Mengonfigurasi dan mengelola pendaftaran perangkat
Dengan proliferasi perangkat dari semua bentuk dan ukuran dan proliferasi bring-your-own-device (BYOD), profesional TI dihadapkan dengan dua tujuan yang agak berlawanan:
- Memungkinkan pengguna akhir menjadi produktif di mana pun dan kapan pun serta di perangkat apa pun
- Melindungi aset organisasi
Untuk melindungi aset ini, staf TI perlu mengelola identitas perangkat terlebih dahulu. Staf TI dapat membangun identitas perangkat dengan alat seperti Microsoft Intune untuk memastikan standar keamanan dan kepatuhan terpenuhi. MICROSOFT Entra ID memungkinkan akses menyeluruh ke perangkat, aplikasi, dan layanan dari mana saja melalui perangkat ini.
- Pengguna Anda mendapatkan akses ke aset organisasi Anda yang mereka perlukan.
- Staf TI Anda mendapatkan kontrol yang mereka butuhkan untuk mengamankan organisasi Anda.
Perangkat terdaftar Microsoft Entra
Tujuan dari perangkat terdaftar Microsoft Entra adalah untuk memberi pengguna Anda dukungan untuk skenario BYOD atau perangkat seluler. Dalam skenario ini, pengguna dapat mengakses sumber daya yang dikontrol ID Microsoft Entra organisasi Anda menggunakan perangkat pribadi.
| Terdaftar Microsoft Entra | Keterangan |
|---|---|
| Definisi | Terdaftar ke ID Microsoft Entra tanpa memerlukan akun organisasi untuk masuk ke perangkat |
| Audiens utama | Berlaku untuk Bring your own device (BYOD), dan Perangkat seluler |
| Kepemilikan perangkat | Pengguna atau Organisasi |
| Sistem operasi | Windows 10, Windows 11, iOS, Android, dan macOS |
| Opsi masuk perangkat | Kredensial lokal pengguna akhir, Kata Sandi, Windows Hello, Biometrik PIN |
| Manajemen perangkat | Manajemen Perangkat Bergerak (misalnya: Microsoft Intune) |
| Kapabilitas utama | Akses menyeluruh ke sumber daya cloud, Akses Bersyarat |
Perangkat terdaftar Microsoft Entra masuk menggunakan akun lokal seperti akun Microsoft di perangkat Windows 10, tetapi juga memiliki akunMicrosoft Entra yang terpasang untuk akses ke sumber daya organisasi. Akses ke sumber daya dalam organisasi dapat dibatasi lebih lanjut berdasarkan akun Microsoft Entra dan kebijakan Akses Bersyar yang diterapkan ke identitas perangkat.
Administrator dapat mengamankan dan mengontrol lebih lanjut perangkat terdaftar Microsoft Entra ini menggunakan alat Mobile Manajemen Perangkat (MDM) seperti Microsoft Intune. MDM menyediakan sarana untuk menerapkan konfigurasi yang diperlukan organisasi seperti mengharuskan penyimpanan dienkripsi, kompleksitas kata sandi, dan perangkat lunak keamanan tetap diperbarui.
Pendaftaran ID Microsoft Entra dapat dicapai saat mengakses aplikasi kerja untuk pertama kalinya atau secara manual menggunakan menu Windows 10 Pengaturan.
Skenario untuk perangkat terdaftar
Pengguna di organisasi Anda ingin mengakses alat untuk email, melaporkan waktu libur, dan pendaftaran manfaat dari PC rumah mereka. Organisasi Anda memiliki alat ini di balik kebijakan Akses Bersyarat yang memerlukan akses dari perangkat yang sesuai Intune. Pengguna menambahkan akun organisasi mereka dan mendaftarkan PC rumah mereka dengan ID Microsoft Entra dan kebijakan Intune yang diperlukan diberlakukan memberi pengguna akses ke sumber daya mereka.
Pengguna lain ingin mengakses email organisasi mereka di ponsel Android pribadi mereka yang telah di-root. Perusahaan Anda memerlukan perangkat yang sesuai dan telah membuat kebijakan kepatuhan Intune untuk memblokir perangkat yang berakar. Karyawan dihentikan dari mengakses sumber daya organisasi di perangkat ini.
