Microsoft Entra加入云原生终结点中的混合Microsoft Entra

  • 项目

提示

阅读有关云本机终结点的信息时,你将看到以下术语:

  • 终结点:终结点是一种设备,例如移动电话、平板电脑、笔记本电脑或台式计算机。 “终结点”和“设备”可互换使用。
  • 托管终结点:使用 MDM 解决方案或组策略对象从组织接收策略的终结点。 这些设备通常是组织拥有的,但也可以是 BYOD 或个人拥有的设备。
  • 云本机终结点:已加入 Azure AD 的终结点。 它们未加入本地 AD。
  • 工作负载:任何程序、服务或进程。

许多关键和有价值的服务(包括条件访问Microsoft Entra单一登录)要求终结点具有云标识。 对于组织拥有的 Windows 终结点,当设备Microsoft Entra联接或已加入混合Microsoft Entra时,会创建云标识。

迁移到云原生终结点时,需要了解已加入Microsoft Entra和已加入混合Microsoft Entra的设备之间的差异:

  • 已联接Microsoft Entra:设备已加入Microsoft Entra。 它们未加入本地 AD。

    有关更具体的信息,请转到已加入Microsoft Entra设备, (打开另一个 Microsoft 网站) 。

  • 已加入混合Microsoft Entra:设备在 Microsoft Entra 中注册并加入到本地 AD 域。

    有关更具体的信息,请转到已加入混合Microsoft Entra的设备, (打开另一个 Microsoft 网站) 。

此功能适用于:

  • Windows 云原生终结点

本文介绍已加入Microsoft Entra和已加入混合Microsoft Entra的设备之间的一些差异。 有关云原生终结点及其优点的概述,请转到 什么是云原生终结点

已加入Microsoft Entra

当终结点(如 Windows 10/11 设备)Microsoft Entra加入时,它会与 Microsoft Entra 建立信任,并在 Microsoft Entra 中具有标识 device-id () 。 终结点由组织管理和控制。

终结点已联接到Microsoft Entra。 它未加入本地 AD 域。

若要将 Windows 终结点联接到Microsoft Entra,有一些选项:

  • 使用 Windows Autopilot。 Windows Autopilot引导用户使用 Windows 开箱即用体验 (OOBE)。 当用户输入其工作或学校帐户时,终结点将加入Microsoft Entra。

    向 Windows Autopilot 注册的所有设备将自动视为组织拥有的设备。 Windows Autopilot 是让组织设备加入到MICROSOFT ENTRA并由 IT 管理的最采用的方法之一。

  • 使用 Windows 开箱即用体验 (OOBE)。 当用户在设备上输入其工作或学校帐户时,终结点会自动加入Microsoft Entra。

  • 使用“设置”应用。 在设备上,最终用户打开“设置”应用(帐户>访问工作或学校>连接),并使用其工作或学校帐户。

  • 使用窗口预配包。 有关详细信息,请转到:

组织 IT 权益

  • 使用条件访问,可以允许或限制对满足或不符合要求的组织资源的访问。
  • 设置和工作数据在符合企业要求的云中漫游。 不使用个人 Microsoft 帐户(如 Hotmail)并且可以被阻止。
  • 使用 Windows Hello 企业版可以降低凭据被盗的风险。

最终用户权益

  • 若要使用 Microsoft Entra 和 Windows 终结点对最终用户进行身份验证,用户需要工作或学校帐户。 不使用任何个人帐户。

  • 通过 Internet 连接获取单一登录 (SSO) Microsoft 365和 SaaS 应用。

  • 使用 Windows Hello 企业版的便利性和安全性登录到其 Windows 终结点。

    使用 Windows Hello 企业版 登录时,用户会自动将 SSO 用于其许多联机和本地应用和资源。

  • 操作系统设置在所有已加入Microsoft Entra的设备之间漫游。

    重要

    在已加入Microsoft Entra设备上远程工作的最终用户无需 VPN 即可在设备上缓存凭据过期时登录。 在已加入混合Microsoft Entra的设备上,它们确实需要 VPN 才能在缓存凭据过期时登录。

