Planen Ihrer Microsoft Entra-Gerätebereitstellung
In diesem Artikel erfahren Sie, wie Sie die Methoden zur Integration Ihres Geräts in Microsoft Entra ID auswerten, den Implementierungsplan auswählen und wichtige Links zu den unterstützten Geräteverwaltungstools bereitstellen.
Die Bandbreite an Benutzergeräten wird beständig erweitert. Organisationen können Desktops, Laptops, Smartphones, Tablets und andere Geräte bereitstellen. Ihre Benutzer können ihre eigenen Arrays von Geräten einbringen und von unterschiedlichen Standorten aus auf Informationen zugreifen. In dieser Umgebung besteht Ihr Auftrag als Administrator darin, für die Sicherheit Ihrer Organisationsressourcen auf allen Geräten zu sorgen.
Microsoft Entra ID ermöglicht es Ihrer Organisation, mit der Geräteidentitätsverwaltung diese Ziele zu erreichen. Sie können Ihre Geräte jetzt in Microsoft Entra ID abrufen und zentral über das Microsoft Entra Admin Center steuern. Dies ermöglicht ein einheitliches Benutzererlebnis, verbessert die Sicherheit und verkürzt zudem die Zeit, die zum Konfigurieren eines neuen Geräts benötigt wird.
Es gibt verschiedene Methoden zur Integration Ihrer Geräte in Microsoft Entra ID, die je nach Betriebssystem und Ihren Anforderungen unabhängig voneinander oder zusammen arbeiten:
- Sie können können ihre Geräte mit Microsoft Entra ID registrieren.
- Verknüpfen Sie Geräte mit Microsoft Entra-ID (nur Cloud).
- Microsoft Entra Geräte hybrid mit Ihrer lokales Active Directory Domäne und Microsoft Entra ID verknüpfen.
Lernen
Bevor Sie beginnen, stellen Sie sicher, dass Sie mit der Übersicht über die Geräteidentitätsverwaltung vertraut sind.
Vorteile
Die wichtigsten Vorteile, wenn Sie Ihren Geräten eine Microsoft Entra Identität zuweisen:
Höhere Produktivität: Ermöglichen Sie Benutzern eine nahtlose Anmeldung (SSO) bei Ihren lokalen und Cloudressourcen, sodass sie unabhängig von ihrem Standort produktiv arbeiten können.
Mehr Sicherheit: Wenden Sie auf Ressourcen Richtlinien für den bedingten Zugriff an, die auf der Identität des Geräts oder Benutzers basieren. Das Einbinden eines Geräts in Microsoft Entra ID ist eine Voraussetzung, um Ihre Sicherheit mithilfe einer kennwortlosen Strategie zu erhöhen.
Verbesserte Benutzerfreundlichkeit: Bieten Sie Ihren Benutzern unkomplizierten Zugriff auf die cloudbasierten Ressourcen Ihres Unternehmens, sowohl über persönliche als auch über unternehmenseigene Geräte. Administratoren können Enterprise State Roaming für eine einheitliche Darstellung auf allen Windows-Geräten aktivieren.
Vereinfachte Bereitstellung und Verwaltung: Vereinfachen Sie das Bereitstellen von Geräten in Microsoft Entra ID mit Windows Autopilot, Massenbereitstellung oder über Self-Service: Windows-Willkommensseite. Verwalten Sie Geräte mit MDM-Tools (Mobile Device Management, Verwaltung mobiler Geräte) wie Microsoft Intune und ihre Identitäten im Microsoft Entra Admin Center.
Planen des Bereitstellungsprojekts
Berücksichtigen Sie die Anforderungen Ihrer Organisation, während Sie die Strategie für diese Bereitstellung in Ihrer Umgebung festlegen.
Einbeziehen der richtigen Beteiligten
Wenn Technologieprojekte scheitern, ist dies in der Regel auf unterschiedliche Erwartungen in Bezug auf Auswirkungen, Ergebnisse und Verantwortlichkeiten zurückzuführen. Um diese Fallstricke zu vermeiden, stellen Sie sicher, dass Sie die richtigen Beteiligten hinzuziehen und dass die Rollen der Beteiligten im Projekt gut verstanden werden.
