Microsoft Entra join vs. Hybrid Microsoft Entra join in cloud-native endpoints

Článek
06/01/2024

Tip

Při čtení o koncových bodech nativních pro cloud se zobrazí následující termíny:

Koncový bod: Koncový bod je zařízení, například mobilní telefon, tablet, přenosný počítač nebo stolní počítač. Koncové body a zařízení se používají zaměnitelně.
Spravované koncové body: Koncové body, které přijímají zásady od organizace pomocí řešení MDM nebo objektů zásad skupiny. Tato zařízení jsou obvykle vlastněná organizací, ale můžou to být také zařízení vlastními zařízeními nebo zařízení v osobním vlastnictví.
Koncové body nativní pro cloud: Koncové body, které jsou připojené k Microsoft Entra. Nejsou připojené k místní službě AD.
Úloha: Jakýkoli program, služba nebo proces.

Mnoho důležitých a cenných služeb, včetně podmíněného přístupu a jednotného přihlašování Microsoft Entra, vyžaduje, aby koncové body měly cloudovou identitu. U koncových bodů Windows vlastněných organizací se cloudová identita vytvoří, když je zařízení připojené k Microsoft Entra nebo hybridNě připojené k Microsoft Entra.

Při přechodu na koncové body nativní pro cloud potřebujete pochopit rozdíly mezi zařízeními připojenými k Microsoft Entra a hybridními zařízeními připojenými k Microsoft Entra:

Připojeno k Microsoft Entra: Zařízení jsou připojená k Microsoft Entra. Nejsou připojené k místní službě AD.

Podrobnější informace najdete v článku Zařízení připojená k Microsoft Entra (otevře jiný web Microsoftu).
Hybridní připojení Microsoft Entra: Zařízení jsou zaregistrovaná v Microsoft Entra a připojená k místní doméně AD.

Podrobnější informace najdete v článku Hybridní zařízení připojená k microsoftu Entra (otevře jiný web Microsoftu).

Tato funkce platí pro:

Koncové body Windows nativní pro cloud

Tento článek popisuje některé rozdíly mezi zařízeními připojenými k Microsoft Entra a hybridními zařízeními připojenými k Microsoft Entra. Přehled koncových bodů nativních pro cloud a jejich výhod najdete v tématu Co jsou koncové body nativní pro cloud.

Microsoft Entra join

Když je koncový bod, jako je zařízení s Windows 10/11, připojený k Microsoft Entra, naváže vztah důvěryhodnosti s Microsoft Entra a má identitu (device-id) v Microsoft Entra. Koncový bod spravuje a řídí organizace.

Koncový bod je připojený k Microsoft Entra. Není připojený k místní doméně AD.

Pokud chcete připojit koncové body Windows k Microsoft Entra, máte několik možností:

Použijte Windows Autopilot. Windows Autopilot provede uživatele prostředím počátečního nastavení počítače (OOBE) ve Windows. Když uživatelé zadají svůj pracovní nebo školní účet, koncový bod se připojí k Microsoft Entra.

Všechna zařízení zaregistrovaná ve Windows Autopilotu se automaticky považují za zařízení vlastněná organizací. Windows Autopilot je jedním z nejčastěji přijímaných přístupů k připojení zařízení organizace k Microsoft Entra a jejich správě itií.
Použití prostředí prvního spuštění počítače (OOBE) ve Windows Když uživatelé na zařízení zadají svůj pracovní nebo školní účet, koncový bod se automaticky připojí k Microsoft Entra.
Použijte aplikaci Nastavení. Na zařízení koncoví uživatelé otevřou aplikaci Nastavení (Přístupk pracovnímu nebo školnímu>připojeníúčtů>) a použijí svůj pracovní nebo školní účet.
Použijte balíček zřizování oken. Další informace najdete tady:
- Zřizovací balíčky pro Windows
- Hromadné připojení zařízení s Windows k Microsoft Entra a Microsoft Intune pomocí zřizovacího balíčku – Příspěvek blogu Microsoft Tech Community

Výhody IT pro organizaci

Pomocí podmíněného přístupu můžete povolit nebo omezit přístup k prostředkům organizace, které splňují nebo nesplňují vaše požadavky.
Nastavení a pracovní data se procházejí podnikovými cloudy. Nepoužívají se žádné osobní účty Microsoft, jako je Hotmail, a je možné je zablokovat.
Pomocí Windows Hello pro firmy můžete snížit riziko krádeže přihlašovacích údajů.

