Przyłączone do usługi Microsoft Entra a hybrydowa aplikacja Microsoft Entra przyłączone do punktów końcowych natywnych dla chmury

Porada

Podczas czytania informacji o punktach końcowych natywnych dla chmury zobaczysz następujące terminy:

• Punkt końcowy: punkt końcowy to urządzenie, takie jak telefon komórkowy, tablet, laptop lub komputer stacjonarny. "Punkty końcowe" i "urządzenia" są używane zamiennie.
• Zarządzane punkty końcowe: punkty końcowe, które odbierają zasady od organizacji przy użyciu rozwiązania MDM lub obiektów zasad grupy. Te urządzenia są zazwyczaj własnością organizacji, ale mogą być również urządzeniami BYOD lub osobistymi.
• Punkty końcowe natywne dla chmury: punkty końcowe przyłączone do usługi Microsoft Entra. Nie są one przyłączone do lokalnej usługi AD.
• Obciążenie: dowolny program, usługa lub proces.

Wiele krytycznych i cennych usług, w tym dostęp warunkowy i logowanie jednokrotne usługi Microsoft Entra, wymaga, aby punkty końcowe miały tożsamość w chmurze. W przypadku punktów końcowych systemu Windows należących do organizacji tożsamość w chmurze jest tworzona, gdy urządzenie jest przyłączone do usługi Microsoft Entra lub przyłączone hybrydowo do platformy Microsoft Entra.

Podczas przechodzenia do punktów końcowych natywnych dla chmury należy zrozumieć różnice między urządzeniami przyłączonymi do platformy Microsoft Entra i urządzeniami przyłączonymi hybrydowo do platformy Microsoft Entra:

• Dołączone do usługi Microsoft Entra: urządzenia są przyłączone do usługi Microsoft Entra. Nie są one przyłączone do lokalnej usługi AD.

  Aby uzyskać bardziej szczegółowe informacje, przejdź do urządzeń przyłączonych do usługi Microsoft Entra (otwiera inną witrynę internetową firmy Microsoft).

• Przyłączone hybrydowo do usługi Microsoft Entra: urządzenia są zarejestrowane w usłudze Microsoft Entra i przyłączone do lokalnej domeny usługi AD.

  Aby uzyskać bardziej szczegółowe informacje, przejdź do pozycji Urządzenia przyłączone hybrydowo do usługi Microsoft Entra (otwiera inną witrynę internetową firmy Microsoft).

Ta funkcja ma zastosowanie do:

• Punkty końcowe natywne dla chmury systemu Windows

W tym artykule opisano niektóre różnice między urządzeniami przyłączonymi do usługi Microsoft Entra i urządzeniami przyłączonymi hybrydowo do usługi Microsoft Entra. Aby zapoznać się z omówieniem punktów końcowych natywnych dla chmury i ich korzyści, przejdź do tematu Co to są punkty końcowe natywne dla chmury.

Dołączono do aplikacji Microsoft Entra

Gdy punkt końcowy, taki jak urządzenie z systemem Windows 10/11, jest przyłączony do usługi Microsoft Entra, ustanawia relację zaufania z firmą Microsoft Entra i ma tożsamość (device-id) w usłudze Microsoft Entra. Punkt końcowy jest zarządzany i kontrolowany przez organizację.

Punkt końcowy jest przyłączony do usługi Microsoft Entra. Nie jest przyłączona do lokalnej domeny usługi AD.

Aby dołączyć punkty końcowe systemu Windows do usługi Microsoft Entra, masz kilka opcji:

• Użyj rozwiązania Windows Autopilot. Rozwiązanie Windows Autopilot prowadzi użytkowników przez środowisko Windows Out of Box Experience (OOBE). Gdy użytkownicy wprowadzają swoje konto służbowe, punkt końcowy dołącza do usługi Microsoft Entra.

  Wszystkie urządzenia zarejestrowane przy użyciu rozwiązania Windows Autopilot są automatycznie uznawane za urządzenia należące do organizacji. Rozwiązanie Windows Autopilot to jedno z najczęściej używanych metod uzyskiwania urządzeń organizacji przyłączonych do usługi Microsoft Entra i zarządzanych przez it.

