Merencanakan penyebaran perangkat Microsoft Entra Anda
Artikel ini membantu Anda mengevaluasi metode untuk mengintegrasikan perangkat Anda dengan ID Microsoft Entra, memilih rencana implementasi, dan menyediakan tautan utama ke alat manajemen perangkat yang didukung.
Lanskap perangkat pengguna Anda terus berkembang. Organisasi dapat menyediakan desktop, laptop, ponsel, tablet, dan perangkat lainnya. Pengguna Anda dapat membawa beragam perangkat mereka sendiri, dan mengakses informasi dari lokasi yang bervariasi. Dalam lingkungan ini, tugas Anda sebagai administrator adalah menjaga keamanan sumber daya organisasi Anda di semua perangkat.
Microsoft Entra ID memungkinkan organisasi Anda memenuhi tujuan ini dengan manajemen identitas perangkat. Anda sekarang bisa mendapatkan perangkat Anda di ID Microsoft Entra dan mengontrolnya dari lokasi pusat di portal Azure. Proses ini memberi Anda pengalaman terpadu, keamanan yang ditingkatkan, dan mengurangi waktu yang diperlukan untuk mengonfigurasi perangkat baru.
Ada beberapa metode untuk mengintegrasikan perangkat Anda ke dalam ID Microsoft Entra, mereka dapat bekerja secara terpisah atau bersama-sama berdasarkan sistem operasi dan kebutuhan Anda:
- Anda dapat mendaftarkan perangkat dengan ID Microsoft Entra.
- Gabungkan perangkat ke ID Microsoft Entra (khusus cloud).
- Microsoft Entra perangkat gabungan hibrid ke domain Active Directory lokal dan ID Microsoft Entra Anda.
Learn
Sebelum memulai, pastikan Anda terbiasa dengan ikhtisar manajemen identitas perangkat.
Keuntungan
Manfaat utama memberi perangkat Anda identitas Microsoft Entra:
Meningkatnya produktivitas – Pengguna dapat melakukan akses menyeluruh (SSO) ke sumber daya lokal dan cloud Anda, memungkinkan produktivitas di mana pun pengguna berada.
Meningkatnya keamanan – Menerapkan kebijakan Akses Bersyarat ke sumber daya berdasarkan identitas perangkat atau pengguna. Bergabung dengan perangkat ke ID Microsoft Entra adalah prasyarat untuk meningkatkan keamanan Anda dengan strategi Tanpa Kata Sandi.
Meningkatnya pengalaman pengguna - Memberikan pengguna Anda akses mudah ke sumber daya berbasis cloud organisasi dari perangkat pribadi dan perusahaan. Administrator dapat mengaktifkan Enterprise State Roaming untuk pengalaman terpadu di semua perangkat Windows.
Menyederhanakan penyebaran dan manajemen – Menyederhanakan proses membawa perangkat ke ID Microsoft Entra dengan Windows Autopilot, provisi massal, atau layanan mandiri: Out of Box Experience (OOBE). Kelola perangkat dengan alat Mobile Manajemen Perangkat (MDM) seperti Microsoft Intune, dan identitasnya di portal Azure.
Merencanakan proyek penerapan
Pertimbangkan kebutuhan organisasi Anda saat Anda menentukan strategi penerapan ini di lingkungan Anda.
Melibatkan pemangku kepentingan yang tepat
Ketika proyek teknologi gagal, biasanya dikarenakan harapan yang tidak sesuai dengan dampak, hasil, dan tanggung jawab. Untuk menghindari jebakan ini, pastikan Anda melibatkan pemangku kepentingan yang tepat, dan bahwa peran pemangku kepentingan dalam proyek dipahami dengan baik.
Untuk rencana ini, tambahkan pemangku kepentingan berikut ke daftar Anda:
| Peran | Deskripsi |
|---|---|
| Admin perangkat | Perwakilan dari tim keamanan yang dapat memastikan bahwa rencana tersebut akan memenuhi persyaratan keamanan organisasi Anda. |
| Administrator jaringan | Perwakilan dari tim jaringan yang dapat memastikan untuk memenuhi persyaratan jaringan. |
| Tim manajemen perangkat | Tim yang mengelola inventaris perangkat. |
| Tim admin khusus OS | Tim yang mendukung dan mengelola versi OS tertentu. Misalnya, mungkin ada tim yang berfokus pada Mac atau iOS. |
Merencanakan komunikasi
Komunikasi sangat penting untuk keberhasilan layanan baru apa pun. Beri tahu pengguna secara proaktif tentang bagaimana pengalaman mereka akan berubah, kapan hal ini akan berubah, dan cara mendapatkan bantuan jika mereka mengalami masalah.
