzw. punktu połączenia (SCP), określono las i metodę uwierzytelniania po stronie Entra ID. To pozwoliło na synchronizację komputerów dodanych do lokalnego Active Directory bezpośrednio z Entra ID.
Aby wszystko działało poprawnie, trzeba jeszcze skonfigurować odpowiednią politykę zarządzania zasadami grupy. Dzięki temu komputery dołączone do domeny zostaną automatycznie zarejestrowane w tle jako urządzenia usługi Azure Active Directory.
Kolejnym krokiem jest włączenie automatycznej rejestracji w usłudze MDM – wcześniej skonfigurowanej w Microsoft Intune, przy wykorzystaniu poświadczeń użytkownika. Cały proces odbywa się automatycznie, bez potrzeby ingerencji innych osób.
Co zyskał klient?
Dzięki uruchomieniu tych funkcji powstaje w pełni zintegrowane środowisko. Gdy użytkownik loguje się do komputera przy użyciu konta domenowego, jego urządzenie jest automatycznie rejestrowane w Microsoft Intune.
Dzięki wdrożeniu urządzeń hybrydowo przyłączonych w Microsoft Intune, użytkownicy mogą logować się jednym kontem i automatycznie uzyskiwać dostęp do zasobów w chmurze (Single Sign-On).
Klient zyskał możliwość zarządzania urządzeniami zarówno przez zasady grupy, jak i polityki konfiguracji w Microsoft Intune. Pozwala to min. na sprawdzanie czy komputery są szyfrowane. Umożliwia wymuszanie szyfrowania, sprawdzanie czy antywirus jest prawidłowo aktualizowany, a także instalację wybranych aplikacji zgodnych ze standardami firmy. Dodatkowo użytkownicy nie muszą stale korzystać z VPN. Wszyscy mają dostęp do narzędzi Microsoft takich jak OneDrive, SharePoint czy Teams, a także do lokalnych zasobów, i to wszystko w ramach jednego profilu.
Podsumowanie – czyli co udało się osiągnąć:
- Użytkownicy logują się bez jakichkolwiek problemów.
- Urządzeniami można zarządzać centralnie, z jednego miejsca.
- Dane klienta są lepiej chronione – zwiększono kontrolę i bezpieczeństwo.
- Użytkownicy mają dostęp do zasobów w chmurze i lokalnie, w ramach jednego profilu.
- Ograniczono potrzebę korzystania z VPN.
Na koniec przeprowadziliśmy testy poprawności konfiguracji urządzeń.
Wdrożone rozwiązanie nie tylko zwiększyło bezpieczeństwo, ale też przyspieszyło proces konfiguracji.
Microsoft Intune dostarcza funkcje, które są dziś kluczowe, jeśli firma chce działać zgodnie z obowiązującymi normami i przepisami – takimi jak ISO czy RODO.
Jeśli Twoja firma rozważa modernizację systemu zarządzania komputerami, chętnie pomożemy! Skontaktuj się z nami.
Paweł Kaczmarski
Administrator IT w Support Online