Výhody pro koncové uživatele

K ověřování koncových uživatelů pomocí Microsoft Entra a koncového bodu Windows potřebují uživatelé pracovní nebo školní účet. Nepoužívají se žádné osobní účty.
Získejte jednotné přihlašování (SSO) k Aplikacím Microsoft 365 a SaaS s připojením k internetu.
Využijte pohodlí a zabezpečení Windows Hello pro firmy k přihlášení ke koncovému bodu Windows.

Když se uživatelé přihlásí pomocí Windows Hello pro firmy, automaticky použijí jednotné přihlašování k mnoha online a místním aplikacím a prostředkům.
Nastavení operačního systému se přemístí na všech zařízeních připojených k Microsoft Entra.

Důležité

Koncoví uživatelé, kteří pracují vzdáleně na zařízeních připojených k Microsoft Entra, nepotřebují vpn k přihlášení, když na zařízení vyprší platnost přihlašovacích údajů uložených v mezipaměti. Na hybridních zařízeních připojených k Microsoft Entra potřebují síť VPN pro přihlášení, když vyprší platnost přihlašovacích údajů uložených v mezipaměti.

Prostředky připojené k Microsoft Entra

Hybrid Microsoft Entra join

Hybridní zařízení připojená k Microsoft Entra jsou připojená k vaší místní doméně AD a jsou zaregistrovaná u Microsoft Entra. Tato zařízení vyžadují , aby se vaše místní řadiče domény (DC) k počátečnímu přihlášení a správě zařízení chytly síťové dohledy.

Pokud se zařízení nemůžou připojit k řadiči domény, může být uživatelům znemožněno přihlášení a nemusí dostávat aktualizace zásad.

Mnoho organizací se stávajícími zařízeními připojenými k doméně chce výhody a funkce microsoft entra a správy koncových bodů. Pokud vaše zařízení ještě nemůžou být plně nativní pro cloud, můžete tato stávající zařízení zaregistrovat u Microsoft Entra. Když v Microsoft Entra zaregistrujete existující zařízení, vytvoří se identita zařízení a vaše zařízení budou připojená službou Microsoft Entra hybrid. Nepovažují se za koncové body nativní pro cloud.

Pokud je vaše organizace připravená a chce být nativní pro cloud, pak je microsoft Entra join (v tomto článku) správnou volbou. Existující zařízení je potřeba resetovat. Konkrétnější informace a pokyny najdete v průvodci plánováním na vysoké úrovni.

Hybridní prostředky připojené k Microsoft Entra

Informace o tom, jak zaregistrovat stávající zařízení připojená k doméně v Microsoft Entra, najdete v tématu Konfigurace hybridního připojení k Microsoft Entra. Konfigurace hybridního připojení Microsoft Entra join obsahuje informace pro spravované domény a federované domény.

Která možnost je pro vaši organizaci nejvhodnější

Správná možnost závisí na vašem prostředí, koncových bodech a cílech vaší organizace. Při rozhodování zvažte budoucí a dlouhodobý dopad.

Zvažte následující scénáře:

Scénář	Microsoft Entra join nebo Hybrid Microsoft Entra Join
Zřizujete nové koncové body Windows.	✔️ Microsoft Entra join Pokud máte nová, renovovaná nebo obnovená zařízení s Windows, která zřizujete a registrujete, doporučuje se připojení k Programu Microsoft Entra. Windows 10/11 obsahuje moderní funkce integrované v operačním systému, včetně moderní správy, moderního ověřování a dalších funkcí. Microsoft Entra Join by měl být vaší výchozí možností pro nové a resetování koncových bodů. ❌ Hybridní připojení k Microsoftu Entra Pro nové koncové body můžete použít funkci Hybrid Microsoft Entra Join, ale obvykle se to nedoporučuje. Když se připojíte pomocí funkce Hybrid Microsoft Entra Join, možná nebudete moct používat moderní funkce integrované ve Windows 10/11.
Máte existující a dříve zřízené koncové body Windows, které jsou připojené k hybridní službě Microsoft Entra nebo AD	✔️ Hybridní připojení k Microsoftu Entra Pokud máte existující koncové body, které jsou připojené k místní doméně AD (včetně hybridního připojení Microsoft Entra join), doporučuje se hybridní připojení k Microsoft Entra Join. Zařízení získají cloudovou identitu a můžou používat cloudové služby, které vyžadují cloudovou identitu. Pro koncové uživatele se stávajícími koncovými body má tato možnost minimální dopad. ❌ Microsoft Entra join Existující zařízení připojená k místní doméně AD (včetně hybridního připojení Microsoft Entra join) musí být resetovaná, aby se stala připojená k Microsoft Entra. Pokud je nejde resetovat, neexistuje žádná podporovaná cesta Microsoftu k připojení k Microsoft Entra.