Fügen Sie für diesen Plan die folgenden Projektbeteiligten zu Ihrer Liste hinzu:
| Role | BESCHREIBUNG |
|---|---|
| Geräteadministrator | Ein Vertreter des Geräteteams, der überprüfen kann, dass der Plan die Geräteanforderungen Ihrer Organisation erfüllt |
| Netzwerkadministrator | Ein Vertreter des Netzwerkteams, das sicherstellen kann, dass die Netzwerkanforderungen erfüllt sind |
| Geräteverwaltungsteam | Das Team, das das Geräteinventar verwaltet |
| Betriebssystemspezifische Administratorteams | Teams, die bestimmte Betriebssystemversionen unterstützen und verwalten. So kann es beispielsweise Teams mit Schwerpunkt Mac oder iOS geben. |
Planen der Benachrichtigungen
Kommunikation ist ein kritischer Faktor für den Erfolg jedes neuen Diensts. Kommunizieren Sie proaktiv mit Ihren Benutzern darüber, wie sich die Nutzung ändern wird, wann sie sich ändert und wie sie Unterstützung erhalten, wenn sie auf Probleme stoßen.
Planen eines Pilotprojekts
Es wird empfohlen, dass die anfängliche Konfiguration Ihrer Integrationsmethode in einer Testumgebung oder einer kleinen Gruppe von Testgeräten durchgeführt wird. Lesen Sie hierzu Bewährte Methoden für einen Pilotversuch.
Erfahren Sie, wie Sie eine gezielte Bereitstellung eines Microsoft Entra-Hybridbeitritts vornehmen, bevor Sie sie in der gesamten Organisation aktivieren.
Warnung
Organisationen sollten eine Auswahl von Benutzern mit unterschiedlichen Rollen und Profilen in diese Pilotgruppe aufnehmen. Mit einem gezielten Rollout können Sie Probleme identifizieren, die in Ihrem Plan möglicherweise nicht berücksichtigt wurden, bevor Sie eine Aktivierung in der gesamten Organisation durchführen.
Auswählen Ihrer Integrationsmethoden
Ihre Organisation kann mehrere Methoden zur Geräteintegration in einem einzelnen Microsoft Entra-Mandanten verwenden. Ziel ist es, die Methoden auszuwählen, die für die sichere Verwaltung Ihrer Geräte in Microsoft Entra ID geeignet sind. Es gibt viele Parameter, die diese Entscheidung steuern, einschließlich Besitz, Gerätetypen, primäre Zielgruppe und Infrastruktur Ihres Unternehmens.
Die folgenden Informationen können Ihnen bei der Entscheidung helfen, welche Integrationsmethoden Sie verwenden möchten.
Entscheidungsstruktur für die Geräteintegration
Verwenden Sie diese Struktur, um Optionen für Geräte zu bestimmen, die sich im Besitz der Organisation befinden.
Hinweis
In diesem Diagramm sind keine persönlichen oder Bring Your Own Device-Szenarien (BYOD) abgebildet. Sie führen immer zur Microsoft Entra Registrierung.
Vergleichsmatrix
iOS- und Android-Geräte können nur in Microsoft Entra registriert werden. In der folgenden Tabelle sind allgemeine Überlegungen zu Windows-Clientgeräten dargestellt. Verwenden Sie sie als Übersicht, und sehen Sie sich die verschiedenen Integrationsmethoden anschließend ausführlich an.
| Aspekt | Microsoft Entra-registriert | In Microsoft Entra eingebunden | Hybrid in Microsoft Entra eingebunden |
|---|---|---|---|
| Clientbetriebssysteme | |||
| Windows 11- oder Windows 10-Geräte |  |
|
|
| Kompatible Windows-Geräte (Windows 8.1 oder Windows 7) | |
||
| Linux Desktop – Ubuntu 20.04/22.04 | |
||
| Anmeldeoptionen | |||
| Lokale Anmeldeinformationen von Endbenutzern | |
||
| Kennwort | |
|
|
| Geräte-PIN | |
||
| Windows Hello | |
||
| Windows Hello for Business | |
|
|
| FIDO 2.0-Sicherheitsschlüssel | |
|
|
| Microsoft Authenticator-App (kennwortlos) | |
|
|
| Wichtige Funktionen | |||
| SSO für Cloudressourcen | |
|
|
| Einmaliges Anmelden bei lokalen Ressourcen | |
|
|
| Bedingter Zugriff (Markieren des Geräts als kompatibel erforderlich) (Muss von MDM verwaltet werden) |
|
|
|
| Bedingter Zugriff (Microsoft Entra hybrid eingebundenes Gerät erforderlich) |
|
||
| Self-Service-Kennwortzurücksetzung über den Windows-Anmeldebildschirm | |
|
|
| Windows Hello-PIN-Zurücksetzung | |
|
Microsoft Entra Registrierung
Registrierte Geräte werden häufig mit Microsoft Intune verwaltet. Geräte werden, je nach Betriebssystem, in Intune auf verschiedene Arten registriert.
