Microsoft Entra przyłączone a Microsoft Entra hybrydowe przyłączone do punktów końcowych natywnych dla chmury

Artykuł
03/06/2024

Porada

Podczas czytania informacji o punktach końcowych natywnych dla chmury zobaczysz następujące terminy:

Punkt końcowy: punkt końcowy to urządzenie, takie jak telefon komórkowy, tablet, laptop lub komputer stacjonarny. "Punkty końcowe" i "urządzenia" są używane zamiennie.
Zarządzane punkty końcowe: punkty końcowe, które odbierają zasady od organizacji przy użyciu rozwiązania MDM lub obiektów zasady grupy. Te urządzenia są zazwyczaj własnością organizacji, ale mogą być również urządzeniami BYOD lub osobistymi.
Punkty końcowe natywne dla chmury: punkty końcowe, które są przyłączone do Azure AD. Nie są one przyłączone do lokalnej usługi AD.
Obciążenie: dowolny program, usługa lub proces.

Wiele krytycznych i cennych usług, w tym dostęp warunkowy i Microsoft Entra logowanie jednokrotne, wymaga, aby punkty końcowe miały tożsamość w chmurze. W przypadku punktów końcowych systemu Windows należących do organizacji tożsamość w chmurze jest tworzona, gdy urządzenie jest Microsoft Entra przyłączone lub Microsoft Entra hybrydowe.

Podczas przechodzenia do punktów końcowych natywnych dla chmury należy zrozumieć różnice między urządzeniami przyłączonymi do Microsoft Entra i przyłączonymi hybrydowo Microsoft Entra:

Microsoft Entra przyłączone: urządzenia są przyłączone do Microsoft Entra. Nie są one przyłączone do lokalnej usługi AD.

Aby uzyskać bardziej szczegółowe informacje, przejdź do Microsoft Entra dołączonych urządzeń (otwiera inną witrynę internetową firmy Microsoft).
Przyłączone Microsoft Entra hybrydowe: urządzenia są zarejestrowane w Microsoft Entra i przyłączone do lokalnej domeny usługi AD.

Aby uzyskać bardziej szczegółowe informacje, przejdź do obszaru Urządzenia przyłączone Microsoft Entra hybrydowe (otwiera inną witrynę internetową firmy Microsoft).

Ta funkcja ma zastosowanie do:

Punkty końcowe natywne dla chmury systemu Windows

W tym artykule opisano niektóre różnice między urządzeniami przyłączonymi do Microsoft Entra i urządzeniami przyłączonymi do hybrydowej Microsoft Entra. Aby zapoznać się z omówieniem punktów końcowych natywnych dla chmury i ich korzyści, przejdź do tematu Co to są punkty końcowe natywne dla chmury.

Microsoft Entra przyłączone

Gdy punkt końcowy, taki jak urządzenie Windows 10/11, jest Microsoft Entra przyłączony, ustanawia relację zaufania z Microsoft Entra i ma tożsamość (device-id) w Microsoft Entra. Punkt końcowy jest zarządzany i kontrolowany przez organizację.

Punkt końcowy jest przyłączony do Microsoft Entra. Nie jest przyłączona do lokalnej domeny usługi AD.

Aby dołączyć punkty końcowe systemu Windows do Microsoft Entra, masz kilka opcji:

Użyj rozwiązania Windows Autopilot. Rozwiązanie Windows Autopilot prowadzi użytkowników przez środowisko Windows Out of Box Experience (OOBE). Gdy użytkownicy wprowadzają swoje konto służbowe, punkt końcowy dołącza do Microsoft Entra.

Wszystkie urządzenia zarejestrowane przy użyciu rozwiązania Windows Autopilot są automatycznie uznawane za urządzenia należące do organizacji. Rozwiązanie Windows Autopilot to jedno z najbardziej przyjętych metod łączenia urządzeń organizacji z Microsoft Entra i zarządzania nimi przez it.
Użyj środowiska Windows Out of Box Experience (OOBE). Gdy użytkownicy wprowadzają swoje konto służbowe na urządzeniu, punkt końcowy automatycznie dołącza do Microsoft Entra.
Użyj aplikacji Ustawienia. Na urządzeniu użytkownicy końcowi otwierają aplikację Ustawienia (Konta>uzyskują dostęp do połączenia służbowego)> i korzystają ze swojego konta służbowego.
Użyj pakietu aprowizowania okien. Aby uzyskać więcej informacji, zobacz:
- Aprowizowanie pakietów dla systemu Windows
- Zbiorcze dołączanie urządzenia z systemem Windows do Microsoft Entra i Microsoft Intune przy użyciu pakietu aprowizacji — wpis w blogu Microsoft Tech Community