Perangkat gabungan Microsoft Entra
Gabungan Microsoft Entra ditujukan untuk organisasi yang ingin menjadi cloud-first atau hanya cloud. Organisasi apa pun dapat menyebarkan perangkat yang bergabung dengan Microsoft Entra terlepas dari ukuran atau industrinya. Gabungan Microsoft Entra memungkinkan akses ke aplikasi dan sumber daya cloud dan lokal.
| Gabungan Microsoft Entra | Keterangan |
|---|---|
| Definisi | Bergabung hanya ke MICROSOFT Entra ID yang memerlukan akun organisasi untuk masuk ke perangkat |
| Audiens utama | Cocok untuk organisasi khusus cloud dan hibrida |
| Kepemilikan perangkat | Organization |
| Sistem operasi | Semua perangkat Windows 10 & 11 kecuali Windows 10/11 Home |
| Manajemen perangkat | Manajemen Perangkat Bergerak (misalnya: Microsoft Intune) |
| Kapabilitas utama | Akses menyeluruh ke sumber daya cloud dan lokal, Akses Bersyarat, Pengaturan Ulang Kata Sandi Mandiri, dan pengaturan ulang PIN Windows Hello |
Perangkat yang bergabung dengan Microsoft Entra masuk menggunakan akun Microsoft Entra organisasi. Akses ke sumber daya dalam organisasi dapat dibatasi lebih lanjut berdasarkan akun Microsoft Entra dan kebijakan Akses Bersyar yang diterapkan ke identitas perangkat.
Administrator dapat mengamankan dan mengontrol lebih lanjut perangkat yang bergabung dengan Microsoft Entra menggunakan alat Mobile Manajemen Perangkat (MDM) seperti Microsoft Intune atau dalam skenario manajemen bersama menggunakan Microsoft Endpoint Configuration Manager. Alat ini menyediakan sarana untuk menerapkan konfigurasi yang diperlukan organisasi seperti mengharuskan penyimpanan dienkripsi, kompleksitas kata sandi, instalasi perangkat lunak, dan pembaruan perangkat lunak. Administrator dapat membuat aplikasi organisasi tersedia untuk perangkat yang bergabung dengan Microsoft Entra menggunakan Configuration Manager.
Gabungan Microsoft Entra dapat dicapai menggunakan opsi layanan mandiri seperti Pengalaman Di Luar Kotak (OOBE), pendaftaran massal, atau Windows Autopilot.
Perangkat yang bergabung dengan Microsoft Entra masih dapat mempertahankan akses akses menyeluruh ke sumber daya lokal saat berada di jaringan organisasi. Perangkat gabungan Microsoft Entra mengautentikasi ke server lokal seperti untuk file, cetak, dan aplikasi lainnya.
Skenario untuk perangkat yang digabungkan
Meskipun gabungan Microsoft Entra terutama ditujukan untuk organisasi yang tidak memiliki infrastruktur Windows Server Active Directory lokal, Anda pasti dapat menggunakannya dalam skenario di mana:
- Anda ingin beralih ke infrastruktur berbasis cloud menggunakan MICROSOFT Entra ID dan MDM seperti Intune.
- Anda tidak bisa menggunakan gabungan domain lokal, misalnya, jika Anda perlu mendapatkan perangkat seluler seperti tablet dan telepon di bawah kontrol.
- Pengguna Anda terutama perlu mengakses Microsoft 365 atau aplikasi SaaS lainnya yang terintegrasi dengan ID Microsoft Entra.
- Anda ingin mengelola sekelompok pengguna di ID Microsoft Entra alih-alih di Direktori Aktif. Skenario ini dapat berlaku, misalnya, untuk pekerja musiman, kontraktor, atau siswa.
- Anda ingin menyediakan kapabilitas gabungan kepada pekerja di kantor cabang jarak jauh dengan infrastruktur lokal terbatas.
Anda dapat mengonfigurasi perangkat yang bergabung dengan Microsoft Entra untuk semua perangkat Windows 10 dengan pengecualian Windows 10 Home.
Tujuan perangkat yang bergabung dengan Microsoft Entra adalah untuk menyederhanakan:
- Penyebaran Windows perangkat milik kerja
- Akses ke aplikasi dan sumber daya organisasi dari perangkat Windows apa pun
- Manajemen berbasis cloud dari perangkat milik kerja
- Pengguna untuk masuk ke perangkat mereka dengan ID Microsoft Entra atau akun kerja atau sekolah Direktori Aktif yang disinkronkan.
Microsoft Entra Join dapat disebarkan dengan menggunakan sejumlah metode yang berbeda.