• Użyj środowiska Windows Out of Box Experience (OOBE). Gdy użytkownicy wprowadzają swoje konto służbowe na urządzeniu, punkt końcowy automatycznie dołącza do usługi Microsoft Entra.

• Użyj aplikacji Ustawienia. Na urządzeniu użytkownicy końcowi otwierają aplikację Ustawienia (Konta>uzyskują dostęp do połączenia służbowego)> i korzystają ze swojego konta służbowego.

• Użyj pakietu aprowizowania okien. Aby uzyskać więcej informacji, zobacz:

  • Aprowizowanie pakietów dla systemu Windows
  • Zbiorcze dołączanie urządzenia z systemem Windows do usług Microsoft Entra i Microsoft Intune przy użyciu pakietu aprowizacji — wpis w blogu Microsoft Tech Community

Korzyści it organizacji

• Korzystając z dostępu warunkowego, możesz zezwolić lub ograniczyć dostęp do zasobów organizacji, które spełniają lub nie spełniają twoich wymagań.
• Ustawienia i dane służbowe przechodzą przez chmury zgodne z przedsiębiorstwem. Żadne osobiste konta Microsoft, takie jak Hotmail, nie są używane i mogą być blokowane.
• Korzystając z usługi Windows Hello dla firm, możesz zmniejszyć ryzyko kradzieży poświadczeń.

Korzyści dla użytkowników końcowych

• Aby uwierzytelnić użytkowników końcowych w usłudze Microsoft Entra i punkcie końcowym systemu Windows, użytkownicy potrzebują konta służbowego. Nie są używane żadne konta osobiste.

• Uzyskaj logowanie jednokrotne do aplikacji platformy Microsoft 365 i SaaS przy użyciu połączenia internetowego.

• Użyj wygody i zabezpieczeń usługi Windows Hello dla firm, aby zalogować się do punktu końcowego systemu Windows.

  Po zalogowaniu się przy użyciu usługi Windows Hello dla firm użytkownicy automatycznie używają logowania jednokrotnego do wielu aplikacji i zasobów online oraz lokalnych.

• Ustawienia systemu operacyjnego wędrują po wszystkich urządzeniach przyłączonych do usługi Microsoft Entra.

  Ważna

  Użytkownicy końcowi pracujący zdalnie na urządzeniach przyłączonych do usługi Microsoft Entra nie potrzebują sieci VPN do logowania się, gdy poświadczenia w pamięci podręcznej wygasną na urządzeniu. Na hybrydowych urządzeniach przyłączonych do usługi Microsoft Entra potrzebują sieci VPN, aby zalogować się po wygaśnięciu poświadczeń w pamięci podręcznej.

Zasoby przyłączone do usługi Microsoft Entra

• Co to jest tożsamość urządzenia w usłudze Microsoft Entra?
• Co to jest urządzenie przyłączone do usługi Microsoft Entra?
• Jak działa rejestracja urządzeń w usłudze Microsoft Entra
• Jak zaplanować implementację dołączania do usługi Microsoft Entra
• Dokumentacja usługi Windows Hello dla firm — zabezpieczenia systemu Windows

Przyłączone hybrydowo do usługi Microsoft Entra

Urządzenia przyłączone hybrydowo do usługi Microsoft Entra są przyłączone do lokalnej domeny usługi AD i są zarejestrowane w usłudze Microsoft Entra. Urządzenia te wymagają sieciowego połączenia sieciowego z lokalnymi kontrolerami domeny (DC) na potrzeby początkowego logowania i zarządzania urządzeniami.

Jeśli urządzenia nie mogą nawiązać połączenia z kontrolerem domeny, użytkownicy mogą nie być zalogowani i mogą nie otrzymywać aktualizacji zasad.

Wiele organizacji z istniejącymi urządzeniami przyłączonymi do domeny chce korzyści i funkcji usługi Microsoft Entra i zarządzania punktami końcowymi. Jeśli twoje urządzenia nie mogą być jeszcze w pełni natywne dla chmury, możesz zarejestrować te istniejące urządzenia w usłudze Microsoft Entra. Podczas rejestrowania istniejących urządzeń w usłudze Microsoft Entra tworzona jest tożsamość urządzenia , a urządzenia są przyłączone hybrydowo do usługi Microsoft Entra. Nie są one uważane za punkty końcowe natywne dla chmury.