Korzyści it organizacji

Korzystając z dostępu warunkowego, możesz zezwolić lub ograniczyć dostęp do zasobów organizacji, które spełniają lub nie spełniają twoich wymagań.
Ustawienia i dane służbowe przechodzą przez chmury zgodne z przedsiębiorstwem. Żadne osobiste konta Microsoft, takie jak Hotmail, nie są używane i mogą być blokowane.
Za pomocą Windows Hello dla firm można zmniejszyć ryzyko kradzieży poświadczeń.

Korzyści dla użytkowników końcowych

Aby uwierzytelnić użytkowników końcowych przy użyciu Microsoft Entra i punktu końcowego systemu Windows, użytkownicy potrzebują konta służbowego. Nie są używane żadne konta osobiste.
Uzyskaj logowanie jednokrotne do aplikacji platformy Microsoft 365 i SaaS przy użyciu połączenia internetowego.
Użyj wygody i zabezpieczeń Windows Hello dla firm, aby zalogować się do punktu końcowego systemu Windows.

Gdy logują się przy użyciu Windows Hello dla firm, użytkownicy automatycznie używają logowania jednokrotnego do wielu aplikacji i zasobów online oraz lokalnych.
Ustawienia systemu operacyjnego wędrują po wszystkich urządzeniach przyłączonych do Microsoft Entra.

Ważna

Użytkownicy końcowi pracujący zdalnie na urządzeniach przyłączonych do Microsoft Entra nie potrzebują sieci VPN do logowania się, gdy poświadczenia w pamięci podręcznej wygasną na urządzeniu. Na urządzeniach przyłączonych do hybrydowej Microsoft Entra muszą oni zalogować się za pomocą sieci VPN po wygaśnięciu poświadczeń w pamięci podręcznej.

Microsoft Entra dołączone zasoby

Przyłączone hybrydowo Microsoft Entra

Urządzenia przyłączone Microsoft Entra hybrydowe są przyłączone do lokalnej domeny usługi AD i są zarejestrowane w Microsoft Entra. Urządzenia te wymagają sieciowego połączenia sieciowego z lokalnymi kontrolerami domeny (DC) na potrzeby początkowego logowania i zarządzania urządzeniami.

Jeśli urządzenia nie mogą nawiązać połączenia z kontrolerem domeny, użytkownicy mogą nie być zalogowani i mogą nie otrzymywać aktualizacji zasad.

Wiele organizacji z istniejącymi urządzeniami przyłączonymi do domeny ma korzyści i funkcje Microsoft Entra i zarządzania punktami końcowymi. Jeśli urządzenia nie mogą być jeszcze w pełni natywne dla chmury, możesz zarejestrować istniejące urządzenia w Microsoft Entra. Podczas rejestrowania istniejących urządzeń w Microsoft Entra tworzona jest tożsamość urządzenia, a urządzenia są przyłączone hybrydowo Microsoft Entra. Nie są one uważane za punkty końcowe natywne dla chmury.

Jeśli Twoja organizacja jest gotowa i chce być natywna dla chmury, Microsoft Entra przyłączone (w tym artykule) jest właściwym wyborem. Istniejące urządzenia muszą zostać zresetowane. Aby uzyskać bardziej szczegółowe informacje i wskazówki, przejdź do przewodnika planowania wysokiego poziomu.

Zasoby przyłączone do Microsoft Entra hybrydowej

Aby uzyskać informacje na temat rejestrowania istniejących urządzeń przyłączonych do domeny w celu Microsoft Entra, przejdź do tematu Konfigurowanie przyłączania hybrydowego Microsoft Entra. Konfigurowanie przyłączania hybrydowego Microsoft Entra obejmuje informacje dotyczące domen zarządzanych i domen federacyjnych.

Która opcja jest odpowiednia dla Twojej organizacji

Właściwa opcja zależy od środowiska, punktów końcowych i celów organizacji. Podejmując tę decyzję, należy wziąć pod uwagę przyszły i długoterminowy wpływ.