In Microsoft Entra registrierte Geräte bieten Unterstützung für Bring Your Own Device (BYOD) und unternehmenseigene Geräte für das einmalige Anmelden in Cloudressourcen. Der Zugriff auf Ressourcen basiert auf den Microsoft Entra-Richtlinien für bedingten Zugriff, die auf das Gerät und den Benutzer angewandt werden.
Registrieren von Geräten
Registrierte Geräte werden häufig mit Microsoft Intune verwaltet. Geräte werden, je nach Betriebssystem, in Intune auf verschiedene Arten registriert.
BYOD und unternehmenseigene mobile Geräte werden von Benutzern registriert, die die Unternehmensportal-App installieren.
Wenn die Registrierung Ihrer Geräte die beste Option für Ihre Organisation ist, sehen Sie sich die folgenden Ressourcen an:
- Diese Übersicht von Bei Microsoft Entra registrierte Geräte.
- Die Dokumentation für Endbenutzer zum Registrieren Ihres persönlichen Geräts im Netzwerk Ihrer Organisation
Microsoft Entra-Beitritt
Die Microsoft Entra-Einbindung ermöglicht es Ihnen, mit Windows zu einem Cloud-First-Modell zu wechseln. Dies ist eine gute Grundlage, wenn Sie Ihre Geräteverwaltung modernisieren und gerätebezogene IT-Kosten senken möchten. Microsoft Entra Join funktioniert nur bei Geräten mit Windows 10 oder höher. Dies ist die erste Wahl für neue Geräte.
In Microsoft Entra eingebundene Geräte können SSO für lokale Ressourcen nutzen, wenn sie sich im Organisationsnetzwerk befinden, und können sich bei lokalen Servern wie Datei-, Druck- und anderen Anwendungen authentifizieren.
Wenn dies die beste Option für Ihre Organisation ist, sehen Sie sich die folgenden Ressourcen an:
- Diese Übersicht von In Microsoft Entra eingebundene Geräte.
- Machen Sie sich mit dem Implementierungsplan für Microsoft Entra Join vertraut.
Bereitstellung von in Microsoft Entra eingebundenen Geräten
Für den Microsoft Entra-Beitritt von Geräten stehen Ihnen die folgenden Möglichkeiten zur Verfügung:
- Self-Service: Eindruck beim ersten Ausführen von Windows 10
Wenn Windows 10 Professional oder Windows 10 Enterprise auf einem Gerät installiert ist, wird standardmäßig der Setupprozess für firmeneigene Geräte übernommen.
- Out of Box Experience (OOBE) von Windows oder über die Windows-Einstellungen
- Windows Autopilot
- Massenregistrierung
Wählen Sie das Bereitstellungsverfahren aus, nachdem Sie diese Vorgehensweisen sorgfältig verglichen haben.
Sie stellen möglicherweise fest, dass ein Microsoft Entra-Beitritt als hybrides Gerät die optimale Lösung für ein Gerät ist, das derzeit einen anderen Zustand aufweist. Die folgende Tabelle zeigt, wie Sie den Zustand eines Geräts ändern.
| Aktueller Gerätezustand | Gewünschter Gerätezustand | Vorgehensweise |
|---|---|---|
| Eingebundene lokale Domäne | In Microsoft Entra eingebunden | Trennen Sie das Gerät von der lokalen Domäne, bevor Sie es in Microsoft Entra ID einbinden. |
| Hybrid in Microsoft Entra eingebunden | In Microsoft Entra eingebunden | Heben Sie den Beitritt des Geräts aus der lokalen Domäne und von Microsoft Entra ID auf, bevor Sie Microsoft Entra ID beitreten. |
| Microsoft Entra-registriert | In Microsoft Entra eingebunden | Heben Sie die Registrierung des Geräts auf, bevor Sie Microsoft Entra ID beitreten. |
Microsoft Entra Hybrid Join
Wenn Sie über eine lokale Active Directory-Umgebung verfügen und Ihre in die Domäne eingebundenen Computer in Microsoft Entra ID einbinden möchten, können Sie hierfür Microsoft Entra Hybrid Join verwenden. Dies unterstützt eine breite Palette von Windows-Geräten, einschließlich aktueller und kompatibler Windows-Geräte.
Die meisten Organisationen verfügen bereits über in die Domäne eingebundene Geräte und verwalten sie über eine Gruppenrichtlinie oder System Center Configuration Manager (SCCM). In diesem Fall empfiehlt es sich, Microsoft Entra Hybrid Join zu konfigurieren, um von den Vorteilen zu profitieren und gleichzeitig bestehende Investitionen zu schützen.
Wenn Microsoft Entra Hybrid Join die beste Option für Ihre Organisation ist, sehen Sie sich die folgenden Ressourcen an:
- Diese Übersicht von In Microsoft Entra Hybrid eingebundene Geräte.