Jeśli Twoja organizacja jest gotowa i chce być natywna dla chmury, to dołączenie do usługi Microsoft Entra (w tym artykule) jest właściwym wyborem. Istniejące urządzenia muszą zostać zresetowane. Aby uzyskać bardziej szczegółowe informacje i wskazówki, przejdź do przewodnika planowania wysokiego poziomu.

Hybrydowe zasoby przyłączone do usługi Microsoft Entra

Aby uzyskać informacje na temat rejestrowania istniejących urządzeń przyłączonych do domeny w usłudze Microsoft Entra, przejdź do tematu Konfigurowanie hybrydowego dołączania do usługi Microsoft Entra. Konfigurowanie przyłączania hybrydowego do usługi Microsoft Entra obejmuje informacje dotyczące domen zarządzanych i domen federacyjnych.

Która opcja jest odpowiednia dla Twojej organizacji

Właściwa opcja zależy od środowiska, punktów końcowych i celów organizacji. Podejmując tę decyzję, należy wziąć pod uwagę przyszły i długoterminowy wpływ.

Rozważ następujące scenariusze:

Scenariusz	Dołączanie do aplikacji Microsoft Entra lub dołączanie hybrydowe do usługi Microsoft Entra
Aprowizujesz nowe punkty końcowe systemu Windows	✔️ Dołączanie do aplikacji Microsoft Entra Jeśli masz nowe, odnowione lub odświeżone urządzenia z systemem Windows, które inicjujesz i rejestrujesz, zalecane jest dołączenie do usługi Microsoft Entra. System Windows 10/11 ma nowoczesne funkcje wbudowane w system operacyjny, w tym nowoczesne zarządzanie, nowoczesne uwierzytelnianie i nie tylko. Dołączenie do aplikacji Microsoft Entra powinno być domyślną opcją dla nowych punktów końcowych i resetowania. ❌ Dołączenie hybrydowe do usługi Microsoft Entra W przypadku nowych punktów końcowych można używać hybrydowego dołączania do usługi Microsoft Entra, ale zwykle nie jest to zalecane. Po dołączeniu przy użyciu hybrydowej funkcji Microsoft Entra Join możesz nie korzystać z nowoczesnych funkcji wbudowanych w system Windows 10/11.
Masz istniejące, wcześniej aprowizowane punkty końcowe systemu Windows, które są przyłączone hybrydowo do usługi Microsoft Entra lub AD	✔️ Dołączenie hybrydowe do usługi Microsoft Entra Jeśli masz istniejące punkty końcowe, które są przyłączone do lokalnej domeny usługi AD (w tym przyłączone hybrydowo do usługi Microsoft Entra), zalecane jest dołączenie hybrydowe do usługi Microsoft Entra. Urządzenia uzyskują tożsamość w chmurze i mogą korzystać z usług w chmurze, które wymagają tożsamości w chmurze. W przypadku użytkowników końcowych z istniejącymi punktami końcowymi ta opcja ma minimalny wpływ. ❌ Dołączanie do aplikacji Microsoft Entra Istniejące urządzenia przyłączone do lokalnej domeny usługi AD (w tym przyłączone hybrydowo do usługi Microsoft Entra) muszą zostać zresetowane, aby zostać przyłączone do usługi Microsoft Entra. Jeśli nie można ich zresetować, nie ma obsługiwanej ścieżki firmy Microsoft do aplikacji Microsoft Entra.

Typowe pytania, odpowiedzi i scenariusze

Ta sekcja zawiera odpowiedzi na często zadawane pytania dotyczące urządzeń przyłączonych do platformy Microsoft Entra i urządzeń przyłączonych hybrydowo do usługi Microsoft Entra.

Czy dołączenie hybrydowe do usługi Microsoft Entra powinno być długoterminowym lub końcowym stanem celu dla urządzeń?

Nie. Dołączenie hybrydowe do aplikacji Microsoft Entra Nie powinno być długoterminowe ani celem końcowym dla żadnej organizacji.

Jeśli nie masz ograniczeń lub ograniczeń (ze względów technicznych, politycznych lub regulacyjnych), twoja organizacja powinna przenosić się lub planować przejście do aplikacji Microsoft Entra przyłączonej do punktów końcowych systemu Windows.

