Microsoft Entra aggiunto a e Microsoft Entra ibrido aggiunto agli endpoint nativi del cloud

Articolo
03/06/2024

Consiglio

Durante la lettura degli endpoint nativi del cloud, verranno visualizzati i termini seguenti:

Endpoint: un endpoint è un dispositivo, ad esempio un telefono cellulare, un tablet, un portatile o un computer desktop. "Endpoint" e "dispositivi" vengono usati in modo intercambiabile.
Endpoint gestiti: endpoint che ricevono criteri dall'organizzazione usando una soluzione MDM o oggetti Criteri di gruppo. Questi dispositivi sono in genere di proprietà dell'organizzazione, ma possono anche essere byod o dispositivi di proprietà personale.
Endpoint nativi del cloud: endpoint aggiunti ad Azure AD. Non sono aggiunti ad ACTIVE Directory locale.
Carico di lavoro: qualsiasi programma, servizio o processo.

Molti servizi importanti e importanti, tra cui l'accesso condizionale e Microsoft Entra single sign-on, richiedono che gli endpoint abbiano un'identità cloud. Per gli endpoint Windows di proprietà dell'organizzazione, viene creata un'identità cloud quando il dispositivo viene Microsoft Entra aggiunto o Microsoft Entra ibrido aggiunto.

Quando si passa agli endpoint nativi del cloud, è necessario comprendere le differenze tra Microsoft Entra dispositivi aggiunti e ibridi Microsoft Entra aggiunti:

Microsoft Entra aggiunto: i dispositivi vengono aggiunti a Microsoft Entra. Non sono aggiunti ad ACTIVE Directory locale.

Per informazioni più specifiche, passare a Microsoft Entra dispositivi aggiunti (apre un altro sito Web Microsoft).
Microsoft Entra ibrido aggiunto: i dispositivi vengono registrati in Microsoft Entra e aggiunti a un dominio DI Active Directory locale.

Per informazioni più specifiche, passare a Dispositivi ibridi Microsoft Entra aggiunti (apre un altro sito Web Microsoft).

Questa funzionalità si applica a:

Endpoint nativi del cloud di Windows

Questo articolo descrive alcune delle differenze tra Microsoft Entra dispositivi aggiunti e ibridi Microsoft Entra aggiunti. Per una panoramica degli endpoint nativi del cloud e dei relativi vantaggi, vedere Informazioni sugli endpoint nativi del cloud.

Microsoft Entra aggiunto

Quando un endpoint, ad esempio un dispositivo Windows 10/11 viene Microsoft Entra aggiunto, stabilisce un trust con Microsoft Entra e ha un'identità (device-id) in Microsoft Entra. L'endpoint è gestito e controllato dall'organizzazione.

L'endpoint viene aggiunto a Microsoft Entra. Non è aggiunto a un dominio DI Active Directory locale.

Per aggiungere endpoint Windows a Microsoft Entra, sono disponibili alcune opzioni:

Usa Windows Autopilot. Windows Autopilot guida gli utenti tramite La configurazione guidata di Windows. Quando gli utenti immettono l'account aziendale o dell'istituto di istruzione, l'endpoint viene aggiunto Microsoft Entra.

Tutti i dispositivi registrati con Windows Autopilot vengono automaticamente considerati dispositivi di proprietà dell'organizzazione. Windows Autopilot è uno degli approcci più adottati per l'aggiunta di dispositivi dell'organizzazione a Microsoft Entra e gestiti dall'IT.
Usare Windows Out of Box Experience (Configurazione guidata). Quando gli utenti immettono l'account aziendale o dell'istituto di istruzione nel dispositivo, l'endpoint viene aggiunto automaticamente Microsoft Entra.
Usare l'app Impostazioni. Nel dispositivo, gli utenti finali aprono l'app Impostazioni (Account>Access work or school>Connect) e usano il proprio account aziendale o dell'istituto di istruzione.
Usare un pacchetto di provisioning della finestra. Per altre informazioni, vedere:
- Pacchetti di provisioning per Windows
- Aggiungere in blocco un dispositivo Windows per Microsoft Entra e Microsoft Intune usando un pacchetto di provisioning - Microsoft Tech Community post di blog

Vantaggi IT dell'organizzazione

Usando l'accesso condizionale, è possibile consentire o limitare l'accesso alle risorse dell'organizzazione che soddisfano o non soddisfano i requisiti.
Le impostazioni e i dati di lavoro vengono trasferiti attraverso cloud conformi all'organizzazione. Non vengono usati account Microsoft personali, ad esempio Hotmail, e possono essere bloccati.
Usando Windows Hello for Business, è possibile ridurre il rischio di furto di credenziali.

