Microsoft Entra gekoppeld aan hybride Microsoft Entra toegevoegd in cloudeigen eindpunten
Tip
Wanneer u leest over cloudeigen eindpunten, ziet u de volgende termen:
- Eindpunt: Een eindpunt is een apparaat, zoals een mobiele telefoon, tablet, laptop of desktopcomputer. 'Eindpunten' en 'apparaten' worden door elkaar gebruikt.
- Beheerde eindpunten: eindpunten die beleidsregels van de organisatie ontvangen met behulp van een MDM-oplossing of groepsbeleid-objecten. Deze apparaten zijn doorgaans eigendom van de organisatie, maar kunnen ook BYOD- of persoonlijke apparaten zijn.
- Cloudeigen eindpunten: eindpunten die zijn gekoppeld aan Azure AD. Ze zijn niet gekoppeld aan on-premises AD.
- Workload: elk programma, elke service of elk proces.
Voor veel essentiële en waardevolle services, waaronder voorwaardelijke toegang en Microsoft Entra eenmalige aanmelding, moeten eindpunten een cloudidentiteit hebben. Voor Windows-eindpunten in organisatieeigendom wordt een cloud-identiteit gemaakt wanneer het apparaat wordt Microsoft Entra toegevoegd of Hybride Microsoft Entra toegevoegd.
Wanneer u overstapt op cloudeigen eindpunten, moet u inzicht hebben in de verschillen tussen Microsoft Entra gekoppelde en hybride Microsoft Entra gekoppelde apparaten:
Microsoft Entra toegevoegd: Apparaten worden gekoppeld aan Microsoft Entra. Ze zijn niet gekoppeld aan on-premises AD.
Ga voor meer specifieke informatie naar Microsoft Entra gekoppelde apparaten (hiermee opent u een andere Microsoft-website).
Hybride Microsoft Entra toegevoegd: apparaten worden geregistreerd in Microsoft Entra en toegevoegd aan een on-premises AD-domein.
Ga voor meer specifieke informatie naar Hybride Microsoft Entra gekoppelde apparaten (hiermee opent u een andere Microsoft-website).
Deze functie is van toepassing op:
- Windows-cloudeigen eindpunten
In dit artikel worden enkele verschillen beschreven tussen Microsoft Entra gekoppelde en hybride Microsoft Entra gekoppelde apparaten. Ga naar Wat zijn cloudeigen eindpunten voor een overzicht van cloudeigen eindpunten en hun voordelen.
Microsoft Entra toegevoegd
Wanneer een eindpunt, zoals een Windows 10/11-apparaat, wordt Microsoft Entra toegevoegd, wordt een vertrouwensrelatie met Microsoft Entra tot stand gebracht en is er een identiteit (device-id) in Microsoft Entra. Het eindpunt wordt beheerd en beheerd door de organisatie.
Het eindpunt is gekoppeld aan Microsoft Entra. Het is niet toegevoegd aan een on-premises AD-domein.
Als u Windows-eindpunten wilt toevoegen aan Microsoft Entra, hebt u een aantal opties:
Gebruik Windows Autopilot. Windows Autopilot begeleidt gebruikers door de Windows Out of Box Experience (OOBE). Wanneer gebruikers hun werk- of schoolaccount invoeren, wordt het eindpunt lid van Microsoft Entra.
Alle apparaten die zijn geregistreerd bij Windows Autopilot, worden automatisch beschouwd als apparaten die eigendom zijn van de organisatie. Windows Autopilot is een van de meest toegepaste methoden om organisatieapparaten lid te maken van Microsoft Entra en te beheren door IT.
Windows Out of Box Experience (OOBE) gebruiken. Wanneer gebruikers hun werk- of schoolaccount op het apparaat invoeren, wordt het eindpunt automatisch lid van Microsoft Entra.
Gebruik de app Instellingen. Op het apparaat openen eindgebruikers de app Instellingen (Accounts>Toegang tot werk- of schoolverbinding>) en gebruiken ze hun werk- of schoolaccount.
Gebruik een window-inrichtingspakket. Ga voor meer informatie naar:
It-voordelen van de organisatie
- Met voorwaardelijke toegang kunt u de toegang tot organisatieresources toestaan of beperken die al dan niet voldoen aan uw vereisten.
- Instellingen en werkgegevens roamen via bedrijfsconforme clouds. Er worden geen persoonlijke Microsoft-accounts, zoals Hotmail, gebruikt en kunnen worden geblokkeerd.
- Met Windows Hello voor Bedrijven kunt u het risico op diefstal van referenties verminderen.
