Planningshandleiding op hoog niveau voor het verplaatsen naar cloudeigen eindpunten

Tip

Wanneer u leest over cloudeigen eindpunten, ziet u de volgende termen:

• Eindpunt: Een eindpunt is een apparaat, zoals een mobiele telefoon, tablet, laptop of desktopcomputer. 'Eindpunten' en 'apparaten' worden door elkaar gebruikt.
• Beheerde eindpunten: eindpunten die beleidsregels van de organisatie ontvangen met behulp van een MDM-oplossing of groepsbeleidsobjecten. Deze apparaten zijn doorgaans eigendom van de organisatie, maar kunnen ook BYOD- of persoonlijke apparaten zijn.
• Cloudeigen eindpunten: eindpunten die zijn gekoppeld aan Microsoft Entra. Ze zijn niet gekoppeld aan on-premises AD.
• Workload: elk programma, elke service of elk proces.

Deze planningsgids op hoog niveau bevat ideeën en suggesties die u moet overwegen voor uw acceptatie en migratie naar cloudeigen eindpunten. Het gaat over het beheren van apparaten, het beoordelen van & het overzetten van bestaande workloads, het aanbrengen van organisatiewijzigingen, het gebruik van Windows Autopilot en meer.

Deze functie is van toepassing op:

• Windows-cloudeigen eindpunten

Het verplaatsen van uw Windows-eindpunten naar cloudeigen heeft veel voordelen, waaronder voordelen op lange termijn. Het is geen 's nachts proces en moet worden gepland om problemen, storingen en negatieve gebruikersimpact te voorkomen.

Ga naar Wat zijn cloudeigen eindpunten voor meer informatie over de voordelen voor de organisatie en uw gebruikers.

Als u wilt slagen, moet u rekening houden met de belangrijkste gebieden die in dit artikel worden beschreven voor uw planning en implementatie. Met de juiste planning, communicatie en procesupdates kan uw organisatie cloudeigen zijn.

Apparaten beheren met behulp van een cloudeigen MDM-provider

Het beheren van uw eindpunten, inclusief cloudeigen eindpunten, is een belangrijke taak voor alle organisaties. Met cloudeigen eindpunten moeten de beheerhulpprogramma's die u gebruikt de eindpunten overal beheren.

Als u momenteel geen MDM-oplossing (Mobile Device Management) gebruikt of wilt overstappen op een Microsoft-oplossing, zijn de volgende artikelen goede bronnen:

• Wat is Microsoft Intune?
• Aan de slag met Microsoft Intune

Met de Microsoft Intune-producten en -services hebt u de volgende opties voor eindpuntbeheer:

• Microsoft Intune: Intune is 100% in de cloud en maakt gebruik van het Intune-beheercentrum voor het beheren van apparaten, het beheren van apps op apparaten, het maken & implementeren van beleid, het controleren van rapportagegegevens en meer.

  Ga naar voor meer informatie over het gebruik van Intune voor het beheren van uw eindpunten:

  • Microsoft Intune beheert op beveiligde wijze identiteiten, apps en apparaten
  • Implementatiehandleiding: Microsoft Intune instellen of verplaatsen naar Microsoft Intune
  • Planningshandleiding voor Microsoft Intune

• Microsoft Configuration Manager: Configuration Manager maakt gebruik van een on-premises infrastructuur en kan servers beheren. Wanneer u co-beheer gebruikt, gebruiken sommige workloads Configuration Manager (on-premises) en sommige workloads Microsoft Intune (cloud).

  Voor cloudeigen eindpunten moeten uw Configuration Manager-oplossingen gebruikmaken van een Cloud Management Gateway (CMG) en co-beheer.

Uw eindpunt- en gebruikersworkloads controleren

Op hoog niveau vereist de implementatie van cloudeigen eindpunten moderne strategieën voor identiteit, softwaredistributie, apparaatbeheer, besturingssysteemupdates en het beheren van gebruikersgegevens & configuratie. Microsoft heeft oplossingen die deze gebieden ondersteunen voor uw cloudeigen eindpunten.

Om te beginnen controleert u elke workload en bepaalt u hoe deze uw cloudeigen eindpunten kan of zal ondersteunen. Sommige workloads ondersteunen mogelijk al cloudeigen eindpunten. Systeemeigen ondersteuning is afhankelijk van de specifieke workload, hoe uw organisatie de workloadservices implementeert en hoe uw gebruikers de services gebruiken.

Als u wilt bepalen of uw workloads cloudeigen eindpunten ondersteunen, moet u deze services onderzoeken en valideren.

Als een service of oplossing geen cloudeigen eindpunten ondersteunt, bepaalt u de impact en de kritiek ervan op uw gebruikers en uw organisatie. Wanneer u deze informatie hebt, kunt u de volgende stappen bepalen, waaronder:

• Samenwerken met de serviceleverancier
• Bijwerken naar een nieuwe versie
• Een nieuwe service gebruiken
• Een work-around implementeren voor toegang tot en het gebruik van die service vanaf een cloudeigen eindpunt
• De servicevereisten valideren
• Accepteren dat de service niet cloudeigen is, wat mogelijk acceptabel is voor uw gebruikers en uw organisatie

In beide gevallen moet u van plan zijn om uw workloads bij te werken om cloudeigen eindpunten te ondersteunen.

