Microsoft Entra im Vergleich zu hybriden Microsoft Entra, die in cloudnative Endpunkte eingebunden sind

  • Artikel

Tipp

Beim Lesen von cloudnativen Endpunkten werden Ihnen die folgenden Begriffe angezeigt:

  • Endpunkt: Ein Endpunkt ist ein Gerät, z. B. ein Mobiltelefon, ein Tablet, ein Laptop oder ein Desktopcomputer. „Endpunkte“ und „Geräte“ werden austauschbar verwendet.
  • Verwaltete Endpunkte: Endpunkte, die Richtlinien von der Organisation mithilfe einer MDM-Lösung oder von Gruppenrichtlinienobjekten empfangen. Diese Geräte befinden sich in der Regel im Besitz der Organisation, können aber auch BYOD- oder persönliche Geräte sein.
  • Cloudnative Endpunkte: Endpunkte, die mit Azure AD verknüpft sind. Sie sind nicht mit dem lokalen AD verknüpft.
  • Workload: Alle Programme, Dienste oder Prozesse.

Für viele wichtige und wertvolle Dienste, einschließlich bedingter Zugriff und Microsoft Entra einmaliges Anmelden, müssen Endpunkte über eine Cloudidentität verfügen. Bei organization eigenen Windows-Endpunkten wird eine Cloudidentität erstellt, wenn das Gerät Microsoft Entra oder hybrid Microsoft Entra eingebunden ist.

Wenn Sie zu cloudnativen Endpunkten wechseln, müssen Sie die Unterschiede zwischen Microsoft Entra und hybriden Microsoft Entra eingebundenen Geräten verstehen:

  • Microsoft Entra eingebunden: Geräte werden mit Microsoft Entra verknüpft. Sie sind nicht mit dem lokalen AD verbunden.

    Genauere Informationen finden Sie unter Microsoft Entra eingebundenen Geräte (öffnet eine weitere Microsoft-Website).

  • Hybride Microsoft Entra eingebunden: Geräte werden in Microsoft Entra registriert und mit einer lokalen AD-Domäne verknüpft.

    Ausführlichere Informationen finden Sie unter Hybrid Microsoft Entra eingebundene Geräte (öffnet eine weitere Microsoft-Website).

Diese Funktion gilt für:

  • Cloud-native Windows Endpunkte

In diesem Artikel werden einige der Unterschiede zwischen Microsoft Entra und hybriden Microsoft Entra eingebundenen Geräten beschrieben. Eine Übersicht über cloudnative Endpunkte und deren Vorteile finden Sie unter Was sind cloudnative Endpunkte.

Microsoft Entra eingebunden

Wenn ein Endpunkt, z. B. ein Windows 10/11-Gerät, Microsoft Entra verknüpft ist, wird eine Vertrauensstellung mit Microsoft Entra eingerichtet und verfügt über eine Identität (device-id) in Microsoft Entra. Der Endpunkt wird von der Organisation verwaltet und kontrolliert.

Der Endpunkt ist mit Microsoft Entra verknüpft. Sie ist nicht mit einer lokalen AD-Domäne verbunden.

Um Windows-Endpunkte mit Microsoft Entra zu verbinden, haben Sie einige Optionen:

  • Verwenden Sie Windows Autopilot. Windows Autopilot führt Benutzer durch die Windows Out of Box Experience (OOBE). Wenn Benutzer ihr Geschäfts-, Schul- oder Unikonto eingeben, wird der Endpunkt Microsoft Entra hinzugefügt.

    Alle bei Windows Autopilot registrierten Geräte werden automatisch als Geräte im Besitz der Organisation betrachtet. Windows Autopilot ist einer der am häufigsten angenommenen Ansätze, um organization Geräte in Microsoft Entra zu integrieren und von der IT zu verwalten.

