我想知道将公司拥有的机器加入 Azure 的最佳做法是什么。我们没有本地 AD/DC,只有 Azure AD。我有一个即将开展的项目,新办公室有 40 台机器,35 名用户,包括所有公司拥有的笔记本电脑和台式机。
我来自传统背景,当新设备引入时,它会被成像、加入域,然后提供给用户。我想用 Azure 实现同样的过程 - 我需要它们由 Intune 管理,能够部署计算机策略,而不仅仅是移动策略;我需要将设备正确地链接到使用它的用户。
那么...最好是:
a. 向所有用户开放“用户可以将设备加入 AzureAD”并限制设备数量 - 对机器进行映像处理,然后让最终用户通过自己帐户下的设置完成加入 AzureAD 的步骤
b. 将“用户可以将设备加入 Azure AD”设置为具有我们技术人员用户帐户的某个管理员组,将设备限制设置为无限制 - 对机器进行映像处理,使用我自己的/技术人员自己的公司帐户将机器加入 Azure,然后部署到最终用户
c. 创建一个受限管理员,其唯一目的是将机器注册到 AzureAD,将“用户可以将设备加入 AzureAD”限制为注册用户的自定义组,将设备限制设置为无限制 - 对机器进行映像处理并使用这个唯一的帐户将设备加入 Azure。
在任何一种方式中,它将如何影响用户的 BYOD?大多数用户会携带他们的智能手机或平板电脑/混合设备,我希望这些设备可以注册,但不能加入。我仍然想部署基本的合规策略,但它们不是公司设备,而且没有技术人员会亲自操作这些设备进行设置,因此它需要对用户来说简单易用。