Jaka strategia powinna zostać przyjęta przez organizację w celu przeniesienia istniejących hybrydowych urządzeń Microsoft Entra Join do aplikacji Microsoft Entra Join?

Strategia zależy od wielu czynników, z których wiele jest specyficznych dla Twojej organizacji.

Ogólnie rzecz biorąc, firma Microsoft zaleca oczekiwanie na zdarzenie uzupełniające. Na przykład możesz przejść do aplikacji Microsoft Entra Join podczas odświeżania sprzętu, uaktualniania systemu operacyjnego lub rozwiązywania problemów z urządzeniem, gdy istnieje nowe (lub zresetowane) wystąpienie systemu Windows. Korzystając z tego podejścia, minimalizujesz zakłócenia użytkowników i usprawniasz proces konwersji na aplikację Microsoft Entra Join. Pamiętaj, że nie ma obsługiwanego przez firmę Microsoft procesu ani ścieżki do konwertowania istniejącego urządzenia z hybrydowego dołączania do aplikacji Microsoft Entra Join do aplikacji Microsoft Entra Join bez resetowania systemu Windows.

Na urządzeniach przyłączonych hybrydowo do usługi Microsoft Entra należy przeprowadzić pełne czyszczenie urządzenia, ponieważ funkcja resetowania rozwiązania Windows Autopilot nie obsługuje urządzeń przyłączonych hybrydowo do usługi Microsoft Entra.

Aby przejść do aplikacji Microsoft Entra Join, możesz proaktywnie zresetować istniejące urządzenia. Takie podejście może być bardziej destrukcyjne dla użytkowników i wymaga bardziej planowania & testowania. Można jednak użyć tego podejścia, jeśli masz kilka urządzeń lub jeśli masz silne uzasadnienie biznesowe, aby przejść do aplikacji Microsoft Entra Join.

Istnieje blokada, która uniemożliwia mojej organizacji przejście do aplikacji Microsoft Entra Join

Istnieje możliwość, że istnieją przeszkody i wyzwania poza kontrolą firmy Microsoft, które mogą uniemożliwić twojej organizacji pełne przejście do aplikacji Microsoft Entra Join. Mogą istnieć również nieznane blokady specyficzne dla organizacji i jej konfiguracji lub oczekiwań. Te blokady mogą być techniczne lub zdarzyć się z innych, nietechnicznych powodów.

Pamiętaj, że przejście do aplikacji Microsoft Entra Join nie jest propozycją typu "wszystko lub nic". Przenoszenie urządzeń do aplikacji Microsoft Entra Join wymaga czasu, nawet w przypadku blokerów lub inhibitorów.

Jeśli zidentyfikujesz potencjalny bloker, który uniemożliwia korzystanie z programu Microsoft Entra Join, określ zakres, wpływ i rozwiązanie. Przewodnik planowania wysokiego poziomu umożliwiający przejście do punktów końcowych natywnych dla chmury może pomóc.

Czy punkty końcowe Microsoft Entra Join i Hybrid Microsoft Entra Join współistnieją w tym samym środowisku?

Tak, punkty końcowe Microsoft Entra Join i Hybrid Microsoft Entra Join mogą współistnieć w tym samym środowisku. Nie wykluczają się wzajemnie.

Posiadanie środowiska mieszanego zwiększa złożoność, konserwację i koszty pomocy technicznej. Można jednak używać hybrydowego dołączania do usługi Microsoft Entra, dopóki te punkty końcowe nie zostaną zamienione lub zresetowane. Pamiętaj, że dołączenie hybrydowe do usługi Microsoft Entra Nie powinno być celem końcowym organizacji dla stanu punktu końcowego systemu Windows.

Czy użytkownicy w systemach Microsoft Entra Join mogą uzyskiwać dostęp do zasobów lokalnych?

Tak, użytkownicy systemów Microsoft Entra Join mogą uzyskiwać dostęp do zasobów lokalnych.

Punkty końcowe aplikacji Microsoft Entra Join mogą uzyskiwać dostęp do zasobów lokalnych i mogą korzystać z logowania jednokrotnego. Aby uzyskać bardziej szczegółowe informacje, przejdź do obszaru Punkty końcowe natywne dla chmury i zasoby lokalne.

Jakimi stanami dołączania urządzeń może zarządzać usługa Intune?

