Microsoft Entra-gekoppeld versus hybride Microsoft Entra-gekoppeld in cloudeigen eindpunten
Tip
Wanneer u leest over cloudeigen eindpunten, ziet u de volgende termen:
- Eindpunt: Een eindpunt is een apparaat, zoals een mobiele telefoon, tablet, laptop of desktopcomputer. 'Eindpunten' en 'apparaten' worden door elkaar gebruikt.
- Beheerde eindpunten: eindpunten die beleidsregels van de organisatie ontvangen met behulp van een MDM-oplossing of groepsbeleidsobjecten. Deze apparaten zijn doorgaans eigendom van de organisatie, maar kunnen ook BYOD- of persoonlijke apparaten zijn.
- Cloudeigen eindpunten: eindpunten die zijn gekoppeld aan Microsoft Entra. Ze zijn niet gekoppeld aan on-premises AD.
- Workload: elk programma, elke service of elk proces.
Voor veel essentiële en waardevolle services, waaronder voorwaardelijke toegang en eenmalige aanmelding van Microsoft Entra, moeten eindpunten een cloudidentiteit hebben. Voor Windows-eindpunten in organisatieeigendom wordt een cloud-identiteit gemaakt wanneer het apparaat is toegevoegd aan Microsoft Entra of hybride Microsoft Entra.
Wanneer u overstapt op cloudeigen eindpunten, moet u de verschillen begrijpen tussen aan Microsoft Entra gekoppelde en hybride Microsoft Entra-apparaten:
Microsoft Entra toegevoegd: apparaten zijn gekoppeld aan Microsoft Entra. Ze zijn niet gekoppeld aan on-premises AD.
Ga voor meer specifieke informatie naar Microsoft Entra-gekoppelde apparaten (hiermee opent u een andere Microsoft-website).
Hybride Microsoft Entra-gekoppeld: apparaten worden geregistreerd in Microsoft Entra en toegevoegd aan een on-premises AD-domein.
Ga voor meer specifieke informatie naar Hybride Microsoft Entra-gekoppelde apparaten (hiermee opent u een andere Microsoft-website).
Deze functie is van toepassing op:
- Windows-cloudeigen eindpunten
In dit artikel worden enkele verschillen beschreven tussen aan Microsoft Entra gekoppelde en hybride Microsoft Entra-apparaten. Ga naar Wat zijn cloudeigen eindpunten voor een overzicht van cloudeigen eindpunten en hun voordelen.
Lid van Microsoft Entra
Wanneer een eindpunt, zoals een Windows 10/11-apparaat, lid is van Microsoft Entra, wordt er een vertrouwensrelatie met Microsoft Entra tot stand gebracht en heeft het een identiteit (device-id) in Microsoft Entra. Het eindpunt wordt beheerd en beheerd door de organisatie.
Het eindpunt is gekoppeld aan Microsoft Entra. Het is niet toegevoegd aan een on-premises AD-domein.
Als u Windows-eindpunten wilt toevoegen aan Microsoft Entra, hebt u een aantal opties:
Gebruik Windows Autopilot. Windows Autopilot begeleidt gebruikers door de Windows Out of Box Experience (OOBE). Wanneer gebruikers hun werk- of schoolaccount invoeren, wordt het eindpunt lid van Microsoft Entra.
Alle apparaten die zijn geregistreerd bij Windows Autopilot, worden automatisch beschouwd als apparaten die eigendom zijn van de organisatie. Windows Autopilot is een van de meest toegepaste methoden om organisatieapparaten lid te maken van Microsoft Entra en te beheren door IT.
Windows Out of Box Experience (OOBE) gebruiken. Wanneer gebruikers hun werk- of schoolaccount op het apparaat invoeren, wordt het eindpunt automatisch lid van Microsoft Entra.
Gebruik de app Instellingen. Op het apparaat openen eindgebruikers de app Instellingen (Accounts>Toegang tot werk- of schoolverbinding>) en gebruiken ze hun werk- of schoolaccount.
Gebruik een window-inrichtingspakket. Ga voor meer informatie naar:
It-voordelen van de organisatie
- Met voorwaardelijke toegang kunt u de toegang tot organisatieresources toestaan of beperken die al dan niet voldoen aan uw vereisten.
- Instellingen en werkgegevens roamen via bedrijfsconforme clouds. Er worden geen persoonlijke Microsoft-accounts, zoals Hotmail, gebruikt en kunnen worden geblokkeerd.
- Met Windows Hello voor Bedrijven kunt u het risico op diefstal van referenties verminderen.
