Aggiunta a Microsoft Entra e aggiunta a Microsoft Entra ibrido negli endpoint nativi del cloud

Articolo
06/01/2024

Consiglio

Durante la lettura degli endpoint nativi del cloud, vengono visualizzati i termini seguenti:

Endpoint: un endpoint è un dispositivo, ad esempio un telefono cellulare, un tablet, un portatile o un computer desktop. "Endpoint" e "dispositivi" vengono usati in modo intercambiabile.
Endpoint gestiti: endpoint che ricevono criteri dall'organizzazione usando una soluzione MDM o oggetti Criteri di gruppo. Questi dispositivi sono in genere di proprietà dell'organizzazione, ma possono anche essere byod o dispositivi di proprietà personale.
Endpoint nativi del cloud: endpoint aggiunti a Microsoft Entra. Non sono aggiunti ad ACTIVE Directory locale.
Carico di lavoro: qualsiasi programma, servizio o processo.

Molti servizi importanti e importanti, tra cui l'accesso condizionale e l'accesso Single Sign-On di Microsoft Entra, richiedono che gli endpoint abbiano un'identità cloud. Per gli endpoint Windows di proprietà dell'organizzazione, viene creata un'identità cloud quando il dispositivo è aggiunto a Microsoft Entra o a Microsoft Entra ibrido.

Quando si passa agli endpoint nativi del cloud, è necessario comprendere le differenze tra i dispositivi aggiunti a Microsoft Entra e i dispositivi aggiunti a Microsoft Entra ibrido:

Microsoft Entra aggiunto: i dispositivi vengono aggiunti a Microsoft Entra. Non sono aggiunti ad ACTIVE Directory locale.

Per informazioni più specifiche, passare a Dispositivi aggiunti a Microsoft Entra (apre un altro sito Web Microsoft).
Aggiunto a Microsoft Entra ibrido: i dispositivi sono registrati in Microsoft Entra e aggiunti a un dominio AD locale.

Per informazioni più specifiche, passare a Dispositivi aggiunti a Microsoft Entra ibrido (apre un altro sito Web Microsoft).

Questa funzionalità si applica a:

Endpoint nativi del cloud di Windows

Questo articolo descrive alcune delle differenze tra i dispositivi aggiunti a Microsoft Entra e i dispositivi aggiunti a Microsoft Entra ibridi. Per una panoramica degli endpoint nativi del cloud e dei relativi vantaggi, vedere Informazioni sugli endpoint nativi del cloud.

Microsoft Entra è stato aggiunto

Quando un endpoint, come un dispositivo Windows 10/11 è aggiunto a Microsoft Entra, stabilisce un trust con Microsoft Entra e ha un'identità (device-id) in Microsoft Entra. L'endpoint è gestito e controllato dall'organizzazione.

L'endpoint viene aggiunto a Microsoft Entra. Non è aggiunto a un dominio DI Active Directory locale.

Per aggiungere gli endpoint di Windows a Microsoft Entra, sono disponibili alcune opzioni:

Usa Windows Autopilot. Windows Autopilot guida gli utenti tramite La configurazione guidata di Windows. Quando gli utenti immettono il proprio account aziendale o dell'istituto di istruzione, l'endpoint viene aggiunto a Microsoft Entra.

Tutti i dispositivi registrati con Windows Autopilot vengono automaticamente considerati dispositivi di proprietà dell'organizzazione. Windows Autopilot è uno degli approcci più adottati per far partecipare i dispositivi dell'organizzazione a Microsoft Entra e gestirli dall'IT.
Usare Windows Out of Box Experience (Configurazione guidata). Quando gli utenti immettono l'account aziendale o dell'istituto di istruzione nel dispositivo, l'endpoint si unisce automaticamente a Microsoft Entra.
Usare l'app Impostazioni. Nel dispositivo, gli utenti finali aprono l'app Impostazioni (Account>Access work or school>Connect) e usano il proprio account aziendale o dell'istituto di istruzione.
Usare un pacchetto di provisioning della finestra. Per altre informazioni, vedere:
- Pacchetti di provisioning per Windows
- Aggiungere in blocco un dispositivo Windows a Microsoft Entra e Microsoft Intune usando un pacchetto di provisioning - Post di blog di Microsoft Tech Community

