Megosztás a következőn keresztül:

Microsoft Entra-hoz csatlakoztatott és Hibrid Microsoft Entra-csatlakozás felhőalapú natív végpontokon

  • Cikk

Tipp

Ha a natív felhőbeli végpontokról olvas, a következő kifejezések jelennek meg:

  • Végpont: A végpont egy eszköz, például mobiltelefon, táblagép, laptop vagy asztali számítógép. A "végpontok" és az "eszközök" felcserélhetők.
  • Felügyelt végpontok: Olyan végpontok, amelyek MDM-megoldással vagy csoportházirend-objektumokkal fogadnak szabályzatokat a szervezettől. Ezek az eszközök általában szervezet tulajdonában vannak, de lehetnek BYOD- vagy személyes tulajdonú eszközök is.
  • Natív felhőbeli végpontok: A Microsoft Entra-hoz csatlakoztatott végpontok. Nincsenek csatlakoztatva a helyszíni AD-hez.
  • Számítási feladat: Bármely program, szolgáltatás vagy folyamat.

Számos kritikus és értékes szolgáltatáshoz, például a feltételes hozzáféréshez és a Microsoft Entra egyszeri bejelentkezéshez a végpontoknak felhőalapú identitással kell rendelkezniük. A szervezet tulajdonában lévő Windows-végpontok esetében a felhőbeli identitás akkor jön létre, ha az eszköz Microsoft Entra-hoz vagy hibrid Microsoft Entra-hoz csatlakozik.

A natív felhőbeli végpontokra való áttéréskor ismernie kell a Microsoft Entra-hoz csatlakoztatott és a hibrid Microsoft Entra-hoz csatlakoztatott eszközök közötti különbségeket:

  • Microsoft Entra-hoz csatlakoztatott: Az eszközök a Microsoft Entra-hoz csatlakoznak. Nem csatlakoznak a helyszíni AD-hez.

    További információért látogasson el a Microsoft Entra-hoz csatlakoztatott eszközökre (megnyit egy másik Microsoft-webhelyet).

  • Hibrid Microsoft Entra-csatlakozás: Az eszközök regisztrálva vannak a Microsoft Entra-ban, és egy helyszíni AD-tartományhoz csatlakoznak.

    További információt a Hibrid Microsoft Entra-csatlakoztatott eszközök című témakörben talál (megnyit egy másik Microsoft-webhelyet).

Ez a funkció az alábbiakra vonatkozik:

  • Natív Windows-felhőbeli végpontok

Ez a cikk a Microsoft Entra-hoz csatlakoztatott és a hibrid Microsoft Entra-hoz csatlakoztatott eszközök közötti néhány különbséget ismerteti. A natív felhőbeli végpontokról és azok előnyeiről a Mi a natív felhőbeli végpontok? című témakörben talál áttekintést.

Microsoft Entra-hoz csatlakozott

Amikor egy végpont, például egy Windows 10/11-eszköz csatlakozik a Microsoft Entra-hoz, megbízhatósági kapcsolatot létesít a Microsoft Entrával, és rendelkezik identitással (device-id) a Microsoft Entrában. A végpontot a szervezet felügyeli és irányítja.

A végpont csatlakozik a Microsoft Entra-hoz. Nincs helyszíni AD-tartományhoz csatlakoztatva.

A Windows-végpontok Microsoft Entra-hoz való csatlakoztatásához az alábbiakra van lehetősége:

  • Használja a Windows Autopilotot. A Windows Autopilot végigvezeti a felhasználókat a Windows Kezdőélményen (OOBE). Amikor a felhasználók belépnek a munkahelyi vagy iskolai fiókjukba, a végpont csatlakozik a Microsoft Entra-hoz.

    A Windows Autopilottal regisztrált összes eszköz automatikusan szervezeti tulajdonú eszköznek minősül. A Windows Autopilot az egyik legelfogadottabb módszer a szervezeti eszközök Microsoft Entra-hoz való csatlakoztatására és az informatikai felügyeletre.