Scénář

Microsoft Entra join nebo Hybrid Microsoft Entra Join

Zřizujete nové koncové body Windows.

✔️ Microsoft Entra join

Pokud máte nová, renovovaná nebo obnovená zařízení s Windows, která zřizujete a registrujete, doporučuje se připojení k Programu Microsoft Entra. Windows 10/11 obsahuje moderní funkce integrované v operačním systému, včetně moderní správy, moderního ověřování a dalších funkcí. Microsoft Entra Join by měl být vaší výchozí možností pro nové a resetování koncových bodů.

❌ Hybridní připojení k Microsoftu Entra

Pro nové koncové body můžete použít funkci Hybrid Microsoft Entra Join, ale obvykle se to nedoporučuje. Když se připojíte pomocí funkce Hybrid Microsoft Entra Join, možná nebudete moct používat moderní funkce integrované ve Windows 10/11.

Máte existující a dříve zřízené koncové body Windows, které jsou připojené k hybridní službě Microsoft Entra nebo AD

✔️ Hybridní připojení k Microsoftu Entra

Pokud máte existující koncové body, které jsou připojené k místní doméně AD (včetně hybridního připojení Microsoft Entra join), doporučuje se hybridní připojení k Microsoft Entra Join. Zařízení získají cloudovou identitu a můžou používat cloudové služby, které vyžadují cloudovou identitu. Pro koncové uživatele se stávajícími koncovými body má tato možnost minimální dopad.

❌ Microsoft Entra join

Existující zařízení připojená k místní doméně AD (včetně hybridního připojení Microsoft Entra join) musí být resetovaná, aby se stala připojená k Microsoft Entra. Pokud je nejde resetovat, neexistuje žádná podporovaná cesta Microsoftu k připojení k Microsoft Entra.

Běžné otázky, odpovědi a scénáře

Tato část odpovídá na běžné otázky týkající se zařízení připojených k Microsoft Entra připojených k microsoftu a hybridních zařízení připojených k Microsoft Entra.

Má být hybridní připojení k Microsoft Entra pro zařízení dlouhodobým nebo koncovým cílovým stavem?

Ne, hybrid Microsoft Entra Join by neměl být dlouhodobý ani koncový cíl pro žádnou organizaci.

Pokud nejste omezeni nebo omezeni (z technických, politických nebo regulačních důvodů), měla by se vaše organizace přesunout nebo naplánovat přechod na Microsoft Entra join pro vaše koncové body Windows.

Jakou strategii by měla organizace přijmout, aby přesunula stávající zařízení Hybrid Microsoft Entra Join na Microsoft Entra Join?

Strategie závisí na mnoha faktorech, z mnoha, které jsou specifické pro vaši organizaci.

Microsoft obecně doporučuje počkat na doplňující událost. Můžete například přejít na Microsoft Entra Join během aktualizace hardwaru, upgradu operačního systému nebo scénáře řešení potíží se zařízením, pokud existuje nová (nebo resetovací) instance Windows. Pomocí tohoto přístupu minimalizujete přerušení práce uživatelů a zjednodušíte proces převodu na Microsoft Entra Join. Mějte na paměti, že neexistuje žádný proces nebo cesta, které by microsoft podporoval převod existujícího zařízení z funkce Hybrid Microsoft Entra Join na Microsoft Entra Join bez resetování Windows.

Na zařízeních s hybridním připojením Microsoft Entra musíte provést úplné vymazání zařízení, protože windows Autopilot Reset nepodporuje hybridní zařízení připojená k Microsoft Entra.

Pokud chcete přejít na Microsoft Entra Join, můžete proaktivně resetovat stávající zařízení. Tento přístup může být pro uživatele více rušivý a vyžaduje větší plánování & testování. Tento přístup ale můžete použít, pokud máte několik zařízení nebo pokud máte silný obchodní případ, abyste přešli na Microsoft Entra Join.

Existuje blokování, které brání mé organizaci v přechodu na Microsoft Entra Join

Je možné, že existují překážky a výzvy mimo kontrolu Microsoftu, které mohou vaší organizaci zabránit v úplném přechodu na Microsoft Entra Join. Můžou také existovat neznámá blokování specifická pro vaši organizaci a její konfiguraci nebo očekávání. Tyto překážky můžou být technické nebo k nim může docházet z jiných netechnických důvodů.

Nezapomeňte, že přechod na Microsoft Entra Join není návrh na všechno nebo nic. Přesun zařízení do služby Microsoft Entra Join nějakou dobu trvá, a to i s blokátory nebo inhibitory nebo bez ní.

