集成活动目录（AD）

• 概述

• AD集成的优点

• 在MDM中设置Azure AD

• MDM需要获取的权限

• 验证添加的域

• CNAME方式
• TXT记录方式
• HTML方式

概述

在任何组织中，AD都扮演着重要的角色，提供了强大的功能，包括但不限于用户管理、身份管理和身份验证，等等。MDM与AD集成后，可以利用这些功能强化设备管理能力。 集成Azure AD和MDM云需要具有全局管理员权限的Azure账户。

AD集成的优点

• AD凭证注册
  

  在邀请注册中，员工可以使用AD凭证进行身份验证，并注册设备，不需要使用OTP。此外，AD凭证作为双因素身份验证之一，进一步提高了安全性。

• 基于AD的自助注册
  

  员工也可以使用AD凭证自助注册设备，前提是域已经被验证。

• AD凭证登录
  

  技术员可以使用AD凭证登录MDM云Web客户端。

• 限制自助注册
  

  仅允许特定的AD组使用自助注册。

• 用户自动提示
  

  添加AD用户，创建注册请求时将自动提示这些用户。

在MDM中设置Azure AD

集成Azure AD和MDM的步骤如下：

• 在MDM服务器上，点击顶部菜单栏的注册选项卡，并从左侧栏选择活动目录（AD）集成。
• 点击添加Azure AD ，点击立即授权，授予MDM访问AD详细信息的权限。
• 在打开的新窗口中提供您的Azure AD管理员凭证。完成后，查看所有MDM集成需要获取的权限并点击“接受”。MDM需要获取列出的所有权限。



• 集成成功后，页面将跳转回MDM服务器。如果您想使用AD凭证进行自助注册，选择选项使用之前的活动目录进行身份验证，点击完成。当然，如需使用AD进行自助注册，请验证组织的域。

MDM需要获取的权限

下面列出了MDM集成Azure AD所需的权限：

• 读取所有用户的配置文件
• 读取和写入域
• 登录并读取用户配置文件
• 读取和写入所有组

验证添加的域

域验证是非常重要的步骤，确保添加的AD域有效，尚未过期，并且您具有使用该AD域的必要权限。有的时候，各种用途（电子邮件、活动目录）使用的域不同，即使您已经验证了其他域，但仍需额外验证AD域。验证方法有如下三种：

• CNAME方式：在域的DNS管理器中添加唯一的CNAME记录。
• TXT记录方式：在域的DNS管理器中添加一个特定的TXT记录。
• HTML方式：在您的网站上指定的文件夹中，上传给定的HTML文件。

添加并验证域的步骤如下：

• 打开此链接，并登录（如果需要）。
• 在空白处填写您的AD域，并点击 确定。完成后，接下来就是验证域。



• 添加后，点击立即验证启动验证流程。



• 从给出的选项列表中指定您的DNS服务供应商。



• CNAME方式
  

  CNAME方式需要添加给定的唯一CNAME。为您的AD域创建CNAME，并指向特定的目标。



• TXT记录方式
  

  TXT记录方式需要添加唯一的TXT记录。为您的AD域创建TXT记录，并指向特定的目标。



• HTML方式
  

  HTML方式需要下载给定的HTML文件示例，并添加到特定位置。