  • Verwenden Sie Windows Out of Box Experience (OOBE). Wenn Benutzer ihr Geschäfts-, Schul- oder Unikonto auf dem Gerät eingeben, wird der Endpunkt automatisch Microsoft Entra.

  • Verwenden Sie die Einstellungs-App. Auf dem Gerät öffnen Endbenutzer die Einstellungs-App (Konten>Zugriff auf Geschäfts-, Schul- oder Unikonto>Verbinden), und verwenden ihr Geschäfts-, Schul- oder Unikonto.

  • Verwenden Sie ein Window Provisioning Package. Weitere Informationen finden Sie unter:

Organisation IT-Vorteile

  • Mit Hilfe der Zugriffskontrolle können Sie den Zugriff auf Organisationsressourcen zulassen oder einschränken, die Ihren Anforderungen entsprechen bzw. nicht entsprechen.
  • Einstellungen und Arbeitsdaten wandern durch unternehmenskonforme Clouds. Es werden keine persönlichen Microsoft-Konten, wie Hotmail, verwendet und können gesperrt werden.
  • Mit Windows Hello for Business können Sie das Risiko des Diebstahls von Anmeldeinformationen verringern.

Vorteile für den Endbenutzer

  • Um Endbenutzer mit Microsoft Entra und dem Windows-Endpunkt zu authentifizieren, benötigen Benutzer ein Geschäfts-, Schul- oder Unikonto. Es werden keine persönlichen Konten verwendet.

  • Nutzen Sie Single Sign-On (SSO) für Microsoft 365 und SaaS-Anwendungen mit einer Internetverbindung.

  • Nutzen Sie den Komfort und die Sicherheit von Windows Hello for Business, um sich an ihrem Windows-Endpunkt zu unterschreiben.

    Wenn sie sich mit Windows Hello for Business unterschreiben, verwenden Benutzer automatisch SSO für viele ihrer Online- und lokalen Anwendungen und Ressourcen.

  • Betriebssystemeinstellungen werden auf allen Microsoft Entra verbundenen Geräten übertragen.

    Wichtig

    Endbenutzer, die remote auf Microsoft Entra angeschlossenen Geräten arbeiten, benötigen kein VPN, um sich anzumelden, wenn zwischengespeicherte Anmeldeinformationen auf dem Gerät ablaufen. Auf hybriden Microsoft Entra eingebundenen Geräten benötigen sie ein VPN, um sich anzumelden, wenn zwischengespeicherte Anmeldeinformationen ablaufen.

Microsoft Entra verknüpfte Ressourcen

Hybrid-Microsoft Entra eingebunden

Hybride Microsoft Entra eingebundene Geräte werden mit Ihrer lokalen AD-Domäne verknüpft und bei Microsoft Entra registriert. Für diese Geräte ist eine Netzwerkverbindung mit Ihren lokalen Domänencontrollern (DCs) für die erste Anmeldung und die Geräteverwaltung erforderlich.

Wenn die Geräte keine Verbindung mit dem DC herstellen können, können sich die Benutzer möglicherweise nicht unterschreiben und erhalten keine Richtlinienaktualisierungen.

Viele Organisationen mit vorhandenen in die Domäne eingebundenen Geräten wünschen sich die Vorteile und Features der Microsoft Entra- und Endpunktverwaltung. Wenn Ihre Geräte noch nicht vollständig cloudnativ sein können, können Sie diese vorhandenen Geräte bei Microsoft Entra registrieren. Wenn Sie vorhandene Geräte in Microsoft Entra registrieren, wird eine Geräteidentität erstellt, und Ihre Geräte sind hybrid Microsoft Entra eingebunden. Sie gelten nicht als Cloud-native Endpunkte.

Wenn Ihr organization bereit ist und cloudnativ sein möchte, ist Microsoft Entra (in diesem Artikel) die richtige Wahl. Vorhandene Geräte müssen zurückgesetzt werden. Ausführlichere Informationen und Anleitungen finden Sie im allgemeinen Planungshandbuch.