Rozważ następujące scenariusze:

Scenariusz	przyłączanie Microsoft Entra lub przyłączanie hybrydowe do Microsoft Entra
Aprowizujesz nowe punkty końcowe systemu Windows	✔️ Microsoft Entra sprzężenia Jeśli masz nowe, odnowione lub odświeżone urządzenia z systemem Windows, które aprowizujesz i rejestrujesz, zaleca się dołączenie Microsoft Entra. Windows 10/11 ma nowoczesne funkcje wbudowane w system operacyjny, w tym nowoczesne zarządzanie, nowoczesne uwierzytelnianie i nie tylko. Microsoft Entra Dołączenie powinno być domyślną opcją dla nowych punktów końcowych i resetowania. ❌Przyłączanie Microsoft Entra hybrydowe Dla nowych punktów końcowych można użyć funkcji Dołączanie hybrydowe Microsoft Entra, ale zwykle nie jest to zalecane. Po dołączeniu przy użyciu funkcji Dołączanie hybrydowe Microsoft Entra możesz nie korzystać z nowoczesnych funkcji wbudowanych w Windows 10/11.
Masz istniejące, wcześniej aprowizowane punkty końcowe systemu Windows, które są przyłączone hybrydowo Microsoft Entra lub AD	✔️ Przyłączanie hybrydowe do Microsoft Entra Jeśli masz istniejące punkty końcowe, które są przyłączone do lokalnej domeny usługi AD (w tym przyłączone Microsoft Entra hybrydowe), zalecane jest dołączenie hybrydowe Microsoft Entra. Urządzenia uzyskują tożsamość w chmurze i mogą korzystać z usług w chmurze, które wymagają tożsamości w chmurze. W przypadku użytkowników końcowych z istniejącymi punktami końcowymi ta opcja ma minimalny wpływ. ❌Microsoft Entra sprzężenia Istniejące urządzenia przyłączone do lokalnej domeny usługi AD (w tym przyłączone Microsoft Entra hybrydowe) muszą zostać zresetowane, aby Microsoft Entra zostały przyłączone. Jeśli nie można ich zresetować, nie ma obsługiwanej ścieżki firmy Microsoft, aby Microsoft Entra do nich dołączyć.

Scenariusz

przyłączanie Microsoft Entra lub przyłączanie hybrydowe do Microsoft Entra

Aprowizujesz nowe punkty końcowe systemu Windows

✔️ Microsoft Entra sprzężenia

Jeśli masz nowe, odnowione lub odświeżone urządzenia z systemem Windows, które aprowizujesz i rejestrujesz, zaleca się dołączenie Microsoft Entra. Windows 10/11 ma nowoczesne funkcje wbudowane w system operacyjny, w tym nowoczesne zarządzanie, nowoczesne uwierzytelnianie i nie tylko. Microsoft Entra Dołączenie powinno być domyślną opcją dla nowych punktów końcowych i resetowania.

❌Przyłączanie Microsoft Entra hybrydowe

Dla nowych punktów końcowych można użyć funkcji Dołączanie hybrydowe Microsoft Entra, ale zwykle nie jest to zalecane. Po dołączeniu przy użyciu funkcji Dołączanie hybrydowe Microsoft Entra możesz nie korzystać z nowoczesnych funkcji wbudowanych w Windows 10/11.

Masz istniejące, wcześniej aprowizowane punkty końcowe systemu Windows, które są przyłączone hybrydowo Microsoft Entra lub AD

✔️ Przyłączanie hybrydowe do Microsoft Entra

Jeśli masz istniejące punkty końcowe, które są przyłączone do lokalnej domeny usługi AD (w tym przyłączone Microsoft Entra hybrydowe), zalecane jest dołączenie hybrydowe Microsoft Entra. Urządzenia uzyskują tożsamość w chmurze i mogą korzystać z usług w chmurze, które wymagają tożsamości w chmurze. W przypadku użytkowników końcowych z istniejącymi punktami końcowymi ta opcja ma minimalny wpływ.

❌Microsoft Entra sprzężenia

Istniejące urządzenia przyłączone do lokalnej domeny usługi AD (w tym przyłączone Microsoft Entra hybrydowe) muszą zostać zresetowane, aby Microsoft Entra zostały przyłączone. Jeśli nie można ich zresetować, nie ma obsługiwanej ścieżki firmy Microsoft, aby Microsoft Entra do nich dołączyć.

Typowe pytania, odpowiedzi i scenariusze

W tej sekcji znajdziesz odpowiedzi na często zadawane pytania dotyczące urządzeń przyłączonych do Microsoft Entra i urządzeń przyłączonych hybrydowo Microsoft Entra.