Voordelen voor eindgebruikers
Voor het verifiëren van eindgebruikers met Microsoft Entra en het Windows-eindpunt hebben gebruikers een werk- of schoolaccount nodig. Er worden geen persoonlijke accounts gebruikt.
Eenmalige aanmelding (SSO) ophalen bij Microsoft 365- en SaaS-apps met een internetverbinding.
Gebruik het gemak en de beveiliging van Windows Hello voor Bedrijven om u aan te melden bij hun Windows-eindpunt.
Wanneer ze zich aanmelden met Windows Hello voor Bedrijven, gebruiken gebruikers automatisch eenmalige aanmelding voor veel van hun online en on-premises apps en resources.
Besturingssysteeminstellingen roamen op alle Microsoft Entra-gekoppelde apparaten.
Belangrijk
Eindgebruikers die op afstand werken op apparaten die zijn gekoppeld aan Microsoft Entra, hebben geen VPN nodig om zich aan te melden wanneer referenties in de cache verlopen op het apparaat. Op hybride Microsoft Entra-gekoppelde apparaten hebben ze een VPN nodig om zich aan te melden wanneer referenties in de cache verlopen.
Aan Microsoft Entra gekoppelde resources
- Wat is apparaat-id in Microsoft Entra?
- Wat is een apparaat dat is gekoppeld aan Microsoft Entra?
- Hoe Microsoft Entra-apparaatregistratie werkt
- Uw Microsoft Entra Join-implementatie plannen
- Documentatie voor Windows Hello voor Bedrijven - Windows-beveiliging
Toegevoegd aan hybride Microsoft Entra
Hybride Microsoft Entra-gekoppelde apparaten worden toegevoegd aan uw on-premises AD-domein en zijn geregistreerd bij Microsoft Entra. Deze apparaten vereisen een netwerklijn voor uw on-premises domeincontrollers (DC's) voor de eerste aanmelding en voor apparaatbeheer.
Als de apparaten geen verbinding kunnen maken met de DC, kunnen gebruikers zich mogelijk niet aanmelden en ontvangen ze mogelijk geen beleidsupdates.
Veel organisaties met bestaande apparaten die lid zijn van een domein, willen de voordelen en functies van Microsoft Entra- en eindpuntbeheer. Als uw apparaten nog niet volledig cloudeigen kunnen zijn, kunt u deze bestaande apparaten registreren bij Microsoft Entra. Wanneer u bestaande apparaten registreert in Microsoft Entra, wordt er een apparaat-id gemaakt en worden uw apparaten gekoppeld aan hybride Microsoft Entra. Ze worden niet beschouwd als cloudeigen eindpunten.
Als uw organisatie klaar is en cloudeigen wil zijn, is Microsoft Entra( in dit artikel) de juiste keuze. Bestaande apparaten moeten opnieuw worden ingesteld. Ga voor meer specifieke informatie en richtlijnen naar de planningsgids op hoog niveau.
Aan Hybride Microsoft Entra gekoppelde resources
Voor meer informatie over het registreren van uw bestaande apparaten die lid zijn van een domein bij Microsoft Entra, gaat u naar Hybride Microsoft Entra-deelname configureren. Hybride Microsoft Entra-join configureren bevat informatie voor beheerde domeinen en federatieve domeinen.
Welke optie is geschikt voor uw organisatie
De juiste optie is afhankelijk van uw omgeving, uw eindpunten en de doelstellingen van uw organisatie. Houd bij het nemen van deze beslissing rekening met de toekomstige en langetermijnimpact.
Houd rekening met de volgende scenario's:
| Scenario | Microsoft Entra-deelname of hybride Microsoft Entra-deelname |
|---|---|
| U richt nieuwe Windows-eindpunten in | ✔️ Microsoft Entra-deelname Als u nieuwe, gereviseerde of vernieuwde Windows-apparaten hebt die u inricht en registreert, wordt Microsoft Entra-deelname aanbevolen. Windows 10/11 heeft moderne functies die zijn ingebouwd in het besturingssysteem, waaronder modern beheer, moderne verificatie en meer. Microsoft Entra Join moet de standaardoptie zijn voor nieuwe eindpunten en opnieuw instellen. ❌ Hybride Microsoft Entra-deelname U kunt Hybride Microsoft Entra Join gebruiken voor nieuwe eindpunten, maar dit wordt meestal niet aanbevolen. Wanneer u lid wordt met hybride Microsoft Entra Join, kunt u mogelijk niet gebruikmaken van de moderne functies die zijn ingebouwd in Windows 10/11. |
| U hebt bestaande, eerder ingerichte Windows-eindpunten die hybride Microsoft Entra of AD-gekoppeld zijn | ✔️ Hybride Microsoft Entra-deelname Als u bestaande eindpunten hebt die zijn gekoppeld aan een on-premises AD-domein (inclusief hybride Microsoft Entra-gekoppeld), wordt hybride Microsoft Entra-deelname aanbevolen. Apparaten krijgen een cloud-identiteit en kunnen cloudservices gebruiken waarvoor een cloud-identiteit is vereist. Voor eindgebruikers met bestaande eindpunten heeft deze optie minimale impact. ❌ Microsoft Entra-deelname Bestaande apparaten die zijn gekoppeld aan een on-premises AD-domein (inclusief hybride Microsoft Entra-gekoppeld) moeten opnieuw worden ingesteld om lid te worden van Microsoft Entra. Als ze niet opnieuw kunnen worden ingesteld, is er geen ondersteund Microsoft-pad naar Microsoft Entra-deelname. |
Veelgestelde vragen, antwoorden en scenario's
In deze sectie vindt u antwoorden op veelgestelde vragen over apparaten die lid zijn van Microsoft Entra en hybride Microsoft Entra.
Moet hybride Microsoft Entra-deelname een langetermijn- of einddoelstatus zijn voor apparaten?
Nee, hybride Microsoft Entra Join mag niet op de lange termijn zijn en mag niet het einddoel zijn voor een organisatie.
Wanneer u niet beperkt of beperkt bent (technische, politieke of wettelijke redenen), moet uw organisatie overstappen of van plan zijn om over te stappen naar Microsoft Entra voor uw Windows-eindpunten.
Welke strategie moet een organisatie gebruiken om bestaande hybride Microsoft Entra Join-apparaten te verplaatsen naar Microsoft Entra Join?
De strategie is afhankelijk van veel factoren, veel die specifiek zijn voor uw organisatie.
Over het algemeen raadt Microsoft aan te wachten op een aanvullende gebeurtenis. U kunt bijvoorbeeld overstappen op Microsoft Entra Join tijdens een hardwarevernieuwing, een upgrade van het besturingssysteem of een scenario voor het oplossen van problemen met apparaten wanneer er een nieuw exemplaar van Windows is (of opnieuw instellen). Met deze aanpak minimaliseert u onderbrekingen van gebruikers en stroomlijnt u het conversieproces naar Microsoft Entra Join. Er is geen door Microsoft ondersteund proces of pad om een bestaand apparaat te converteren van Hybride Microsoft Entra Join naar Microsoft Entra Join zonder windows opnieuw in te stellen.
Op hybride apparaten met Microsoft Entra moet u een volledig apparaat wissen, omdat Windows Autopilot Reset geen ondersteuning biedt voor hybride gekoppelde Microsoft Entra-apparaten.
Als u wilt overstappen op Microsoft Entra Join, kunt u bestaande apparaten proactief opnieuw instellen. Deze benadering kan verstorender zijn voor gebruikers en vereist meer planning & testen. Maar u kunt deze methode gebruiken als u een paar apparaten hebt of als u een sterke business case hebt om over te stappen op Microsoft Entra Join.
Er is een blokkering die voorkomt dat mijn organisatie overstapt naar Microsoft Entra Join
Het is mogelijk dat er obstakels en uitdagingen buiten de controle van Microsoft zijn die ervoor kunnen zorgen dat uw organisatie niet volledig kan overstappen op Microsoft Entra Join. Er kunnen ook onbekende obstakels zijn die specifiek zijn voor uw organisatie en de configuratie of verwachtingen. Deze blokkers kunnen technisch zijn of zich voordoen om andere, niet-technische redenen.
Vergeet niet dat overstappen naar Microsoft Entra Join geen alles of niets voorstel is. Het verplaatsen van apparaten naar Microsoft Entra Join kost tijd, zelfs met of zonder blokkeringen of remmers.
Als u een mogelijke blokkering identificeert waardoor u Microsoft Entra Join niet kunt gebruiken, bepaalt u het bereik, de impact en de oplossing. De planningshandleiding op hoog niveau om over te stappen op cloudeigen eindpunten kan helpen.
Kunnen Microsoft Entra Join- en Hybride Microsoft Entra Join-eindpunten naast elkaar bestaan in dezelfde omgeving?
Ja, Microsoft Entra Join- en Hybride Microsoft Entra Join-eindpunten kunnen naast elkaar bestaan in dezelfde omgeving. Ze sluiten elkaar niet uit.
Het hebben van een gemengde omgeving verhoogt de complexiteit, het onderhoud en de ondersteuningskosten. Maar u kunt Hybride Microsoft Entra Join gebruiken totdat deze eindpunten zijn vervangen of opnieuw zijn ingesteld. Houd er rekening mee dat hybride Microsoft Entra Join niet het einddoel van uw organisatie moet zijn voor de windows-eindpuntstatus.
Kunnen gebruikers op Microsoft Entra Join-systemen toegang krijgen tot on-premises resources?
Ja, gebruikers op Microsoft Entra Join-systemen hebben toegang tot on-premises resources.
Microsoft Entra Join-eindpunten hebben toegang tot on-premises resources en kunnen gebruikmaken van eenmalige aanmelding (SSO). Ga voor meer specifieke informatie naar Cloudeigen eindpunten en on-premises resources.
Welke statussen voor apparaatdeelname kunnen door Intune worden beheerd?
Microsoft Intune, een 100% cloudoplossing, kan Windows-clientapparaten beheren die Microsoft Entra Join of Hybrid Microsoft Entra Join zijn. Intune heeft veel ingebouwde functies en instellingen waarmee u instellingen kunt beheren, apparaatfuncties kunt beheren, uw eindpunten kunt beveiligen en meer.
In de planningshandleiding op hoog niveau om over te stappen op cloudeigen eindpunten: Intune-functies die u moet kennen, worden enkele van deze functies vermeld. Wat Is Intune is ook een goede resource.
Op hybride Microsoft Entra Join-eindpunten kunt u on-premises groepsbeleidsobjecten (GPO) of Intune gebruiken om beleidsinstellingen te beheren. Het is mogelijk om ook een combinatie van GPO en Intune te gebruiken, maar deze combinatie voegt administratieve overhead en complexiteit toe. Als u co-beheer inschakelt (Intune (cloud) + Configuration Manager (on-premises)), kunt u bepaalde Microsoft Entra-functies gebruiken, zoals voorwaardelijke toegang.
Ga voor enkele richtlijnen naar Implementatiehandleiding: Instellen of overstappen op Microsoft Intune.
Welke statussen voor apparaatkoppeling zijn vereist voor apparaatcompatibiliteit en/of voorwaardelijke toegang?
Zowel hybride Microsoft Entra Join- als Microsoft Entra Join-eindpunten ondersteunen nalevingsbeleid en voorwaardelijke toegang wanneer deze worden beheerd door Intune of co-beheerd door Intune en Configuration Manager.
Zijn er beperkingen voor Hybride Microsoft Entra Join?
Ja, er zijn beperkingen voor Hybride Microsoft Entra Join.
Deze beperkingen zijn over het algemeen hetzelfde voor on-premises apparaten die alleen lid zijn van een domein. Met name hybride Microsoft Entra Join-eindpunten vereisen een gezichtslijn naar de on-premises AD-domeincontroller voor de eerste aanmelding en om wachtwoorden te wijzigen. Als het domein niet beschikbaar is of niet beschikbaar is, kunnen gebruikers zich mogelijk niet aanmelden bij hun eindpunten. Als uw organisatie geen on-premises domein meer heeft, moet u ook overstappen op Hybride Microsoft Entra Join voor uw apparaten.
Als u verificatie zonder wachtwoord gebruikt, hebben gebruikers internettoegang en zicht op de domeincontrollers (DC's) nodig. Hybride Microsoft Entra Join-eindpunten kunnen kerberos en NTLM gebruiken om te verifiëren.
Wordt Hybride Microsoft Entra Join beschouwd als cloudeigen?
Nee, Hybride Microsoft Entra Join wordt niet beschouwd als cloudeigen.
De cloudoplossing is microsoft Entra Join van uw eindpunten. De eindpunten en hun identiteiten worden gemaakt en opgeslagen in Microsoft Entra. Intune beheert de eindpunten met instellingen en beleid. Deze services werken met andere cloudservices, waaronder Microsoft 365, Microsoft Defender XDR en meer.
Volg de richtlijnen voor cloudeigen eindpunten
- Overzicht: Wat zijn cloudeigen eindpunten?
- Zelfstudie: Aan de slag met cloudeigen Windows-eindpunten
- 🡺 Concept: Aan Microsoft Entra gekoppeld versus hybride Microsoft Entra (U bent hier)
- Concept: Cloudeigen eindpunten en on-premises resources
- Planningshandleiding op hoog niveau
- Bekende problemen en belangrijke informatie
Feedback
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar: https://aka.ms/ContentUserFeedback.
Feedback verzenden en bekijken voor