Apparaatregistratie configureren en beheren
Met de verspreiding van apparaten van alle vormen en maten en de verspreiding van bring-your-own-device (BYOD) worden IT-professionals geconfronteerd met twee enigszins tegengestelde doelen:
- Toestaan dat eindgebruikers productief zijn waar en wanneer en op elk apparaat
- De bedrijfsactiva beschermen
Om deze assets te beveiligen, moeten IT-medewerkers eerst de apparaatidentiteiten beheren. IT-medewerkers kunnen bouwen op de apparaatidentiteit met hulpprogramma's zoals Microsoft Intune om ervoor te zorgen dat aan standaarden voor beveiliging en naleving wordt voldaan. Microsoft Entra ID maakt eenmalige aanmelding mogelijk voor apparaten, apps en services vanaf elke locatie via deze apparaten.
- Uw gebruikers krijgen toegang tot de assets van uw organisatie die ze nodig hebben.
- Uw IT-medewerkers krijgen de besturingselementen die ze nodig hebben om uw organisatie te beveiligen.
Geregistreerde Microsoft Entra-apparaten
Het doel van geregistreerde Microsoft Entra-apparaten is om uw gebruikers ondersteuning te bieden voor de BYOD- of mobiele apparaatscenario's. In deze scenario's heeft een gebruiker toegang tot de door Microsoft Entra ID beheerde resources van uw organisatie met behulp van een persoonlijk apparaat.
| Microsoft Entra geregistreerd | Beschrijving |
|---|---|
| Definitie | Geregistreerd bij Microsoft Entra-id zonder dat het organisatieaccount zich moet aanmelden bij het apparaat |
| Primaire doelgroep | Van toepassing op BYOD-apparaten (Bring Your Own Device) en Mobiele apparaten |
| Apparaateigendom | De gebruiker of organisatie |
| Besturingssystemen | Windows 10, Windows 11, iOS, Android en macOS |
| Aanmeldingsopties voor apparaat | Lokale referenties voor eindgebruikers, wachtwoord, Windows Hello, pincode biometrie |
| Apparaatbeheer | Het mobiele apparaatbeheer (bijvoorbeeld: Microsoft Intune) |
| Belangrijke mogelijkheden | Eenmalige aanmelding bij cloudresources, voorwaardelijke toegang |
Geregistreerde Microsoft Entra-apparaten worden aangemeld bij het gebruik van een lokaal account, zoals een Microsoft-account op een Windows 10-apparaat, maar er is ook een AnMicrosoft Entra-account gekoppeld voor toegang tot organisatieresources. Toegang tot resources in de organisatie kan verder worden beperkt op basis van dat Microsoft Entra-account en beleid voor voorwaardelijke toegang dat is toegepast op de apparaat-id.
Beheer istrators kunnen deze geregistreerde Microsoft Entra-apparaten beveiligen en verder beheren met mdm-hulpprogramma's (Mobile Apparaatbeheer), zoals Microsoft Intune. MDM biedt een manier om configuraties die vereist zijn in de organisatie af te dwingen, zoals het vereisen van opslagversleuteling, wachtwoordcomplexiteit en zorgen dat beveiligingssoftware bijgewerkt blijft.
Registratie van Microsoft Entra-id's kan worden uitgevoerd bij het openen van een werktoepassing voor de eerste keer of handmatig via het menu windows 10 Instellingen.
Scenario's voor geregistreerde apparaten
Een gebruiker in uw organisatie wil toegang krijgen tot hulpprogramma's voor e-mail, rapportagetijd en voordelen van inschrijving vanaf hun pc thuis. Uw organisatie heeft deze hulpprogramma's achter een beleid voor voorwaardelijke toegang dat toegang vereist vanaf een apparaat dat compatibel is met Intune. De gebruiker voegt zijn organisatieaccount toe en registreert zijn pc thuis met Microsoft Entra-id en het vereiste Intune-beleid wordt afgedwongen om de gebruiker toegang te geven tot hun resources.
Een andere gebruiker wil toegang krijgen tot hun organisatie-e-mail op hun persoonlijke, geroote Android-telefoon. Uw bedrijf vereist een compatibel apparaat en heeft daarom een Intune-nalevingsbeleid gemaakt om geroote apparaten te blokkeren. De werknemer heeft dus geen toegang meer tot organisatieresources op dit apparaat.
