Merencanakan penyebaran perangkat Microsoft Entra Anda

Artikel ini membantu Anda mengevaluasi metode untuk mengintegrasikan perangkat Anda dengan ID Microsoft Entra, memilih rencana implementasi, dan menyediakan tautan utama ke alat manajemen perangkat yang didukung.

Lanskap perangkat pengguna Anda terus berkembang. Organisasi dapat menyediakan desktop, laptop, ponsel, tablet, dan perangkat lainnya. Pengguna Anda dapat membawa beragam perangkat mereka sendiri, dan mengakses informasi dari lokasi yang bervariasi. Dalam lingkungan ini, tugas Anda sebagai administrator adalah menjaga keamanan sumber daya organisasi Anda di semua perangkat.

Microsoft Entra ID memungkinkan organisasi Anda memenuhi tujuan ini dengan manajemen identitas perangkat. Sekarang Anda bisa mendapatkan perangkat Anda di ID Microsoft Entra dan mengontrolnya dari lokasi pusat di pusat admin Microsoft Entra. Proses ini memberi Anda pengalaman terpadu, keamanan yang ditingkatkan, dan mengurangi waktu yang diperlukan untuk mengonfigurasi perangkat baru.

Ada beberapa metode untuk mengintegrasikan perangkat Anda ke dalam ID Microsoft Entra, mereka dapat bekerja secara terpisah atau bersama-sama berdasarkan sistem operasi dan kebutuhan Anda:

Learn

Sebelum memulai, pastikan Anda terbiasa dengan ikhtisar manajemen identitas perangkat.

Keuntungan

Manfaat utama memberi perangkat Anda identitas Microsoft Entra:

  • Meningkatnya produktivitas – Pengguna dapat melakukan akses menyeluruh (SSO) ke sumber daya lokal dan cloud Anda, memungkinkan produktivitas di mana pun pengguna berada.

  • Meningkatnya keamanan – Menerapkan kebijakan Akses Bersyarat ke sumber daya berdasarkan identitas perangkat atau pengguna. Bergabung dengan perangkat ke ID Microsoft Entra adalah prasyarat untuk meningkatkan keamanan Anda dengan strategi Tanpa Kata Sandi.

  • Meningkatnya pengalaman pengguna - Memberikan pengguna Anda akses mudah ke sumber daya berbasis cloud organisasi dari perangkat pribadi dan perusahaan. Administrator dapat mengaktifkan Enterprise State Roaming untuk pengalaman terpadu di semua perangkat Windows.

  • Menyederhanakan penyebaran dan manajemen – Menyederhanakan proses membawa perangkat ke ID Microsoft Entra dengan Windows Autopilot, provisi massal, atau layanan mandiri: Out of Box Experience (OOBE). Kelola perangkat dengan alat Mobile Manajemen Perangkat (MDM) seperti Microsoft Intune, dan identitasnya di pusat admin Microsoft Entra.

Merencanakan proyek penerapan

Pertimbangkan kebutuhan organisasi Anda saat Anda menentukan strategi penerapan ini di lingkungan Anda.

Melibatkan pemangku kepentingan yang tepat

Ketika proyek teknologi gagal, biasanya dikarenakan harapan yang tidak sesuai dengan dampak, hasil, dan tanggung jawab. Untuk menghindari jebakan ini, pastikan Anda melibatkan pemangku kepentingan yang tepat, dan bahwa peran pemangku kepentingan dalam proyek dipahami dengan baik.

Untuk rencana ini, tambahkan pemangku kepentingan berikut ke daftar Anda:

Peran Deskripsi
Admin perangkat Perwakilan dari tim keamanan yang dapat memastikan bahwa rencana tersebut akan memenuhi persyaratan keamanan organisasi Anda.
Administrator jaringan Perwakilan dari tim jaringan yang dapat memastikan untuk memenuhi persyaratan jaringan.
Tim manajemen perangkat Tim yang mengelola inventaris perangkat.
Tim admin khusus OS Tim yang mendukung dan mengelola versi OS tertentu. Misalnya, mungkin ada tim yang berfokus pada Mac atau iOS.