Perangkat gabungan Microsoft Entra hibrid
Selama lebih dari satu dekade, banyak organisasi telah menggunakan gabungan domain ke Active Directory lokal mereka untuk mengaktifkan:
- Departemen TI untuk mengelola perangkat milik kerja dari lokasi pusat.
- Pengguna untuk masuk ke perangkat mereka dengan akun kerja atau sekolah Active Directory mereka.
Biasanya, organisasi dengan jejak lokal mengandalkan metode pencitraan untuk mengonfigurasi perangkat, dan mereka sering menggunakan Configuration Manager atau kebijakan grup (GP) untuk mengelolanya.
Jika lingkungan Anda memiliki jejak AD lokal dan Anda juga ingin mendapatkan manfaat dari kemampuan yang disediakan oleh ID Microsoft Entra, Anda dapat menerapkan perangkat gabungan Microsoft Entra hibrid. Perangkat ini adalah perangkat yang bergabung ke Active Directory lokal Anda dan terdaftar di direktori Microsoft Entra Anda.
| Microsoft Entra hibrid bergabung | Keterangan |
|---|---|
| Definisi | Bergabung ke AD lokal dan MICROSOFT Entra ID yang memerlukan akun organisasi untuk masuk ke perangkat |
| Audiens utama | Cocok untuk organisasi hibrid dengan infrastruktur AD lokal yang sudah ada |
| Kepemilikan perangkat | Organization |
| Sistem operasi | Windows 11, 10, 8.1 dan 7, bersama dengan Windows Server 2008/R2, 2012/R2, 2016 dan 2019 |
| Opsi masuk perangkat | Kata sandi atau Windows Hello untuk Bisnis |
| Manajemen perangkat | Kebijakan Grup, Configuration Manager mandiri atau manajemen bersama dengan Microsoft Intune |
| Kapabilitas utama | Akses menyeluruh ke sumber daya cloud dan lokal, Akses Bersyarat, Pengaturan Ulang Kata Sandi Mandiri, dan pengaturan ulang PIN Windows Hello |
Skenario untuk gabungan hibrid
Gunakan perangkat gabungan hibrid Microsoft Entra jika:
- Anda memiliki aplikasi WIN32 yang disebarkan ke perangkat ini yang mengandalkan autentikasi mesin Direktori Aktif.
- Anda ingin terus menggunakan Kebijakan Grup untuk mengelola konfigurasi perangkat.
- Anda ingin terus menggunakan solusi pencitraan yang sudah ada untuk menyebarkan dan mengonfigurasi perangkat.
- Anda harus mendukung perangkat Windows 7 dan 8.1 tingkat bawah selain Windows 10.
Tulis Balik Perangkat
Dalam konfigurasi ID Microsoft Entra berbasis cloud, perangkat hanya terdaftar di ID Microsoft Entra. AD lokal Anda tidak memiliki visibilitas perangkat. Hal ini berarti bahwa akses bersyarat di cloud mudah diatur dan dirawat. Namun, di bagian ini kita membahas penyiapan hibrid dengan Microsoft Entra Koneksi. Bagaimana Anda dapat melakukan akses bersyar lokal menggunakan perangkat, jika hanya ada di ID Microsoft Entra? Tulis balik perangkat membantu Anda melacak perangkat yang terdaftar dengan ID Microsoft Entra di AD. Anda akan memiliki salinan objek perangkat dalam kontainer "Perangkat Terdaftar"
Skenario: Anda memiliki aplikasi yang ingin Anda berikan akses ke pengguna hanya jika mereka berasal dari perangkat terdaftar.
Cloud: Anda dapat menulis kebijakan Akses Bersyarah untuk aplikasi terintegrasi Microsoft Entra apa pun untuk mengotorisasi berdasarkan apakah perangkat bergabung ke ID Microsoft Entra atau tidak.
Lokal: Ini tidak dimungkinkan tanpa tulis balik perangkat. Jika aplikasi terintegrasi dengan ADFS (2012 atau lebih tinggi) maka Anda dapat menulis aturan klaim untuk memeriksa status perangkat lalu menyediakan akses hanya jika klaim "dikelola" ada. Untuk mengeluarkan klaim ini, ADFS akan memeriksa objek perangkat dalam kontainer "Perangkat Terdaftar" lalu mengeluarkan klaim sesuai permintaan.
Windows Hello For Business (WHFB) mengharuskan tulis balik perangkat berfungsi dalam skenario Hibrid dan Federasi.