- Machen Sie sich mit dem Implementierungsplan für Microsoft Entra Hybrid Join vertraut.
Bereitstellen Microsoft Entra Hybrid Join auf Ihren Geräten
Überprüfen Sie Ihre Identitätsinfrastruktur. Microsoft Entra Connect bietet einen Assistenten für die Konfiguration der Microsoft Entra-Hybrideinbindung für:
Wenn das Installieren der erforderlichen Version von Microsoft Entra Connect keine Option für Sie ist, informieren Sie sich über die manuelle Konfiguration von Microsoft Entra Hybrid Join.
Hinweis
Das lokale in die Domäne eingebundene Gerät mit Windows 10 oder höher versucht, automatisch mit Microsoft Entra ID verbunden zu werden, damit es standardmäßig Microsoft Entra Hybrid eingebunden wird. Dies ist nur erfolgreich, wenn Sie die richtige Umgebung eingerichtet haben.
Sie stellen möglicherweise fest, dass ein Microsoft Entra-Beitritt als hybrides Gerät die optimale Lösung für ein Gerät ist, das derzeit einen anderen Zustand aufweist. Die folgende Tabelle zeigt, wie Sie den Zustand eines Geräts ändern.
| Aktueller Gerätezustand | Gewünschter Gerätezustand | Vorgehensweise |
|---|---|---|
| Eingebundene lokale Domäne | Hybrid in Microsoft Entra eingebunden | Verwenden Sie Microsoft Entra Connect oder AD FS, um Azure beizutreten. |
| Lokale Arbeitsgruppe (beigetreten oder neu) | Hybrid in Microsoft Entra eingebunden | Unterstützt mit Windows Autopilot Andernfalls muss das Gerät vor einem Microsoft Entra-Beitritt als hybrides Gerät in eine lokale Domäne eingebunden sein. |
| In Microsoft Entra eingebunden | Hybrid in Microsoft Entra eingebunden | Entfernen Sie die Einbindung in Microsoft Entra ID, was es in eine lokale Arbeitsgruppe oder in einen neuen Zustand versetzt. |
| Microsoft Entra-registriert | Hybrid in Microsoft Entra eingebunden | Hängt von der Windows-Version ab. Beachten Sie diese Überlegungen. |
Verwalten von Geräten
Nachdem Sie Ihre Geräte registriert oder in Microsoft Entra ID eingebunden haben, verwenden Sie das Microsoft Entra Admin Center zur zentralen Verwaltung Ihrer Geräteidentitäten. Auf der Seite Microsoft Entra Geräte können Sie Folgendes ausführen:
- Konfigurieren Sie Ihre Geräteeinstellungen.
- Sie müssen ein lokaler Administrator sein, um Windows-Geräte zu verwalten. Microsoft Entra ID aktualisiert diese Mitgliedschaft für in Microsoft Entra eingebundene Geräte und fügt automatisch Benutzer mit der Rolle „Geräte-Manager“ als Administratoren für alle eingebundenen Geräte hinzu.
Stellen Sie sicher, dass Sie die Umgebung bereinigen, indem Sie veraltete Geräte verwalten, und konzentrieren Sie sich auf Ihre Ressourcen zum Verwalten aktueller Geräte.
Unterstützte Geräteverwaltungstools
Administratoren können registrierte und eingebundene Geräte mit weiteren Tools für die Geräteverwaltung schützen und steuern. Diese Tools bieten Ihnen eine Möglichkeit zur Erzwingung der benötigten Konfigurationen, z. B. Verschlüsselung des Speichers, Kennwortkomplexität, Softwareinstallationen und Softwareupdates.
Überprüfen Sie die unterstützten und nicht unterstützten Plattformen für integrierte Geräte:
| Geräteverwaltungstools | Microsoft Entra-registriert | In Microsoft Entra eingebunden | Hybrid in Microsoft Entra eingebunden |
|---|---|---|---|
| Mobile Geräteverwaltung (MDM) Beispiel: Microsoft Intune |
|
|
|
| Co-Verwaltung mit Microsoft Intune und Microsoft Configuration Manager (Windows 10 oder höher) |
|
|
|
| Gruppenrichtlinie (nur Windows) |
|
Ziehen Sie die mobile Anwendungsverwaltung von Microsoft Intune mit oder ohne Geräteverwaltung für registrierte iOS- oder Android-Geräte in Erwägung.
Administratoren können auch VDI-Plattformen (Virtual Desktop Infrastructure) bereitstellen, die Windows-Betriebssysteme in ihren Unternehmen hosten, um die Verwaltung zu vereinfachen und die Kosten durch Konsolidierung und Zentralisierung von Ressourcen zu verringern.