Merencanakan komunikasi

Komunikasi sangat penting untuk keberhasilan layanan baru apa pun. Beri tahu pengguna secara proaktif tentang bagaimana pengalaman mereka akan berubah, kapan hal ini akan berubah, dan cara mendapatkan bantuan jika mereka mengalami masalah.

Merencanakan pilot

Kami menyarankan agar konfigurasi awal metode integrasi Anda berada di lingkungan pengujian, atau dengan sekelompok kecil perangkat pengujian. Lihat Praktik terbaik untuk pilot (uji coba).

Anda mungkin ingin melakukan penyebaran gabungan hibrid Microsoft Entra yang ditargetkan sebelum mengaktifkannya di seluruh organisasi.

Peringatan

Organisasi harus menyertakan sampel pengguna dari berbagai peran dan profil dalam kelompok pilot mereka. Peluncuran yang ditargetkan akan membantu mengidentifikasi masalah apa pun yang mungkin belum ditangani oleh rencana Anda sebelum mengaktifkannya untuk seluruh organisasi.

Pilih metode integrasi Anda

Organisasi Anda dapat menggunakan beberapa metode integrasi perangkat dalam satu penyewa Microsoft Entra. Tujuannya adalah untuk memilih metode yang cocok untuk mengelola perangkat Anda dengan aman dalam ID Microsoft Entra. Ada banyak parameter yang mendorong keputusan ini termasuk kepemilikan, jenis perangkat, audiens utama, dan infrastruktur organisasi Anda.

Informasi berikut ini dapat membantu Anda memutuskan metode integrasi mana yang akan digunakan.

Pohon keputusan untuk integrasi perangkat

Gunakan pohon ini untuk menentukan opsi untuk perangkat milik organisasi.

Catatan

Skenario perangkat pribadi atau bawa sendiri (BYOD) tidak digambarkan dalam diagram ini. Mereka selalu menghasilkan pendaftaran Microsoft Entra.

Pohon keputusan

Matriks perbandingan

Perangkat iOS dan Android hanya dapat Microsoft Entra terdaftar. Tabel berikut menyajikan pertimbangan tingkat tinggi untuk perangkat klien Windows. Gunakan sebagai gambaran umum, lalu jelajahi berbagai metode integrasi secara rinci.

Pertimbangan Microsoft Entra terdaftar Microsoft Entra bergabung Microsoft Entra gabungan hibrid
Sistem operasi klien
Perangkat Windows 11 atau Windows 10 Tanda centang untuk nilai-nilai ini. Tanda centang untuk nilai-nilai ini. Tanda centang untuk nilai-nilai ini.
Perangkat tingkat bawah Windows (Windows 8.1 atau Windows 7) Tanda centang untuk nilai-nilai ini.
Linux Desktop - Ubuntu 20.04/22.04 Tanda centang untuk nilai-nilai ini.
Opsi masuk
Kredensial lokal pengguna akhir Tanda centang untuk nilai-nilai ini.
Kata sandi Tanda centang untuk nilai-nilai ini. Tanda centang untuk nilai-nilai ini. Tanda centang untuk nilai-nilai ini.
PIN Perangkat Tanda centang untuk nilai-nilai ini.
Windows Hello Tanda centang untuk nilai-nilai ini.
Windows Hello untuk Bisnis Tanda centang untuk nilai-nilai ini. Tanda centang untuk nilai-nilai ini.
Kunci keamanan FIDO 2.0 Tanda centang untuk nilai-nilai ini. Tanda centang untuk nilai-nilai ini.
Aplikasi Microsoft Authenticator (Tanpa Kata Sandi) Tanda centang untuk nilai-nilai ini. Tanda centang untuk nilai-nilai ini. Tanda centang untuk nilai-nilai ini.
Kemampuan utama
SSO ke sumber daya cloud Tanda centang untuk nilai-nilai ini. Tanda centang untuk nilai-nilai ini. Tanda centang untuk nilai-nilai ini.
SSO ke sumber daya lokal Tanda centang untuk nilai-nilai ini. Tanda centang untuk nilai-nilai ini.
Akses Bersyarat
(Memerlukan perangkat ditandai sebagai sesuai)
(Harus dikelola oleh MDM)
Tanda centang untuk nilai-nilai ini. Tanda centang untuk nilai-nilai ini. Tanda centang untuk nilai-nilai ini.
Akses Bersyarat
(Memerlukan perangkat gabungan hibrid Microsoft Entra)
Tanda centang untuk nilai-nilai ini.
Pengaturan ulang kata sandi mandiri dari layar masuk Windows Tanda centang untuk nilai-nilai ini. Tanda centang untuk nilai-nilai ini.
Pengaturan ulang PIN Windows Hello Tanda centang untuk nilai-nilai ini. Tanda centang untuk nilai-nilai ini.

