Cara: Merencanakan implementasi gabungan Microsoft Entra Anda
Anda dapat menggabungkan perangkat langsung ke ID Microsoft Entra tanpa perlu bergabung ke Active Directory lokal sambil menjaga pengguna Anda tetap produktif dan aman. Microsoft Entra join siap untuk penyebaran dalam skala besar dan terlingkup. Akses menyeluruh (SSO) ke sumber daya lokal juga tersedia untuk perangkat yang Microsoft Entra bergabung. Untuk informasi selengkapnya, lihat Cara kerja SSO ke sumber daya lokal di Microsoft Entra perangkat yang bergabung.
Artikel ini memberi Anda informasi yang Anda butuhkan untuk merencanakan implementasi gabungan Microsoft Entra Anda.
Prasyarat
Artikel ini mengasumsikan bahwa Anda terbiasa dengan Pengenalan manajemen perangkat dalam ID Microsoft Entra.
Merencanakan implementasi Anda
Untuk merencanakan implementasi gabungan Microsoft Entra, Anda harus membiasakan diri dengan:
- Meninjau skenario Anda
- Meninjau infrastruktur identitas Anda
- Menilai manajemen perangkat Anda
- Memahami pertimbangan untuk aplikasi dan sumber daya
- Memahami opsi provisi Anda
- Konfigurasikan Roaming Status Perusahaan
- Mengonfigurasi Akses Bersyarat
Meninjau skenario Anda
Microsoft Entra join memungkinkan Anda beralih ke model cloud-first dengan Windows. Jika Anda berencana untuk memodernisasi manajemen perangkat dan mengurangi biaya IT terkait perangkat, Microsoft Entra join memberikan fondasi yang bagus untuk mencapai tujuan tersebut.
Pertimbangkan Microsoft Entra bergabung jika tujuan Anda selaras dengan kriteria berikut:
- Anda mengadopsi Microsoft 365 sebagai rangkaian produktivitas untuk pengguna Anda.
- Anda ingin mengelola perangkat dengan solusi manajemen perangkat cloud.
- Anda ingin menyederhanakan penyediaan perangkat untuk pengguna yang terdistribusi secara geografis.
- Anda berencana untuk memodernisasi infrastruktur aplikasi Anda.
Meninjau infrastruktur identitas Anda
Microsoft Entra bekerja di lingkungan terkelola dan federasi. Kami pikir sebagian besar organisasi akan menyebarkan domain terkelola. Skenario domain terkelola tidak memerlukan konfigurasi dan pengelolaan server federasi seperti Active Directory Federation Services (LAYANAN Federasi Direktori Aktif).
Lingkungan terkelola
Lingkungan terkelola dapat digunakan baik melalui Sinkronisasi Hash Kata Sandi atau Autentikasi Pass Through dengan Single Sign On yang Mulus.
Lingkungan terfederasi
Lingkungan terfederasi harus memiliki penyedia identitas yang mendukung protokol WS-Trust dan WS-Fed:
- WS-Fed: Protokol ini diperlukan untuk menggabungkan perangkat ke ID Microsoft Entra.
- WS-Trust: Protokol ini diperlukan untuk masuk ke perangkat Microsoft Entra bergabung.
Saat menggunakan AD FS, Anda harus mengaktifkan titik akhir WS-Trust berikut: /adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed
Jika Penyedia Identitas Anda tidak mendukung protokol ini, Microsoft Entra bergabung tidak berfungsi secara asli.
Catatan
Saat ini, gabungan Microsoft Entra tidak berfungsi dengan Layanan Federasi Direktori Aktif 2019 yang dikonfigurasi dengan penyedia autentikasi eksternal sebagai metode autentikasi utama. Microsoft Entra menggabungkan default ke autentikasi kata sandi sebagai metode utama, yang mengalihkan kegagalan autentikasi dalam skenario ini
Konfigurasi pengguna
Jika Anda membuat pengguna di:
- Active Directory lokal, Anda perlu menyinkronkannya ke ID Microsoft Entra menggunakan Microsoft Entra Connect.
- Microsoft Entra ID, tidak diperlukan penyiapan tambahan.