Merencanakan pilot
Kami menyarankan agar konfigurasi awal metode integrasi Anda berada di lingkungan pengujian, atau dengan sekelompok kecil perangkat pengujian. Lihat Praktik terbaik untuk pilot (uji coba).
Anda mungkin ingin melakukan penyebaran gabungan hibrid Microsoft Entra yang ditargetkan sebelum mengaktifkannya di seluruh organisasi.
Peringatan
Organisasi harus menyertakan sampel pengguna dari berbagai peran dan profil dalam kelompok pilot mereka. Peluncuran yang ditargetkan akan membantu mengidentifikasi masalah apa pun yang mungkin belum ditangani oleh rencana Anda sebelum mengaktifkannya untuk seluruh organisasi.
Pilih metode integrasi Anda
Organisasi Anda dapat menggunakan beberapa metode integrasi perangkat dalam satu penyewa Microsoft Entra. Tujuannya adalah untuk memilih metode yang cocok untuk mengelola perangkat Anda dengan aman dalam ID Microsoft Entra. Ada banyak parameter yang mendorong keputusan ini termasuk kepemilikan, jenis perangkat, audiens utama, dan infrastruktur organisasi Anda.
Informasi berikut ini dapat membantu Anda memutuskan metode integrasi mana yang akan digunakan.
Pohon keputusan untuk integrasi perangkat
Gunakan pohon ini untuk menentukan opsi untuk perangkat milik organisasi.
Catatan
Skenario perangkat pribadi atau bawa sendiri (BYOD) tidak digambarkan dalam diagram ini. Mereka selalu menghasilkan pendaftaran Microsoft Entra.
Matriks perbandingan
Perangkat iOS dan Android hanya dapat Microsoft Entra terdaftar. Tabel berikut menyajikan pertimbangan tingkat tinggi untuk perangkat klien Windows. Gunakan sebagai gambaran umum, lalu jelajahi berbagai metode integrasi secara rinci.
| Pertimbangan | Microsoft Entra terdaftar | Microsoft Entra bergabung | Microsoft Entra gabungan hibrid |
|---|---|---|---|
| Sistem operasi klien | |||
| Perangkat Windows 11 atau Windows 10 |  |
|
|
| Perangkat tingkat bawah Windows (Windows 8.1 atau Windows 7) | |
||
| Linux Desktop - Ubuntu 20.04/22.04 | |
||
| Opsi masuk | |||
| Kredensial lokal pengguna akhir | |
||
| Kata sandi | |
|
|
| PIN Perangkat | |
||
| Windows Hello | |
||
| Windows Hello untuk Bisnis | |
|
|
| Kunci keamanan FIDO 2.0 | |
|
|
| Aplikasi Microsoft Authenticator (Tanpa Kata Sandi) | |
|
|
| Kemampuan utama | |||
| SSO ke sumber daya cloud | |
|
|
| SSO ke sumber daya lokal | |
|
|
| Akses Bersyarat (Memerlukan perangkat ditandai sebagai sesuai) (Harus dikelola oleh MDM) |
|
|
|
| Akses Bersyarat (Memerlukan perangkat gabungan hibrid Microsoft Entra) |
|
||
| Pengaturan ulang kata sandi mandiri dari layar masuk Windows | |
|
|
| Pengaturan ulang PIN Windows Hello | |
|
Pendaftaran Microsoft Entra
Perangkat terdaftar sering dikelola dengan Microsoft Intune. Perangkat didaftarkan di Intune dengan sejumlah cara, tergantung pada sistem operasinya.
Microsoft Entra perangkat terdaftar menyediakan dukungan untuk Bring Your Own Devices (BYOD) dan perangkat milik perusahaan ke SSO ke sumber daya cloud. Akses ke sumber daya didasarkan pada kebijakan Akses Bersyar Microsoft Entra yang diterapkan ke perangkat dan pengguna.