Pendaftaran Microsoft Entra

Perangkat terdaftar sering dikelola dengan Microsoft Intune. Perangkat didaftarkan di Intune dengan sejumlah cara, tergantung pada sistem operasinya.

Microsoft Entra perangkat terdaftar memberikan dukungan untuk Bring Your Own Devices (BYOD) dan perangkat milik perusahaan ke SSO ke sumber daya cloud. Akses ke sumber daya didasarkan pada Microsoft Entra kebijakan Akses Bersyarah yang diterapkan pada perangkat dan pengguna.

Mendaftarkan perangkat

Perangkat terdaftar sering dikelola dengan Microsoft Intune. Perangkat didaftarkan di Intune dengan sejumlah cara, tergantung pada sistem operasinya.

BYOD dan perangkat seluler milik perusahaan didaftarkan oleh pengguna yang menginstal aplikasi portal Perusahaan.

Jika mendaftarkan perangkat Anda adalah opsi terbaik untuk organisasi Anda, lihat sumber daya berikut ini:

gabungan Microsoft Entra

Microsoft Entra join memungkinkan Anda beralih ke model cloud-first dengan Windows. Ini memberikan fondasi yang bagus jika Anda berencana untuk memodernisasi manajemen perangkat Anda dan mengurangi biaya IT terkait perangkat. Microsoft Entra bergabung hanya berfungsi dengan perangkat Windows 10 atau yang lebih baru. Anggap saja sebagai pilihan pertama untuk perangkat baru.

Microsoft Entra perangkat yang bergabung dapat SSO ke sumber daya lokal saat berada di jaringan organisasi, dapat mengautentikasi ke server lokal seperti file, cetak, dan aplikasi lainnya.

Jika ini adalah opsi terbaik untuk organisasi Anda, lihat sumber daya berikut ini:

Memprovisikan perangkat yang bergabung Microsoft Entra

Untuk memprovisikan perangkat untuk Microsoft Entra bergabung, Anda memiliki pendekatan berikut:

Jika Anda memiliki Windows 10 Professional atau Windows 10 Enterprise yang diinstal pada perangkat, pengalaman default ke proses pengaturan untuk perangkat milik perusahaan.

Pilih prosedur penyebaran Anda setelah perbandingan yang cermat dari pendekatan ini.

Anda dapat menentukan bahwa gabungan Microsoft Entra adalah solusi terbaik untuk perangkat dalam keadaan yang berbeda. Tabel berikut menunjukkan cara mengubah status perangkat.

Status perangkat saat ini Status perangkat yang diinginkan Bagaimana
Domain Lokal yang tergabung Microsoft Entra bergabung Batal bergabung dengan perangkat dari domain lokal sebelum bergabung ke ID Microsoft Entra.
Microsoft Entra gabungan hibrid Microsoft Entra bergabung Batal bergabung dengan perangkat dari domain lokal dan dari ID Microsoft Entra sebelum bergabung ke ID Microsoft Entra.
Microsoft Entra terdaftar Microsoft Entra bergabung Batalkan pendaftaran perangkat sebelum bergabung ke ID Microsoft Entra.

gabungan hibrid Microsoft Entra

Jika Anda memiliki lingkungan Active Directory lokal dan ingin bergabung dengan komputer yang bergabung dengan domain yang ada ke ID Microsoft Entra, Anda dapat menyelesaikan tugas ini dengan gabungan hibrid Microsoft Entra. Ini mendukung berbagai perangkat Windows, termasuk perangkat Windows saat ini dan Windows tingkat bawah.

Sebagian besar organisasi sudah memiliki perangkat yang bergabung dengan domain dan mengelolanya melalui Kebijakan Grup atau System Center Configuration Manager (SCCM). Dalam hal ini, sebaiknya konfigurasikan Microsoft Entra hybrid join untuk mulai mendapatkan manfaat saat menggunakan investasi yang ada.