Nama prinsipal pengguna (UPN) lokal yang berbeda dari UPN Microsoft Entra tidak didukung pada perangkat yang bergabung Microsoft Entra. Jika pengguna Anda menggunakan UPN lokal, Anda harus berencana untuk beralih menggunakan UPN utama mereka di ID Microsoft Entra.
Perubahan UPN hanya didukung memulai pembaruan Windows 10 2004. Pengguna di perangkat dengan pembaruan ini tidak akan memiliki masalah apa pun setelah mengubah UPN mereka. Untuk perangkat sebelum pembaruan Windows 10 2004, pengguna akan mengalami masalah SSO dan Akses Bersyarat di perangkat mereka. Mereka perlu masuk ke Windows melalui ubin "Pengguna lain" menggunakan UPN baru mereka untuk mengatasi masalah ini.
Menilai manajemen perangkat Anda
Perangkat yang didukung
Microsoft Entra bergabung:
- Mendukung perangkat Windows 10 dan Windows 11.
- Tidak didukung pada versi Windows sebelumnya atau sistem operasi lainnya. Jika Anda memiliki perangkat Windows 7/8.1, Anda harus meningkatkan setidaknya ke Windows 10 untuk menyebarkan gabungan Microsoft Entra.
- Didukung untuk TPM 2.0 yang mematuhi FIPS tetapi tidak didukung untuk TPM 1.2. Jika perangkat Anda memiliki TPM 1.2 yang mematuhi FIPS, Anda harus menonaktifkannya sebelum melanjutkan dengan gabungan Microsoft Entra. Microsoft tidak menyediakan alat apa pun guna menonaktifkan mode FIPS untuk TPM karena itu tergantung pada produsen TPM. Hubungi OEM perangkat keras Anda untuk dukungan.
Rekomendasi: Selalu gunakan rilis Windows terbaru untuk memanfaatkan fitur yang diperbarui.
Platform manajemen
Manajemen perangkat untuk perangkat Microsoft Entra bergabung didasarkan pada platform manajemen perangkat seluler (MDM) seperti Intune, dan CSP MDM. Mulai dari Windows 10, terdapat agen MDM bawaan yang berfungsi dengan semua solusi MDM yang kompatibel.
Catatan
Kebijakan grup tidak didukung di perangkat yang bergabung Microsoft Entra karena tidak tersambung ke Active Directory lokal. Manajemen perangkat yang bergabung Microsoft Entra hanya dimungkinkan melalui MDM
Ada dua pendekatan untuk mengelola perangkat Microsoft Entra bergabung:
- Khusus MDM - Perangkat dikelola secara eksklusif oleh penyedia MDM seperti Intune. Semua kebijakan disampaikan sebagai bagian dari proses pendaftaran MDM. Untuk pelanggan Microsoft Entra ID P1 atau P2 atau EMS, pendaftaran MDM adalah langkah otomatis yang merupakan bagian dari gabungan Microsoft Entra.
- Manajemen bersama - Perangkat dikelola oleh penyedia MDM dan Microsoft Configuration Manager. Dalam pendekatan ini, agen Microsoft Configuration Manager diinstal pada perangkat yang dikelola MDM untuk mengelola aspek tertentu.
Jika Anda menggunakan Kebijakan Grup, evaluasi paritas kebijakan GPO dan MDM Anda dengan menggunakan analitik Kebijakan Grup di Microsoft Intune.
Tinjau kebijakan yang didukung dan tidak didukung untuk menentukan apakah Anda bisa menggunakan solusi MDM, bukan kebijakan Grup. Untuk kebijakan yang tidak didukung, pertimbangkan pertanyaan berikut:
- Apakah kebijakan yang tidak didukung diperlukan untuk perangkat atau pengguna yang bergabung Microsoft Entra?
- Apakah kebijakan yang tidak didukung berlaku dalam penyebaran berbasis cloud?
Jika solusi MDM Anda tidak tersedia melalui galeri aplikasi Microsoft Entra, Anda dapat menambahkannya mengikuti proses yang diuraikan dalam integrasi Microsoft Entra dengan MDM.