Uw workloads moeten de volgende kenmerken hebben:

• Veilige toegang tot apps en gegevens vanaf elke locatie waar gebruikers zich bevinden. Voor toegang is geen verbinding met een bedrijfs- of intern netwerk vereist.
• Gehost in, gehost door of gehost via een cloudservice.
• Vereist of is niet afhankelijk van een specifiek apparaat.

Algemene workloads en oplossingen

Cloudeigen eindpunten omvatten ook de services en workloads die de eindpunten ondersteunen.

De volgende workloads zijn configuratie, hulpprogramma's, processen en services voor het inschakelen van gebruikersproductiviteit en eindpuntbeheer.

Uw exacte workloads, details en hoe u de workloads voor cloudeigen eindpunten bijwerkt, kunnen afwijken. U hoeft ook niet elke workload over te stappen. Maar u moet wel rekening houden met elke workload, de impact ervan op de productiviteit van gebruikers en de mogelijkheden voor apparaatbeheer. Het converteren van sommige workloads naar cloudeigen eindpunten kan langer duren dan andere. Workloads kunnen ook onderlinge afhankelijkheden hebben.

• Apparaat-id

  De identiteit van een apparaat wordt bepaald door de id-providers (IdP) die kennis hebben van het apparaat en een beveiligingsvertrouwensrelatie met het apparaat hebben. Voor Windows-eindpunten zijn de meest voorkomende IdP's on-premises Active Directory (AD) en Microsoft Entra ID. Eindpunten met identiteiten van een van deze IdP's worden doorgaans gekoppeld aan één of aan beide gekoppeld.

  • Voor cloudeigen eindpunten is Microsoft Entra Join de beste keuze voor de identiteit van het apparaat. Hiervoor is geen verbinding met een on-premises netwerk, resource of service vereist.
  • On-premises AD-join en hybride Microsoft Entra Join vereisen connectiviteit met een on-premises domeincontroller. Ze hebben connectiviteit nodig voor de eerste aanmelding van gebruikers, voor het leveren van groepsbeleid en het wijzigen van wachtwoorden. Deze opties zijn niet geschikt voor cloudeigen eindpunten.

  Opmerking

  Microsoft Entra-registratie, ook wel werkplekdeelname genoemd, is alleen bedoeld voor BYOD-scenario's (Bring Your Own Device). Het mag niet worden gebruikt voor Windows-eindpunten die eigendom zijn van de organisatie. Sommige functionaliteit wordt mogelijk niet ondersteund of werkt niet zoals verwacht op door Microsoft Entra geregistreerde Windows-eindpunten.

• Uw eindpunten inrichten

  Voor nieuw geïmplementeerde Microsoft Entra join-eindpunten gebruikt u Windows Autopilot om apparaten vooraf te configureren. Deelnemen aan Microsoft Entra is meestal een gebruikersgestuurde taak en Windows Autopilot is ontworpen met gebruikers in het achterhoofd. Windows Autopilot maakt inrichting met behulp van de cloud mogelijk vanaf elke locatie op internet en door elke gebruiker.

  Ga voor meer informatie naar:

  • Overzicht van Windows Autopilot
  • Windows Autopilot-scenario's en -mogelijkheden

• Software en toepassingen implementeren

  De meeste gebruikers hebben software en toepassingen nodig en gebruiken die niet zijn opgenomen in het kernbesturingssysteem. In veel gevallen weet of begrijpt IT de specifieke app-vereisten niet. Het leveren en beheren van deze toepassingen is echter nog steeds de verantwoordelijkheid van uw IT-team. Gebruikers moeten de toepassingen kunnen aanvragen en installeren die ze nodig hebben om hun werk uit te voeren, ongeacht het eindpunt dat ze gebruiken of van waaruit ze het gebruiken.

  • Als u software en toepassingen wilt implementeren, gebruikt u een cloudsysteem, zoals Intune of Configuration Manager (met een CMG en co-beheer).

  • Maak een basislijn met apps die uw eindpunten moeten hebben, zoals Microsoft Outlook en Teams. Voor andere apps kunt u gebruikers hun eigen apps laten installeren.

    Op uw eindpunten kunt u de bedrijfsportal-app gebruiken als app-opslagplaats. Of gebruik een gebruikersgerichte portal waarin de apps worden vermeld die kunnen worden geïnstalleerd. Deze selfserviceoptie verkort de inrichtingstijd van nieuwe en bestaande apparaten. Het vermindert ook de belasting voor IT en u hoeft geen apps te implementeren die gebruikers niet nodig hebben.

  Ga voor meer informatie naar:

  • Implementatie van Windows 10/11-apps met Microsoft Intune
  • Inleiding tot app-beheer in Configuration Manager
  • Opslagplaats voor privé-apps in Windows 11

• Apparaatinstellingen configureren met beleid

  Beleids- en beveiligingsbeheer is de kern van eindpuntbeheer. Met eindpuntbeleid kan uw organisatie een specifieke beveiligingsbasislijn en een standaardconfiguratie afdwingen op uw beheerde eindpunten. Er zijn veel instellingen die u kunt beheren en beheren op uw eindpunten. DO-beleidsregels maken die alleen configureren wat vereist is in uw basislijn. MAAK GEEN beleid waarmee algemene gebruikersvoorkeuren worden bepaald.

  • Het afdwingen van traditioneel beleid met behulp van groepsbeleid is niet mogelijk met cloudeigen eindpunten. In plaats daarvan kunt u Intune gebruiken om beleidsregels te maken voor het configureren van veel instellingen, waaronder ingebouwde functies zoals de instellingencatalogus en beheersjablonen.