  • A Windows Kezdőélmény (OOBE) használata. Amikor a felhasználók munkahelyi vagy iskolai fiókjukba kerülnek az eszközön, a végpont automatikusan csatlakozik a Microsoft Entra-hoz.

  • Használja a Beállítások alkalmazást. Az eszközön a végfelhasználók megnyitják a Beállítások alkalmazást (Fiókok>hozzáférése munkahelyi vagy iskolai>csatlakozáshoz), és a munkahelyi vagy iskolai fiókjukat használják.

  • Használjon windowsos kiépítési csomagot. További információt a következő témakörben talál:

Szervezeti informatikai előnyök

  • Feltételes hozzáféréssel engedélyezheti vagy korlátozhatja a hozzáférést azokhoz a szervezeti erőforrásokhoz, amelyek megfelelnek vagy nem felelnek meg a követelményeknek.
  • A beállítások és a munkahelyi adatok a vállalati megfelelő felhőkben mozognak. A rendszer nem használ személyes Microsoft-fiókokat, például a Hotmailt, és nem tiltható le.
  • A Vállalati Windows Hello használatával csökkentheti a hitelesítő adatok ellopásának kockázatát.

Végfelhasználói előnyök

  • A végfelhasználók Microsoft Entra-val és a Windows-végponttal való hitelesítéséhez a felhasználóknak munkahelyi vagy iskolai fiókra van szükségük. A rendszer nem használ személyes fiókokat.

  • Egyszeri bejelentkezés (SSO) kérése internetkapcsolattal rendelkező Microsoft 365- és SaaS-alkalmazásokba.

  • A Vállalati Windows Hello kényelmét és biztonságát kihasználva jelentkezzen be a Windows-végpontba.

    Amikor a Vállalati Windows Hello szolgáltatással jelentkeznek be, a felhasználók automatikusan egyszeri bejelentkezést használnak számos online és helyszíni alkalmazásukhoz és erőforrásukhoz.

  • Az operációs rendszer beállításai az összes Microsoft Entra-hoz csatlakoztatott eszközön mozognak.

    Fontos

    A Microsoft Entra-hoz csatlakoztatott eszközökön távolról dolgozó végfelhasználóknak nincs szükségük VPN-re a bejelentkezéshez, ha a gyorsítótárazott hitelesítő adatok lejárnak az eszközön. A hibrid Microsoft Entra-csatlakoztatott eszközökön vpn-re van szükségük a bejelentkezéshez, amikor a gyorsítótárazott hitelesítő adatok lejárnak.

Microsoft Entra-hoz csatlakoztatott erőforrások

Hibrid Microsoft Entra-csatlakozás

A hibrid Microsoft Entra-csatlakoztatott eszközök a helyszíni AD-tartományhoz csatlakoznak, és regisztrálva vannak a Microsoft Entra-ban. Ezeknek az eszközöknek a kezdeti bejelentkezéshez és az eszközkezeléshez hálózati látóvonalat kell használniuk a helyszíni tartományvezérlőkhöz .

Ha az eszközök nem tudnak csatlakozni a tartományvezérlőhöz, előfordulhat, hogy a felhasználók nem tudnak bejelentkezni, és nem kapják meg a szabályzatfrissítéseket.

Számos meglévő tartományhoz csatlakoztatott eszközzel rendelkező szervezet szeretné kihasználni a Microsoft Entra és a végpontkezelés előnyeit és funkcióit. Ha az eszközei még nem lehetnek teljes mértékben felhőbeli natívak, akkor regisztrálhatja ezeket a meglévő eszközöket a Microsoft Entra szolgáltatásban. Ha meglévő eszközöket regisztrál a Microsoft Entra-ban, létrejön egy eszközidentitás , és az eszközei hibrid Microsoft Entra-hez csatlakoznak. Ezek nem tekinthetők natív felhőbeli végpontoknak.

Ha szervezete készen áll, és natív felhőt szeretne használni, akkor a Microsoft Entra-hoz való csatlakozás (ebben a cikkben) a megfelelő választás. A meglévő eszközöket alaphelyzetbe kell állítani. További információért és útmutatásért tekintse meg a magas szintű tervezési útmutatót.