Aan Microsoft Entra gekoppelde apparaten
Microsoft Entra join is bedoeld voor organisaties die cloud-first of cloud-only willen zijn. Elke organisatie kan aan Microsoft Entra gekoppelde apparaten implementeren, ongeacht de grootte of branche. Microsoft Entra join maakt toegang tot zowel cloud- als on-premises apps en resources mogelijk.
| Aan Microsoft Entra gekoppeld | Beschrijving |
|---|---|
| Definitie | Alleen toegevoegd aan Microsoft Entra-id waarbij organisatieaccounts zich moeten aanmelden bij het apparaat |
| Primaire doelgroep | Geschikt voor zowel cloud- als hybride organisaties |
| Apparaateigendom | Organisatie |
| Besturingssystemen | Alle Windows 10 & 11-apparaten, met uitzondering van Windows 10/11 Home |
| Apparaatbeheer | Het mobiele apparaatbeheer (bijvoorbeeld: Microsoft Intune) |
| Belangrijke mogelijkheden | Eenmalige aanmelding voor zowel cloudresources als on-premises resources, voorwaardelijke toegang, selfservice voor wachtwoordherstel en opnieuw instellen van pincode voor Windows Hello |
Aan Microsoft Entra gekoppelde apparaten worden aangemeld met behulp van een Microsoft Entra-account van de organisatie. Toegang tot resources in de organisatie kan verder worden beperkt op basis van dat Microsoft Entra-account en beleid voor voorwaardelijke toegang dat is toegepast op de apparaat-id.
Beheer istrators kunnen microsoft Entra-gekoppelde apparaten beveiligen en verder beheren met behulp van MDM-hulpprogramma's (Mobile Apparaatbeheer), zoals Microsoft Intune of in co-beheerscenario's met behulp van Microsoft Endpoint Configuration Manager. Deze hulpprogramma's bieden een middel om door de organisatie vereiste configuraties af te dwingen, zoals het vereisen van opslag die moet worden versleuteld, wachtwoordcomplexiteit, software-installaties en software-updates. Beheer istrators kunnen organisatietoepassingen beschikbaar maken voor aan Microsoft Entra gekoppelde apparaten met Behulp van Configuration Manager.
Microsoft Entra join kan worden bereikt met behulp van selfserviceopties zoals de Out of Box Experience (OOBE), bulkinschrijving of Windows Autopilot.
Aan Microsoft Entra gekoppelde apparaten kunnen nog steeds eenmalige aanmeldingstoegang tot on-premises resources behouden wanneer ze zich in het netwerk van de organisatie bevinden. Aan Microsoft Entra gekoppelde apparaten worden geverifieerd bij on-premises servers, zoals voor bestanden, afdrukken en andere toepassingen.
Scenario's voor gekoppelde apparaten
Hoewel Microsoft Entra join voornamelijk is bedoeld voor organisaties die geen on-premises Windows Server Active Directory-infrastructuur hebben, kunt u deze zeker gebruiken in scenario's waarin:
- U wilt overstappen op een cloudinfrastructuur met behulp van Microsoft Entra ID en MDM, zoals Intune.
- U geen on-premises domeinkoppeling kunt gebruiken, bijvoorbeeld als u mobiele apparaten zoals tablets en telefoons onder controle moet krijgen.
- Uw gebruikers hebben voornamelijk toegang nodig tot Microsoft 365 of andere SaaS-apps die zijn geïntegreerd met Microsoft Entra ID.
- U wilt een groep gebruikers beheren in Microsoft Entra ID in plaats van in Active Directory. Dit scenario kan bijvoorbeeld van toepassing zijn op seizoenswerkers, aannemers of leerlingen/studenten.
- U koppelingsmogelijkheden wilt bieden aan medewerkers in externe filialen met beperkte on-premises infrastructuur.
U kunt microsoft Entra-gekoppelde apparaten configureren voor alle Windows 10-apparaten, met uitzondering van Windows 10 Home.
Het doel van aan Microsoft Entra gekoppelde apparaten is om het volgende te vereenvoudigen:
- Windows-implementaties van apparaten die eigendom van het bedrijf zijn
- Toegang tot apps en bronnen van de organisatie vanaf elk Windows-apparaat
- Cloudgebaseerd beheer van apparaten die eigendom van het bedrijf zijn
- Gebruikers om zich aan te melden bij hun apparaten met hun Microsoft Entra-id of gesynchroniseerde Active Directory-werk- of schoolaccounts.
Microsoft Entra Join kan worden geïmplementeerd met behulp van een aantal verschillende methoden.