Melalui manajemen bersama, Anda dapat menggunakan Microsoft Configuration Manager untuk mengelola aspek tertentu dari perangkat Anda saat kebijakan dikirimkan melalui platform MDM Anda. Microsoft Intune memungkinkan manajemen bersama dengan Microsoft Configuration Manager. Untuk informasi selengkapnya tentang manajemen bersama untuk perangkat Windows 10 atau yang lebih baru, lihat Apa itu manajemen bersama?. Jika Anda menggunakan produk MDM selain Intune, periksa penyedia MDM tentang skenario manajemen bersama yang berlaku.
Rekomendasi: Pertimbangkan manajemen MDM hanya untuk perangkat yang bergabung Microsoft Entra.
Memahami pertimbangan untuk aplikasi dan sumber daya
Sebaiknya migrasi aplikasi dari lokal ke cloud untuk pengalaman pengguna dan kontrol akses yang lebih baik. Microsoft Entra perangkat yang bergabung dapat dengan mulus menyediakan akses ke aplikasi lokal dan cloud. Untuk informasi selengkapnya, lihat Cara kerja SSO ke sumber daya lokal di Microsoft Entra perangkat yang bergabung.
Bagian berikut ini mencantumkan pertimbangan untuk berbagai jenis aplikasi dan sumber daya.
Aplikasi berbasis cloud
Jika aplikasi ditambahkan ke galeri aplikasi Microsoft Entra, pengguna mendapatkan SSO melalui perangkat Microsoft Entra bergabung. Tidak diperlukan konfigurasi lainnya. Pengguna mendapatkan SSO di browser Microsoft Edge dan Chrome. Untuk Chrome, Anda perlu menggunakan ekstensi Akun Windows 10.
Semua aplikasi Win32 yang:
- Mengandalkan Web Account Manager (WAM) untuk permintaan token juga mendapatkan SSO di perangkat Microsoft Entra bergabung.
- Jangan mengandalkan WAM dapat meminta pengguna untuk autentikasi.
Aplikasi web lokal
Jika aplikasi Anda dibuat khusus dan/atau dihosting lokal, Anda harus menambahkannya ke situs tepercaya browser Anda ke:
- Fungsikan autentikasi terintegrasi Windows untuk bekerja
- Berikan pengalaman SSO tanpa perintah kepada pengguna.
Jika Anda menggunakan Layanan Federasi Direktori Aktif, lihat Memverifikasi dan mengelola akses menyeluruh dengan Layanan Federasi Direktori Aktif.
Rekomendasi: Pertimbangkan untuk menghosting di cloud (misalnya, Azure) dan mengintegrasikan dengan ID Microsoft Entra untuk pengalaman yang lebih baik.
Aplikasi lokal mengandalkan protokol warisan
Pengguna mendapatkan SSO dari perangkat Microsoft Entra bergabung jika perangkat memiliki akses ke pengontrol domain.
Catatan
Microsoft Entra perangkat yang bergabung dapat dengan mulus menyediakan akses ke aplikasi lokal dan cloud. Untuk informasi selengkapnya, lihat Cara kerja SSO ke sumber daya lokal di Microsoft Entra perangkat yang bergabung.
Rekomendasi: Sebarkan proksi aplikasi Microsoft Entra untuk mengaktifkan akses aman untuk aplikasi ini.
Berbagi jaringan lokal
Pengguna Anda memiliki SSO dari perangkat Microsoft Entra bergabung saat perangkat memiliki akses ke pengontrol domain lokal. Pelajari cara kerjanya
Printer
Sebaiknya sebarkan Universal Print untuk memiliki solusi manajemen cetak berbasis cloud tanpa dependensi lokal.
Aplikasi lokal mengandalkan autentikasi mesin
Microsoft Entra perangkat yang bergabung tidak mendukung aplikasi lokal yang mengandalkan autentikasi komputer.
Rekomendasi: Pertimbangkan untuk pensiun aplikasi ini dan pindah ke alternatif modern mereka.