Vantaggi IT dell'organizzazione

Usando l'accesso condizionale, è possibile consentire o limitare l'accesso alle risorse dell'organizzazione che soddisfano o non soddisfano i requisiti.
Le impostazioni e i dati di lavoro vengono trasferiti attraverso cloud conformi all'organizzazione. Non vengono usati account Microsoft personali, ad esempio Hotmail, e possono essere bloccati.
Con Windows Hello for Business è possibile ridurre il rischio di furto di credenziali.

Vantaggi per l'utente finale

Per autenticare gli utenti finali con Microsoft Entra e l'endpoint di Windows, gli utenti hanno bisogno di un account aziendale o dell'istituto di istruzione. Non vengono usati account personali.
Ottenere l'accesso Single Sign-On (SSO) alle app Microsoft 365 e SaaS con una connessione Internet.
Usa la comodità e la sicurezza di Windows Hello for Business per accedere all'endpoint di Windows.

Quando accedono con Windows Hello for Business, gli utenti usano automaticamente l'accesso SSO a molte delle proprie app e risorse online e locali.
Le impostazioni del sistema operativo vengono spostate in tutti i dispositivi aggiunti a Microsoft Entra.

Importante

Gli utenti finali che lavorano in remoto nei dispositivi aggiunti a Microsoft Entra non hanno bisogno di una VPN per l'accesso quando le credenziali memorizzate nella cache scadono nel dispositivo. Nei dispositivi aggiunti a Microsoft Entra ibrido, è necessaria una VPN per l'accesso alla scadenza delle credenziali memorizzate nella cache.

Risorse aggiunte a Microsoft Entra

Aggiunta a Microsoft Entra ibrido

I dispositivi aggiunti a Microsoft Entra ibridi vengono aggiunti al dominio AD locale e vengono registrati con Microsoft Entra. Questi dispositivi richiedono una linea di visualizzazione di rete per i controller di dominio locali (DC) per l'accesso iniziale e per la gestione dei dispositivi.

Se i dispositivi non possono connettersi al controller di dominio, è possibile che agli utenti venga impedito di accedere e che non ricevano aggiornamenti dei criteri.

Molte organizzazioni con dispositivi aggiunti a un dominio esistenti vogliono i vantaggi e le funzionalità di Microsoft Entra e della gestione degli endpoint. Se i dispositivi non possono ancora essere completamente nativi del cloud, è possibile registrare questi dispositivi esistenti con Microsoft Entra. Quando si registrano i dispositivi esistenti in Microsoft Entra, viene creata un'identità del dispositivo e i dispositivi sono aggiunti a Microsoft Entra ibrido. Non sono considerati endpoint nativi del cloud.

Se l'organizzazione è pronta e vuole essere nativa del cloud, l'aggiunta a Microsoft Entra (in questo articolo) è la scelta corretta. È necessario reimpostare i dispositivi esistenti. Per informazioni e indicazioni più specifiche, vedere la guida alla pianificazione di alto livello.

Risorse ibride aggiunte a Microsoft Entra

Per informazioni su come registrare i dispositivi aggiunti a un dominio esistente in Microsoft Entra, vedere Configurare l'aggiunta a Microsoft Entra ibrido. Configurare l'aggiunta ibrida a Microsoft Entra include informazioni per domini gestiti e domini federati.

Quale opzione è adatta all'organizzazione

L'opzione corretta dipende dall'ambiente, dagli endpoint e dagli obiettivi dell'organizzazione. Quando si prende questa decisione, considerare l'impatto futuro e a lungo termine.

