摘要：

某医用电子跨国集团中国分支机构在由AD向AzureAD Global迁移时，创新使用宁盾网络准入，串联起上海、北京、无锡等国内多个职场与海外总部,实现平滑、稳定、全程无感知的无密码认证入网体验，并通过合规基线检查，确保企业内网安全。

某医用电子跨国集团始建于 20 世纪 60 年代，主要致力于体外诊断领域，是全球知名的临床检验综合方案提供商。其总部位于日本神户，在中国、欧洲、美洲、亚太地区等国家设有数十个分支机构，产品远销全球一百多个国家和地区。2000 年，该集团在上海成立医疗电子公司，随后陆续设立了北京、无锡、济南等多个分公司，遍布全国的销售和服务网点，标志着该跨国集团中国市场营销服务体系的建立和完善。

不同于海外总部使用微软 Azure AD Global 作为身份基础设施，中国分支机构自成立时起一直依赖于微软 AD 域来管理所有 IT 资源。随着海外总部要求中国的分支机构于 2023 年全面切换至 Azure AD Global，与全球各分支保持一致，如何确保身份源由 AD 迁移至 AAD 后所有分支机构的网络接入的稳定性与安全性，成为国内职场 IT 运维团队面临的主要挑战。

无缝对接AAD账号源，实现多分支无密码认证

网络接入的稳定性是业务持续性的前提。该医疗电子集团上海分公司成立后，就一直借助宁盾无线网络认证方案为其用户打造 802.1X 证书认证（无密码认证）的入网验证方式。多年使用下来，系统稳定性得到了客户的充分验证，为这次继续合作奠定了基础。

当国内职场从 AD 切换至 AAD Global 时，宁盾网络准入系统继续发挥作用。得益于准入系统内置的 RADIUS 认证服务器，无需额外配置，将宁盾网络准入系统先前对接的 AD 账号源无缝切换为 AAD 账号源，客户端升级后，用户的 802.1X 证书认证入网方式不会有任何变动，保留了用户在 AD 域环境下的入网习惯与体验，同时也消除了 IT 运维部门对于稳定性的顾虑。

此外，IT 运维部门考虑到人员出差的情况，对用户在不同职场出差时也能快速认证入网提出了要求。对此，宁盾给出了策略：所有分支机构的 SSID 保持一致，且不允许修改。宁盾网络准入系统就能实现任一职场的用户到另一职场出差时，无密码认证无感知入网，极大地保证了用户的体验。

联动深信服EDR，提升内网安全准入基线

公司派发的电脑均经过 IT 运维的配置后才会送到各个员工手上。为了管控入网终端环境的安全，集团引入了深信服 EDR 软件用以查杀病毒、漏洞修复。尽管如此，还是不能保证 EDR 软件持续百分百覆盖到每一台 PC，也就无法确保内网资源的安全性。

如何让国内多个职场近千台 PC 电脑安全、合规地接入内网？该集团用宁盾制定了终端准入基线。

有了宁盾网络准入系统的支持，国内分支机构实现了安全透明的终端管理。通过联动深信服 EDR 软件系统，制定准入策略，达到所有 PC 电脑必须安装并运行 EDR 软件的条件才被允许访问内网，反之则对不合规终端切换 VLAN，员工可以安全、高效、稳定地访问企业资源，内网安全基线得到进一步提升。

除了医疗电子行业，宁盾网络准入服务对象已延伸到芯片半导体、生物制药、智能设备、人工智能、游戏、新能源、新材料等高科技头部企业，逐渐成为此类创新客户的一致选择。相信未来有更多前沿领域的组织都会选择宁盾作为网络准入的合作伙伴。