Microsoft Entra联接的资源

已加入混合Microsoft Entra

已加入混合Microsoft Entra的设备将加入本地 AD 域,并注册到 Microsoft Entra。 这些设备 需要 到本地域控制器 (DC) 的网络视线才能进行初始登录和设备管理。

如果设备无法连接到 DC,则可能会阻止用户登录,并且可能不会收到策略更新。

许多具有已加入域的现有设备的组织都希望获得Microsoft Entra和终结点管理的优势和功能。 如果设备尚不能完全为云原生设备,则可以向 Microsoft Entra 注册这些现有设备。 在 Microsoft Entra 中注册现有设备时,会创建设备标识,并且设备已加入混合Microsoft Entra。 它们不被视为云原生终结点。

如果你的组织已准备就绪,并且想要成为云原生组织,那么Microsoft Entra加入本文中的 () 是正确的选择。 需要重置现有设备。 有关更具体的信息和指南,请转到 高级规划指南

已加入混合Microsoft Entra资源

有关如何将现有已加入域的设备注册到Microsoft Entra的信息,请转到配置混合Microsoft Entra联接配置混合Microsoft Entra联接包括托管域和联合域的信息。

哪个选项适合你的组织

正确的选项取决于你的环境、终结点和组织目标。 做出此决定时,请考虑未来和长期影响。

请考虑以下方案:

应用场景 Microsoft Entra联接或混合Microsoft Entra联接
你正在预配新的 Windows 终结点 ✔️ Microsoft Entra联接

如果你有要预配和注册的新、翻新或刷新的 Windows 设备,则建议Microsoft Entra加入。 Windows 10/11 具有内置于 OS 的新式功能,包括新式管理、新式身份验证等。 Microsoft Entra Join 应该是新终结点和重置终结点的默认选项。

❌混合Microsoft Entra联接

可以将混合Microsoft Entra联接用于新终结点,但通常不建议这样做。 使用混合Microsoft Entra联接加入时,可能无法使用 Windows 10/11 中内置的新式功能。
你已有以前预配的、已加入混合Microsoft Entra或 AD 的 Windows 终结点 ✔️ 混合Microsoft Entra联接

如果现有终结点已加入本地 AD 域 (包括已加入混合Microsoft Entra) ,则建议使用混合Microsoft Entra联接。 设备获取云标识,并可以使用需要云标识的云服务。 对于具有现有终结点的最终用户,此选项的影响最小。

❌Microsoft Entra联接

必须重置加入到本地 AD 域 (包括已加入混合Microsoft Entra) 的现有设备才能加入Microsoft Entra。 如果无法重置它们,则没有受支持的 Microsoft 路径来Microsoft Entra加入它们。

常见问题、解答和方案

本部分解答有关已加入Microsoft Entra和已加入混合Microsoft Entra设备的常见问题。

混合Microsoft Entra联接是设备的长期目标状态还是最终目标状态?

否,混合Microsoft Entra加入不应是长期目标,也不应是任何组织的最终目标。

如果你不受限制或限制 (技术、政治或法规原因) ,则你的组织应移动或计划迁移到已加入 Windows 终结点的Microsoft Entra。

组织应采用哪种策略将现有混合Microsoft Entra联接设备移动到Microsoft Entra加入?

该策略取决于许多因素,其中许多因素特定于你的组织。

通常,Microsoft 建议等待补充事件。 例如,在硬件刷新、OS 升级或设备故障排除方案中,当有新的 windows (或重置) 实例时,可以移动到 Microsoft Entra Join。 使用此方法,可以最大程度地减少用户中断,并简化转换为 Microsoft Entra Join 的转换过程。 请记住,无需 Windows 重置,Microsoft 不支持将现有设备从混合Microsoft Entra加入转换为Microsoft Entra联接的过程或路径。

在Microsoft Entra混合联接的设备上,你必须执行完整的设备擦除,因为 Windows Autopilot 重置不支持Microsoft Entra混合联接的设备。

若要移动到 Microsoft Entra Join,可以主动重置现有设备。 此方法可能会对用户造成更大的干扰,并且需要更多计划 & 测试。 但是,如果你有一些设备,或者如果你有一个强大的业务案例要迁移到 Microsoft Entra Join,则可以使用此方法。