Pokud identifikujete potenciální blokování, které vám brání v používání služby Microsoft Entra Join, určete rozsah, dopad a řešení. Pomoct vám může průvodce plánováním na vysoké úrovni pro přechod na koncové body nativní pro cloud .

Můžou koncové body Microsoft Entra Join a Hybrid Microsoft Entra Join existovat společně ve stejném prostředí?

Ano, koncové body Microsoft Entra Join a Hybrid Microsoft Entra Join můžou existovat společně ve stejném prostředí. Vzájemně se nevylučují.

Smíšené prostředí zvyšuje složitost, údržbu a náklady na podporu. Můžete ale používat funkci Hybrid Microsoft Entra Join, dokud se tyto koncové body nenahradí nebo nenasadí. Nezapomeňte, že hybrid Microsoft Entra Join by neměl být koncovým cílem vaší organizace pro stav koncového bodu Windows.

Můžou uživatelé v systémech Microsoft Entra Join přistupovat k místním prostředkům?

Ano, uživatelé v systémech Microsoft Entra Join mají přístup k místním prostředkům.

Koncové body Microsoft Entra Join mají přístup k místním prostředkům a můžou používat jednotné přihlašování (SSO). Konkrétnější informace najdete v tématu Koncové body nativní pro cloud a místní prostředky.

Jaké stavy připojení zařízení může Intune spravovat?

Microsoft Intune, což je 100% cloudové řešení, může spravovat klientská zařízení s Windows, která jsou Microsoft Entra Join nebo Hybrid Microsoft Entra Join. Intune má mnoho integrovaných funkcí a nastavení, které můžou spravovat nastavení, řídit funkce zařízení, pomáhat zabezpečit koncové body a další.

Některé z těchto funkcí najdete v průvodci plánováním vysoké úrovně pro přechod na koncové body nativní pro cloud: Funkce Intune, které byste měli znát . Co je Intune , je také dobrým prostředkem.

Na koncových bodech hybrid Microsoft Entra Join můžete k řízení nastavení zásad použít místní objekty zásad skupiny (GPO) nebo Intune. Je také možné použít kombinaci objektů zásad skupiny a Intune, ale tato kombinace zvyšuje režii a složitost správy. Pokud povolíte spolusprávu (Intune (cloud) + Configuration Manager (místní)), můžete použít některé funkce Microsoft Entra, jako je podmíněný přístup.

Některé pokyny najdete v tématu Průvodce nasazením: Nastavení nebo přechod do Microsoft Intune.

Jaké stavy připojení zařízení se vyžadují pro dodržování předpisů zařízením nebo podmíněný přístup?

Koncové body Hybrid Microsoft Entra Join i Microsoft Entra Join podporují zásady dodržování předpisů a podmíněný přístup , pokud je spravuje Intune nebo spoluspravuje Intune a Configuration Manager.

Existují nějaká omezení pro hybridní připojení k Microsoft Entra Join?

Ano, hybrid Microsoft Entra Join má určitá omezení.

Tato omezení jsou obecně stejná u místních zařízení připojených k doméně. Konkrétně koncové body služby Hybrid Microsoft Entra Join vyžadují, aby se místní řadič domény AD při počátečním přihlášení a změně hesel zozorněl. Pokud je doména mimo provoz nebo je nedostupná, může být uživatelům zablokováno přihlašování ke svým koncovým bodům. Pokud se vaše organizace odkláněla od místní domény, musíte také u svých zařízení přejít z hybridního připojení Microsoft Entra Join.

Pokud používáte ověřování bez hesla, uživatelé potřebují přístup k internetu a přístup k řadičům domény. K ověření můžou koncové body hybrid Microsoft Entra Join používat protokoly Kerberos a NTLM.

Je funkce Hybrid Microsoft Entra Join považována za nativní pro cloud?

Ne, funkce Hybrid Microsoft Entra Join se nepovažuje za nativní pro cloud.

Cloudové řešení spočívá v tom, že se Microsoft Entra připojí k vašim koncovým bodům. Koncové body a jejich identity se vytvářejí a ukládají v Microsoft Entra. Intune spravuje koncové body pomocí nastavení a zásad. Tyto služby fungují s dalšími cloudovými službami, včetně Microsoft 365, Microsoft Defender XDR a dalších.

Postupujte podle pokynů ke koncovým bodům nativním pro cloud.

Přehled: Co jsou koncové body nativní pro cloud?
Kurz: Začínáme s koncovými body Windows nativními pro cloud
🡺 Koncept: Microsoft Entra join vs. Hybrid Microsoft Entra join (Jste tady)
Koncept: Koncové body nativní pro cloud a místní prostředky
Průvodce plánováním na vysoké úrovni
Známé problémy a důležité informace

Sdílet prostřednictvím