Hybrid Microsoft Entra verknüpfte Ressourcen

Informationen zum Registrieren Ihrer vorhandenen in die Domäne eingebundenen Geräte für Microsoft Entra finden Sie unter Konfigurieren von Hybrid-Microsoft Entra Join. Konfigurieren von Hybrid-Microsoft Entra Enthält Informationen zu verwalteten Domänen und Verbunddomänen.

Welche Option ist die richtige für Ihre Organisation?

Welche Option die richtige ist, hängt von Ihrer Umgebung, Ihren Endpunkten und den Zielen Ihrer Organisation ab. Berücksichtigen Sie bei dieser Entscheidung auch die Zukunft und die langfristigen Auswirkungen.

Betrachten Sie dazu die folgenden Szenarien:

Szenario Microsoft Entra join oder Hybrid Microsoft Entra join
Sie stellen neue Windows-Endpunkte bereit ✔️ Microsoft Entra Beitreten

Wenn Sie über neue, überarbeitete oder aktualisierte Windows-Geräte verfügen, die Sie bereitstellen und registrieren, wird Microsoft Entra Beitritt empfohlen. Windows 10/11 verfügt über moderne Funktionen, die in das Betriebssystem integriert sind, einschließlich moderner Verwaltung, moderner Authentifizierung und mehr. Microsoft Entra Join sollte die Standardoption für neue und zurückgesetzte Endpunkte sein.

❌Hybrid Microsoft Entra Join

Sie können Hybrid Microsoft Entra Join für neue Endpunkte verwenden, dies wird jedoch in der Regel nicht empfohlen. Wenn Sie mit Hybrid Microsoft Entra Join verknüpft sind, können Sie möglicherweise nicht die modernen Features verwenden, die in Windows 10/11 integriert sind.
Sie verfügen über vorhandene, zuvor bereitgestellte Windows-Endpunkte, die hybrid Microsoft Entra oder AD eingebunden sind. ✔️ Hybrid Microsoft Entra Join

Wenn Sie über vorhandene Endpunkte verfügen, die mit einer lokalen AD-Domäne verknüpft sind (einschließlich hybrider Microsoft Entra), wird eine Hybrideinbindung Microsoft Entra empfohlen. Geräte erhalten eine Cloud-Identität und können Cloud-Dienste nutzen, die eine Cloud-Identität erfordern. Für Endbenutzer mit vorhandenen Endpunkten hat diese Option nur minimale Auswirkungen.

❌Microsoft Entra beitreten

Vorhandene Geräte, die in eine lokale AD-Domäne eingebunden sind (einschließlich hybrider Microsoft Entra), müssen zurückgesetzt werden, um Microsoft Entra eingebunden zu werden. Wenn sie nicht zurückgesetzt werden können, gibt es keinen unterstützten Microsoft-Pfad zum Microsoft Entra beitreten.

Häufig gestellte Fragen, Antworten und Szenarien

In diesem Abschnitt werden häufig gestellte Fragen zu Microsoft Entra und hybriden Microsoft Entra eingebundenen Geräten beantwortet.

Sollte hybride Microsoft Entra ein langfristiger Oder Endzielzustand für Geräte sein?

Nein, Hybrid Microsoft Entra Join sollte weder langfristig noch das Endziel für organization sein.

Wenn Sie nicht eingeschränkt oder eingeschränkt sind (technische, politische oder regulatorische Gründe), sollten Ihre organization zu Microsoft Entra für Ihre Windows-Endpunkte wechseln oder planen.

Welche Strategie sollte ein organization anwenden, um vorhandene Hybrid Microsoft Entra Join-Geräte in Microsoft Entra Join zu verschieben?

Die Strategie hängt von vielen Faktoren ab, von denen viele spezifisch für Ihre organization sind.