有一个阻止程序阻止我的组织移动到Microsoft Entra加入

Microsoft 无法控制的阻碍因素和挑战可能会阻止组织完全迁移到 Microsoft Entra Join。 也可能存在特定于组织及其配置或期望的未知阻止程序。 这些阻碍可能是技术性的,也可能是出于其他非技术原因而发生的。

请记住,迁移到 Microsoft Entra Join 并不是一个全部或全无的命题。 将设备移动到 Microsoft Entra Join 需要一段时间,即使有或没有阻滞剂或抑制剂也是如此。

如果识别出阻止使用 Microsoft Entra Join 的潜在阻碍因素,请确定范围、影响和解决方案。 迁移到云原生终结点的高级规划指南会有所帮助。

Microsoft Entra联接终结点和混合Microsoft Entra联接终结点是否可以共存于同一环境中?

是的,Microsoft Entra Join 和混合Microsoft Entra Join 终结点可以共存于同一环境中。 它们不是相互排斥的。

混合环境会增加复杂性、维护和支持成本。 但可以使用混合Microsoft Entra联接,直到这些终结点被替换或重置。 请记住,混合Microsoft Entra联接不应是组织针对 Windows 终结点状态的最终目标。

Microsoft Entra Join 系统上的用户是否可以访问本地资源?

是的,Microsoft Entra Join 系统上的用户可以访问本地资源。

Microsoft Entra Join 终结点可以访问本地资源,并且可以使用单一登录 (SSO) 。 有关更具体的信息,请转到 云原生终结点和本地资源

Intune可以管理哪些设备加入状态?

Microsoft Intune是一种 100% 的云解决方案,可以管理Microsoft Entra加入或混合Microsoft Entra加入的 Windows 客户端设备。 Intune 有许多内置功能和设置,可管理设置、控制设备功能、帮助保护终结点等。

迁移到云原生终结点的高级规划指南:应了解的 Intune 功能 列出了其中一些功能。 什么是 Intune 也是一个不错的资源。

在混合Microsoft Entra联接终结点上,可以使用本地组策略对象 (GPO) 或Intune来控制策略设置。 还可以结合使用 GPO 和Intune,但这种组合会增加管理开销和复杂性。 如果启用 (Intune (云) + Configuration Manager (本地) ) 共同管理,则可以使用一些Microsoft Entra功能,例如条件访问。

有关一些指南,请转到 部署指南:设置或移动到 Microsoft Intune

设备合规性和/或条件访问需要哪些设备加入状态?

混合Microsoft Entra Join 和 Microsoft Entra Join 终结点都支持合规性策略条件访问(如果由 Intune 管理或由Intune和Configuration Manager共同管理)。

混合Microsoft Entra联接是否有限制?

是的,混合Microsoft Entra加入存在限制。

这些限制通常与仅加入本地域的设备相同。 具体而言,混合Microsoft Entra联接终结点需要本地 AD 域控制器的视线才能进行初始登录并更改密码。 如果域已关闭或不可用,则可能会阻止用户登录到其终结点。 如果你的组织要远离本地域,则还必须从设备的混合Microsoft Entra加入中移开。

如果使用 无密码身份验证,则用户需要 Internet 访问和域控制器 (DC) 。 若要进行身份验证,混合Microsoft Entra联接终结点可以使用 kerberos 和 NTLM。

混合Microsoft Entra联接是否被视为云原生?

否,混合Microsoft Entra联接不被视为云原生。

云解决方案是Microsoft Entra加入终结点。 终结点及其标识创建并存储在 Microsoft Entra 中。 Intune使用设置和策略管理终结点。 这些服务适用于其他云服务,包括 Microsoft 365、Microsoft Defender XDR等。

遵循云原生终结点的指南

  1. 概述:什么是云原生终结点?
  2. 教程 - 云原生 Windows 终结点入门
  3. 🡺 概念:Microsoft Entra联接与混合Microsoft Entra联接 (你在这里)
  4. 概念:云原声终结点和本地资源
  5. 高级规划指南
  6. 已知问题和重要信息