Mendaftarkan perangkat
Perangkat terdaftar sering dikelola dengan Microsoft Intune. Perangkat didaftarkan di Intune dengan sejumlah cara, tergantung pada sistem operasinya.
BYOD dan perangkat seluler milik perusahaan didaftarkan oleh pengguna yang menginstal aplikasi portal Perusahaan.
Jika mendaftarkan perangkat Anda adalah opsi terbaik untuk organisasi Anda, lihat sumber daya berikut ini:
- Gambaran umum perangkat Microsoft Entra terdaftar ini.
- Dokumentasi pengguna akhir ini di Daftarkan perangkat pribadi Anda di jaringan organisasi Anda.
gabungan Microsoft Entra
Microsoft Entra join memungkinkan Anda beralih ke model cloud-first dengan Windows. Ini memberikan fondasi yang bagus jika Anda berencana untuk memodernisasi manajemen perangkat Anda dan mengurangi biaya IT terkait perangkat. Microsoft Entra gabungan hanya berfungsi dengan Windows 10 atau perangkat yang lebih baru. Anggap saja sebagai pilihan pertama untuk perangkat baru.
Microsoft Entra perangkat yang bergabung dapat SSO ke sumber daya lokal saat berada di jaringan organisasi, dapat mengautentikasi ke server lokal seperti file, cetak, dan aplikasi lainnya.
Jika ini adalah opsi terbaik untuk organisasi Anda, lihat sumber daya berikut ini:
- Gambaran umum perangkat Microsoft Entra bergabung ini.
- Biasakan diri Anda dengan rencana implementasi gabungan Microsoft Entra.
Memprovisikan perangkat yang bergabung Microsoft Entra
Untuk memprovisikan perangkat untuk Microsoft Entra bergabung, Anda memiliki pendekatan berikut:
- Layanan Mandiri: Pengalaman menjalankan pertama Windows 10
Jika Anda memiliki Windows 10 Professional atau Windows 10 Enterprise yang diinstal pada perangkat, pengalaman default ke proses pengaturan untuk perangkat milik perusahaan.
- Windows Out of Box Experience (OOBE) atau dari Pengaturan Windows
- Windows Autopilot
- Pendaftaran Massal
Pilih prosedur penyebaran Anda setelah perbandingan yang cermat dari pendekatan ini.
Anda dapat menentukan bahwa gabungan Microsoft Entra adalah solusi terbaik untuk perangkat dalam keadaan yang berbeda. Tabel berikut menunjukkan cara mengubah status perangkat.
| Status perangkat saat ini | Status perangkat yang diinginkan | Bagaimana |
|---|---|---|
| Domain Lokal yang tergabung | Microsoft Entra bergabung | Batal bergabung dengan perangkat dari domain lokal sebelum bergabung ke ID Microsoft Entra. |
| Microsoft Entra gabungan hibrid | Microsoft Entra bergabung | Batal bergabung dengan perangkat dari domain lokal dan dari ID Microsoft Entra sebelum bergabung ke ID Microsoft Entra. |
| Microsoft Entra terdaftar | Microsoft Entra bergabung | Batalkan pendaftaran perangkat sebelum bergabung ke ID Microsoft Entra. |
gabungan hibrid Microsoft Entra
Jika Anda memiliki lingkungan Active Directory lokal dan ingin bergabung dengan komputer yang bergabung dengan domain yang ada ke ID Microsoft Entra, Anda dapat menyelesaikan tugas ini dengan gabungan hibrid Microsoft Entra. Ini mendukung berbagai perangkat Windows, termasuk perangkat Windows saat ini dan Windows tingkat bawah.
Sebagian besar organisasi sudah memiliki perangkat yang bergabung dengan domain dan mengelolanya melalui Kebijakan Grup atau System Center Configuration Manager (SCCM). Dalam hal ini, sebaiknya konfigurasikan Microsoft Entra hybrid join untuk mulai mendapatkan manfaat saat menggunakan investasi yang ada.
Jika Microsoft Entra gabungan hibrid adalah opsi terbaik untuk organisasi Anda, lihat sumber daya berikut ini:
- Gambaran umum perangkat gabungan Microsoft Entra hibrid ini.