Im Allgemeinen empfiehlt Microsoft, auf ein ergänzendes Ereignis zu warten. Sie können beispielsweise während einer Hardwareaktualisierung, eines Betriebssystemupgrades oder eines Geräteproblembehandlungsszenarios zu Microsoft Entra Join wechseln, wenn eine neue (oder zurückgesetzte) instance von Windows vorhanden ist. Mit diesem Ansatz minimieren Sie Benutzerunterbrechungen und optimieren den Konvertierungsprozess in Microsoft Entra Join. Denken Sie daran, dass es keinen von Microsoft unterstützten Prozess oder Pfad zum Konvertieren eines vorhandenen Geräts von Hybrid Microsoft Entra Join in Microsoft Entra Join ohne Windows-Reset gibt.

Auf Microsoft Entra hybrid eingebundenen Geräten müssen Sie eine vollständige Gerätezurücksetzung durchführen, da die Windows Autopilot-Zurücksetzung Microsoft Entra hybrid eingebundenen Geräten nicht unterstützt.

Um zu Microsoft Entra Join zu wechseln, können Sie vorhandene Geräte proaktiv zurücksetzen. Dieser Ansatz kann für Benutzer störend sein und erfordert mehr Planung & Tests. Sie können diesen Ansatz jedoch verwenden, wenn Sie über einige wenige Geräte verfügen oder wenn Sie ein starkes Geschäftsszenario haben, um zu Microsoft Entra Join zu wechseln.

Es gibt einen Blocker, der verhindert, dass mein organization zu Microsoft Entra Join wechselt

Es ist möglich, dass es Hindernisse und Herausforderungen gibt, die außerhalb der Kontrolle von Microsoft liegen und verhindern können, dass Ihre organization vollständig zu Microsoft Entra Join wechselt. Es kann auch unbekannte Blocker geben, die spezifisch für Ihre Organisation und deren Konfiguration oder Erwartungen sind. Diese Blocker können technisch sein oder aus anderen, nicht technischen Gründen auftreten.

Denken Sie daran, dass der Wechsel zu Microsoft Entra Join kein Alles-oder-Nichts-Vorschlag ist. Das Verschieben von Geräten in Microsoft Entra Join nimmt Zeit in Anspruch, auch mit oder ohne Blocker oder Inhibitoren.

Wenn Sie einen potenziellen Blocker identifizieren, der Sie daran hindert, Microsoft Entra Join zu verwenden, bestimmen Sie den Bereich, die Auswirkungen und die Lösung. Der allgemeine Planungsleitfaden zum Umstieg auf cloudnative Endpunkte kann hilfreich sein.

Können Microsoft Entra Join- und Hybrid Microsoft Entra Join-Endpunkte in derselben Umgebung gleichzeitig vorhanden sein?

Ja, Microsoft Entra Join- und Hybrid Microsoft Entra Join-Endpunkte können gleichzeitig in derselben Umgebung vorhanden sein. Sie schließen sich nicht gegenseitig aus.

Eine gemischte Umgebung erhöht die Komplexität, Wartung und Supportkosten. Sie können jedoch Hybrid Microsoft Entra Join verwenden, bis diese Endpunkte ersetzt oder zurückgesetzt werden. Denken Sie daran, dass Hybrid Microsoft Entra Join nicht das Endziel Ihres organization für den Windows-Endpunktzustand sein sollte.

Können Benutzer in Microsoft Entra Join-Systemen auf lokale Ressourcen zugreifen?

Ja, Benutzer auf Microsoft Entra Join-Systemen können auf lokale Ressourcen zugreifen.

Microsoft Entra Join-Endpunkte können auf lokale Ressourcen zugreifen und einmaliges Anmelden (Single Sign-On, SSO) verwenden. Spezifischere Informationen finden Sie unter Cloudnative Endpunkte und lokale Ressourcen.

Welche Gerätebeitrittszustände können Intune verwalten?

