Microsoft Entra připojených nebo hybridních Microsoft Entra připojených v koncových bodech nativních pro cloud

  • Článek

Tip

Při čtení o koncových bodech nativních pro cloud uvidíte následující termíny:

  • Koncový bod: Koncový bod je zařízení, například mobilní telefon, tablet, přenosný počítač nebo stolní počítač. Koncové body a zařízení se používají zaměnitelně.
  • Spravované koncové body: Koncové body, které přijímají zásady od organizace pomocí řešení MDM nebo Zásady skupiny objektů. Tato zařízení jsou obvykle vlastněná organizací, ale můžou to být také zařízení vlastními zařízeními nebo zařízení v osobním vlastnictví.
  • Koncové body nativní pro cloud: Koncové body, které jsou připojené k Azure AD. Nejsou připojené k místní službě AD.
  • Úloha: Jakýkoli program, služba nebo proces.

Mnoho důležitých a cenných služeb, včetně podmíněného přístupu a Microsoft Entra jednotného přihlašování, vyžaduje, aby koncové body měly cloudovou identitu. U koncových bodů Windows vlastněných organizací se cloudová identita vytvoří, když je zařízení Microsoft Entra připojené nebo připojené k hybridnímu Microsoft Entra.

Při přechodu na koncové body nativní pro cloud je potřeba pochopit rozdíly mezi Microsoft Entra připojenými a hybridními Microsoft Entra připojenými zařízeními:

Tato funkce platí pro:

  • Koncové body Windows nativní pro cloud

Tento článek popisuje některé rozdíly mezi Microsoft Entra připojenými a hybridními Microsoft Entra připojenými zařízeními. Přehled koncových bodů nativních pro cloud a jejich výhod najdete v tématu Co jsou koncové body nativní pro cloud.

Microsoft Entra připojeno

Když se koncový bod, například zařízení Windows 10/11, Microsoft Entra připojí, vytvoří vztah důvěryhodnosti s Microsoft Entra a v Microsoft Entra má identitu (device-id). Koncový bod spravuje a řídí organizace.

Koncový bod je připojený k Microsoft Entra. Není připojený k místní doméně AD.

Pokud chcete připojit koncové body Windows k Microsoft Entra, máte několik možností:

  • Použijte Windows Autopilot. Windows Autopilot provede uživatele prostředím počátečního nastavení počítače (OOBE) ve Windows. Když uživatelé zadají svůj pracovní nebo školní účet, koncový bod se připojí Microsoft Entra.

    Všechna zařízení zaregistrovaná ve Windows Autopilotu se automaticky považují za zařízení vlastněná organizací. Windows Autopilot je jedním z nejčastěji přijímaných přístupů k připojení zařízení organizace k Microsoft Entra a správě IT.

  • Použití prostředí prvního spuštění počítače (OOBE) ve Windows Když uživatelé na zařízení zadají svůj pracovní nebo školní účet, koncový bod se automaticky připojí k Microsoft Entra.

  • Použijte aplikaci Nastavení. Na zařízení koncoví uživatelé otevřou aplikaci Nastavení (Přístupk pracovnímu nebo školnímu>připojeníúčtů>) a použijí svůj pracovní nebo školní účet.

  • Použijte balíček zřizování oken. Další informace najdete tady:

Výhody IT pro organizaci

  • Pomocí podmíněného přístupu můžete povolit nebo omezit přístup k prostředkům organizace, které splňují nebo nesplňují vaše požadavky.
  • Nastavení a pracovní data se procházejí podnikovými cloudy. Nepoužívají se žádné osobní účty Microsoft, jako je Hotmail, a je možné je zablokovat.
  • Pomocí Windows Hello pro firmy můžete snížit riziko krádeže přihlašovacích údajů.

Výhody pro koncové uživatele

  • K ověřování koncových uživatelů pomocí Microsoft Entra a koncového bodu Windows potřebují uživatelé pracovní nebo školní účet. Nepoužívají se žádné osobní účty.

  • Získejte jednotné přihlašování (SSO) k Aplikacím Microsoft 365 a SaaS s připojením k internetu.