Vantaggi per l'utente finale

Per autenticare gli utenti finali con Microsoft Entra e l'endpoint di Windows, gli utenti hanno bisogno di un account aziendale o dell'istituto di istruzione. Non vengono usati account personali.
Ottenere l'accesso Single Sign-On (SSO) alle app Microsoft 365 e SaaS con una connessione Internet.
Usa la comodità e la sicurezza di Windows Hello for Business per accedere all'endpoint di Windows.

Quando accedono con Windows Hello for Business, gli utenti usano automaticamente l'accesso SSO a molte delle app e delle risorse online e locali.
Le impostazioni del sistema operativo vengono spostate in tutti i dispositivi aggiunti Microsoft Entra.

Importante

Gli utenti finali che lavorano in remoto su Microsoft Entra dispositivi aggiunti non hanno bisogno di una VPN per l'accesso quando le credenziali memorizzate nella cache scadono nel dispositivo. Nei dispositivi ibridi Microsoft Entra aggiunti, è necessaria una VPN per l'accesso alla scadenza delle credenziali memorizzate nella cache.

Microsoft Entra risorse unite

Aggiunta di Microsoft Entra ibrido

I dispositivi aggiunti Microsoft Entra ibridi vengono aggiunti al dominio DI Active Directory locale e vengono registrati con Microsoft Entra. Questi dispositivi richiedono una linea di visualizzazione di rete per i controller di dominio locali (DC) per l'accesso iniziale e per la gestione dei dispositivi.

Se i dispositivi non possono connettersi al controller di dominio, è possibile che agli utenti venga impedito di accedere e che non ricevano aggiornamenti dei criteri.

Molte organizzazioni con dispositivi aggiunti a un dominio esistenti vogliono i vantaggi e le funzionalità della gestione di Microsoft Entra ed endpoint. Se i dispositivi non possono ancora essere completamente nativi del cloud, è possibile registrare questi dispositivi esistenti con Microsoft Entra. Quando si registrano i dispositivi esistenti in Microsoft Entra, viene creata un'identità del dispositivo e i dispositivi sono ibridi Microsoft Entra aggiunti. Non sono considerati endpoint nativi del cloud.

Se l'organizzazione è pronta e vuole essere nativa del cloud, Microsoft Entra aggiunto (in questo articolo) è la scelta corretta. È necessario reimpostare i dispositivi esistenti. Per informazioni e indicazioni più specifiche, vedere la guida alla pianificazione di alto livello.

Risorse ibride Microsoft Entra unite

Per informazioni su come registrare i dispositivi aggiunti a un dominio esistente in Microsoft Entra, vedere Configurare l'aggiunta a Microsoft Entra ibrido. Configurare l'aggiunta Microsoft Entra ibrido include informazioni per domini gestiti e domini federati.

Quale opzione è adatta all'organizzazione

L'opzione corretta dipende dall'ambiente, dagli endpoint e dagli obiettivi dell'organizzazione. Quando si prende questa decisione, considerare l'impatto futuro e a lungo termine.

Si considerino gli scenari seguenti:

Scenario	Microsoft Entra join o hybrid Microsoft Entra join
Si sta eseguendo il provisioning di nuovi endpoint Windows	✔️ Microsoft Entra join Se si dispone di dispositivi Windows nuovi, ricondizionati o aggiornati di cui si esegue il provisioning e la registrazione, è consigliabile Microsoft Entra join. Windows 10/11 include funzionalità moderne integrate nel sistema operativo, tra cui gestione moderna, autenticazione moderna e altro ancora. Microsoft Entra Join deve essere l'opzione predefinita per gli endpoint nuovi e di reimpostazione. ❌Aggiunta Microsoft Entra ibrida È possibile usare l'aggiunta Microsoft Entra ibrida per i nuovi endpoint, ma in genere non è consigliabile. Se si esegue l'aggiunta tramite join ibrido Microsoft Entra, è possibile che non sia possibile usare le funzionalità moderne incorporate in Windows 10/11.
Sono presenti endpoint Windows già sottoposti a provisioning che sono Microsoft Entra ibridi o aggiunti ad AD	✔️ Aggiunta Microsoft Entra ibrida Se si dispone di endpoint esistenti aggiunti a un dominio DI Active Directory locale (inclusi i Microsoft Entra ibridi aggiunti), è consigliabile aggiungere Microsoft Entra ibrido. I dispositivi ottengono un'identità cloud e possono usare servizi cloud che richiedono un'identità cloud. Per gli utenti finali con endpoint esistenti, questa opzione ha un impatto minimo. ❌Microsoft Entra join È necessario reimpostare i dispositivi esistenti aggiunti a un dominio DI Active Directory locale (inclusi i Microsoft Entra ibridi aggiunti) per diventare Microsoft Entra aggiunti. Se non è possibile reimpostarli, non è disponibile alcun percorso Microsoft supportato per Microsoft Entra aggiungerli.