Microsoft Intune, bei der es sich um eine 100 %-Cloudlösung handelt, kann Windows-Clientgeräte verwalten, die Microsoft Entra Join oder Hybrid Microsoft Entra Join sind. Intune verfügt über zahlreiche integrierte Funktionen und Einstellungen, mit denen Sie Einstellungen verwalten, Gerätefunktionen steuern, Ihre Endpunkte schützen und vieles mehr.

Im allgemeinen Planungshandbuch zum Umstieg auf cloudnative Endpunkte: Intune-Features, die Sie kennen sollten, sind einige dieser Features aufgeführt. Was Intune ist, ist auch eine gute Ressource.

Auf Hybrid Microsoft Entra Join-Endpunkten können Sie lokale Gruppenrichtlinienobjekte (GPO) oder Intune verwenden, um Richtlinieneinstellungen zu steuern. Es ist auch möglich, eine Kombination aus GPO und Intune zu verwenden, aber diese Kombination erhöht den Verwaltungsaufwand und die Komplexität. Wenn Sie die Co-Verwaltung (Intune (Cloud) + Configuration Manager (lokal)) aktivieren, können Sie einige Microsoft Entra Features wie den bedingten Zugriff verwenden.

Eine Anleitung finden Sie im Bereitstellungshandbuch: Setup oder Wechseln zu Microsoft Intune.

Welche Gerätebeitrittszustände sind für die Gerätekonformität und/oder den bedingten Zugriff erforderlich?

Sowohl Hybrid Microsoft Entra Join- als auch Microsoft Entra Join-Endpunkte unterstützen Konformitätsrichtlinien und bedingten Zugriff, wenn sie von Intune verwaltet oder von Intune und Configuration Manager gemeinsam verwaltet werden.

Gibt es Einschränkungen für Hybrid Microsoft Entra Join?

Ja, es gibt Einschränkungen für Hybrid Microsoft Entra Join.

Diese Einschränkungen gelten im Allgemeinen für nur lokale Geräte, die in die Domäne eingebunden sind. Insbesondere hybride Microsoft Entra Join-Endpunkte erfordern eine Sichtverbindung zum lokalen AD-Domänencontroller für die erste Anmeldung und zum Ändern von Kennwörtern. Wenn die Domäne ausgefallen ist oder nicht verfügbar ist, kann die Anmeldung von Benutzern bei ihren Endpunkten blockiert werden. Wenn Ihr organization nicht mehr über eine lokale Domäne verfügt, müssen Sie auch von Hybrid Microsoft Entra Join für Ihre Geräte wechseln.

Wenn Sie die kennwortlose Authentifizierung verwenden, benötigen Benutzer Internetzugriff und eine Sichtverbindung zu den Domänencontrollern (Domänencontrollern). Für die Authentifizierung können Hybrid Microsoft Entra Join-Endpunkte Kerberos und NTLM verwenden.

Gilt Hybrid Microsoft Entra Join als cloudnativ?

Nein, Hybrid Microsoft Entra Join gilt nicht als cloudnativ.

Die Cloudlösung besteht darin, Microsoft Entra Ihren Endpunkten beitreten. Die Endpunkte und ihre Identitäten werden erstellt und in Microsoft Entra gespeichert. Intune verwaltet die Endpunkte mit Einstellungen und Richtlinien. Diese Dienste funktionieren mit anderen Clouddiensten, einschließlich Microsoft 365, Microsoft Defender XDR und mehr.

Befolgen Sie die Anleitung für Cloud-native Endpunkte

  1. Überblick: Was sind cloudnative Endpunkte?
  2. Tutorial: Erste Schritte mit cloudnativen Windows-Endpunkten
  3. 🡺 Konzept: Microsoft Entra im Vergleich zu hybriden Microsoft Entra eingebunden (Sie sind hier)
  4. Konzept: Cloud-native Endpunkte und ortsgebundene Ressourcen
  5. Planungsleitfaden auf hohem Niveau
  6. Bekannte Probleme und wichtige Informationen