  • Využijte pohodlí a zabezpečení Windows Hello pro firmy k přihlášení ke koncovému bodu Windows.

    Když se přihlásí pomocí Windows Hello pro firmy, uživatelé automaticky používají jednotné přihlašování k mnoha online a místním aplikacím a prostředkům.

  • Nastavení operačního systému se přechovává napříč všemi Microsoft Entra připojenými zařízeními.

    Důležité

    Koncoví uživatelé pracující vzdáleně na Microsoft Entra připojených zařízeních nepotřebují vpn k přihlášení, když na zařízení vyprší platnost přihlašovacích údajů uložených v mezipaměti. Na zařízeních připojených k hybridním Microsoft Entra potřebují síť VPN k přihlášení, když vyprší platnost přihlašovacích údajů uložených v mezipaměti.

Microsoft Entra připojené prostředky

Připojeno k hybridním Microsoft Entra

Zařízení připojená k hybridním Microsoft Entra jsou připojená k místní doméně AD a zaregistrovaná v Microsoft Entra. Tato zařízení vyžadují , aby se vaše místní řadiče domény (DC) k počátečnímu přihlášení a správě zařízení chytly síťové dohledy.

Pokud se zařízení nemůžou připojit k řadiči domény, může být uživatelům znemožněno přihlášení a nemusí dostávat aktualizace zásad.

Mnoho organizací se stávajícími zařízeními připojenými k doméně chce výhody a funkce Microsoft Entra a správy koncových bodů. Pokud vaše zařízení ještě nemůžou být plně nativní pro cloud, můžete tato stávající zařízení zaregistrovat v Microsoft Entra. Když v Microsoft Entra zaregistrujete existující zařízení, vytvoří se identita zařízení a vaše zařízení budou hybridní Microsoft Entra připojená. Nepovažují se za koncové body nativní pro cloud.

Pokud je vaše organizace připravená a chce být nativní pro cloud, je správnou volbou Microsoft Entra připojení (v tomto článku). Existující zařízení je potřeba resetovat. Konkrétnější informace a pokyny najdete v průvodci plánováním na vysoké úrovni.

Hybridní Microsoft Entra připojené prostředky

Informace o tom, jak zaregistrovat stávající zařízení připojená k doméně k Microsoft Entra, najdete v tématu Konfigurace hybridního připojení Microsoft Entra připojení. Konfigurace hybridního Microsoft Entra připojení zahrnuje informace o spravovaných doménách a federovaných doménách.

Která možnost je pro vaši organizaci nejvhodnější

Správná možnost závisí na vašem prostředí, koncových bodech a cílech vaší organizace. Při rozhodování zvažte budoucí a dlouhodobý dopad.

Zvažte následující scénáře:

Scénář Microsoft Entra připojení nebo hybridní Microsoft Entra připojení
Zřizujete nové koncové body Windows. ✔️ Microsoft Entra připojit

Pokud máte nová, renovovaná nebo obnovená zařízení s Windows, která zřizujete a registrujete, doporučujeme Microsoft Entra připojit. Windows 10/11 obsahuje moderní funkce integrované v operačním systému, včetně moderní správy, moderního ověřování a dalších funkcí. Microsoft Entra Připojit by měla být výchozí možnost pro nové koncové body a resetování.

❌Připojení k hybridnímu Microsoft Entra

Pro nové koncové body můžete použít funkci Hybrid Microsoft Entra Join, ale obvykle se to nedoporučuje. Když se připojíte pomocí funkce Hybrid Microsoft Entra Join, možná nebudete moct používat moderní funkce integrované do Windows 10/11.
Máte existující, dříve zřízené koncové body Windows, které jsou hybridní Microsoft Entra nebo připojené k AD. ✔️ Připojení k hybridnímu Microsoft Entra

Pokud máte existující koncové body, které jsou připojené k místní doméně AD (včetně hybridních Microsoft Entra připojených), doporučuje se připojení pomocí hybridního Microsoft Entra. Zařízení získají cloudovou identitu a můžou používat cloudové služby, které vyžadují cloudovou identitu. Pro koncové uživatele se stávajícími koncovými body má tato možnost minimální dopad.

