Microsoft Entra im Vergleich zu hybrid eingebundenen Microsoft Entra in cloudnativen Endpunkten
Tipp
Wenn Sie über cloudnative Endpunkte lesen, werden die folgenden Begriffe angezeigt:
- Endpunkt: Ein Endpunkt ist ein Gerät, z. B. ein Mobiltelefon, ein Tablet, ein Laptop oder ein Desktopcomputer. „Endpunkte“ und „Geräte“ werden austauschbar verwendet.
- Verwaltete Endpunkte: Endpunkte, die Richtlinien von der Organisation mithilfe einer MDM-Lösung oder von Gruppenrichtlinienobjekten empfangen. Diese Geräte befinden sich in der Regel im Besitz der Organisation, können aber auch BYOD- oder persönliche Geräte sein.
- Cloudnative Endpunkte: Endpunkte, die mit Microsoft Entra verknüpft sind. Sie sind nicht mit dem lokalen AD verknüpft.
- Workload: Alle Programme, Dienste oder Prozesse.
Für viele wichtige und wertvolle Dienste, einschließlich bedingter Zugriff und einmaliges Anmelden von Microsoft Entra, müssen Endpunkte über eine Cloudidentität verfügen. Für Unternehmenseigene Windows-Endpunkte wird eine Cloudidentität erstellt, wenn das Gerät in Microsoft Entra oder Hybrid Microsoft Entra eingebunden ist.
Wenn Sie zu cloudnativen Endpunkten wechseln, müssen Sie die Unterschiede zwischen in Microsoft Entra eingebundenen und hybrid in Microsoft Entra eingebundenen Geräten verstehen:
In Microsoft Entra eingebunden: Geräte sind mit Microsoft Entra verknüpft. Sie sind nicht mit dem lokalen AD verbunden.
Genauere Informationen finden Sie unter In Microsoft Entra eingebundene Geräte (öffnet eine weitere Microsoft-Website).
Hybrid in Microsoft Entra eingebunden: Geräte werden in Microsoft Entra registriert und in eine lokale AD-Domäne eingebunden.
Genauere Informationen finden Sie unter Hybrid in Microsoft Entra eingebundene Geräte (öffnet eine weitere Microsoft-Website).
Diese Funktion gilt für:
- Cloud-native Windows Endpunkte
In diesem Artikel werden einige der Unterschiede zwischen in Microsoft Entra eingebundenen und hybriden, in Microsoft Entra eingebundenen Geräten beschrieben. Eine Übersicht über cloudnative Endpunkte und deren Vorteile finden Sie unter Was sind cloudnative Endpunkte.
In Microsoft Entra eingebunden
Wenn ein Endpunkt, z. B. ein Windows 10/11-Gerät, in Microsoft Entra eingebunden ist, wird eine Vertrauensstellung mit Microsoft Entra eingerichtet und verfügt über eine Identität (device-id
) in Microsoft Entra. Der Endpunkt wird von der Organisation verwaltet und kontrolliert.
Der Endpunkt ist mit Microsoft Entra verknüpft. Sie ist nicht mit einer lokalen AD-Domäne verbunden.
Um Windows-Endpunkte mit Microsoft Entra zu verbinden, haben Sie einige Optionen:
Verwenden Sie Windows Autopilot. Windows Autopilot führt Benutzer durch die Windows Out of Box Experience (OOBE). Wenn Benutzer ihr Geschäfts-, Schul- oder Unikonto eingeben, tritt der Endpunkt Microsoft Entra bei.
Alle bei Windows Autopilot registrierten Geräte werden automatisch als Geräte im Besitz der Organisation betrachtet. Windows Autopilot ist einer der am häufigsten angenommenen Ansätze, um Organisationsgeräte in Microsoft Entra zu integrieren und von der IT zu verwalten.
Verwenden Sie Windows Out of Box Experience (OOBE). Wenn Benutzer ihr Geschäfts-, Schul- oder Unikonto auf dem Gerät eingeben, tritt der Endpunkt automatisch Microsoft Entra bei.