Voordelen voor eindgebruikers
Als u eindgebruikers wilt verifiëren met Microsoft Entra en het Windows-eindpunt, hebben gebruikers een werk- of schoolaccount nodig. Er worden geen persoonlijke accounts gebruikt.
Eenmalige aanmelding (SSO) ophalen bij Microsoft 365- en SaaS-apps met een internetverbinding.
Gebruik het gemak en de beveiliging van Windows Hello voor Bedrijven om u aan te melden bij hun Windows-eindpunt.
Wanneer ze zich aanmelden met Windows Hello voor Bedrijven, gebruiken gebruikers automatisch eenmalige aanmelding voor veel van hun online en on-premises apps en resources.
Os-instellingen roamen op alle Microsoft Entra gekoppelde apparaten.
Belangrijk
Eindgebruikers die op afstand werken op Microsoft Entra gekoppelde apparaten hebben geen VPN nodig om zich aan te melden wanneer referenties in de cache op het apparaat verlopen. Op hybride Microsoft Entra gekoppelde apparaten hebben ze een VPN nodig om zich aan te melden wanneer referenties in de cache verlopen.
gekoppelde resources Microsoft Entra
- Wat is apparaat-id in Microsoft Entra?
- Wat is een Microsoft Entra gekoppeld apparaat?
- Hoe Microsoft Entra apparaatregistratie werkt
- De implementatie van uw Microsoft Entra join plannen
- Windows Hello voor Bedrijven documentatie - Windows-beveiliging
Hybride Microsoft Entra toegevoegd
Hybride Microsoft Entra gekoppelde apparaten worden toegevoegd aan uw on-premises AD-domein en zijn geregistreerd bij Microsoft Entra. Deze apparaten vereisen een netwerklijn voor uw on-premises domeincontrollers (DC's) voor de eerste aanmelding en voor apparaatbeheer.
Als de apparaten geen verbinding kunnen maken met de DC, kunnen gebruikers zich mogelijk niet aanmelden en ontvangen ze mogelijk geen beleidsupdates.
Veel organisaties met bestaande apparaten die lid zijn van een domein, willen de voordelen en functies van Microsoft Entra- en eindpuntbeheer. Als uw apparaten nog niet volledig cloudeigen kunnen zijn, kunt u deze bestaande apparaten registreren bij Microsoft Entra. Wanneer u bestaande apparaten registreert in Microsoft Entra, wordt er een apparaat-id gemaakt en worden uw apparaten hybride Microsoft Entra gekoppeld. Ze worden niet beschouwd als cloudeigen eindpunten.
Als uw organisatie klaar is en cloudeigen wil zijn, is Microsoft Entra toegevoegd (in dit artikel) de juiste keuze. Bestaande apparaten moeten opnieuw worden ingesteld. Ga voor meer specifieke informatie en richtlijnen naar de planningsgids op hoog niveau.
Aan hybride Microsoft Entra gekoppelde resources
Ga naar Hybride Microsoft Entra join configureren voor informatie over het registreren van uw bestaande apparaten die lid zijn van een domein bij Microsoft Entra. Hybride Microsoft Entra join configureren bevat informatie voor beheerde domeinen en federatieve domeinen.
Welke optie is geschikt voor uw organisatie
De juiste optie is afhankelijk van uw omgeving, uw eindpunten en de doelstellingen van uw organisatie. Houd bij het nemen van deze beslissing rekening met de toekomstige en langetermijnimpact.