Hibrid Microsoft Entra-hez csatlakoztatott erőforrások

A meglévő tartományhoz csatlakoztatott eszközök Microsoft Entra-ban való regisztrálásáról további információt a Hibrid Microsoft Entra-csatlakozás konfigurálása című témakörben talál. A hibrid Microsoft Entra-csatlakozás konfigurálása a felügyelt tartományokra és az összevont tartományokra vonatkozó információkat tartalmaz.

Melyik lehetőség a megfelelő a szervezet számára?

A megfelelő beállítás a környezettől, a végpontoktól és a szervezeti céloktól függ. A döntés meghozatalakor vegye figyelembe a jövőt és a hosszú távú hatást.

Vegye figyelembe a következő forgatókönyveket:

Forgatókönyv Microsoft Entra-csatlakozás vagy hibrid Microsoft Entra-csatlakozás
Új Windows-végpontokat épít ki ✔️ Microsoft Entra-csatlakozás

Ha új, felújított vagy frissített Windows-eszközökkel rendelkezik, amelyeket kiépít és regisztrál, akkor a Microsoft Entra-csatlakozás ajánlott. A Windows 10/11 az operációs rendszer beépített modern funkcióival rendelkezik, beleértve a modern felügyeletet, a modern hitelesítést és egyebeket. Az új és alaphelyzetbe állítási végpontok esetében a Microsoft Entra Join legyen az alapértelmezett beállítás.

❌ Hibrid Microsoft Entra-csatlakozás

Az új végpontokhoz használhatja a Hibrid Microsoft Entra Joinot, de ez általában nem ajánlott. Ha hibrid Microsoft Entra Join használatával csatlakozik, előfordulhat, hogy nem fogja használni a Windows 10/11 beépített modern funkcióit.
Olyan meglévő, korábban kiépített Windows-végpontokkal rendelkezik, amelyek hibrid Microsoft Entra- vagy AD-csatlakozással rendelkeznek ✔️ Hibrid Microsoft Entra-csatlakozás

Ha olyan meglévő végpontjai vannak, amelyek egy helyszíni AD-tartományhoz vannak csatlakoztatva (beleértve a hibrid Microsoft Entra-csatlakozást is), akkor a hibrid Microsoft Entra-csatlakozás ajánlott. Az eszközök felhőbeli identitást kapnak, és felhőalapú identitást igénylő felhőszolgáltatásokat használhatnak. A meglévő végpontokkal rendelkező végfelhasználók számára ez a beállítás minimális hatással van.

❌ Microsoft Entra-csatlakozás

A helyszíni AD-tartományhoz csatlakoztatott meglévő eszközöket (beleértve a hibrid Microsoft Entra-csatlakozást) alaphelyzetbe kell állítani, hogy a Microsoft Entra csatlakozva legyen. Ha nem lehet alaphelyzetbe állítani őket, akkor a Microsoft Entra nem támogatja a csatlakozást a Microsoft Entra felé.

Gyakori kérdések, válaszok és forgatókönyvek

Ez a szakasz a Microsoft Entra-hoz csatlakoztatott és a hibrid Microsoft Entra-hoz csatlakoztatott eszközökkel kapcsolatos gyakori kérdésekre ad választ.

A hibrid Microsoft Entra-csatlakozásnak hosszú távú vagy célállapotúnak kell lennie az eszközökhöz?

Nem, a Hibrid Microsoft Entra Join nem lehet hosszú távú, és nem is lehet a cél egyetlen szervezet számára sem.

Ha nem korlátozott vagy korlátozott (technikai, politikai vagy szabályozási okokból), a szervezetnek át kell költöznie, vagy a Windows-végpontokhoz csatlakozott Microsoft Entra-hoz kell csatlakoznia.

Milyen stratégiát kell alkalmaznia egy szervezetnek a meglévő hibrid Microsoft Entra Join-eszközök Microsoft Entra Joinba való áthelyezéséhez?

