集成活动目录（AD）

• 概述

• 目录集成的优点

• 集成AD和MDM

• 同步AD

• 同步AD组

• 删除AD

概述

大多数组织使用活动目录简化用户管理、身份管理和用户身份验证。Mobile Device Manager Plus能够集成组织的活动目录，强化设备管理能力。

目录集成的优点

• AD凭证注册
  

  通过用户的AD凭证进行身份验证，将移动设备注册到MDM。这种方法可以替代一次性密码（OTP），或者作为双因素身份验证之一，进一步提高了安全性。

• 自助注册
  

  自助注册无需管理员发送多个邀请，用户可以自行注册设备。注册通过用户AD凭证进行身份验证。只有在将组织的AD与MDM集成之后才能使用此功能。集成后，管理员还可以限制特定AD组的用户使用自助注册。

• AD凭证登录
  

  管理员或技术员可以使用AD凭证登录MDM门户，提高安全性。

• 自动提示用户
  

  MDM与AD集成后，在创建注册请求时，系统将自动提示用户的电子邮件ID和姓名，提高管理员创建注册请求的效率。

• 自动更新用户帐户
  

  如果用户在AD中的电子邮件地址、显示名称或其他属性发生更改，用Mobile Device Manager Plus配置的帐户中也将自动更新这些信息。

集成AD和MDM

如需集成组织的AD和MDM，请导航到：注册 -> 目录服务，点击集成/添加域，选择目录类型。

1. 如果选择On-Premises AD，输入以下信息并点击添加域，完成集成。
   • 域名
   • 域用户名
   • 密码
   • AD域名
   • 域控制器名
2. 如果选择Azure AD，点击集成，页面将跳转到微软门户，在此页面提供Azure AD管理员凭证。同意所有授权请求，完成集成。
3. 如果选择G Suite，输入以下信息并点击保存，完成集成。

• 域
• 域管理员帐户

注意：G Suite暂不支持自助注册和组同步。

• 以具有管理员权限的用户身份登录到您的Okta组织。
• 在仪表板的右上角提供Org URL（不包括htpps://）。Org URL可能的格式为：
• example.oktapreview.com
• example.okta.com
• id.example.com（如果配置了自定义URL域）。
• 创建令牌。
• 如果使用开发者控制台，请从API菜单选择令牌。
• 如果使用管理员控制台（传统用户界面），请从安全菜单选择API，然后选择令牌。
• 点击创建令牌，并为令牌命名。
• 记下令牌值（只显示一次）并在MDM中提供。
如果忘记令牌值，那么必须重新创建一个令牌，获取新的令牌值。

添加的域将会列入此页。管理员还可以将多个AD与MDM集成。如果您在注册Chromebook时集成了G Suite和MDM，也可以在此页面查看详细信息。

同步AD

Mobile Device Manager Plus每天与AD同步一次信息。On-Premises AD和G Suite目录将同步完整的数据，而其他目录只会同步修改的数据到MDM。

管理员可以手动同步目录服务，点击同步所有将同步完整目录到MDM，或者点击仅同步修改，仅同步最后一次同步之后做出的更改。

同步AD组

AD与MDM集成之后，AD组还可以直接同步到MDM。使用此选项，管理员可以直接关联配置文件、分发应用和文档到AD组来管理设备。

启用组同步。在“动作”栏下点击启用组同步，将同步所选域的所有组，这些组将列在设备管理选项卡中的“组和设备”下。

同样，也可以禁用组同步。点击禁用组同步，将从MDM禁用所有同步组。配置文件、应用和文档必须由用户或管理员手动删除。

删除AD

从MDM中删除AD前，需确保用户没有任何已注册的设备或待处理的注册请求。满足条件后，点击动作，点击删除，取消AD与MDM的关联。

注意：即使取消了关联AD，用户和组也会在MDM服务器中列出，需要管理员手动删除。