Si considerino gli scenari seguenti:

Scenario	Partecipare a Microsoft Entra o partecipare a Microsoft Entra ibrido
Si sta eseguendo il provisioning di nuovi endpoint Windows	✔️ Partecipare a Microsoft Entra Se si dispone di dispositivi Windows nuovi, ricondizionati o aggiornati di cui si esegue il provisioning e la registrazione, è consigliabile aggiungere Microsoft Entra. Windows 10/11 include funzionalità moderne integrate nel sistema operativo, tra cui gestione moderna, autenticazione moderna e altro ancora. Microsoft Entra Join deve essere l'opzione predefinita per gli endpoint nuovi e di reimpostazione. ❌ Aggiunta a Microsoft Entra ibrido È possibile usare l'aggiunta a Microsoft Entra ibrido per i nuovi endpoint, ma in genere non è consigliabile. Quando si partecipa con l'aggiunta a Microsoft Entra ibrido, è possibile che non sia possibile usare le funzionalità moderne integrate in Windows 10/11.
Sono presenti endpoint Windows già sottoposti a provisioning che sono aggiunti a Microsoft Entra o AD ibridi	✔️ Aggiunta a Microsoft Entra ibrido Se si dispone di endpoint esistenti aggiunti a un dominio AD locale (incluso l'aggiunta a Microsoft Entra ibrido), è consigliabile aggiungere Microsoft Entra ibrido. I dispositivi ottengono un'identità cloud e possono usare servizi cloud che richiedono un'identità cloud. Per gli utenti finali con endpoint esistenti, questa opzione ha un impatto minimo. ❌ Partecipare a Microsoft Entra I dispositivi esistenti aggiunti a un dominio AD locale (incluso l'aggiunta a Microsoft Entra ibrido) devono essere reimpostati per diventare aggiunti a Microsoft Entra. Se non è possibile reimpostarli, non è disponibile alcun percorso Microsoft supportato per l'aggiunta a Microsoft Entra.

Scenario

Partecipare a Microsoft Entra o partecipare a Microsoft Entra ibrido

Si sta eseguendo il provisioning di nuovi endpoint Windows

✔️ Partecipare a Microsoft Entra

Se si dispone di dispositivi Windows nuovi, ricondizionati o aggiornati di cui si esegue il provisioning e la registrazione, è consigliabile aggiungere Microsoft Entra. Windows 10/11 include funzionalità moderne integrate nel sistema operativo, tra cui gestione moderna, autenticazione moderna e altro ancora. Microsoft Entra Join deve essere l'opzione predefinita per gli endpoint nuovi e di reimpostazione.

❌ Aggiunta a Microsoft Entra ibrido

È possibile usare l'aggiunta a Microsoft Entra ibrido per i nuovi endpoint, ma in genere non è consigliabile. Quando si partecipa con l'aggiunta a Microsoft Entra ibrido, è possibile che non sia possibile usare le funzionalità moderne integrate in Windows 10/11.

Sono presenti endpoint Windows già sottoposti a provisioning che sono aggiunti a Microsoft Entra o AD ibridi

✔️ Aggiunta a Microsoft Entra ibrido

Se si dispone di endpoint esistenti aggiunti a un dominio AD locale (incluso l'aggiunta a Microsoft Entra ibrido), è consigliabile aggiungere Microsoft Entra ibrido. I dispositivi ottengono un'identità cloud e possono usare servizi cloud che richiedono un'identità cloud. Per gli utenti finali con endpoint esistenti, questa opzione ha un impatto minimo.

❌ Partecipare a Microsoft Entra

I dispositivi esistenti aggiunti a un dominio AD locale (incluso l'aggiunta a Microsoft Entra ibrido) devono essere reimpostati per diventare aggiunti a Microsoft Entra. Se non è possibile reimpostarli, non è disponibile alcun percorso Microsoft supportato per l'aggiunta a Microsoft Entra.