Scenario

Microsoft Entra join o hybrid Microsoft Entra join

Si sta eseguendo il provisioning di nuovi endpoint Windows

✔️ Microsoft Entra join

Se si dispone di dispositivi Windows nuovi, ricondizionati o aggiornati di cui si esegue il provisioning e la registrazione, è consigliabile Microsoft Entra join. Windows 10/11 include funzionalità moderne integrate nel sistema operativo, tra cui gestione moderna, autenticazione moderna e altro ancora. Microsoft Entra Join deve essere l'opzione predefinita per gli endpoint nuovi e di reimpostazione.

❌Aggiunta Microsoft Entra ibrida

È possibile usare l'aggiunta Microsoft Entra ibrida per i nuovi endpoint, ma in genere non è consigliabile. Se si esegue l'aggiunta tramite join ibrido Microsoft Entra, è possibile che non sia possibile usare le funzionalità moderne incorporate in Windows 10/11.

Sono presenti endpoint Windows già sottoposti a provisioning che sono Microsoft Entra ibridi o aggiunti ad AD

✔️ Aggiunta Microsoft Entra ibrida

Se si dispone di endpoint esistenti aggiunti a un dominio DI Active Directory locale (inclusi i Microsoft Entra ibridi aggiunti), è consigliabile aggiungere Microsoft Entra ibrido. I dispositivi ottengono un'identità cloud e possono usare servizi cloud che richiedono un'identità cloud. Per gli utenti finali con endpoint esistenti, questa opzione ha un impatto minimo.

❌Microsoft Entra join

È necessario reimpostare i dispositivi esistenti aggiunti a un dominio DI Active Directory locale (inclusi i Microsoft Entra ibridi aggiunti) per diventare Microsoft Entra aggiunti. Se non è possibile reimpostarli, non è disponibile alcun percorso Microsoft supportato per Microsoft Entra aggiungerli.

Domande, risposte e scenari comuni

Questa sezione risponde alle domande comuni sui dispositivi aggiunti Microsoft Entra e ibridi Microsoft Entra aggiunti.

L'aggiunta di Microsoft Entra ibrido deve essere uno stato obiettivo a lungo termine o finale per i dispositivi?

No, l'aggiunta Microsoft Entra ibrida non deve essere a lungo termine né l'obiettivo finale per qualsiasi organizzazione.

Quando non si è limitati o limitati (motivi tecnici, politici o normativi), l'organizzazione deve passare o pianificare il passaggio a Microsoft Entra aggiunto per gli endpoint di Windows.

Quale strategia deve adottare un'organizzazione per spostare i dispositivi ibridi Microsoft Entra join esistenti in Microsoft Entra Join?

La strategia dipende da molti fattori, molti dei quali specifici dell'organizzazione.

In generale, Microsoft consiglia di attendere un evento complementare. Ad esempio, è possibile passare a Microsoft Entra Join durante un aggiornamento hardware, un aggiornamento del sistema operativo o uno scenario di risoluzione dei problemi del dispositivo quando è disponibile una nuova istanza (o reimpostazione) di Windows. Usando questo approccio, si riducono al minimo le interruzioni dell'utente e si semplifica il processo di conversione per Microsoft Entra Join. Tenere presente che non è disponibile alcun processo o percorso supportato da Microsoft per convertire un dispositivo esistente da Hybrid Microsoft Entra Join a Microsoft Entra Join senza reimpostare Windows.

In Microsoft Entra dispositivi aggiunti ibridi, è necessario eseguire una cancellazione completa del dispositivo, poiché La reimpostazione di Windows Autopilot non supporta Microsoft Entra dispositivi aggiunti ibridi.

Per passare a Microsoft Entra Join, è possibile reimpostare in modo proattivo i dispositivi esistenti. Questo approccio può essere più dirompente per gli utenti e richiede una maggiore pianificazione & test. Ma è possibile usare questo approccio se si dispone di alcuni dispositivi o se si dispone di un forte business case per passare a Microsoft Entra Join.

È presente un blocco che impedisce all'organizzazione di passare a Microsoft Entra Join

È possibile che ci siano ostacoli e sfide al di fuori del controllo di Microsoft che possono impedire all'organizzazione di passare completamente a Microsoft Entra Partecipa. Potrebbero anche esserci blocchi sconosciuti specifici dell'organizzazione e della configurazione o delle aspettative. Questi ostacoli possono essere tecnici o accadere per altri motivi non tecnici.

Tenere presente che passare a Microsoft Entra Join non è una proposta totale o nulla. Lo spostamento dei dispositivi in Microsoft Entra Join richiede tempo, anche con o senza blocchi o inibitori.

Se si identifica un potenziale blocco che impedisce di usare Microsoft Entra Join, determinare l'ambito, l'impatto e la soluzione. La guida alla pianificazione di alto livello per passare agli endpoint nativi del cloud può essere utile.

