Konfigurera och hantera enhetsregistrering
Med spridningen av enheter av alla former och storlekar och spridningen av bring-your-own-device (BYOD) står IT-proffs inför två något motsatta mål:
- Tillåt slutanvändarna att vara produktiva var och när som helst och på alla enheter
- Skydda organisationens tillgångar
För att skydda dessa tillgångar måste IT-personalen först hantera enhetsidentiteterna. IT-personal kan bygga vidare på enhetsidentiteten med verktyg som Microsoft Intune för att säkerställa att standarder för säkerhet och efterlevnad uppfylls. Microsoft Entra-ID möjliggör enkel inloggning till enheter, appar och tjänster var som helst via dessa enheter.
- Användarna får åtkomst till organisationens tillgångar som de behöver.
- IT-personalen får de kontroller de behöver för att skydda din organisation.
Microsoft Entra-registrerade enheter
Målet med Microsoft Entra-registrerade enheter är att ge användarna stöd för BYOD- eller mobilenhetsscenarier. I dessa scenarier kan en användare komma åt organisationens Microsoft Entra ID-kontrollerade resurser med hjälp av en personlig enhet.
| Microsoft Entra-registrerat | Beskrivning |
|---|---|
| Definition | Registrerat på Microsoft Entra-ID utan att organisationskontot behöver logga in på enheten |
| Primär målgrupp | Gäller för BYOD-enheter (Bring Your Own Device) och Mobile-enheter |
| Enhetsägarskap | Användare eller organisation |
| Operativsystem | Windows 10, Windows 11, iOS, Android och macOS |
| Alternativ för enhetsinloggning | Lokala autentiseringsuppgifter för slutanvändare, Lösenord, Windows Hello, PIN-biometri |
| Enhetshantering | Mobile Enhetshantering (exempel: Microsoft Intune) |
| Viktiga funktioner | Enkel inloggning till molnresurser, villkorsstyrd åtkomst |
Microsoft Entra-registrerade enheter är inloggade på med ett lokalt konto som ett Microsoft-konto på en Windows 10-enhet, men har dessutom ettMicrosoft Entra-konto kopplat för åtkomst till organisationsresurser. Åtkomsten till resurser i organisationen kan begränsas ytterligare baserat på det Microsoft Entra-konto och principer för villkorsstyrd åtkomst som tillämpas på enhetsidentiteten.
Administratörer kan skydda och ytterligare kontrollera dessa Microsoft Entra-registrerade enheter med hjälp av MDM-verktyg (Mobile Enhetshantering) som Microsoft Intune. MDM är ett sätt att framtvinga konfigurationer som krävs av organisationen, som att kräva att lagringen krypteras, lösenordskomplexitet och säkerhetsprogramvara som hålls uppdaterad.
Microsoft Entra ID-registrering kan utföras när du öppnar ett arbetsprogram för första gången eller manuellt med hjälp av Windows 10 Inställningar-menyn.
Scenarier för registrerade enheter
En användare i din organisation vill få åtkomst till verktyg för e-post, rapporteringstidsavgång och förmånsregistrering från hemdatorn. Din organisation har dessa verktyg bakom en princip för villkorlig åtkomst som kräver åtkomst från en Intune-kompatibel enhet. Användaren lägger till sitt organisationskonto och registrerar sin hemdator med Microsoft Entra-ID och nödvändiga Intune-principer tillämpas som ger användaren åtkomst till sina resurser.
En annan användare vill komma åt organisationens e-post på sin personliga Android-telefon som har rotats. Företaget kräver en kompatibel enhet och har skapat en Intune-efterlevnadsprincip för att blockera rotade enheter. Medarbetaren stoppas från att komma åt organisationsresurser på den här enheten.
Microsoft Entra-anslutna enheter
Microsoft Entra-anslutning är avsett för organisationer som vill vara molnbaserade först eller endast molnbaserade. Alla organisationer kan distribuera Microsoft Entra-anslutna enheter oavsett storlek eller bransch. Microsoft Entra-anslutning ger åtkomst till både molnbaserade och lokala appar och resurser.
| Microsoft Entra-anslutning | Beskrivning |
|---|---|
| Definition | Endast ansluten till Microsoft Entra-ID som kräver att organisationskontot loggar in på enheten |
| Primär målgrupp | Passar både molnbaserade organisationer och hybridorganisationer |
| Enhetsägarskap | Organisation |
| Operativsystem | Alla Windows 10 & 11-enheter utom Windows 10/11 Home |
| Enhetshantering | Mobile Enhetshantering (exempel: Microsoft Intune) |
| Viktiga funktioner | Enkel inloggning till både molnresurser och lokala resurser, villkorlig åtkomst, självbetjäning av lösenordsåterställning och återställning av Pin-kod för Windows Hello |
Microsoft Entra-anslutna enheter är inloggade på med ett Microsoft Entra-organisationskonto. Åtkomsten till resurser i organisationen kan begränsas ytterligare baserat på det Microsoft Entra-konto och principer för villkorsstyrd åtkomst som tillämpas på enhetsidentiteten.
Administratörer kan skydda och ytterligare kontrollera Microsoft Entra-anslutna enheter med hjälp av MDM-verktyg (Mobile Enhetshantering) som Microsoft Intune eller i scenarier för samhantering med Hjälp av Microsoft Endpoint Configuration Manager. De här verktygen är ett sätt att framtvinga konfigurationer som krävs av organisationen, till exempel att kräva att lagringen krypteras, lösenordskomplexitet, programvaruinstallationer och programuppdateringar. Administratörer kan göra organisationsprogram tillgängliga för Microsoft Entra-anslutna enheter med Hjälp av Configuration Manager.