Usługa Microsoft Intune, która jest w 100% rozwiązaniem w chmurze, może zarządzać urządzeniami klienckimi z systemem Windows, które są dołączone do platformy Microsoft Entra lub dołączaniem do hybrydowej aplikacji Microsoft Entra Join. Usługa Intune ma wiele wbudowanych funkcji i ustawień, które mogą zarządzać ustawieniami, kontrolować funkcje urządzeń, zabezpieczać punkty końcowe i nie tylko.

Przewodnik planowania wysokiego poziomu dotyczący przechodzenia do natywnych dla chmury punktów końcowych: funkcje usługi Intune, które należy znać, wymieniają niektóre z tych funkcji. To, co jest usługą Intune , jest również dobrym zasobem.

W przypadku hybrydowych punktów końcowych dołączania do usługi Microsoft Entra można kontrolować ustawienia zasad za pomocą lokalnych obiektów zasad grupy (GPO) lub usługi Intune. Istnieje również możliwość użycia kombinacji obiektów zasad grupy i usługi Intune, ale ta kombinacja zwiększa obciążenie administracyjne i złożoność. Jeśli włączysz współzarządzanie (usługa Intune (chmura) + Program Configuration Manager (lokalny), możesz użyć niektórych funkcji usługi Microsoft Entra, takich jak dostęp warunkowy.

Aby uzyskać wskazówki, przejdź do przewodnika wdrażania: Konfigurowanie lub przenoszenie do usługi Microsoft Intune.

Jakie stany sprzężenia urządzenia są wymagane do zapewnienia zgodności urządzeń i/lub dostępu warunkowego?

Zarówno hybrydowe punkty końcowe Microsoft Entra Join, jak i Microsoft Entra Join obsługują zasady zgodności i dostęp warunkowy , gdy są zarządzane przez usługę Intune lub współzarządzane przez usługę Intune i program Configuration Manager.

Czy istnieją ograniczenia dotyczące hybrydowego dołączania do usługi Microsoft Entra?

Tak, istnieją ograniczenia dotyczące hybrydowego dołączania do usługi Microsoft Entra.

Te ograniczenia są zazwyczaj takie same w przypadku urządzeń przyłączonych tylko do domeny lokalnej. W szczególności hybrydowe punkty końcowe dołączania do usługi Microsoft Entra wymagają połączenia z lokalnym kontrolerem domeny usługi AD w celu początkowego logowania i zmiany haseł. Jeśli domena jest wyłączona lub jest niedostępna, użytkownicy mogą mieć zablokowaną możliwość logowania się do punktów końcowych. Jeśli Twoja organizacja odchodzi od posiadania domeny lokalnej, musisz również odejść od hybrydowego dołączania do usługi Microsoft Entra dla urządzeń.

Jeśli używasz uwierzytelniania bez hasła, użytkownicy muszą mieć dostęp do Internetu i bezpośredni dostęp do kontrolerów domeny (DCs). Aby się uwierzytelnić, hybrydowe punkty końcowe dołączania do usługi Microsoft Entra mogą używać protokołu kerberos i NTLM.

Czy funkcja Hybrid Microsoft Entra Join jest uważana za natywną dla chmury?

Nie. Dołączenie hybrydowe do usługi Microsoft Entra nie jest uznawane za natywne dla chmury.

Rozwiązaniem w chmurze jest dołączenie do punktów końcowych przez firmę Microsoft Entra. Punkty końcowe i ich tożsamości są tworzone i przechowywane w usłudze Microsoft Entra. Usługa Intune zarządza punktami końcowymi przy użyciu ustawień i zasad. Te usługi współpracują z innymi usługami w chmurze, takimi jak Microsoft 365, Microsoft Defender XDR i inne.

Postępuj zgodnie ze wskazówkami dotyczącymi punktów końcowych natywnych dla chmury

1. Omówienie: Co to są punkty końcowe natywne dla chmury?
2. Samouczek: rozpoczynanie pracy z punktami końcowymi systemu Windows natywnymi dla chmury
3. 🡺 Koncepcja: Dołączono do firmy Microsoft Entra a przyłączono hybrydową platformę Microsoft Entra (jesteś tutaj)
4. Koncepcja: punkty końcowe natywne dla chmury i zasoby lokalne
5. Przewodnik planowania wysokiego poziomu
6. Znane problemy i ważne informacje