- Biasakan diri Anda dengan rencana implementasi gabungan hibrid Microsoft Entra.
Provisi Microsoft Entra gabungan hibrid ke perangkat Anda
Tinjau infrastruktur identitas Anda. Microsoft Entra Connect memberi Anda wizard untuk mengonfigurasi gabungan hibrid Microsoft Entra untuk:
Jika menginstal versi Microsoft Entra Connect yang diperlukan bukanlah opsi untuk Anda, lihat cara mengonfigurasi gabungan hibrid Microsoft Entra secara manual.
Catatan
Windows 10 yang bergabung dengan domain lokal atau perangkat yang lebih baru mencoba bergabung secara otomatis ke ID Microsoft Entra untuk menjadi Microsoft Entra digabungkan secara default. Ini hanya akan berhasil jika Anda telah menyiapkan lingkungan yang tepat.
Anda dapat menentukan bahwa Microsoft Entra gabungan hibrid adalah solusi terbaik untuk perangkat dalam keadaan yang berbeda. Tabel berikut menunjukkan cara mengubah status perangkat.
| Status perangkat saat ini | Status perangkat yang diinginkan | Bagaimana |
|---|---|---|
| Domain Lokal yang tergabung | Microsoft Entra gabungan hibrid | Gunakan Microsoft Entra Connect atau AD FS untuk bergabung ke Azure. |
| Grup kerja lokal bergabung atau baru | Microsoft Entra gabungan hibrid | Didukung dengan Windows Autopilot. Jika tidak, perangkat harus bergabung dengan domain lokal sebelum Microsoft Entra gabungan hibrid. |
| Microsoft Entra bergabung | Microsoft Entra gabungan hibrid | Batal bergabung dari ID Microsoft Entra, yang menempatkannya di grup kerja lokal atau status baru. |
| Microsoft Entra terdaftar | Microsoft Entra gabungan hibrid | Bergantung pada versi Windows. Lihat pertimbangan ini. |
Mengelola perangkat Anda
Setelah mendaftarkan atau menggabungkan perangkat ke ID Microsoft Entra, gunakan portal Azure sebagai tempat terpusat untuk mengelola identitas perangkat Anda. Halaman perangkat Microsoft Entra memungkinkan Anda untuk:
- Mengonfigurasi pengaturan perangkat Anda.
- Anda perlu menjadi administrator lokal untuk mengelola perangkat Windows. Microsoft Entra ID memperbarui keanggotaan ini untuk perangkat yang bergabung Microsoft Entra, secara otomatis menambahkan pengguna dengan peran manajer perangkat sebagai administrator ke semua perangkat yang bergabung.
Pastikan Anda menjaga kebersihan lingkungan dengan mengelola perangkat kedaluwarsa, dan memfokuskan sumber daya Anda pada pengelolaan perangkat saat ini.
Alat manajemen perangkat yang didukung
Administrator dapat mengamankan dan mengontrol lebih lanjut perangkat yang terdaftar dan bergabung menggunakan alat manajemen perangkat lainnya. Alat-alat ini memberi Anda cara untuk menerapkan konfigurasi seperti mengharuskan penyimpanan dienkripsi, kompleksitas kata sandi, instalasi perangkat lunak, dan pembaruan perangkat lunak.
Tinjau platform yang didukung dan tidak didukung untuk perangkat terintegrasi:
| Alat manajemen perangkat | Microsoft Entra terdaftar | Microsoft Entra bergabung | Microsoft Entra gabungan hibrid |
|---|---|---|---|
| Manajemen Perangkat Seluler (MDM) Contoh: Microsoft Intune |
|
|
|
| Manajemen bersama dengan Microsoft Intune dan Microsoft Configuration Manager (Windows 10 atau yang lebih baru) |
|
|
|
| Kebijakan grup (Hanya Windows) |
|
Kami menyarankan agar Anda mempertimbangkan manajemen Aplikasi Seluler (MAM) Microsoft Intune dengan atau tanpa manajemen perangkat untuk perangkat iOS atau Android yang terdaftar.
Administrator juga dapat menerapkan platform infrastruktur desktop virtual (VDI) yang menghosting sistem operasi Windows di organisasi mereka untuk merampingkan manajemen dan mengurangi biaya melalui konsolidasi dan sentralisasi sumber daya.