❌Microsoft Entra připojit

Existující zařízení připojená k místní doméně AD (včetně hybridních Microsoft Entra připojených) musí být resetovaná, aby se Microsoft Entra připojila. Pokud je nejde resetovat, neexistuje žádná podporovaná cesta Microsoftu, jak je Microsoft Entra připojit.

Běžné otázky, odpovědi a scénáře

Tato část odpovídá na běžné otázky týkající se Microsoft Entra připojených a hybridních Microsoft Entra připojených zařízení.

Měly by být hybridní Microsoft Entra připojené k zařízením dlouhodobým nebo koncovým cílovým stavem?

Ne, hybrid Microsoft Entra Join by neměl být dlouhodobý ani koncový cíl pro žádnou organizaci.

Pokud nejste omezeni nebo omezeni (z technických, politických nebo regulačních důvodů), měla by se vaše organizace přesunout nebo naplánovat přechod na Microsoft Entra připojené ke koncovým bodům Windows.

Jakou strategii by měla organizace přijmout, aby přesunula stávající zařízení hybrid Microsoft Entra Join na Microsoft Entra Join?

Strategie závisí na mnoha faktorech, z mnoha, které jsou specifické pro vaši organizaci.

Microsoft obecně doporučuje počkat na doplňující událost. Můžete například přejít na Microsoft Entra Join během aktualizace hardwaru, upgradu operačního systému nebo scénáře řešení potíží se zařízením, pokud existuje nová (nebo resetovací) instance Windows. Pomocí tohoto přístupu minimalizujete přerušení uživatelů a zjednodušíte proces převodu tak, aby Microsoft Entra Join. Mějte na paměti, že microsoft nepodporuje žádný proces ani cestu, jak převést stávající zařízení z funkce Hybrid Microsoft Entra Join na Microsoft Entra Join bez obnovení Windows do továrního nastavení.

Na Microsoft Entra zařízeních připojených k hybridním připojením musíte provést úplné vymazání zařízení, protože Obnovení továrního nastavení Windows Autopilot nepodporuje Microsoft Entra zařízení připojená k hybridnímu připojení.

Pokud chcete přejít na Microsoft Entra Join, můžete proaktivně resetovat stávající zařízení. Tento přístup může být pro uživatele více rušivý a vyžaduje větší plánování & testování. Tento přístup ale můžete použít, pokud máte několik zařízení nebo pokud máte silný obchodní případ, abyste přešli na Microsoft Entra Join.

Existuje blokování, které organizaci brání v přechodu na Microsoft Entra Join

Je možné, že existují překážky a výzvy mimo kontrolu Microsoftu, které můžou vaší organizaci zabránit v úplném přechodu na Microsoft Entra Join. Můžou také existovat neznámá blokování specifická pro vaši organizaci a její konfiguraci nebo očekávání. Tyto překážky můžou být technické nebo k nim může docházet z jiných netechnických důvodů.

Nezapomeňte, že přechod na Microsoft Entra Join není návrh na všechno nebo nic. Přesunutí zařízení do Microsoft Entra Join trvá určitou dobu, a to i s blokátory nebo inhibitory nebo bez ní.

Pokud identifikujete potenciální blokování, které vám brání v používání Microsoft Entra Join, určete rozsah, dopad a řešení. Pomoct vám může průvodce plánováním na vysoké úrovni pro přechod na koncové body nativní pro cloud .

Můžou koncové body Microsoft Entra Join a Hybrid Microsoft Entra Join existovat společně ve stejném prostředí?

Ano, Microsoft Entra koncové body Join a Hybrid Microsoft Entra Join můžou existovat společně ve stejném prostředí. Vzájemně se nevylučují.

Smíšené prostředí zvyšuje složitost, údržbu a náklady na podporu. Můžete ale používat funkci Hybrid Microsoft Entra Join, dokud se tyto koncové body nenahradí nebo resetují. Nezapomeňte, že hybrid Microsoft Entra Join by neměl být koncovým cílem vaší organizace pro stav koncového bodu Windows.