    Met groepsbeleidsanalyse in Intune kunt u uw on-premises GPO's analyseren, zien of dezelfde instellingen worden ondersteund in de cloud en een beleid maken met behulp van deze instellingen.

  • Als u bestaande beleidsregels hebt die certificaten uitgeven, BitLocker beheren en eindpuntbeveiliging bieden, moet u nieuw beleid maken in Intune of Configuration Manager (met een CMG en co-beheer).

    Ga voor meer informatie naar:

    • Certificaten gebruiken voor verificatie in Microsoft Intune
    • Schijfversleutelingsbeleid voor eindpuntbeveiliging in Intune
    • Endpoint Protection-instellingen toevoegen in Intune
    • Certificaten in Configuration Manager
    • BitLocker-beheer in Configuration Manager
    • Endpoint Protection in Configuration Manager

• Beveiligings-, functie- en app-updates implementeren

  Veel on-premises oplossingen kunnen updates niet of efficiënt implementeren op cloudeigen eindpunten. Vanuit beveiligingsoogpunt is deze workload mogelijk het belangrijkst. Dit moet de eerste workload zijn die u overstapt om cloudeigen Windows-eindpunten te ondersteunen.

  • Implementeer Windows-updates met behulp van een cloudsysteem, zoals Windows Update voor Bedrijven. Met Intune of Configuration Manager (met een CMG en co-beheer) kunt u Windows Update voor Bedrijven gebruiken om beveiligingsupdates en functie-updates te implementeren.

    Ga voor meer informatie naar:

    • Software-updates voor Windows 10 en Windows 11 beheren in Intune
    • Configure Manager integreren met Windows Update voor Bedrijven
    • Kiezen hoe updates van Microsoft 365-apps worden beheerd.

  • Implementeer Updates voor Microsoft 365-apps met behulp van de volgende opties:

    • Intune: maak een beleid waarmee het updatekanaal wordt ingesteld, andere app-versies worden verwijderd en meer.
    • Configuration Manager (met een CMG en medebeheer): beheer uw apps, inclusief updatestatistieken, kopiëren, buiten gebruik stellen en meer.

    Ga voor meer informatie naar:

    • Microsoft 365-apps toevoegen aan Windows 10/11-apparaten met Microsoft Intune
    • Beheertaken voor Configuration Manager-apps

• Gebruikersgegevens en -instellingen beheren

  Gebruikersgegevens omvatten de volgende items:

  • Gebruikersdocumenten
  • Configuratie van e-mail-app
  • Favorieten voor webbrowsers
  • Lob-toepassingsspecifieke gegevens (Line of Business)
  • Lob-toepassingsspecifieke configuratie-instellingen (Line-Of-Business)

  Gebruikers moeten hun gegevens maken en openen vanaf elk eindpunt. Deze gegevens moeten ook worden beveiligd en moeten mogelijk worden gedeeld met andere gebruikers.

  • Sla gebruikersgegevens en -instellingen op in een cloudopslagprovider, zoals Microsoft OneDrive. Cloudopslagproviders kunnen gegevenssynchronisatie, delen, offlinetoegang, conflictoplossing en meer afhandelen.

    Ga voor meer informatie naar OneDrive-handleiding voor ondernemingen.

  Belangrijk

  Sommige gebruikersinstellingen, zoals besturingssysteemvoorkeuren of toepassingsspecifieke instellingen, worden opgeslagen in het register. Toegang tot deze instellingen vanaf elke locatie is mogelijk niet realistisch en kan mogelijk niet worden gesynchroniseerd met verschillende eindpunten.

  Het is mogelijk dat deze instellingen kunnen worden geëxporteerd en vervolgens op een ander apparaat kunnen worden geïmporteerd. U kunt bijvoorbeeld gebruikersinstellingen exporteren uit Outlook, Word en andere Office-apps.

• Toegang tot on-premises bronnen

  Sommige organisaties kunnen sommige workloads niet overzetten naar cloudeigen oplossingen. De enige optie is mogelijk toegang tot bestaande on-premises resources of services vanuit een cloudeigen eindpunt. Voor deze scenario's hebben gebruikers toegang nodig.

  Overweeg voor deze on-premises services, resources en toepassingen de volgende taken:

  • Verificatie en autorisatie: voor toegang tot on-premises resources vanuit cloudeigen eindpunten moeten gebruikers zich verifiëren en verifiëren wie ze zijn. Ga voor meer specifieke informatie naar Verificatie en toegang tot on-premises resources met cloudeigen eindpunt.

  • Connectiviteit: controleer en evalueer apps & resources die alleen on-premises actief zijn. Connectiviteit en toegang tot deze resources moeten off-premises beschikbaar zijn en zonder directe connectiviteit, zoals een VPN. Deze taak kan bestaan uit het verplaatsen naar SaaS-versies van uw apps, met behulp van Microsoft Entra-toepassingsproxy, Azure Virtual Desktop, Windows 365, SharePoint, OneDrive of Microsoft Teams.

  Opmerking

  Microsoft Entra biedt geen ondersteuning voor het Kerberos-verificatieprotocol. On-premises AD ondersteunt het Kerberos-verificatieprotocol. In uw planning vindt u meer informatie over Microsoft Entra Kerberos. Wanneer de configuratie is uitgevoerd, melden gebruikers zich aan bij een cloudeigen eindpunt met hun Microsoft Entra-account en hebben ze toegang tot on-premises apps of services die gebruikmaken van Kerberos-verificatie.