Gli endpoint Join e Hybrid Microsoft Entra Join possono Microsoft Entra coesistere nello stesso ambiente?

Sì, Microsoft Entra endpoint Join e Hybrid Microsoft Entra Join possono coesistere nello stesso ambiente. Non si escludono a vicenda.

L'uso di un ambiente misto aumenta i costi di complessità, manutenzione e supporto. È tuttavia possibile usare l'Microsoft Entra ibrido Join fino a quando tali endpoint non vengono sostituiti o reimpostati. Tenere presente che l'aggiunta Microsoft Entra ibrida non deve essere l'obiettivo finale dell'organizzazione per lo stato dell'endpoint di Windows.

Gli utenti di Microsoft Entra Join possono accedere alle risorse locali?

Sì, gli utenti in Microsoft Entra i sistemi join possono accedere alle risorse locali.

Microsoft Entra gli endpoint join possono accedere alle risorse locali e usare l'accesso Single Sign-On (SSO). Per informazioni più specifiche, vedere Endpoint nativi del cloud e risorse locali.

Quali stati di aggiunta del dispositivo possono Intune gestire?

Microsoft Intune, che è una soluzione cloud al 100%, può gestire i dispositivi client Windows Microsoft Entra Join o Hybrid Microsoft Entra Join. Intune include molte funzionalità e impostazioni predefinite in grado di gestire le impostazioni, controllare le funzionalità del dispositivo, proteggere gli endpoint e altro ancora.

La guida alla pianificazione di alto livello per passare agli endpoint nativi del cloud: Intune funzionalità che è necessario conoscere elenca alcune di queste funzionalità. Ciò che è Intune è anche una buona risorsa.

Negli endpoint ibrido Microsoft Entra join è possibile usare oggetti Criteri di gruppo locali o Intune per controllare le impostazioni dei criteri. È anche possibile usare una combinazione di oggetti Criteri di gruppo e Intune, ma questa combinazione aggiunge sovraccarico amministrativo e complessità. Se si abilita la co-gestione (Intune (cloud) + Configuration Manager (locale)), è possibile usare alcune funzionalità di Microsoft Entra, ad esempio l'accesso condizionale.

Per alcune indicazioni, vedere Guida alla distribuzione: Configurare o passare a Microsoft Intune.

Quali stati di aggiunta al dispositivo sono necessari per la conformità del dispositivo e/o l'accesso condizionale?

Gli endpoint ibrido Microsoft Entra join e Microsoft Entra join supportano i criteri di conformità e l'accesso condizionale quando sono gestiti da Intune o co-gestiti da Intune e Configuration Manager.

Esistono limitazioni per l'aggiunta a Microsoft Entra ibrido?

Sì, esistono limitazioni per l'aggiunta Microsoft Entra ibrida.

Queste limitazioni sono in genere le stesse per i dispositivi aggiunti solo a un dominio locale. In particolare, gli endpoint ibridi Microsoft Entra join richiedono una linea di visualizzazione per il controller di dominio DI Active Directory locale per l'accesso iniziale e per modificare le password. Se il dominio è inattivo o non è disponibile, agli utenti potrebbe essere impedito di accedere agli endpoint. Se l'organizzazione si sta allontanando dall'avere un dominio locale, è anche necessario uscire da Hybrid Microsoft Entra Join per i dispositivi.

Se si usa l'autenticazione senza password, gli utenti hanno bisogno dell'accesso a Internet e di una linea di visualizzazione per i controller di dominio.If you use passwordless authentication, then users need internet access and a line of sight to the domain controller (DCs). Per eseguire l'autenticazione, gli endpoint ibrido Microsoft Entra join possono usare kerberos e NTLM.

Hybrid Microsoft Entra Join è considerato nativo del cloud?

No, l'aggiunta Microsoft Entra ibrida non è considerata nativa del cloud.

La soluzione cloud consiste nell'Microsoft Entra Aggiungere gli endpoint. Gli endpoint e le relative identità vengono creati e archiviati in Microsoft Entra. Intune gestisce gli endpoint con impostazioni e criteri. Questi servizi funzionano con altri servizi cloud, tra cui Microsoft 365, Microsoft Defender XDR e altro ancora.

Seguire le indicazioni per gli endpoint nativi del cloud

Panoramica: Che cosa sono gli endpoint nativi del cloud?
Esercitazione: Introduzione agli endpoint windows nativi del cloud
🡺 Concetto: Microsoft Entra aggiunto rispetto al Microsoft Entra ibrido aggiunto (si è qui)🡺 Concept: Microsoft Entra join vs. Hybrid Microsoft Entra join (You are here)
Concetto: endpoint nativi del cloud e risorse locali
Guida alla pianificazione di alto livello
Problemi noti e informazioni importanti