Microsoft Entra-anslutning kan utföras med självbetjäningsalternativ som OOBE (Out of Box Experience), massregistrering eller Windows Autopilot.
Microsoft Entra-anslutna enheter kan fortfarande upprätthålla enkel inloggningsåtkomst till lokala resurser när de finns i organisationens nätverk. Microsoft Entra-anslutna enheter autentiserar till lokala servrar som för fil, utskrift och andra program.
Scenarier för anslutna enheter
Även om Microsoft Entra-anslutning främst är avsett för organisationer som inte har en lokal Windows Server Active Directory-infrastruktur, kan du säkert använda den i scenarier där:
- Du vill övergå till molnbaserad infrastruktur med hjälp av Microsoft Entra-ID och MDM som Intune.
- Du inte kan använda en lokal domänanslutning, till exempel om du vill hämta mobila enheter som surfplattor och telefoner som kontrolleras.
- Dina användare behöver främst komma åt Microsoft 365 eller andra SaaS-appar som är integrerade med Microsoft Entra-ID.
- Du vill hantera en grupp användare i Microsoft Entra-ID i stället för i Active Directory. Det här scenariot kan till exempel gälla säsongsarbetare, entreprenörer eller studenter.
- Du vill erbjuda anslutningsfunktioner för medarbetare på filialkontor med begränsad lokal infrastruktur.
Du kan konfigurera Microsoft Entra-anslutna enheter för alla Windows 10-enheter med undantag för Windows 10 Home.
Målet med Microsoft Entra-anslutna enheter är att förenkla:
- Windows-distributioner av företagsägda enheter
- Åtkomst till företagsappar och -resurser från valfri Windows-enhet
- Molnbaserad hantering av företagsägda enheter
- Användare kan logga in på sina enheter med sitt Microsoft Entra-ID eller synkroniserade Active Directory-arbets- eller skolkonton.
Microsoft Entra Join kan distribueras med hjälp av ett antal olika metoder.
Microsoft Entra-anslutna hybridenheter
I över ett årtionde har många organisationer använt domänanslutningen för att ansluta till sin lokala Active Directory för att göra det möjligt för:
- IT-avdelningar att hantera företagsägda enheter från en central plats.
- Användare att logga in på sina enheter med sina arbets- eller skolkonton i Active Directory.
Vanligtvis förlitar sig organisationer med ett lokalt fotavtryck på avbildningsmetoder för att konfigurera enheter, och de använder ofta Configuration Manager eller grupprincip (GP) för att hantera dem.
Om din miljö har ett lokalt AD-fotavtryck och du också vill ha nytta av funktionerna i Microsoft Entra ID kan du implementera Microsoft Entra-anslutna hybridenheter. Dessa enheter är enheter som är anslutna till din lokal Active Directory och registrerade med din Microsoft Entra-katalog.
| Microsoft Entra-hybridanslutning | Beskrivning |
|---|---|
| Definition | Ansluten till lokal AD och Microsoft Entra-ID som kräver att organisationskontot loggar in på enheten |
| Primär målgrupp | Lämplig för hybridorganisationer med befintlig lokal AD-infrastruktur |
| Enhetsägarskap | Organisation |
| Operativsystem | Windows 11, 10, 8.1 och 7, tillsammans med Windows Server 2008/R2, 2012/R2, 2016 och 2019 |
| Alternativ för enhetsinloggning | Lösenord eller Windows Hello för företag |
| Enhetshantering | Grupprincip, fristående Configuration Manager eller samhantering med Microsoft Intune |
| Viktiga funktioner | Enkel inloggning till både molnresurser och lokala resurser, villkorlig åtkomst, självbetjäning av lösenordsåterställning och återställning av Pin-kod för Windows Hello |
Scenarier för hybridanslutning
Använd Microsoft Entra Hybrid-anslutna enheter om:
- Du har WIN32-appar distribuerade till dessa enheter som är beroende av Active Directory-datorautentisering.
- Du vill fortsätta att använda grupprincip för att hantera enhetskonfiguration.
- Du vill fortsätta att använda befintliga avbildningslösningar för att distribuera och konfigurera enheter.
- Du måste ha stöd för Windows 7- och 8.1-enheter på nednivå utöver Windows 10.
Tillbakaskrivning av enheter
I en molnbaserad Microsoft Entra-ID-konfiguration registreras enheter endast i Microsoft Entra-ID. Din lokala AD har ingen synlighet för enheterna. Det innebär att villkorlig åtkomst i molnet är enkel att konfigurera och underhålla. I det här avsnittet diskuterar vi dock hybridinstallationer med Microsoft Entra Anslut. Hur kan du göra lokal villkorlig åtkomst med hjälp av enheter, om de bara finns i Microsoft Entra-ID? Tillbakaskrivning av enheter hjälper dig att hålla reda på enheter som registrerats med Microsoft Entra-ID i AD. Du kommer att ha en kopia av enhetsobjekten i containern "Registrerade enheter"
Scenario: Du har ett program som du bara vill ge åtkomst till användare om de kommer från registrerade enheter.
Moln: Du kan skriva principer för villkorsstyrd åtkomst för alla Microsoft Entra-integrerade program att auktorisera baserat på om enheten är ansluten till Microsoft Entra-ID eller inte.
Lokalt: Detta är inte möjligt utan tillbakaskrivning av enheter. Om programmet är integrerat med ADFS (2012 eller senare) kan du skriva anspråksregler för att söka efter enhetens status och sedan endast ge åtkomst om anspråket "hanteras" finns. För att kunna utfärda det här anspråket söker ADFS efter enhetsobjektet i containern "Registrerade enheter" och utfärdar sedan anspråket i enlighet med detta.
Windows Hello för företag (WHFB) kräver tillbakaskrivning av enheter för att fungera i hybrid- och federerade scenarier.