  Microsoft Entra Kerberos:

  • Wordt niet gebruikt in cloudeigen oplossingen.
  • Lost geen verbindingsproblemen op voor resources waarvoor verificatie via Microsoft Entra is vereist.
  • Is niet het antwoord of de oplossing voor domeinverificatievereisten via Microsoft Entra.
  • Biedt geen oplossing voor de problemen met computerverificatie die worden vermeld in Bekende problemen en belangrijke informatie.

  Ga naar de volgende blogs voor meer informatie over Microsoft Entra Kerberos en de scenario's die hiermee kunnen worden aangepakt:

  • Waarom we Microsoft Entra Kerberos hebben gebouwd (opent een externe website)
  • Uitgebreide informatie: hoe Microsoft Entra Kerberos werkt (opent een andere Microsoft-website)
  • Hoe Microsoft Entra Kerberos werkt (syfuhs.net) (opent een externe website)

Uw workloads in fasen overzetten

Voor het moderniseren van workloads en het implementeren van cloudeigen eindpunten zijn wijzigingen in operationele processen en procedures vereist. Bijvoorbeeld:

• Beheerders moeten begrijpen hoe wijzigingen in bestaande workloads hun processen kunnen wijzigen.
• De servicedesk moet inzicht hebben in de nieuwe scenario's die ze ondersteunen.

Wanneer u uw eindpunten en workloads bekijkt, moet u de overgang opsplitsen in fasen. In deze sectie vindt u een overzicht van enkele aanbevolen fasen die uw organisatie kan gebruiken. Deze fasen kunnen zo vaak als nodig worden herhaald.

✅ Fase 1: Informatie over uw workloads

Deze fase is de fase voor het verzamelen van informatie. Het helpt u het bereik vast te stellen van wat u moet overwegen voor uw organisatie om over te stappen op cloudeigen. Het omvat het definiëren van precies welke services, producten en toepassingen betrokken zijn bij elke workload in uw omgeving.

In deze fase:

1. Inventariseer uw huidige workloadgegevens en -details. U kunt bijvoorbeeld weten wat hun huidige status is, wat ze leveren, wie ze bedienen, wie ze onderhoudt, of ze essentieel zijn voor cloudeigen toepassingen en hoe ze worden gehost.

   Wanneer u deze informatie hebt, kunt u het einddoel begrijpen en definiëren. Dit moet zijn:

   • Ondersteuning van cloudeigen eindpunten
   • De services, producten en toepassingen kennen die door elke workload worden gebruikt

   U moet afstemmen met de eigenaren van de verschillende services, producten en toepassingen. U wilt ervoor zorgen dat cloudeigen eindpunten gebruikersproductiviteit ondersteunen zonder connectiviteits- of locatiebeperkingen.

   Voorbeelden van veelvoorkomende services en toepassingen zijn LOB-toepassingen (Line-Of-Business), interne websites, bestandsshares, verificatievereisten, mechanismen voor het bijwerken van toepassingen en besturingssystemen en toepassingsconfiguratie. Kortom, ze bevatten alles en alles wat gebruikers nodig hebben om hun werk volledig te doen.

2. Controleer de eindstatus voor elke workload. Identificeer bekende blokkeringen die voorkomen dat deze eindstatus wordt bereikt of die geen cloudeigen eindpunten ondersteunen.

   Sommige workloads en hun services & toepassingen zijn mogelijk al cloudvriendelijk of ingeschakeld. Sommigen misschien niet. Om de eindstatus voor elke workload te bereiken, moet de organisatie mogelijk & moeite doen. Dit kan bestaan uit het bijwerken van software, het 'opheffen en verplaatsen' naar een nieuw platform, het migreren naar een nieuwe oplossing of het aanbrengen van configuratiewijzigingen.

   De stappen die nodig zijn voor elke workload verschillen per organisatie. Ze zijn afhankelijk van hoe de service of toepassing wordt gehost en geopend door gebruikers. Deze eindstatus moet het hoofd bieden aan de primaire uitdaging om gebruikers in staat te stellen hun werk uit te voeren op een cloudeigen eindpunt, ongeacht de locatie of connectiviteit met het interne netwerk.

   Op basis van elke gedefinieerde eindstatus kunt u ontdekken of definiëren dat het inschakelen van de cloud voor een service of toepassing moeilijk of geblokkeerd is. Deze situatie kan verschillende oorzaken hebben, waaronder technische of financiële beperkingen. Deze beperkingen moeten duidelijk zijn en worden begrepen. U moet de impact ervan bekijken en bepalen hoe u elke workload cloudeigen gebruiksvriendelijk maakt.

✅ Fase 2: Eventuele blokkeringen prioriteren

Nadat u de belangrijkste workloads en hun eindstatusblokkeringen hebt geïdentificeerd, gaat u als volgt te werk:

1. Geef prioriteit aan elke blokkering en evalueer elke blokkering voor oplossing.

   Mogelijk wilt of hoeft u niet alle blokkeringen aan te pakken. Uw organisatie kan bijvoorbeeld workloads of een deel van workloads hebben die uw cloudeigen eindpunten niet ondersteunen. Dit gebrek aan ondersteuning kan al dan niet belangrijk zijn voor uw organisatie of gebruikers. U en uw organisatie kunnen deze beslissing nemen.