Czy przyłączanie hybrydowe Microsoft Entra powinno być długoterminowym lub końcowym stanem celu dla urządzeń?

Nie, dołączanie hybrydowe Microsoft Entra nie powinno być długoterminowe ani celem końcowym dla żadnej organizacji.

Jeśli nie masz ograniczeń lub ograniczeń (ze względów technicznych, politycznych lub regulacyjnych), organizacja powinna przenosić się lub planować przejście do Microsoft Entra przyłączonych do punktów końcowych systemu Windows.

Jaka strategia powinna zostać przyjęta przez organizację w celu przeniesienia istniejących urządzeń hybrydowych Microsoft Entra Join do Microsoft Entra Join?

Strategia zależy od wielu czynników, z których wiele jest specyficznych dla Twojej organizacji.

Ogólnie rzecz biorąc, firma Microsoft zaleca oczekiwanie na zdarzenie uzupełniające. Możesz na przykład przejść do Microsoft Entra Join podczas odświeżania sprzętu, uaktualniania systemu operacyjnego lub rozwiązywania problemów z urządzeniem, gdy istnieje nowe (lub zresetowane) wystąpienie systemu Windows. Dzięki temu podejściu można zminimalizować zakłócenia działania użytkowników i usprawnić proces konwersji w celu Microsoft Entra Join. Pamiętaj, że nie ma obsługiwanego przez firmę Microsoft procesu ani ścieżki do konwertowania istniejącego urządzenia z hybrydowego Microsoft Entra Join na Microsoft Entra Join bez resetowania systemu Windows.

Na Microsoft Entra urządzeniach przyłączonych hybrydowo należy przeprowadzić pełne czyszczenie urządzenia, ponieważ funkcja resetowania rozwiązania Windows Autopilot nie obsługuje Microsoft Entra urządzeń przyłączonych hybrydowo.

Aby przejść do Microsoft Entra Join, możesz proaktywnie zresetować istniejące urządzenia. Takie podejście może być bardziej destrukcyjne dla użytkowników i wymaga bardziej planowania & testowania. Można jednak użyć tego podejścia, jeśli masz kilka urządzeń lub jeśli masz silne uzasadnienie biznesowe, aby przejść do Microsoft Entra Join.

Istnieje blokada, która uniemożliwia mojej organizacji przejście do Microsoft Entra Join

Istnieje możliwość, że istnieją przeszkody i wyzwania poza kontrolą firmy Microsoft, które mogą uniemożliwić twojej organizacji pełne przejście do Microsoft Entra Join. Mogą istnieć również nieznane blokady specyficzne dla organizacji i jej konfiguracji lub oczekiwań. Te blokady mogą być techniczne lub zdarzyć się z innych, nietechnicznych powodów.

Pamiętaj, że przejście do Microsoft Entra Join to nie wszystko lub nic. Przenoszenie urządzeń do Microsoft Entra Join wymaga czasu, nawet z blokerami lub bez inhibitorów.

Jeśli zidentyfikujesz potencjalny bloker, który uniemożliwia korzystanie z Microsoft Entra Join, określ zakres, wpływ i rozwiązanie. Przewodnik planowania wysokiego poziomu umożliwiający przejście do punktów końcowych natywnych dla chmury może pomóc.

Czy punkty końcowe sprzężenia Microsoft Entra i przyłączania hybrydowego Microsoft Entra współistnieją w tym samym środowisku?

Tak, punkty końcowe Microsoft Entra Join i Hybrid Microsoft Entra Join mogą współistnieć w tym samym środowisku. Nie wykluczają się wzajemnie.

Posiadanie środowiska mieszanego zwiększa złożoność, konserwację i koszty pomocy technicznej. Można jednak użyć funkcji Dołączanie hybrydowe Microsoft Entra, dopóki te punkty końcowe nie zostaną zamienione lub zresetowane. Pamiętaj, że przyłączanie hybrydowe Microsoft Entra nie powinno być celem końcowym organizacji dla stanu punktu końcowego systemu Windows.

Czy użytkownicy w systemach Microsoft Entra Join mogą uzyskiwać dostęp do zasobów lokalnych?

Tak, użytkownicy systemów Microsoft Entra Join mogą uzyskiwać dostęp do zasobów lokalnych.

Microsoft Entra Punkty końcowe join mogą uzyskiwać dostęp do zasobów lokalnych i mogą korzystać z logowania jednokrotnego. Aby uzyskać bardziej szczegółowe informacje, przejdź do obszaru Punkty końcowe natywne dla chmury i zasoby lokalne.

Jakimi stanami sprzężenia urządzenia można zarządzać Intune?

Microsoft Intune, które jest w 100% rozwiązaniem w chmurze, może zarządzać urządzeniami klienckimi z systemem Windows, które są Microsoft Entra Join lub Hybrid Microsoft Entra Join. Intune ma wiele wbudowanych funkcji i ustawień, które mogą zarządzać ustawieniami, kontrolować funkcje urządzeń, zabezpieczać punkty końcowe i nie tylko.

Przewodnik planowania wysokiego poziomu umożliwiający przejście do punktów końcowych natywnych dla chmury: Intune funkcji, które należy znać, zawiera listę niektórych z tych funkcji. To, co jest Intune, jest również dobrym zasobem.

W przypadku punktów końcowych przyłączania hybrydowego Microsoft Entra do kontrolowania ustawień zasad można używać obiektów zasad grupy lokalnej (GPO) lub Intune. Istnieje również możliwość użycia kombinacji obiektów zasad grupy i Intune, ale ta kombinacja zwiększa obciążenie administracyjne i złożoność. Jeśli włączysz współzarządzanie (Intune (chmura) + Configuration Manager (lokalnie),możesz użyć niektórych funkcji Microsoft Entra, takich jak dostęp warunkowy.

Aby uzyskać wskazówki, przejdź do przewodnika wdrażania: Konfigurowanie lub przechodzenie do Microsoft Intune.

Jakie stany sprzężenia urządzenia są wymagane do zapewnienia zgodności urządzeń i/lub dostępu warunkowego?

Zarówno punkty końcowe przyłączania hybrydowego Microsoft Entra, jak i przyłączania Microsoft Entra obsługują zasady zgodności i dostęp warunkowy, gdy są zarządzane przez Intune lub współzarządzane przez Intune i Configuration Manager.

Czy istnieją ograniczenia dotyczące dołączania Microsoft Entra hybrydowego?

Tak, istnieją ograniczenia dotyczące dołączania Microsoft Entra hybrydowego.

Te ograniczenia są zazwyczaj takie same w przypadku urządzeń przyłączonych tylko do domeny lokalnej. W szczególności punkty końcowe przyłączania hybrydowego Microsoft Entra wymagają połączenia z lokalnym kontrolerem domeny usługi AD w celu początkowego logowania i zmiany haseł. Jeśli domena jest wyłączona lub jest niedostępna, użytkownicy mogą mieć zablokowaną możliwość logowania się do punktów końcowych. Jeśli Twoja organizacja odchodzi od posiadania domeny lokalnej, musisz również odejść od dołączania hybrydowego Microsoft Entra dla urządzeń.

Jeśli używasz uwierzytelniania bez hasła, użytkownicy muszą mieć dostęp do Internetu i bezpośredni dostęp do kontrolerów domeny (DCs). Aby się uwierzytelnić, punkty końcowe przyłączania hybrydowego Microsoft Entra mogą używać protokołu kerberos i NTLM.

Czy dołączenie hybrydowe Microsoft Entra jest uznawane za natywne dla chmury?

Nie, dołączanie Microsoft Entra hybrydowe nie jest uznawane za natywne dla chmury.

Rozwiązaniem w chmurze jest Microsoft Entra Dołączanie punktów końcowych. Punkty końcowe i ich tożsamości są tworzone i przechowywane w Microsoft Entra. Intune zarządza punktami końcowymi przy użyciu ustawień i zasad. Te usługi współpracują z innymi usługami w chmurze, w tym z platformą Microsoft 365, Microsoft Defender XDR i nie tylko.

Postępuj zgodnie ze wskazówkami dotyczącymi punktów końcowych natywnych dla chmury

Omówienie: Co to są punkty końcowe natywne dla chmury?
Samouczek: rozpoczynanie pracy z punktami końcowymi systemu Windows natywnymi dla chmury
🡺 Koncepcja: Microsoft Entra przyłączone a przyłączone hybrydowo Microsoft Entra (jesteś tutaj)
Koncepcja: punkty końcowe natywne dla chmury i zasoby lokalne
Przewodnik planowania wysokiego poziomu
Znane problemy i ważne informacje