Aan Hybride Microsoft Entra gekoppelde apparaten
Al meer dan tien jaar gebruiken vele organisaties de domeinkoppeling naar hun on-premises Active Directory om:
- IT-afdelingen vanaf een centrale locatie apparaten te laten beheren die eigendom van het bedrijf zijn.
- Gebruikers zich bij hun apparaat te laten aanmelden met hun Active Directory-werkaccount of -schoolaccount.
Organisaties met een on-premises footprint zijn doorgaans afhankelijk van imagingmethoden voor het configureren van apparaten en gebruiken vaak Configuration Manager of groepsbeleid (GP) om ze te beheren.
Als uw omgeving een on-premises AD-footprint heeft en u ook wilt profiteren van de mogelijkheden van Microsoft Entra ID, kunt u hybride Microsoft Entra-gekoppelde apparaten implementeren. Deze apparaten zijn apparaten die zijn gekoppeld aan uw on-premises Active Directory en die zijn geregistreerd bij uw Microsoft Entra-directory.
| Hybride Microsoft Entra toegevoegd | Beschrijving |
|---|---|
| Definitie | Toegevoegd aan on-premises AD en Microsoft Entra-id waarvoor organisatieaccount moet worden aangemeld bij het apparaat |
| Primaire doelgroep | Geschikt voor hybride organisaties met een bestaande on-premises AD-infrastructuur |
| Apparaateigendom | Organisatie |
| Besturingssystemen | Windows 11, 10, 8.1 en 7, samen met Windows Server 2008/R2, 2012/R2, 2016 en 2019 |
| Aanmeldingsopties voor apparaat | Wachtwoord of Windows Hello voor Bedrijven |
| Apparaatbeheer | Groepsbeleid, configuration manager zelfstandig of co-beheer met Microsoft Intune |
| Belangrijke mogelijkheden | Eenmalige aanmelding voor zowel cloudresources als on-premises resources, voorwaardelijke toegang, selfservice voor wachtwoordherstel en opnieuw instellen van pincode voor Windows Hello |
Scenario's voor hybride gekoppeld
Hybride gekoppelde Microsoft Entra-apparaten gebruiken als:
- U hebt WIN32-apps geïmplementeerd op deze apparaten die afhankelijk zijn van Active Directory-computerverificatie.
- U wilt groepsbeleid blijven gebruiken om de apparaatconfiguratie te beheren.
- U wilt bestaande replicatieoplossingen blijven gebruiken om apparaten te implementeren en te configureren.
- U moet naast Windows 10 ook windows 7- en 8.1-apparaten op downlevel ondersteunen.
Write-back van apparaat
In een cloudconfiguratie voor Microsoft Entra-id's worden apparaten alleen geregistreerd in Microsoft Entra-id. Uw on-premises AD heeft geen zichtbaarheid van de apparaten. Dit betekent dat voorwaardelijke toegang in de cloud eenvoudig kan worden ingesteld en onderhouden. In deze sectie bespreken we echter hybride instellingen met Microsoft Entra Verbinding maken. Hoe kunt u on-premises voorwaardelijke toegang uitvoeren met apparaten, als deze alleen bestaan in Microsoft Entra-id? Met terugschrijven van apparaten kunt u apparaten bijhouden die zijn geregistreerd bij Microsoft Entra ID in AD. U hebt een kopie van de apparaatobjecten in de container 'Geregistreerde apparaten'
Scenario: U hebt een toepassing die u alleen toegang wilt verlenen aan gebruikers als ze afkomstig zijn van geregistreerde apparaten.
Cloud: U kunt beleid voor voorwaardelijke toegang schrijven voor alle geïntegreerde Microsoft Entra-toepassingen om te autoriseren op basis van of het apparaat is gekoppeld aan Microsoft Entra-id of niet.
On-premises: dit is niet mogelijk zonder terugschrijven van apparaten. Als de toepassing is geïntegreerd met ADFS (2012 of hoger), kunt u claimregels schrijven om de status van het apparaat te controleren en vervolgens alleen toegang te verlenen als de claim 'is beheerd' aanwezig is. Om deze claim uit te geven, controleert ADFS op het apparaatobject in de container Geregistreerde apparaten en geeft de claim dienovereenkomstig uit.
Windows Hello voor Bedrijven (WHFB) vereist terugschrijven van apparaten om te kunnen functioneren in hybride en federatieve scenario's.