Domande, risposte e scenari comuni

Questa sezione risponde alle domande comuni sui dispositivi aggiunti a Microsoft Entra e ibridi aggiunti a Microsoft Entra.

L'aggiunta a Microsoft Entra ibrido deve essere uno stato obiettivo a lungo termine o finale per i dispositivi?

No, l'aggiunta a Microsoft Entra ibrido non deve essere a lungo termine né l'obiettivo finale per qualsiasi organizzazione.

Quando non si è limitati o limitati (motivi tecnici, politici o normativi), l'organizzazione deve passare o pianificare il passaggio a Microsoft Entra aggiunto agli endpoint di Windows.

Quale strategia deve adottare un'organizzazione per spostare i dispositivi ibridi Microsoft Entra Join in Microsoft Entra Join?

La strategia dipende da molti fattori, molti dei quali specifici dell'organizzazione.

In generale, Microsoft consiglia di attendere un evento complementare. Ad esempio, è possibile passare a Microsoft Entra Join durante un aggiornamento hardware, un aggiornamento del sistema operativo o uno scenario di risoluzione dei problemi del dispositivo quando è disponibile una nuova istanza (o reimpostazione) di Windows. Usando questo approccio, si riducono al minimo le interruzioni degli utenti e si semplifica il processo di conversione in Microsoft Entra Join. Tenere presente che non è disponibile alcun processo o percorso supportato da Microsoft per convertire un dispositivo esistente dall'aggiunta a Microsoft Entra ibrido in Microsoft Entra Join senza reimpostare Windows.

Nei dispositivi aggiunti a Microsoft Entra ibrido è necessario eseguire una cancellazione completa del dispositivo, perché La reimpostazione automatica di Windows non supporta i dispositivi aggiunti a Microsoft Entra ibrido.

Per passare a Microsoft Entra Join, è possibile reimpostare in modo proattivo i dispositivi esistenti. Questo approccio può essere più dirompente per gli utenti e richiede una maggiore pianificazione & test. Tuttavia, è possibile usare questo approccio se si dispone di alcuni dispositivi o se si ha un forte caso aziendale per passare a Microsoft Entra Join.

Esiste un blocco che impedisce all'organizzazione di passare a Microsoft Entra Join

È possibile che ci siano ostacoli e sfide al di fuori del controllo di Microsoft che possono impedire all'organizzazione di passare completamente a Microsoft Entra Join. Potrebbero anche esserci blocchi sconosciuti specifici dell'organizzazione e della configurazione o delle aspettative. Questi ostacoli possono essere tecnici o accadere per altri motivi non tecnici.

Tenere presente che passare a Microsoft Entra Join non è una proposta totale o nulla. Lo spostamento dei dispositivi in Microsoft Entra Join richiede tempo, anche con o senza blocchi o inibitori.

Se si identifica un potenziale blocco che impedisce l'uso di Microsoft Entra Join, determinare l'ambito, l'impatto e la soluzione. La guida alla pianificazione di alto livello per passare agli endpoint nativi del cloud può essere utile.

Gli endpoint Microsoft Entra Join e Hybrid Microsoft Entra Join possono coesistere nello stesso ambiente?

Sì, gli endpoint Microsoft Entra Join e Hybrid Microsoft Entra Join possono coesistere nello stesso ambiente. Non si escludono a vicenda.

L'uso di un ambiente misto aumenta i costi di complessità, manutenzione e supporto. È tuttavia possibile usare l'aggiunta a Microsoft Entra ibrido fino a quando tali endpoint non vengono sostituiti o reimpostati. Tenere presente che l'aggiunta a Microsoft Entra ibrido non deve essere l'obiettivo finale dell'organizzazione per lo stato dell'endpoint di Windows.

Gli utenti dei sistemi Microsoft Entra Join possono accedere alle risorse locali?

Sì, gli utenti dei sistemi Microsoft Entra Join possono accedere alle risorse locali.