Můžou uživatelé v systémech Microsoft Entra Join přistupovat k místním prostředkům?

Ano, uživatelé v systémech Microsoft Entra Join mají přístup k místním prostředkům.

Microsoft Entra Koncové body připojení mají přístup k místním prostředkům a můžou používat jednotné přihlašování (SSO). Konkrétnější informace najdete v tématu Koncové body nativní pro cloud a místní prostředky.

Jaké stavy připojení zařízení můžou Intune spravovat?

Microsoft Intune, což je 100% cloudové řešení, může spravovat klientská zařízení s Windows Microsoft Entra Join nebo Hybrid Microsoft Entra Join. Intune obsahuje mnoho integrovaných funkcí a nastavení, které můžou spravovat nastavení, řídit funkce zařízení, pomáhat zabezpečit koncové body a další.

Některé z těchto funkcí najdete v průvodci plánováním na vysoké úrovni pro přechod na koncové body nativní pro cloud: Intune funkce, které byste měli znát. Co je Intune, je také dobrý zdroj.

Na koncových bodech služby Hybrid Microsoft Entra Join můžete k řízení nastavení zásad použít místní objekty zásad skupiny (GPO) nebo Intune. Je také možné použít kombinaci objektů zásad skupiny a Intune, ale tato kombinace zvyšuje režii a složitost správy. Pokud povolíte spolusprávu (Intune (cloud) + Configuration Manager (místní)), můžete použít některé Microsoft Entra funkce, jako je podmíněný přístup.

Některé pokyny najdete v tématu Průvodce nasazením: Nastavení nebo přechod na Microsoft Intune.

Jaké stavy připojení zařízení se vyžadují pro dodržování předpisů zařízením nebo podmíněný přístup?

Koncové body Hybrid Microsoft Entra Join i Microsoft Entra Join podporují zásady dodržování předpisů a podmíněný přístup, pokud je spravuje Intune nebo spoluspravuje Intune a Configuration Manager.

Existují pro připojení k hybridnímu Microsoft Entra nějaká omezení?

Ano, hybrid Microsoft Entra Join má určitá omezení.

Tato omezení jsou obecně stejná u místních zařízení připojených k doméně. Konkrétně koncové body služby Hybrid Microsoft Entra Join vyžadují, aby se místní řadič domény SLUŽBY AD při počátečním přihlášení a změně hesel zozorněl. Pokud je doména mimo provoz nebo je nedostupná, může být uživatelům zablokováno přihlašování ke svým koncovým bodům. Pokud vaše organizace přechází z místní domény, musíte také u svých zařízení přejít z funkce Hybrid Microsoft Entra Join.

Pokud používáte ověřování bez hesla, uživatelé potřebují přístup k internetu a přístup k řadičům domény. K ověření můžou koncové body hybrid Microsoft Entra Join používat protokoly Kerberos a NTLM.

Považuje se služba Hybrid Microsoft Entra Join za nativní pro cloud?

Ne, hybrid Microsoft Entra Join se nepovažuje za nativní pro cloud.

Cloudovým řešením je Microsoft Entra Připojit se ke koncovým bodům. Koncové body a jejich identity se vytvářejí a ukládají v Microsoft Entra. Intune spravuje koncové body pomocí nastavení a zásad. Tyto služby fungují s dalšími cloudovými službami, včetně Microsoftu 365, Microsoft Defender XDR a dalších.

Postupujte podle pokynů ke koncovým bodům nativním pro cloud.

  1. Přehled: Co jsou koncové body nativní pro cloud?
  2. Kurz: Začínáme s koncovými body Windows nativními pro cloud
  3. 🡺 Koncept: připojení Microsoft Entra vs. hybrid Microsoft Entra join (tady jste)
  4. Koncept: Koncové body nativní pro cloud a místní prostředky
  5. Průvodce plánováním na vysoké úrovni
  6. Známé problémy a důležité informace