Jika Microsoft Entra gabungan hibrid adalah opsi terbaik untuk organisasi Anda, lihat sumber daya berikut ini:

Provisi Microsoft Entra gabungan hibrid ke perangkat Anda

Tinjau infrastruktur identitas Anda. Microsoft Entra Connect memberi Anda wizard untuk mengonfigurasi gabungan hibrid Microsoft Entra untuk:

Jika menginstal versi Microsoft Entra Connect yang diperlukan bukanlah opsi untuk Anda, lihat cara mengonfigurasi Microsoft Entra gabungan hibrid secara manual.

Catatan

Windows 10 yang bergabung dengan domain lokal atau perangkat yang lebih baru mencoba bergabung secara otomatis ke ID Microsoft Entra untuk menjadi gabungan hibrid Microsoft Entra secara default. Ini hanya akan berhasil jika Anda telah menyiapkan lingkungan yang tepat.

Anda dapat menentukan bahwa gabungan hibrid Microsoft Entra adalah solusi terbaik untuk perangkat dalam keadaan yang berbeda. Tabel berikut menunjukkan cara mengubah status perangkat.

Status perangkat saat ini Status perangkat yang diinginkan Bagaimana
Domain Lokal yang tergabung Microsoft Entra gabungan hibrid Gunakan Microsoft Entra Connect atau AD FS untuk bergabung ke Azure.
Grup kerja lokal bergabung atau baru Microsoft Entra gabungan hibrid Didukung dengan Windows Autopilot. Jika tidak, perangkat harus bergabung dengan domain lokal sebelum Microsoft Entra gabungan hibrid.
Microsoft Entra bergabung Microsoft Entra gabungan hibrid Batal bergabung dari ID Microsoft Entra, yang menempatkannya dalam grup kerja lokal atau status baru.
Microsoft Entra terdaftar Microsoft Entra gabungan hibrid Bergantung pada versi Windows. Lihat pertimbangan ini.

Mengelola perangkat Anda

Setelah mendaftarkan atau menggabungkan perangkat ke ID Microsoft Entra, gunakan pusat admin Microsoft Entra sebagai tempat terpusat untuk mengelola identitas perangkat Anda. Halaman perangkat Microsoft Entra memungkinkan Anda untuk:

Pastikan Anda menjaga kebersihan lingkungan dengan mengelola perangkat kedaluwarsa, dan memfokuskan sumber daya Anda pada pengelolaan perangkat saat ini.

Alat manajemen perangkat yang didukung

Administrator dapat mengamankan dan mengontrol lebih lanjut perangkat yang terdaftar dan bergabung menggunakan alat manajemen perangkat lainnya. Alat-alat ini memberi Anda cara untuk menerapkan konfigurasi seperti mengharuskan penyimpanan dienkripsi, kompleksitas kata sandi, instalasi perangkat lunak, dan pembaruan perangkat lunak.

Tinjau platform yang didukung dan tidak didukung untuk perangkat terintegrasi:

Alat manajemen perangkat Microsoft Entra terdaftar Microsoft Entra bergabung Microsoft Entra gabungan hibrid
Manajemen Perangkat Seluler (MDM)
Contoh: Microsoft Intune
Tanda centang untuk nilai-nilai ini. Tanda centang untuk nilai-nilai ini. Tanda centang untuk nilai-nilai ini.
Manajemen bersama dengan Microsoft Intune dan Microsoft Configuration Manager
(Windows 10 atau yang lebih baru)
Tanda centang untuk nilai-nilai ini. Tanda centang untuk nilai-nilai ini.
Kebijakan grup
(Hanya Windows)
Tanda centang untuk nilai-nilai ini.

Kami menyarankan agar Anda mempertimbangkan manajemen Aplikasi Seluler (MAM) Microsoft Intune dengan atau tanpa manajemen perangkat untuk perangkat iOS atau Android yang terdaftar.

Administrator juga dapat menerapkan platform infrastruktur desktop virtual (VDI) yang menghosting sistem operasi Windows di organisasi mereka untuk merampingkan manajemen dan mengurangi biaya melalui konsolidasi dan sentralisasi sumber daya.

Langkah berikutnya