Houd rekening met de volgende scenario's:
| Scenario | Microsoft Entra join of hybrid Microsoft Entra join |
|---|---|
| U richt nieuwe Windows-eindpunten in | ✔️ Microsoft Entra deelnemen Als u nieuwe, gereviseerde of vernieuwde Windows-apparaten hebt die u inricht en registreert, wordt Microsoft Entra deelname aanbevolen. Windows 10/11 heeft moderne functies die zijn ingebouwd in het besturingssysteem, waaronder modern beheer, moderne verificatie en meer. Microsoft Entra Deelnemen moet de standaardoptie zijn voor nieuwe eindpunten en opnieuw instellen. ❌Hybride Microsoft Entra join U kunt Hybrid Microsoft Entra Join gebruiken voor nieuwe eindpunten, maar dit wordt meestal niet aanbevolen. Wanneer u lid wordt via Hybrid Microsoft Entra Join, kunt u mogelijk niet gebruikmaken van de moderne functies die zijn ingebouwd in Windows 10/11. |
| U hebt bestaande, eerder ingerichte Windows-eindpunten die hybride Microsoft Entra of AD-gekoppeld zijn | ✔️ Hybride Microsoft Entra join Als u bestaande eindpunten hebt die zijn gekoppeld aan een on-premises AD-domein (inclusief hybride Microsoft Entra toegevoegd), wordt hybride Microsoft Entra join aanbevolen. Apparaten krijgen een cloud-identiteit en kunnen cloudservices gebruiken waarvoor een cloud-identiteit is vereist. Voor eindgebruikers met bestaande eindpunten heeft deze optie minimale impact. ❌Microsoft Entra deelnemen Bestaande apparaten die zijn gekoppeld aan een on-premises AD-domein (inclusief hybride Microsoft Entra gekoppeld) moeten opnieuw worden ingesteld om Microsoft Entra lid te worden. Als ze niet opnieuw kunnen worden ingesteld, is er geen ondersteund Microsoft-pad om ze te Microsoft Entra toevoegen. |
Veelgestelde vragen, antwoorden en scenario's
In deze sectie vindt u antwoorden op veelgestelde vragen over Microsoft Entra gekoppelde en hybride Microsoft Entra gekoppelde apparaten.
Moet hybride Microsoft Entra toegevoegd een langetermijn- of einddoelstatus zijn voor apparaten?
Nee, Hybrid Microsoft Entra Join mag niet op de lange termijn zijn, noch het einddoel voor een organisatie.
Wanneer u niet beperkt of beperkt bent (technische, politieke of wettelijke redenen), moet uw organisatie overstappen op Microsoft Entra toegevoegd voor uw Windows-eindpunten.
Welke strategie moet een organisatie gebruiken om bestaande Hybride Microsoft Entra Join-apparaten te verplaatsen naar Microsoft Entra Join?
De strategie is afhankelijk van veel factoren, veel die specifiek zijn voor uw organisatie.
Over het algemeen raadt Microsoft aan te wachten op een aanvullende gebeurtenis. U kunt bijvoorbeeld overstappen op Microsoft Entra Deelnemen tijdens een hardwarevernieuwing, een upgrade van het besturingssysteem of het oplossen van problemen met apparaten wanneer er een nieuw exemplaar van Windows is (of opnieuw wordt ingesteld). Met deze aanpak minimaliseert u onderbreking van gebruikers en stroomlijnt u het conversieproces naar Microsoft Entra Join. Houd er rekening mee dat er geen door Microsoft ondersteund proces of pad is om een bestaand apparaat te converteren van Hybrid Microsoft Entra Join naar Microsoft Entra Join zonder windows opnieuw in te stellen.
Op Microsoft Entra hybride gekoppelde apparaten moet u een volledig apparaat wissen, omdat Windows Autopilot Reset geen ondersteuning biedt voor Microsoft Entra hybride gekoppelde apparaten.
Als u wilt overstappen op Microsoft Entra Join, kunt u bestaande apparaten proactief opnieuw instellen. Deze benadering kan verstorender zijn voor gebruikers en vereist meer planning & testen. Maar u kunt deze benadering gebruiken als u een paar apparaten hebt of als u een sterke business case hebt om over te stappen op Microsoft Entra Join.
Er is een blokkering waardoor mijn organisatie niet kan overstappen op Microsoft Entra Join
Het is mogelijk dat er obstakels en uitdagingen zijn die buiten de controle van Microsoft vallen, waardoor uw organisatie niet volledig kan overstappen op Microsoft Entra Join. Er kunnen ook onbekende obstakels zijn die specifiek zijn voor uw organisatie en de configuratie of verwachtingen. Deze blokkers kunnen technisch zijn of zich voordoen om andere, niet-technische redenen.
Vergeet niet dat het verplaatsen naar Microsoft Entra Join geen alles of niets voorstel is. Het verplaatsen van apparaten naar Microsoft Entra Join kost tijd, zelfs met of zonder blokkers of remmers.
Als u een mogelijke blokkering identificeert die verhindert dat u Microsoft Entra Join kunt gebruiken, bepaalt u het bereik, de impact en de oplossing. De planningshandleiding op hoog niveau om over te stappen op cloudeigen eindpunten kan helpen.
Kan Microsoft Entra Join- en Hybrid Microsoft Entra Join-eindpunten naast elkaar bestaan in dezelfde omgeving?
Ja, Microsoft Entra Join- en Hybrid Microsoft Entra Join-eindpunten kunnen naast elkaar bestaan in dezelfde omgeving. Ze sluiten elkaar niet uit.