2. Als u het testen en testen van het concept (POC) wilt ondersteunen, begint u met een minimale set workloads. Het doel is om een voorbeeld van uw workloads te testen en te valideren.

   Als onderdeel van de POC identificeert u een set gebruikers en apparaten in een testfase om een productiescenario in de echte wereld uit te voeren. Met deze stap kunt u bewijzen of de eindstatus de productiviteit van de gebruiker mogelijk maakt.

   In veel organisaties is er een rol of bedrijfsgroep die gemakkelijker te migreren is. U kunt zich bijvoorbeeld richten op de volgende scenario's in uw POC:

   • Zeer mobiel verkoopteam waarvan de primaire vereisten productiviteitstools en een online oplossing voor klantrelatiebeheer zijn
   • Kenniswerkers die voornamelijk toegang hebben tot inhoud die zich al in de cloud bevindt en sterk afhankelijk zijn van Microsoft 365-apps
   • Frontline worker-apparaten die zeer mobiel zijn of zich in omgevingen bevinden waar ze geen toegang hebben tot het netwerk van de organisatie

   Bekijk hun workloads voor deze groepen. Bepaal hoe deze workloads kunnen worden verplaatst naar modern beheer, waaronder identiteit, softwaredistributie, apparaatbeheer en meer.

   Voor elk van de gebieden in uw testfase moet het aantal items of taken laag zijn. Deze eerste pilot helpt u bij het maken van de processen en procedures die nodig zijn voor meer groepen. Het helpt ook bij het maken van uw langetermijnstrategie.

   Ga naar de planningshandleiding voor Microsoft Intune voor meer richtlijnen en tips. Het is van toepassing op Intune, maar bevat ook enkele richtlijnen bij het gebruik van testgroepen en het maken van implementatieplannen.

✅ Fase 3: uw workloads overzetten

In deze fase bent u klaar om uw wijzigingen te implementeren.

1. Verplaats gedeblokkeerde workloads naar uw geplande cloudeigen oplossingen of eindstatus. Idealiter wordt deze stap opgesplitst in kleinere werkitems. Het doel is om de bedrijfsvoering voort te zetten met minimale onderbrekingen.

2. Nadat de eerste reeks workloads cloudeigen eindpunten ondersteunt, identificeert u meer workloads en gaat u verder met het proces.

✅ Fase 4: uw gebruikers voorbereiden

Gebruikers hebben verschillende ervaringen voor het ontvangen, implementeren en worden ondersteund op hun apparaten. Beheerders moeten het volgende doen:

• Bekijk bestaande processen en documentatie om te bepalen waar wijzigingen zichtbaar zijn voor gebruikers.
• Documentatie bijwerken.
• Maak een onderwijsstrategie om de wijzigingen en voordelen te delen die gebruikers zullen ervaren.

Uw organisatie in fasen overzetten

De volgende fasen zijn een benadering op hoog niveau voor organisaties om hun omgeving te verplaatsen om cloudeigen Windows-eindpunten te ondersteunen. Deze fasen zijn parallel aan de overgang van eindpunten en gebruikersworkloads. Ze kunnen afhankelijk zijn van bepaalde workloads die gedeeltelijk of volledig worden overgezet om cloudeigen Windows-eindpunten te ondersteunen.

✅ Fase 1: eindpunten, afhankelijkheden en mijlpalen definiëren

Deze fase is de eerste stap voor de migratie van uw organisatie om volledig cloudeigen te zijn. Bekijk wat u momenteel hebt, definieer succescriteria en begin te plannen hoe uw apparaten worden toegevoegd aan Microsoft Entra.

1. De eindpunten definiëren waarvoor een cloud-identiteit is vereist

   • Voor eindpunten die gebruikmaken van internettoegang is een cloudidentiteit vereist. U voegt deze eindpunten toe aan Microsoft Entra.
   • Eindpunten die geen internet gebruiken of alleen on-premises worden gebruikt, mogen geen cloudidentiteit hebben. Migreer deze scenario's niet om cloudeigen te zijn.

2. Afhankelijkheden definiëren

   Workloads, gebruikers en apparaten hebben technische en niet-technische afhankelijkheden. Als u wilt overstappen met minimale gevolgen voor gebruikers en de organisatie, moet u rekening houden met deze afhankelijkheden.

   Een afhankelijkheid kan bijvoorbeeld zijn:

   • Bedrijfsprocessen en continuïteit
   • Beveiligingsstandaarden
   • Lokale wet- en regelgeving
   • Gebruikerskennis en gebruik van de workload
   • Kapitaal, operationele kosten en budget

   Vraag voor elke workload wat er wordt beïnvloed als we iets wijzigen aan de services die door deze workload worden geleverd?. U moet rekening houden met de gevolgen van deze wijziging.

3. Mijlpalen en succescriteria definiëren voor elke workload

   Elke workload heeft zijn eigen mijlpalen en succescriteria. Ze kunnen worden gebaseerd op het gebruik van de workload door de organisatie en de toepasbaarheid ervan op specifieke eindpunten en gebruikers.

   Als u de voortgang van de overgang wilt begrijpen en definiëren, volgt en bewaakt u deze informatie.

4. Uw Windows Autopilot-implementatie plannen

   • Bepaal hoe en wanneer apparaten worden geregistreerd bij uw organisatie.
   • Bepaal en maak de benodigde groepstags voor uw Windows Autopilot-beleid.
   • Maak uw Windows Autopilot-profiel met de bijbehorende configuratie-instellingen en richt u op de apparaten die uw profiel ontvangen.

   Ga voor meer informatie naar:

   • Overzicht van Windows Autopilot
   • Windows Autopilot-scenario's en -mogelijkheden

✅ Fase 2: hybride identiteit van eindpuntcloud inschakelen (optioneel)

Om volledig cloudeigen te zijn, raadt Microsoft aan om bestaande Windows-eindpunten opnieuw in te stellen als onderdeel van een hardwarevernieuwingscyclus. Wanneer u het eindpunt opnieuw instelt, wordt het teruggezet naar de fabrieksinstellingen. Alle apps, instellingen en persoonlijke gegevens op het apparaat worden verwijderd.

Als u nog niet klaar bent om uw eindpunten opnieuw in te stellen, kunt u hybride Microsoft Entra Join inschakelen. Er wordt een cloud-identiteit gemaakt voor hybride Microsoft Entra-join-eindpunten. Voor hybride Microsoft Entra Join is nog steeds on-premises connectiviteit vereist.

Vergeet niet dat hybride Microsoft Entra-deelname een overgangsstap naar cloudeigen is en niet het einddoel is. Het einddoel is dat alle bestaande eindpunten volledig cloudeigen zijn.

Wanneer eindpunten volledig cloudeigen zijn, worden gebruikersgegevens opgeslagen in een cloudopslagprovider, zoals OneDrive. Wanneer een eindpunt opnieuw wordt ingesteld, zijn de gebruikerstoepassingen, configuratie en gegevens dus nog steeds toegankelijk en kunnen ze worden gerepliceerd naar een nieuw ingericht eindpunt.

Ga voor meer informatie naar:

• Aan Microsoft Entra toegevoegd versus hybride Microsoft Entra
• Hybride Microsoft Entra-koppeling configureren

Opmerking

Microsoft heeft geen hulpprogramma voor migratie om bestaande eindpunten te converteren van een on-premises domein of hybride Microsoft Entra-gekoppeld aan Microsoft Entra. Microsoft raadt aan deze apparaten opnieuw in te stellen en opnieuw te implementeren als onderdeel van een hardwarevernieuwing.

✅ Fase 3: Configuration Manager koppelen in de cloud (optioneel)

Als u Configuration Manager gebruikt, koppelt de cloud uw omgeving aan Microsoft Intune. Als u Configuration Manager niet gebruikt, slaat u deze stap over.

Wanneer u een cloudkoppeling uitvoert, kunt u uw clienteindpunten op afstand beheren, uw eindpunten co-beheren met Intune (cloud) en Configuration Manager (on-premises) en toegang krijgen tot het Intune-beheercentrum.

Ga voor meer specifieke informatie naar Cloudkoppeling naar uw Configuration Manager-omgeving en Doorloop het Microsoft Intune-beheercentrum.

✅ Fase 4: Een aan Microsoft Entra gekoppelde proof of concept maken

Deze kritieke fase kan op elk gewenst moment beginnen. Het helpt bij het identificeren van potentiële problemen, onbekende problemen, en valideert de algehele functionaliteit en oplossingen voor deze problemen. Net als bij alle POC's is het doel om functionaliteit te bewijzen en te valideren in een werkelijke bedrijfsomgeving in plaats van in een testomgeving.

Belangrijke stappen voor deze fase zijn onder andere:

1. Een minimale basislijnconfiguratie implementeren met Intune

   Deze stap is belangrijk. U wilt geen eindpunten introduceren in uw netwerk of productie die:

   • Volg de beveiligingsstandaarden van uw organisatie niet
   • Zijn niet geconfigureerd voor gebruikers om hun werk te doen.

   Voor deze minimale configuratie zijn niet alle mogelijke configuraties toegepast. Vergeet niet dat het de bedoeling is om meer configuraties te detecteren die nodig zijn om gebruikers te laten slagen.

2. Windows Autopilot configureren voor Microsoft Entra-gekoppelde eindpunten

   Het gebruik van Windows Autopilot om nieuwe eindpunten in te richten en bestaande eindpunten opnieuw in te richten, is de snelste manier om Microsoft Entra-gekoppelde systemen in uw organisatie te introduceren. Het is een belangrijk onderdeel van de POC.

3. Een POC implementeren voor Microsoft Entra-gekoppelde systemen

   • Gebruik een combinatie van eindpunten die verschillende configuraties en gebruikers vertegenwoordigen. U wilt zoveel mogelijk validatie van deze nieuwe systeemstatus.

   • Alleen echt productiegebruik door echte productiegebruikers zal de workloads en hun functionaliteit volledig valideren. Door natuurlijk, dagelijks gebruik van de POC Microsoft Entra-eindpunten, testen en valideren gebruikers uw workloads organisch.

   • Maak controlelijsten van bedrijfskritieke functionaliteit en scenario's en geef deze lijsten aan uw POC-gebruikers. De controlelijsten zijn specifiek voor elke organisatie en kunnen veranderen naarmate workloads worden overgezet naar cloudeigen workloads.

4. Functionaliteit valideren

   Validatie is een terugkerend proces. Deze is gebaseerd op de workloads en hun configuratie binnen uw organisatie.

   • Verzamel feedback van gebruikers over de POC-eindpunten, workloads en hun functionaliteit. Deze feedback moet afkomstig zijn van gebruikers die de cloudeigen eindpunten hebben gebruikt.

     Andere blokkeringen en voorheen onbekend of niet-verantwoordelijk voor workloads/scenario's kunnen worden gedetecteerd.

   • Gebruik de mijlpalen en succescriteria die eerder voor elke workload zijn vastgesteld. Ze helpen bij het bepalen van de voortgang en het bereik van de POC.

✅ Fase 5: Microsoft Entra koppelen aan uw bestaande Windows-eindpunten

In deze fase wordt de inrichting van een nieuw Windows-eindpunt naar Microsoft Entra toegevoegd. Zodra alle blokkeringen en problemen zijn opgelost, kunt u bestaande apparaten volledig cloudeigen maken. U hebt de volgende opties:

• Optie 1: Vervang uw apparaten. Als de apparaten aan het einde van de levensduur zijn of geen ondersteuning bieden voor moderne beveiliging, is het vervangen van de apparaten de beste keuze. Moderne apparaten ondersteunen nieuwe en verbeterde beveiligingsfuncties, waaronder de TPM-technologie (Trusted Platform Module).

• Optie 2: Stel de Windows-apparaten opnieuw in. Als uw bestaande apparaten de nieuwere beveiligingsfuncties ondersteunen, kunt u de apparaten opnieuw instellen. Tijdens de out-of-box experience (OOBE) of wanneer gebruikers zich aanmelden, kunnen ze de apparaten toevoegen aan Microsoft Entra.

  Voordat u een bestaand Windows-eindpunt opnieuw gaat instellen, moet u het volgende doen:

  1. Verwijder het apparaat in Intune.
  2. Verwijder de Windows Autopilot-apparaatregistratie.
  3. Verwijder het bestaande Microsoft Entra-apparaatobject.

  Stel vervolgens het apparaat opnieuw in en stel het eindpunt opnieuw in.

Wanneer de apparaten klaar zijn, voegt u deze apparaten toe aan Microsoft Entra met behulp van de optie die het beste is voor uw organisatie. Ga voor meer specifieke informatie naar Microsoft Entra-gekoppelde apparaten en Procedure: Uw Microsoft Entra-deelname-implementatie plannen.

Verplaatsen van groepsbeleidsobjecten (GPO's)

Veel organisaties gebruiken GPO's om hun Windows-eindpunten te configureren en te beheren.

Na verloop van tijd wordt het ingewikkeld vanwege een gebrek aan documentatie, gebrek aan duidelijkheid in het doel of de vereisten van het beleid, het gebruik van verouderde of niet-functionele beleidsregels en het gebruik van complexe functies. Er kan bijvoorbeeld beleid zijn dat WMI-filters bevat, complexe OE-structuren heeft en overnameblokkering, loopback of beveiligingsfiltering gebruikt.

Instellingen beheren met Intune

Microsoft Intune heeft veel ingebouwde instellingen die kunnen worden geconfigureerd en geïmplementeerd op uw cloudeigen eindpunten. Wanneer u overstapt naar Intune voor beleidsbeheer, hebt u een aantal opties.

Deze opties sluiten elkaar niet noodzakelijkerwijs uit. U kunt een subset met beleidsregels migreren en nieuw beginnen voor anderen.

• Optie 1: Nieuw starten (aanbevolen): Intune heeft veel instellingen voor het configureren en beheren van uw eindpunten. U kunt een beleid maken, instellingen toevoegen en configureren in het beleid en vervolgens het beleid implementeren.

  Veel bestaande groepsbeleidsregels bevatten beleidsregels die mogelijk niet van toepassing zijn op cloudeigen eindpunten. Als u nieuw begint, kan een organisatie het bestaande afgedwongen beleid valideren en vereenvoudigen, terwijl verouderde, vergeten of zelfs schadelijke beleidsregels worden geëlimineerd. Intune heeft ingebouwde sjablonen die algemene instellingen groeperen, zoals VPN, Wi-Fi, endpoint protection en meer.

• Optie 2: Migreren: deze optie omvat het opheffen van het bestaande beleid en het verplaatsen ervan naar de Intune-beleidsengine. Het kan omslachtig en tijdrovend zijn. U hebt bijvoorbeeld veel bestaande groepsbeleidsregels en er zijn verschillen met instellingen on-premises versus in de cloud.

  Als u deze optie kiest, moet u uw bestaande groepsbeleid controleren en analyseren en bepalen of ze nog steeds nodig zijn of geldig zijn op uw cloudeigen eindpunten. U wilt onnodig beleid elimineren, inclusief het beleid dat overhead kan veroorzaken, of de systeemprestaties of de gebruikerservaring kan verslechteren. Verplaats uw groepsbeleid pas naar Intune als u weet wat ze doen.

Intune-functies die u moet kennen

Intune heeft ook ingebouwde functies waarmee u uw cloudeigen eindpunten kunt configureren:

• Analyse van groepsbeleid: U kunt uw groepsbeleidsobjecten importeren in het Microsoft Intune-beheercentrum en een analyse uitvoeren op het beleid. U kunt de beleidsregels in Intune bekijken en de beleidsregels bekijken die zijn afgeschaft.

  Als u GPO's gebruikt, is het gebruik van dit hulpprogramma een waardevolle eerste stap.

  Ga naar Groepsbeleidsanalyse in Intune voor meer informatie.

• Instellingencatalogus: Bekijk alle instellingen die beschikbaar zijn in Intune en maak, configureer & implementeer een beleid met behulp van deze instellingen. Taken die u kunt voltooien met behulp van de instellingencatalogus in Intune , kunnen ook een goede resource zijn. Als u GPO's maakt, is de catalogus met instellingen een natuurlijke overgang naar cloudeigen eindpuntconfiguratie.

  In combinatie met groepsbeleidsanalyse kunt u de beleidsregels implementeren die u on-premises hebt gebruikt voor uw cloudeigen eindpunten.

  Ga voor meer informatie naar Instellingencatalogus in Intune.

• Beheersjablonen: deze sjablonen zijn vergelijkbaar met de ADMX-sjablonen die on-premises worden gebruikt en zijn ingebouwd in Intune. U downloadt ze niet. Deze sjablonen bevatten veel instellingen voor het beheren van functies in Microsoft Edge, Internet Explorer, Microsoft Office-apps, extern bureaublad, OneDrive, wachtwoorden, pincodes en meer.

  Als u beheersjablonen on-premises gebruikt, is het gebruik ervan in Intune een natuurlijke overgang.

  Ga naar Beheersjablonen in Intune voor meer informatie.

  U kunt ook een bestaande set ADMX-beleidsregels opnemen voor Win32- en Desktop Bridge-apps. Ga voor meer informatie naar:

  • Inzicht in ADMX-beleid - Windows ClientBeheer
  • ADMX-beleid in MDM inschakelen - Windows Clientbeheer
  • Opname van Win32- en Desktop Bridge-app voor ADMX-beleid - Windows Clientbeheer

  Opmerking

  Vanaf Windows 10 versie 1703 is de ondersteuning voor mdm-beleidsconfiguratie (Mobile Device Management) uitgebreid om toegang te verlenen tot geselecteerde set beheersjablonen voor groepsbeleid (ADMX-beleid) voor Windows-pc's met behulp van de CSP (Policy Configuration Service Provider). Het configureren van ADMX-beleid in beleids-CSP verschilt van de gebruikelijke manier waarop u een traditioneel MDM-beleid configureert.

• Beveiligingsbasislijnen: een beveiligingsbasislijn is een groep vooraf geconfigureerde Windows-instellingen. Ze helpen u bij het toepassen en afdwingen van gedetailleerde beveiligingsinstellingen die worden aanbevolen door de beveiligingsteams. Wanneer u een beveiligingsbasislijn maakt, kunt u ook elke basislijn aanpassen om alleen de gewenste instellingen af te dwingen.

  U kunt een beveiligingsbasislijn maken voor Windows, Microsoft Edge en meer. Als u niet zeker weet waar u moet beginnen of de beveiligingsinstellingen wilt aanbevelen door beveiligingsexperts, bekijkt u beveiligingsbasislijnen.

  Ga naar Beveiligingsbasislijnen in Intune voor meer informatie.

Windows Autopilot gebruiken om nieuwe of bestaande Windows-eindpunten in te richten

Als u eindpunten koopt bij een OEM of partner, moet u Windows Autopilot gebruiken.

Enkele van de voordelen zijn:

• Ingebouwd windows-installatieproces: het biedt een merkgerichte, begeleide en vereenvoudigde ervaring voor eindgebruikers.

• Eindpunten rechtstreeks naar eindgebruikers verzenden: leveranciers en OEM's kunnen eindpunten rechtstreeks naar uw gebruikers verzenden. Gebruikers ontvangen de eindpunten, melden zich aan met hun organisatieaccount (user@contoso.com) en Windows Autopilot richt het eindpunt automatisch in.

  Deze functie helpt de overhead en de kosten voor interne IT-processen en verzending met hoge aanraakfunctionaliteit te beperken.

  Registreer uw eindpunten vooraf bij de OEM's of leveranciers voor de beste resultaten. Vooraf registreren helpt eventuele vertragingen te voorkomen die kunnen optreden bij het handmatig registreren van eindpunten.

• Gebruikers kunnen bestaande eindpunten zelf opnieuw instellen: als gebruikers bestaande Windows-eindpunten hebben, kunnen ze de apparaten zelf opnieuw instellen. Wanneer ze opnieuw worden ingesteld, worden de eindpunten hersteld naar een minimale basislijn en beheerde status. Hiervoor is geen dure IT-interventie of fysieke toegang tot het eindpunt vereist.

Opmerking

Het wordt afgeraden Om Windows Autopilot te gebruiken om hybride Microsoft Entra-verbinding te maken met nieuw ingerichte eindpunten. Het werkt, maar er zijn enkele uitdagingen. Op nieuw ingerichte eindpunten gebruikt u Windows Autopilot voor Microsoft Entra Join (geen hybride Microsoft Entra Join).

Als u wilt bepalen welke joinmethode geschikt is voor uw organisatie, gaat u naar Microsoft Entra-gekoppeld versus hybride Microsoft Entra-lid.

Ga voor meer informatie over Windows Autopilot naar:

• Overzicht van Windows Autopilot
• Windows Autopilot-scenario's en -functies
• Veelgestelde vragen over Windows Autopilot

Volg de richtlijnen voor cloudeigen eindpunten

1. Overzicht: Wat zijn cloudeigen eindpunten?
2. Zelfstudie: Aan de slag met cloudeigen Windows-eindpunten
3. Concept: Aan Microsoft Entra gekoppeld versus hybride Microsoft Entra
4. Concept: Cloudeigen eindpunten en on-premises resources
5. 🡺 Planningshandleiding op hoog niveau (U bent hier)
6. Bekende problemen en belangrijke informatie