A stratégia számos tényezőtől függ, amelyek közül sok a szervezetre jellemző.

A Microsoft általában azt javasolja, hogy várjon egy kiegészítő eseményre. Hardverfrissítés, operációs rendszer frissítése vagy eszközhiba-elhárítási forgatókönyv esetén például a Windows új (vagy alaphelyzetbe állítási) példánya esetén áttérhet a Microsoft Entra Join szolgáltatásra. Ezzel a módszerrel minimalizálhatja a felhasználói fennakadásokat, és leegyszerűsítheti a Microsoft Entra Joinra való átalakítás folyamatát. Ne feledje, hogy a Microsoft nem támogatja a meglévő eszközök hibrid Microsoft Entra-csatlakozásról Microsoft Entra-csatlakozásra való konvertálásának folyamatát vagy elérési útját a Windows alaphelyzetbe állítása nélkül.

A Microsoft Entra hibrid csatlakoztatott eszközökön teljes eszköztörlés szükséges, mivel a Windows Autopilot Reset nem támogatja a Microsoft Entra hibrid csatlakoztatott eszközöket.

A Microsoft Entra Join szolgáltatásra való áttéréshez proaktív módon alaphelyzetbe állíthatja a meglévő eszközöket. Ez a megközelítés zavaróbb lehet a felhasználók számára, és nagyobb tervezést & tesztelést igényel. Ezt a módszert azonban akkor is használhatja, ha van néhány eszköze, vagy ha erős üzleti ügye van a Microsoft Entra Joinra való áttéréshez.

Van egy blokkoló, amely megakadályozza, hogy a szervezetem áttérjen a Microsoft Entra Join szolgáltatásra

Előfordulhat, hogy a Microsofton kívül vannak olyan blokkolók és kihívások, amelyek megakadályozhatják, hogy a szervezet teljesen áttérjen a Microsoft Entra Join szolgáltatásra. Lehetnek olyan ismeretlen blokkolók is, amelyek a szervezetre, illetve annak konfigurációjára vagy elvárásaira vonatkoznak. Ezek az blokkolók lehetnek műszaki jellegűek, vagy más, nem műszaki okokból fordulhatnak elő.

Ne feledje, hogy a Microsoft Entra Joinra való áttérés nem minden vagy semmi javaslat. Az eszközök Microsoft Entra Joinba való áthelyezése időt vesz igénybe, akár blokkolókkal vagy gátlókkal, akár anélkül.

Ha olyan lehetséges blokkolót azonosít, amely megakadályozza a Microsoft Entra Join használatát, határozza meg a hatókört, a hatást és a megoldást. A natív felhőbeli végpontokra való áttérés magas szintű tervezési útmutatója segíthet.

A Microsoft Entra Join és a hibrid Microsoft Entra Join végpontok együtt létezhetnek ugyanabban a környezetben?

Igen, a Microsoft Entra Join és a hibrid Microsoft Entra Join végpontok együtt létezhetnek ugyanabban a környezetben. Nem zárják ki egymást.

A vegyes környezetek használata növeli a bonyolultságot, a karbantartást és a támogatási költségeket. A hibrid Microsoft Entra Join azonban mindaddig használható, amíg ezeket a végpontokat le nem cseréli vagy alaphelyzetbe nem állítja. Ne feledje, hogy a hibrid Microsoft Entra Join nem lehet a szervezet végponti windowsos állapotának végső célja.

Hozzáférhetnek a Microsoft Entra Join-rendszerek felhasználói a helyszíni erőforrásokhoz?

Igen, a Microsoft Entra Join rendszerek felhasználói hozzáférhetnek a helyszíni erőforrásokhoz.

A Microsoft Entra Join-végpontok hozzáférhetnek a helyszíni erőforrásokhoz, és használhatják az egyszeri bejelentkezést (SSO). További információ: Natív felhőbeli végpontok és helyszíni erőforrások.

Milyen eszközcsatlakozás-állapotokat kezelhet az Intune?