Het hebben van een gemengde omgeving verhoogt de complexiteit, het onderhoud en de ondersteuningskosten. Maar u kunt Hybrid Microsoft Entra Join gebruiken totdat deze eindpunten zijn vervangen of opnieuw zijn ingesteld. Houd er rekening mee dat Hybride Microsoft Entra Join niet het einddoel van uw organisatie moet zijn voor de windows-eindpuntstatus.
Kunnen gebruikers in Microsoft Entra Join-systemen toegang krijgen tot on-premises resources?
Ja, gebruikers op Microsoft Entra Join-systemen hebben toegang tot on-premises resources.
Microsoft Entra Join-eindpunten hebben toegang tot on-premises resources en kunnen eenmalige aanmelding (SSO) gebruiken. Ga voor meer specifieke informatie naar Cloudeigen eindpunten en on-premises resources.
Welke apparaatdeelnamestatussen kunnen Intune beheren?
Microsoft Intune, een 100% cloudoplossing, kan Windows-clientapparaten beheren die zijn Microsoft Entra Join of Hybrid Microsoft Entra Join. Intune heeft veel ingebouwde functies en instellingen waarmee u instellingen kunt beheren, apparaatfuncties kunt beheren, uw eindpunten kunt beveiligen en meer.
In de planningshandleiding op hoog niveau voor het verplaatsen naar cloudeigen eindpunten: Intune functies die u moet kennen, worden enkele van deze functies vermeld. Wat Intune is ook een goede resource.
Op hybride Microsoft Entra Join-eindpunten kunt u on-premises groepsbeleidsobjecten (GPO) of Intune gebruiken om beleidsinstellingen te beheren. Het is mogelijk om ook een combinatie van GPO en Intune te gebruiken, maar deze combinatie voegt administratieve overhead en complexiteit toe. Als u co-beheer inschakelt (Intune (cloud) + Configuration Manager (on-premises)), kunt u enkele Microsoft Entra functies gebruiken, zoals voorwaardelijke toegang.
Ga naar Implementatiehandleiding: Instellen of verplaatsen naar Microsoft Intune voor meer informatie.
Welke statussen voor apparaatkoppeling zijn vereist voor apparaatcompatibiliteit en/of voorwaardelijke toegang?
Zowel hybride Microsoft Entra Join- als Microsoft Entra Join-eindpunten ondersteunen nalevingsbeleid en voorwaardelijke toegang wanneer ze worden beheerd door Intune of co-beheerd door Intune en Configuration Manager.
Zijn er beperkingen voor Hybride Microsoft Entra Join?
Ja, er gelden beperkingen voor Hybride Microsoft Entra Join.
Deze beperkingen zijn over het algemeen hetzelfde voor on-premises apparaten die alleen lid zijn van een domein. Met name hybride Microsoft Entra Join-eindpunten vereisen een gezichtslijn naar de on-premises AD-domeincontroller voor de eerste aanmelding en om wachtwoorden te wijzigen. Als het domein niet beschikbaar is of niet beschikbaar is, kunnen gebruikers zich mogelijk niet aanmelden bij hun eindpunten. Als uw organisatie geen on-premises domein meer heeft, moet u ook overstappen op Hybrid Microsoft Entra Join voor uw apparaten.
Als u verificatie zonder wachtwoord gebruikt, hebben gebruikers internettoegang en zicht op de domeincontrollers (DC's) nodig. Hybride Microsoft Entra Join-eindpunten kunnen kerberos en NTLM gebruiken om te verifiëren.
Wordt Hybrid Microsoft Entra Join beschouwd als cloudeigen?
Nee, Hybride Microsoft Entra Join wordt niet beschouwd als cloudeigen.
De cloudoplossing is om uw eindpunten te Microsoft Entra toevoegen. De eindpunten en hun identiteiten worden gemaakt en opgeslagen in Microsoft Entra. Intune beheert de eindpunten met instellingen en beleidsregels. Deze services werken met andere cloudservices, waaronder Microsoft 365, Microsoft Defender XDR en meer.
Volg de richtlijnen voor cloudeigen eindpunten
- Overzicht: Wat zijn cloudeigen eindpunten?
- Zelfstudie: Aan de slag met cloudeigen Windows-eindpunten
- 🡺 Concept: Microsoft Entra gekoppeld versus hybride Microsoft Entra toegevoegd (U bent hier)
- Concept: Cloudeigen eindpunten en on-premises resources
- Planningshandleiding op hoog niveau
- Bekende problemen en belangrijke informatie
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor