De implementatie van uw Microsoft Entra-apparaat plannen
Dit artikel helpt u bij het evalueren van de methoden om uw apparaat te integreren met Microsoft Entra ID, het implementatieplan te kiezen en belangrijke koppelingen te bieden naar ondersteunde hulpprogramma's voor apparaatbeheer.
Het landschap van de apparaten van uw gebruiker wordt voortdurend uitgebreid. Organisaties kunnen desktops, laptops, telefoons, tablets en andere apparaten leveren. Uw gebruikers kunnen zelf verschillende apparaten meenemen en toegang krijgen tot informatie vanaf verschillende locaties. In deze omgeving is het uw taak als beheerder om uw organisatieresources veilig te houden op alle apparaten.
Met Microsoft Entra ID kan uw organisatie aan deze doelstellingen voldoen met apparaatidentiteitsbeheer. U kunt uw apparaten nu ophalen in Microsoft Entra ID en deze beheren vanaf een centrale locatie in het Microsoft Entra-beheercentrum. Dit proces biedt u een uniforme ervaring, verbeterde beveiliging en vermindert de tijd die nodig is om een nieuw apparaat te configureren.
Er zijn meerdere methoden om uw apparaten te integreren in Microsoft Entra ID, ze kunnen afzonderlijk of samen werken op basis van het besturingssysteem en uw vereisten:
- U kunt apparaten registreren bij Microsoft Entra ID.
- Apparaten koppelen aan Microsoft Entra ID (alleen in de cloud).
- Hybride Microsoft Entra-apparaten koppelen aan uw on-premises Active Directory-domein en Microsoft Entra-id.
Leren
Voordat u begint, moet u ervoor zorgen dat u bekend bent met het overzicht van apparaatidentiteitsbeheer.
Vergoedingen
De belangrijkste voordelen van het geven van een Microsoft Entra-identiteit aan uw apparaten:
Hogere productiviteit: Gebruikers kunnen naadloze aanmelding (SSO) uitvoeren voor uw on-premises en cloudresources, waardoor ze overal productief kunnen zijn.
Betere beveiliging: Pas beleid voor voorwaardelijke toegang toe op resources op basis van de identiteit van het apparaat of de gebruiker. Het toevoegen van een apparaat aan Microsoft Entra ID is een vereiste voor het verhogen van uw beveiliging met een strategie zonder wachtwoord.
Betere gebruikerservaring: Geef uw gebruikers eenvoudig toegang tot de cloudresources van uw organisatie vanaf zowel hun eigen apparaten als apparaten van het bedrijf. Beheerders kunnen Enterprise State Roaming inschakelen voor een uniforme ervaring op alle Windows-apparaten.
Implementatie en beheer vereenvoudigen: vereenvoudig het proces van het overbrengen van apparaten naar Microsoft Entra ID met Windows Autopilot, bulkinrichting of selfservice: Out of Box Experience (OOBE). Apparaten beheren met MDM-hulpprogramma's (Mobile Apparaatbeheer), zoals Microsoft Intune en hun identiteiten in het Microsoft Entra-beheercentrum.
Het implementatieproject plannen
Houd rekening met de behoeften van uw organisatie terwijl u de strategie voor deze implementatie in uw omgeving bepaalt.
De juiste belanghebbenden betrekken
Wanneer technologieprojecten mislukken, komt dit meestal door niet-overeenkomende verwachtingen met betrekking tot de impact, resultaten en verantwoordelijkheden. Om deze valkuilen te voorkomen, moet u ervoor zorgen dat u de juiste belanghebbenden aangaat en dat de rollen van belanghebbenden in het project goed worden begrepen.
Voeg voor dit plan de volgende belanghebbenden toe aan uw lijst:
| Rol | Beschrijving |
|---|---|
| Apparaatbeheerder | Een vertegenwoordiger van het apparaatteam die kan verzekeren dat het plan voldoet aan de apparaatvereisten van uw organisatie. |
| Netwerkbeheerder | Een vertegenwoordiger van het netwerkteam die ervoor kan zorgen dat aan de netwerkvereisten wordt voldaan. |
| Team voor apparaatbeheer | Team dat de inventaris van apparaten beheert. |
| Besturingssysteemspecifieke beheerteams | Teams die specifieke besturingssysteemversies ondersteunen en beheren. Er kan bijvoorbeeld een speciaal Mac- of iOS-team zijn. |
Communicatie plannen
Communicatie is essentieel voor het succes van elke nieuwe service. Communiceer proactief aan uw gebruikers hoe hun ervaring zal veranderen, wanneer deze zal veranderen en hoe ze ondersteuning krijgen als ze problemen ondervinden.
Een testfase plannen
Het is raadzaam om de initiële configuratie van uw integratiemethode uit te voeren in een testomgeving of met een kleine groep testapparaten. Zie de best practices voor een testfase.
Mogelijk wilt u een gerichte implementatie van Hybride Join van Microsoft Entra uitvoeren voordat u deze inschakelt in de hele organisatie.
Waarschuwing
Organisaties moeten een representatieve groep van gebruikers met verschillende rollen en profielen in hun testgroep opnemen. Een gerichte implementatie helpt bij het identificeren van problemen die in uw plan mogelijk niet naar voren zijn gekomen voordat u een organisatiebrede implementatie uitvoert.
Uw integratiemethoden kiezen
Uw organisatie kan meerdere methoden voor apparaatintegratie gebruiken in één Microsoft Entra-tenant. Het doel is om de methode(s) te kiezen die geschikt zijn om uw apparaten veilig te laten beheren in Microsoft Entra ID. Er zijn diverse parameters die een rol spelen bij deze beslissing, waaronder eigendom, apparaattypen, primaire doelgroep en de infrastructuur van uw organisatie.
De volgende informatie kan u helpen bij de beslissing welke integratiemethode u wilt gebruiken.
Beslissingsstructuur voor de integratie van apparaten
Gebruik deze structuur om opties te bepalen voor apparaten die eigendom zijn van de organisatie.
Notitie
Persoonlijke of BYOD-scenario's (Bring Your Own Device) worden niet weergegeven in dit diagram. Ze resulteren altijd in Microsoft Entra-registratie.
Vergelijkingsmatrix
iOS- en Android-apparaten zijn mogelijk alleen geregistreerd bij Microsoft Entra. De volgende tabel bevat overwegingen op hoog niveau voor Windows-clientapparaten. Gebruik de tabel als een overzicht en verken vervolgens de verschillende integratiemethoden in detail.
| Overweging | Microsoft Entra geregistreerd | Aan Microsoft Entra gekoppeld | Hybride aan Microsoft Entra gekoppeld |
|---|---|---|---|
| Clientbesturingssystemen | |||
| Windows 11- of Windows 10-apparaten |  |
|
|
| Windows-apparaten met een lagere versie (Windows 8.1 of Windows 7) | |
||
| Linux Desktop - Ubuntu 20.04/22.04 | |
||
| Aanmeldingsopties | |||
| De lokale referenties voor eindgebruikers | |
||
| Password | |
|
|
| Pincode voor apparaat | |
||
| Windows Hello | |
||
| Windows Hello voor Bedrijven | |
|
|
| FIDO 2.0-beveiligingssleutels | |
|
|
| De app Microsoft Authenticator (zonder wachtwoord) | |
|
|
| Belangrijkste mogelijkheden | |||
| Eenmalige aanmelding bij cloudresources | |
|
|
| Eenmalige aanmelding voor on-premises resources | |
|
|
| Voorwaardelijke toegang (Vereisen dat apparaten worden gemarkeerd als compatibel) (Moet worden beheerd door MDM) |
|
|
|
| Voorwaardelijke toegang (Vereisen dat hybride gekoppelde Microsoft Entra-apparaten worden gebruikt) |
|
||
| Self-service voor wachtwoordherstel vanuit het aanmeldingsvenster van Windows | |
|
|
| Pincode Windows Hello opnieuw instellen | |
|
Microsoft Entra-registratie
Geregistreerde apparaten worden vaak beheerd met Microsoft Intune. Apparaten worden op verschillende manieren ingeschreven in Intune, afhankelijk van het besturingssysteem.
Geregistreerde Microsoft Entra-apparaten bieden ondersteuning voor BYOD-apparaten (Bring Your Own Devices) en apparaten in bedrijfseigendom voor eenmalige aanmelding bij cloudresources. Toegang tot resources is gebaseerd op het beleid voor voorwaardelijke toegang van Microsoft Entra dat is toegepast op het apparaat en de gebruiker.
Apparaten registreren
Geregistreerde apparaten worden vaak beheerd met Microsoft Intune. Apparaten worden op verschillende manieren ingeschreven in Intune, afhankelijk van het besturingssysteem.
Het BYOD en mobiele apparaat in bedrijfseigendom worden geregistreerd door gebruikers die de bedrijfsportal-app installeren.
Als het registreren van uw apparaten de beste optie is voor uw organisatie, raadpleegt u de volgende bronnen:
- Dit overzicht van geregistreerde Microsoft Entra-apparaten.
- Deze documentatie voor eindgebruikers over het registreren van uw persoonlijke apparaat in het netwerk van uw organisatie.
Microsoft Entra koppeling
Met Microsoft Entra join kunt u overstappen op een cloud-first model met Windows. Het biedt een uitstekende basis als u van plan bent om uw apparaatbeheer te moderniseren en de IT-kosten voor apparaten te verlagen. Microsoft Entra join werkt alleen met Windows 10- of nieuwere apparaten. Beschouw het als de eerste keus voor nieuwe apparaten.
Microsoft Entra-gekoppelde apparaten kunnen eenmalige aanmelding instellen voor on-premises resources wanneer ze zich in het netwerk van de organisatie bevinden, kunnen worden geverifieerd bij on-premises servers, zoals bestanden, afdrukken en andere toepassingen.
Als deze optie het beste is voor uw organisatie, raadpleegt u de volgende resources:
- Dit overzicht van aan Microsoft Entra gekoppelde apparaten.
- Raak vertrouwd met het implementatieplan voor Microsoft Entra-deelname.
Aan Microsoft Entra gekoppelde apparaten inrichten
Als u apparaten wilt inrichten voor Microsoft Entra Join, hebt u de volgende methoden:
- Self-Service: Windows 10 first-run experience
Als Windows 10 Professional of Windows 10 Enterprise op een apparaat is geïnstalleerd, wordt de uitvoering standaard ingesteld op het installatieproces voor apparaten die eigendom van het bedrijf zijn.
Kies uw implementatieprocedure na een zorgvuldige vergelijking van deze benaderingen.
U kunt bepalen dat Microsoft Entra join de beste oplossing is voor een apparaat in een andere status. In de volgende tabel ziet u hoe u de status van een apparaat wijzigt.
| Huidige apparaatstatus | Gewenste apparaatstatus | Uitleg |
|---|---|---|
| Toegevoegd aan on-premises domein | Aan Microsoft Entra gekoppeld | Ontkoppel het apparaat van het on-premises domein voordat u deelneemt aan Microsoft Entra-id. |
| Hybride aan Microsoft Entra gekoppeld | Aan Microsoft Entra gekoppeld | Ontkoppel het apparaat van het on-premises domein en van Microsoft Entra ID voordat u deelneemt aan Microsoft Entra-id. |
| Microsoft Entra geregistreerd | Aan Microsoft Entra gekoppeld | De registratie van het apparaat ongedaan maken voordat u deelneemt aan Microsoft Entra-id. |
Hybride deelname aan Microsoft Entra
Als u een on-premises Active Directory-omgeving hebt en uw bestaande computers die lid zijn van een domein wilt toevoegen aan Microsoft Entra ID, kunt u deze taak uitvoeren met hybride deelname aan Microsoft Entra. Het biedt ondersteuning voor een breed scala aan Windows-apparaten, waaronder zowel Windows-apparaten met de nieuwste versie als oudere versies.
De meeste organisaties hebben al domein-gekoppelde apparaten en beheren ze via groepsbeleid of System Center Configuration Manager (SCCM). In dat geval raden we u aan om hybride deelname van Microsoft Entra te configureren om voordelen te krijgen tijdens het gebruik van bestaande investeringen.
Als Hybride deelname van Microsoft Entra de beste optie voor uw organisatie is, raadpleegt u de volgende bronnen:
- Dit overzicht van hybride apparaten van Microsoft Entra.
- Maak kennis met het implementatieplan voor hybride deelname van Microsoft Entra.
Hybride deelname van Microsoft Entra inrichten aan uw apparaten
Uw identiteitsinfrastructuur controleren. Microsoft Entra Verbinding maken biedt u een wizard voor het configureren van hybride deelname aan Microsoft Entra voor:
Als het installeren van de vereiste versie van Microsoft Entra Verbinding maken geen optie voor u is, raadpleegt u hoe u hybride deelname van Microsoft Entra handmatig configureert.
Notitie
Het on-premises windows 10- of nieuwere apparaat probeert automatisch lid te worden van Microsoft Entra-id om standaard lid te worden van Een hybride versie van Microsoft Entra. Dit lukt alleen als u de juiste omgeving hebt ingesteld.
U kunt bepalen dat Hybride join van Microsoft Entra de beste oplossing is voor een apparaat in een andere status. In de volgende tabel ziet u hoe u de status van een apparaat wijzigt.
| Huidige apparaatstatus | Gewenste apparaatstatus | Uitleg |
|---|---|---|
| Toegevoegd aan on-premises domein | Hybride aan Microsoft Entra gekoppeld | Gebruik Microsoft Entra Verbinding maken of AD FS om lid te worden van Azure. |
| Toegevoegd aan on-premises werkgroep of nieuw | Hybride aan Microsoft Entra gekoppeld | Ondersteund met Windows Autopilot. Anders moet het apparaat on-premises lid zijn van een domein voordat microsoft Entra hybrid join wordt toegevoegd. |
| Aan Microsoft Entra gekoppeld | Hybride aan Microsoft Entra gekoppeld | Ontkoppelen van Microsoft Entra-id, waardoor deze in de on-premises werkgroep of nieuwe status wordt weergegeven. |
| Microsoft Entra geregistreerd | Hybride aan Microsoft Entra gekoppeld | Is afhankelijk van de Windows-versie. Bekijk deze overwegingen. |
Uw apparaten beheren
Zodra u uw apparaten hebt geregistreerd of gekoppeld aan Microsoft Entra ID, gebruikt u het Microsoft Entra-beheercentrum als centrale plaats om uw apparaatidentiteiten te beheren. Op de pagina Microsoft Entra-apparaten kunt u het volgende doen:
- De apparaatinstellingen configureren.
- U moet een lokale beheerder zijn om Windows-apparaten te beheren. Microsoft Entra ID werkt dit lidmaatschap bij voor apparaten die lid zijn van Microsoft Entra en voegt automatisch gebruikers met de rol apparaatbeheerder toe als beheerders aan alle gekoppelde apparaten.
Zorg ervoor dat u de omgeving schoon houdt door verouderde apparaten te beheren en uw resources te richten op het beheren van huidige apparaten.
Ondersteunde hulpprogramma's voor apparaatbeheer
Beheerders kunnen geregistreerde en gekoppelde apparaten beveiligen en verder beheren met andere hulpprogramma's voor apparaatbeheer. Deze hulpprogramma's bieden u een manier om configuraties af te dwingen, zoals het vereisen van opslagversleuteling, wachtwoordcomplexiteit, software-installaties en software-updates.
Bekijk ondersteunde en niet-ondersteunde platforms voor geïntegreerde apparaten:
| Hulpprogramma’s voor apparaatbeheer | Microsoft Entra geregistreerd | Aan Microsoft Entra gekoppeld | Hybride aan Microsoft Entra gekoppeld |
|---|---|---|---|
| Mobile Device Management (MDM) Voorbeeld: Microsoft Intune |
|
|
|
| Co-beheer met Microsoft Intune en Microsoft Configuration Manager (Windows 10 of nieuwer) |
|
|
|
| Groepsbeleid (Alleen Windows) |
|
We raden u aan om Microsoft Intune Mobile Application Management (MAM), met of zonder apparaatbeheer, te overwegen voor geregistreerde iOS- of Android-apparaten.
Beheerders kunnen ook VDI-platforms (Virtual Desktop Infrastructure) implementeren waarop Windows-besturingssystemen in hun organisatie worden gehost om het beheer te stroomlijnen en de kosten te verlagen door resources te consolideren en te centraliseren.