Verwenden Sie die Einstellungs-App. Auf dem Gerät öffnen Endbenutzer die Einstellungs-App (Konten>Zugriff auf Geschäfts-, Schul- oder Unikonto>Verbinden), und verwenden ihr Geschäfts-, Schul- oder Unikonto.
Verwenden Sie ein Window Provisioning Package. Weitere Informationen finden Sie unter:
Organisation IT-Vorteile
- Mit Hilfe der Zugriffskontrolle können Sie den Zugriff auf Organisationsressourcen zulassen oder einschränken, die Ihren Anforderungen entsprechen bzw. nicht entsprechen.
- Einstellungen und Arbeitsdaten wandern durch unternehmenskonforme Clouds. Es werden keine persönlichen Microsoft-Konten, wie Hotmail, verwendet und können gesperrt werden.
- Mit Windows Hello for Business können Sie das Risiko des Diebstahls von Anmeldeinformationen verringern.
Vorteile für den Endbenutzer
Um Endbenutzer mit Microsoft Entra und dem Windows-Endpunkt zu authentifizieren, benötigen Benutzer ein Geschäfts-, Schul- oder Unikonto. Es werden keine persönlichen Konten verwendet.
Nutzen Sie Single Sign-On (SSO) für Microsoft 365 und SaaS-Anwendungen mit einer Internetverbindung.
Nutzen Sie den Komfort und die Sicherheit von Windows Hello for Business, um sich an ihrem Windows-Endpunkt zu unterschreiben.
Wenn sie sich mit Windows Hello for Business unterschreiben, verwenden Benutzer automatisch SSO für viele ihrer Online- und lokalen Anwendungen und Ressourcen.
Betriebssystemeinstellungen werden auf allen in Microsoft Entra eingebundenen Geräten übertragen.
Wichtig
Endbenutzer, die remote auf in Microsoft Entra eingebundenen Geräten arbeiten, benötigen kein VPN, um sich anzumelden, wenn zwischengespeicherte Anmeldeinformationen auf dem Gerät ablaufen. Auf in Microsoft Entra hybrid eingebundenen Geräten benötigen sie ein VPN, um sich anzumelden, wenn zwischengespeicherte Anmeldeinformationen ablaufen.
In Microsoft Entra eingebundene Ressourcen
- Was ist die Geräteidentität in Microsoft Entra?
- Was ist ein in Microsoft Entra eingebundenes Gerät?
- Funktionsweise der Microsoft Entra-Geräteregistrierung
- Planen der Microsoft Entra Join-Implementierung
- Dokumentation zu Windows Hello for Business - Windows-Sicherheit
Hybrid in Microsoft Entra eingebunden
Hybrid in Microsoft Entra eingebundene Geräte werden mit Ihrer lokalen AD-Domäne verknüpft und bei Microsoft Entra registriert. Für diese Geräte ist eine Netzwerkverbindung mit Ihren lokalen Domänencontrollern (DCs) für die erste Anmeldung und die Geräteverwaltung erforderlich.
Wenn die Geräte keine Verbindung mit dem DC herstellen können, können sich die Benutzer möglicherweise nicht unterschreiben und erhalten keine Richtlinienaktualisierungen.
Viele Organisationen mit vorhandenen in die Domäne eingebundenen Geräten wünschen sich die Vorteile und Features von Microsoft Entra und der Endpunktverwaltung. Wenn Ihre Geräte noch nicht vollständig cloudnativ sein können, können Sie diese vorhandenen Geräte bei Microsoft Entra registrieren. Wenn Sie vorhandene Geräte in Microsoft Entra registrieren, wird eine Geräteidentität erstellt, und Ihre Geräte sind hybrid in Microsoft Entra eingebunden. Sie gelten nicht als Cloud-native Endpunkte.
Wenn Ihre Organisation bereit ist und cloudnativ sein möchte, ist microsoft Entra (in diesem Artikel) die richtige Wahl. Vorhandene Geräte müssen zurückgesetzt werden. Ausführlichere Informationen und Anleitungen finden Sie im allgemeinen Planungshandbuch.
In Microsoft Entra hybrid eingebundene Ressourcen
Informationen zum Registrieren Ihrer vorhandenen in die Domäne eingebundenen Geräte bei Microsoft Entra finden Sie unter Konfigurieren der Microsoft Entra-Hybrideinbindung. Konfigurieren der Microsoft Entra-Hybrideinbindung enthält Informationen für verwaltete Domänen und Verbunddomänen.
Welche Option ist die richtige für Ihre Organisation?
Welche Option die richtige ist, hängt von Ihrer Umgebung, Ihren Endpunkten und den Zielen Ihrer Organisation ab. Berücksichtigen Sie bei dieser Entscheidung auch die Zukunft und die langfristigen Auswirkungen.
Betrachten Sie dazu die folgenden Szenarien:
Szenario | Microsoft Entra Join oder Hybrid Microsoft Entra Join |
---|---|
Sie stellen neue Windows-Endpunkte bereit | ✔️ Microsoft Entra Join Wenn Sie über neue, überarbeitete oder aktualisierte Windows-Geräte verfügen, die Sie bereitstellen und registrieren, wird die Microsoft Entra-Einbindung empfohlen. Windows 10/11 verfügt über moderne Funktionen, die in das Betriebssystem integriert sind, einschließlich moderner Verwaltung, moderner Authentifizierung und mehr. Microsoft Entra Join sollte die Standardoption für neue endpunkte und zurückgesetzte Endpunkte sein. ❌ Hybride Microsoft Entra-Einbindung Sie können Microsoft Entra Hybrid Join für neue Endpunkte verwenden, dies wird jedoch in der Regel nicht empfohlen. Wenn Sie mit Microsoft Entra Hybrid Join verknüpft sind, können Sie möglicherweise nicht die modernen Features verwenden, die in Windows 10/11 integriert sind. |
Sie verfügen über vorhandene, zuvor bereitgestellte Windows-Endpunkte, die hybrid in Microsoft Entra oder AD eingebunden sind. | ✔️ Hybride Microsoft Entra-Einbindung Wenn Sie über vorhandene Endpunkte verfügen, die mit einer lokalen AD-Domäne verknüpft sind (einschließlich hybrider Microsoft Entra-Einbindung), wird eine hybride Microsoft Entra-Einbindung empfohlen. Geräte erhalten eine Cloud-Identität und können Cloud-Dienste nutzen, die eine Cloud-Identität erfordern. Für Endbenutzer mit vorhandenen Endpunkten hat diese Option nur minimale Auswirkungen. ❌ Microsoft Entra Join Vorhandene Geräte, die mit einer lokalen AD-Domäne (einschließlich hybrider Microsoft Entra-Einbindung) verknüpft sind, müssen zurückgesetzt werden, um in Microsoft Entra eingebunden zu werden. Wenn sie nicht zurückgesetzt werden können, gibt es keinen unterstützten Microsoft-Pfad zu Microsoft Entra Join. |
Häufig gestellte Fragen, Antworten und Szenarien
In diesem Abschnitt werden häufig gestellte Fragen zu in Microsoft Entra eingebundenen und hybrid in Microsoft Entra eingebundenen Geräten beantwortet.
Sollte eine hybride Microsoft Entra-Einbindung ein langfristiger oder Endzielstatus für Geräte sein?
Nein, Hybrid Microsoft Entra Join sollte weder langfristig noch das Endziel einer Organisation sein.
Wenn Sie nicht eingeschränkt oder eingeschränkt sind (technische, politische oder regulatorische Gründe), sollte Ihre Organisation für Ihre Windows-Endpunkte auf Microsoft Entra umsteigen oder planen.
Welche Strategie sollte eine Organisation anwenden, um vorhandene Hybrid-Microsoft Entra Join-Geräte auf Microsoft Entra Join zu verschieben?
Die Strategie hängt von vielen Faktoren ab, von denen viele spezifisch für Ihre Organisation sind.
Im Allgemeinen empfiehlt Microsoft, auf ein ergänzendes Ereignis zu warten. Sie können beispielsweise während einer Hardwareaktualisierung, eines Betriebssystemupgrades oder einer Geräteproblembehandlung zu Microsoft Entra Join wechseln, wenn eine neue Instanz von Windows vorhanden ist (oder zurückgesetzt wird). Mit diesem Ansatz minimieren Sie Benutzerunterbrechungen und optimieren den Konvertierungsprozess in Microsoft Entra Join. Denken Sie daran, dass es keinen von Microsoft unterstützten Prozess oder Pfad gibt, um ein vorhandenes Gerät von Microsoft Entra Hybrid Join in Microsoft Entra Join ohne Windows-Reset zu konvertieren.
Auf hybrid eingebundenen Microsoft Entra-Geräten müssen Sie eine vollständige Gerätezurücksetzung durchführen, da windows Autopilot Reset keine hybrid eingebundenen Microsoft Entra-Geräte unterstützt.
Um zu Microsoft Entra Join zu wechseln, können Sie vorhandene Geräte proaktiv zurücksetzen. Dieser Ansatz kann für Benutzer störend sein und erfordert mehr Planung & Tests. Sie können diesen Ansatz jedoch verwenden, wenn Sie über einige wenige Geräte verfügen oder wenn Sie über ein starkes Geschäftsszenario verfügen, um zu Microsoft Entra Join zu wechseln.
Es gibt einen Blocker, der verhindert, dass meine Organisation zu Microsoft Entra Join wechselt.
Es ist möglich, dass es Hindernisse und Herausforderungen außerhalb der Kontrolle von Microsoft gibt, die Ihre Organisation daran hindern können, vollständig auf Microsoft Entra Join umzusteigen. Es kann auch unbekannte Blocker geben, die spezifisch für Ihre Organisation und deren Konfiguration oder Erwartungen sind. Diese Blocker können technisch sein oder aus anderen, nicht technischen Gründen auftreten.
Denken Sie daran, dass der Wechsel zu Microsoft Entra Join kein Alles oder Nichts ist. Das Verschieben von Geräten zu Microsoft Entra Join nimmt Zeit in Anspruch, auch mit oder ohne Blocker oder Inhibitoren.
Wenn Sie einen potenziellen Blocker identifizieren, der Sie an der Verwendung von Microsoft Entra Join hindert, bestimmen Sie den Umfang, die Auswirkungen und die Lösung. Der allgemeine Planungsleitfaden zum Umstieg auf cloudnative Endpunkte kann hilfreich sein.
Können Microsoft Entra Join- und Hybrid-Microsoft Entra Join-Endpunkte in derselben Umgebung gleichzeitig vorhanden sein?
Ja, Microsoft Entra Join- und Hybrid-Microsoft Entra Join-Endpunkte können in derselben Umgebung gleichzeitig vorhanden sein. Sie schließen sich nicht gegenseitig aus.
Eine gemischte Umgebung erhöht die Komplexität, Wartung und Supportkosten. Sie können jedoch Microsoft Entra Hybrid Join verwenden, bis diese Endpunkte ersetzt oder zurückgesetzt werden. Denken Sie daran, dass Hybrid Microsoft Entra Join nicht das Endziel Ihrer Organisation für den Windows-Endpunktstatus sein sollte.
Können Benutzer von Microsoft Entra Join-Systemen auf lokale Ressourcen zugreifen?
Ja, Benutzer auf Microsoft Entra Join-Systemen können auf lokale Ressourcen zugreifen.
Microsoft Entra Join-Endpunkte können auf lokale Ressourcen zugreifen und einmaliges Anmelden (Single Sign-On, SSO) verwenden. Spezifischere Informationen finden Sie unter Cloudnative Endpunkte und lokale Ressourcen.
Welche Gerätebeitrittszustände kann Intune verwalten?
Microsoft Intune, eine 100%-Cloudlösung, kann Windows-Clientgeräte verwalten, die Microsoft Entra Join oder Hybrid Microsoft Entra Join sind. Intune verfügt über zahlreiche integrierte Funktionen und Einstellungen, mit denen Sie Einstellungen verwalten, Gerätefunktionen steuern, Ihre Endpunkte schützen und vieles mehr.
Im allgemeinen Planungshandbuch zum Umstieg auf cloudnative Endpunkte: Intune-Features, die Sie kennen sollten, sind einige dieser Features aufgeführt. Was Intune ist, ist auch eine gute Ressource.
Auf Microsoft Entra Hybrid Join-Endpunkten können Sie lokale Gruppenrichtlinienobjekte (GPO) oder Intune verwenden, um Richtlinieneinstellungen zu steuern. Es ist auch möglich, eine Kombination aus GPO und Intune zu verwenden, aber diese Kombination erhöht den Verwaltungsaufwand und die Komplexität. Wenn Sie die Co-Verwaltung (Intune (Cloud) + Configuration Manager (lokal)) aktivieren, können Sie einige Microsoft Entra-Features wie den bedingten Zugriff verwenden.
Eine Anleitung finden Sie im Bereitstellungshandbuch: Setup oder Wechseln zu Microsoft Intune.
Welche Gerätebeitrittszustände sind für die Gerätekonformität und/oder den bedingten Zugriff erforderlich?
Sowohl Hybrid Microsoft Entra Join- als auch Microsoft Entra Join-Endpunkte unterstützen Konformitätsrichtlinien und bedingten Zugriff , wenn sie von Intune oder von Intune und Configuration Manager gemeinsam verwaltet werden.
Gibt es Einschränkungen für Microsoft Entra Hybrid Join?
Ja, es gibt Einschränkungen für Microsoft Entra Hybrid Join.
Diese Einschränkungen gelten im Allgemeinen für nur lokale Geräte, die in die Domäne eingebunden sind. Insbesondere erfordern Microsoft Entra Hybrid Join-Endpunkte eine Sichtverbindung zum lokalen AD-Domänencontroller für die erste Anmeldung und zum Ändern von Kennwörtern. Wenn die Domäne ausgefallen ist oder nicht verfügbar ist, kann die Anmeldung von Benutzern bei ihren Endpunkten blockiert werden. Wenn Ihre Organisation nicht mehr über eine lokale Domäne verfügt, müssen Sie auch von Hybrid Microsoft Entra Join für Ihre Geräte wechseln.
Wenn Sie die kennwortlose Authentifizierung verwenden, benötigen Benutzer Internetzugriff und eine Sichtverbindung zu den Domänencontrollern (Domänencontrollern). Für die Authentifizierung können Microsoft Entra Hybrid Join-Endpunkte Kerberos und NTLM verwenden.
Gilt Microsoft Entra Hybrid Join als cloudnativ?
Nein, Hybrid Microsoft Entra Join wird nicht als cloudnativ betrachtet.
Die Cloudlösung ist Microsoft Entra Join Für Ihre Endpunkte. Die Endpunkte und ihre Identitäten werden in Microsoft Entra erstellt und gespeichert. Intune verwaltet die Endpunkte mit Einstellungen und Richtlinien. Diese Dienste funktionieren mit anderen Clouddiensten, einschließlich Microsoft 365, Microsoft Defender XDR und mehr.
Befolgen Sie die Anleitung für Cloud-native Endpunkte
- Überblick: Was sind cloudnative Endpunkte?
- Tutorial: Erste Schritte mit cloudnativen Windows-Endpunkten
- 🡺 Konzept: Microsoft Entra eingebunden vs. Hybrid Microsoft Entra join (Sie sind hier)
- Konzept: Cloud-native Endpunkte und ortsgebundene Ressourcen
- Planungsleitfaden auf hohem Niveau
- Bekannte Probleme und wichtige Informationen