Layanan Desktop Jauh
Koneksi desktop jarak jauh ke perangkat Microsoft Entra bergabung mengharuskan komputer host bergabung Microsoft Entra atau Microsoft Entra bergabung. Desktop jarak jauh dari perangkat yang tidak tergabung atau non-Windows tidak didukung. Untuk informasi selengkapnya, lihat Menyambungkan ke pc yang tergabung Microsoft Entra jarak jauh
Dimulai dengan pembaruan Windows 10 2004, pengguna juga dapat menggunakan desktop jarak jauh dari Microsoft Entra terdaftar Windows 10 atau perangkat yang lebih baru ke perangkat lain yang bergabung dengan Microsoft Entra.
Autentikasi RADIUS dan Wi-Fi
Saat ini, Microsoft Entra perangkat yang bergabung tidak mendukung autentikasi RADIUS untuk menyambungkan ke titik akses Wi-Fi, karena RADIUS bergantung pada keberadaan objek komputer lokal. Sebagai alternatif, Anda dapat menggunakan sertifikat yang diterapkan melalui Intune atau info masuk pengguna untuk mengautentikasi ke Wi-Fi.
Memahami opsi provisi Anda
Catatan: Microsoft Entra perangkat yang bergabung tidak dapat disebarkan menggunakan Alat Persiapan Sistem (Sysprep) atau alat pencitraan serupa
Anda dapat memprovisikan perangkat yang bergabung Microsoft Entra menggunakan pendekatan berikut:
- Layanan mandiri di OOBE/Pengaturan - Dalam mode layanan mandiri, pengguna melalui proses gabungan Microsoft Entra baik selama Windows Out of Box Experience (OOBE) atau dari Pengaturan Windows. Untuk informasi selengkapnya, lihat Bergabung dengan perangkat kerja Anda ke jaringan organisasi Anda.
- Windows Autopilot - Windows Autopilot memungkinkan prakonfigurasi perangkat untuk pengalaman bergabung Microsoft Entra yang lebih lancar di OOBE. Untuk informasi selengkapnya, lihat Gambaran Umum Windows Autopilot.
- Pendaftaran massal - Pendaftaran massal memungkinkan administrator yang didorong Microsoft Entra bergabung dengan menggunakan alat provisi massal untuk mengonfigurasi perangkat. Untuk informasi selengkapnya, lihat Pendaftaran massal untuk perangkat Windows.
Berikut perbandingan dari ketiga pendekatan ini
| Elemen | Penyetelan layanan mandiri | Windows Autopilot | Pendaftaran massal |
|---|---|---|---|
| Mengharuskan interaksi pengguna untuk menyiapkan | Ya | Ya | Tidak |
| Perlu upaya IT | Tidak | Ya | Ya |
| Alur yang berlaku | Pengaturan & OOBE | Hanya OOBE | Hanya OOBE |
| Hak admin lokal untuk pengguna utama | Ya, secara default | Dapat dikonfigurasi | Tidak |
| Memerlukan dukungan OEM perangkat | Tidak | Ya | Tidak |
| Versi yang didukung | 1511+ | 1709+ | 1703+ |
Pilih pendekatan atau pendekatan penyebaran dengan meninjau tabel sebelumnya dan meninjau pertimbangan berikut untuk mengadopsi salah satu pendekatan:
- Apakah pengguna Anda paham teknologi untuk melalui pengaturan itu sendiri?
- Layanan mandiri dapat bekerja paling baik untuk pengguna ini. Pertimbangkan Windows Autopilot untuk meningkatkan pengalaman pengguna.
- Apakah pengguna Anda terpencil atau dalam tempat perusahaan?
- Layanan mandiri atau Autopilot berfungsi paling baik untuk pengguna jarak jauh untuk pengaturan yang bebas rumit.
- Apakah Anda lebih suka pengguna yang didorong atau konfigurasi yang dikelola admin?
- Pendaftaran massal berfungsi lebih baik untuk penyebaran yang didukung admin untuk menyiapkan perangkat sebelum menyerahkannya kepada pengguna.
- Apakah Anda membeli perangkat dari 1-2 OEMS, atau apakah Anda memiliki distribusi perangkat OEM yang luas?