Gli endpoint di Microsoft Entra Join possono accedere alle risorse locali e usare l'accesso Single Sign-On (SSO). Per informazioni più specifiche, vedere Endpoint nativi del cloud e risorse locali.

Quali stati di aggiunta al dispositivo possono essere gestiti da Intune?

Microsoft Intune, che è una soluzione cloud al 100%, può gestire i dispositivi client Windows che sono Microsoft Entra Join o Hybrid Microsoft Entra Join. Intune include molte funzionalità e impostazioni predefinite in grado di gestire le impostazioni, controllare le funzionalità del dispositivo, proteggere gli endpoint e altro ancora.

La guida alla pianificazione di alto livello per passare agli endpoint nativi del cloud: le funzionalità di Intune che è necessario conoscere elencano alcune di queste funzionalità. Ciò che è Intune è anche una buona risorsa.

Negli endpoint ibridi di Microsoft Entra Join è possibile usare oggetti Criteri di gruppo locali o Intune per controllare le impostazioni dei criteri. È possibile usare anche una combinazione di oggetti Criteri di gruppo e Intune, ma questa combinazione aggiunge sovraccarico amministrativo e complessità. Se si abilita la co-gestione (Intune (cloud) + Configuration Manager (locale)), è possibile usare alcune funzionalità di Microsoft Entra, ad esempio l'accesso condizionale.

Per alcune indicazioni, vedere Guida alla distribuzione: Configurare o passare a Microsoft Intune.

Quali stati di aggiunta al dispositivo sono necessari per la conformità del dispositivo e/o l'accesso condizionale?

Gli endpoint ibridi Microsoft Entra Join e Microsoft Entra Join supportano i criteri di conformità e l'accesso condizionale quando sono gestiti da Intune o co-gestiti da Intune e Configuration Manager.

Esistono limitazioni per l'aggiunta a Microsoft Entra ibrido?

Sì, esistono limitazioni per l'aggiunta ibrida a Microsoft Entra.

Queste limitazioni sono in genere le stesse per i dispositivi aggiunti solo a un dominio locale. In particolare, gli endpoint ibridi di Microsoft Entra Join richiedono una linea di visualizzazione per il controller di dominio AD locale per l'accesso iniziale e per modificare le password. Se il dominio è inattivo o non è disponibile, agli utenti potrebbe essere impedito di accedere agli endpoint. Se l'organizzazione si sta allontanando dall'avere un dominio locale, è anche necessario abbandonare l'aggiunta a Microsoft Entra ibrido per i dispositivi.

Se si usa l'autenticazione senza password, gli utenti hanno bisogno dell'accesso a Internet e di una linea di visualizzazione per i controller di dominio.If you use passwordless authentication, then users need internet access and a line of sight to the domain controller (DCs). Per eseguire l'autenticazione, gli endpoint ibridi Microsoft Entra Join possono usare kerberos e NTLM.

Microsoft Entra Join ibrido è considerato nativo del cloud?

No, Microsoft Entra Join ibrido non è considerato nativo del cloud.

La soluzione cloud consiste nell'aggiungere gli endpoint a Microsoft Entra. Gli endpoint e le relative identità vengono creati e archiviati in Microsoft Entra. Intune gestisce gli endpoint con impostazioni e criteri. Questi servizi funzionano con altri servizi cloud, tra cui Microsoft 365, Microsoft Defender XDR e altro ancora.

Seguire le indicazioni per gli endpoint nativi del cloud

Panoramica: Che cosa sono gli endpoint nativi del cloud?
Esercitazione: Introduzione agli endpoint windows nativi del cloud
🡺 Concetto: Microsoft Entra è entrato a far parte di Microsoft Entra e ha fatto parte di Microsoft Entra ibrido (sei qui)
Concetto: endpoint nativi del cloud e risorse locali
Guida alla pianificazione di alto livello
Problemi noti e informazioni importanti

Condividi tramite