A Microsoft Intune, amely egy 100%-os felhőmegoldás, képes kezelni a Microsoft Entra Join vagy hibrid Microsoft Entra Join windowsos ügyféleszközöket. Az Intune számos beépített funkcióval és beállításokkal rendelkezik, amelyek többek között kezelhetik a beállításokat, vezérelhetik az eszközfunkciókat, segíthetnek a végpontok biztonságossá tételében.

A natív felhőbeli végpontokra való áttérés magas szintű tervezési útmutatója: Az Intune ismert funkciói felsorolnak néhányat ezek közül a funkciók közül. Az Intune is jó erőforrás.

A hibrid Microsoft Entra Join-végpontokon helyszíni csoportházirend-objektumok (GPO) vagy Intune használatával szabályozhatja a szabályzatbeállításokat. A GPO és az Intune együttes használata is lehetséges, de ez a kombináció adminisztratív többletterhelést és összetettségeket is biztosít. Ha engedélyezi a társfelügyeletet (Intune (felhő) + Configuration Manager (helyszíni)), akkor használhat néhány Microsoft Entra-funkciót, például a feltételes hozzáférést.

Útmutatásért tekintse meg az Üzembe helyezési útmutató: Beállítás vagy áthelyezés a Microsoft Intune-ba című témakört.

Milyen eszközcsatlakozás-állapotokra van szükség az eszközmegfeleléshez és/vagy a feltételes hozzáféréshez?

A hibrid Microsoft Entra Join és a Microsoft Entra Join-végpontok egyaránt támogatják a megfelelőségi szabályzatokat és a feltételes hozzáférést , ha az Intune felügyeli, vagy az Intune és a Configuration Manager közösen felügyeli.

Korlátozások vonatkoznak a hibrid Microsoft Entra Joinra használatára?

Igen, a Hibrid Microsoft Entra Join korlátozásokkal jár.

Ezek a korlátozások általában megegyeznek a csak a helyszíni tartományhoz csatlakoztatott eszközök esetén. A hibrid Microsoft Entra Join-végpontok esetében a kezdeti bejelentkezéshez és a jelszavak módosításához a helyszíni AD-tartományvezérlőt kell szem előtt tartatni. Ha a tartomány nem érhető el vagy nem érhető el, akkor a felhasználók nem tudnak bejelentkezni a végpontjaikba. Ha a szervezet nem rendelkezik helyszíni tartománnyal, akkor az eszközeihez a Hibrid Microsoft Entra Join alkalmazásból is el kell költöznie.

Ha jelszó nélküli hitelesítést használ, akkor a felhasználóknak internet-hozzáférésre és a tartományvezérlőkre (TARTOMÁNYVEZÉRLŐkre) van szükségük. A hitelesítéshez a hibrid Microsoft Entra Join-végpontok kerberost és NTLM-et használhatnak.

A hibrid Microsoft Entra Join natív felhőbelinek számít?

Nem, a hibrid Microsoft Entra Join nem tekinthető natív felhőbelinek.

A felhőalapú megoldás a Microsoft Entra csatlakozása a végpontokhoz. A végpontokat és azok identitásait a Microsoft Entra hozza létre és tárolja. Az Intune beállításokkal és szabályzatokkal kezeli a végpontokat. Ezek a szolgáltatások más felhőszolgáltatásokkal is működnek, beleértve a Microsoft 365-öt, a Microsoft Defender XDR-t és egyebeket.

Kövesse a natív felhőbeli végpontokkal kapcsolatos útmutatót

  1. Áttekintés: Mik azok a natív felhőbeli végpontok?
  2. Oktatóanyag: Ismerkedés a natív felhőbeli Windows-végpontokkal
  3. 🡺 Koncepció: A Microsoft Entra-hoz csatlakoztatott és a hibrid Microsoft Entra-hoz csatlakoztatottak (Ön itt áll)
  4. Koncepció: Natív felhőbeli végpontok és helyszíni erőforrások
  5. Magas szintű tervezési útmutató
  6. Ismert problémák és fontos információk