- Jika membeli dari OEM terbatas yang juga mendukung Autopilot, Anda dapat memperoleh manfaat dari integrasi yang lebih ketat dengan Autopilot.
Mengonfigurasi pengaturan perangkat Anda
Pusat admin Microsoft Entra memungkinkan Anda mengontrol penyebaran perangkat yang bergabung Microsoft Entra di organisasi Anda. Untuk mengonfigurasi pengaturan terkait, telusuri pengaturanPerangkatIdentitas>Semua Perangkat>>. Pelajari lebih lanjut
Pengguna dapat menggabungkan perangkat ke ID Microsoft Entra
Atur opsi ini ke Semua atau Dipilih berdasarkan cakupan penyebaran Anda dan siapa yang ingin Anda siapkan perangkat Microsoft Entra bergabung.
Administrator lokal tambahan di perangkat Microsoft Entra bergabung
Pilih Dipilih dan pilih pengguna yang ingin Anda tambahkan ke grup administrator lokal di semua perangkat yang bergabung Microsoft Entra.
Memerlukan autentikasi multifaktor (MFA) untuk menggabungkan perangkat
Pilih "Ya jika Anda mengharuskan pengguna untuk melakukan MFA saat menggabungkan perangkat ke ID Microsoft Entra.
Rekomendasi: Gunakan tindakan pengguna Daftarkan atau gabungkan perangkat di Akses Bersyarat untuk memberlakukan MFA untuk bergabung dengan perangkat.
Konfigurasikan pengaturan mobilitas Anda
Sebelum dapat mengonfigurasi pengaturan mobilitas, Anda mungkin harus menambahkan penyedia MDM, terlebih dahulu.
Untuk menambahkan penyedia MDM:
Pada halaman ID Microsoft Entra, di bagian Kelola, pilih
Mobility (MDM and MAM).Pilih Tambahkan aplikasi.
Pilih penyedia MDM Anda dari daftar.
Pilih penyedia MDM Anda untuk mengonfigurasi pengaturan terkait.
Lingkup pengguna MDM
Pilih Beberapa atau Semua berdasarkan lingkup penyebaran Anda.
Berdasarkan lingkup Anda, salah satu hal berikut ini terjadi:
- Pengguna berada dalam cakupan MDM: Jika Anda memiliki langganan Microsoft Entra ID P1 atau P2, pendaftaran MDM diotomatisasi bersama dengan gabungan Microsoft Entra. Semua pengguna tercakup harus memiliki lisensi yang sesuai untuk MDM Anda. Jika pendaftaran MDM gagal dalam skenario ini, Microsoft Entra bergabung juga akan digulung balik.
- Pengguna tidak berada dalam cakupan MDM: Jika pengguna tidak berada dalam cakupan MDM, Microsoft Entra gabungan selesai tanpa pendaftaran MDM. Cakupan ini menghasilkan perangkat yang terkelola.
URL MDM
Ada tiga URL yang terkait dengan konfigurasi MDM Anda:
- URL ketentuan penggunaan MDM
- URL pencarian MDM
- URL kesesuaian MDM
Setiap URL memiliki nilai default yang telah ditentukan sebelumnya. Jika bidang ini kosong, hubungi penyedia MDM Anda untuk informasi selengkapnya.
Pengaturan MAM
MAM tidak berlaku untuk gabungan Microsoft Entra.
Konfigurasikan Roaming Status Perusahaan
Jika Anda ingin mengaktifkan roaming status ke ID Microsoft Entra sehingga pengguna dapat menyinkronkan pengaturan mereka di seluruh perangkat, lihat Mengaktifkan Enterprise State Roaming di ID Microsoft Entra.
Rekomendasi: Aktifkan pengaturan ini bahkan untuk Microsoft Entra perangkat gabungan hibrid.
Mengonfigurasi Akses Bersyarat
Jika Anda memiliki penyedia MDM yang dikonfigurasi untuk perangkat Microsoft Entra bergabung, penyedia menandai perangkat sebagai sesuai segera setelah perangkat berada di bawah manajemen.
Anda dapat menggunakan implementasi ini untuk memerlukan perangkat terkelola untuk akses aplikasi cloud dengan Akses Bersyarat.