共用方式為


Microsoft已加入 Entra 與雲端原生端點中加入混合式Microsoft Entra

提示

閱讀雲端原生端點時,您會看到下列詞彙:

  • 端點:端點是裝置,例如行動電話、平板電腦、膝上型電腦或桌面電腦。 「端點」和「裝置」會交替使用。
  • 受控端點:使用 MDM 解決方案或組策略對象從組織接收原則的端點。 這些裝置通常是組織所擁有的裝置,但也可以是 BYOD 或個人擁有的裝置。
  • 雲端原生端點:已聯結至 Microsoft Entra 的端點。 它們未加入內部部署AD。
  • 工作負載:任何程序、服務或程式。

許多重要且有價值的服務,包括 條件式存取Microsoft Entra 單一登錄,都需要端點具有雲端身分識別。 針對組織擁有的 Windows 端點,當裝置Microsoft加入 Entra 或已加入混合式Microsoft Entra 時,就會建立雲端身分識別。

移至雲端原生端點時,您必須瞭解Microsoft已加入 Entra 和混合式Microsoft加入 Entra 的裝置之間的差異:

  • Microsoft已加入 Entra:裝置已加入 Microsoft Entra。 它們未加入內部部署AD。

    如需更具體的資訊,請移至 Microsoft加入 Entra 的裝置 (開啟另一個Microsoft網站) 。

  • 已加入混合式Microsoft:裝置已在 Microsoft Entra 中註冊,並加入內部部署 AD 網域。

    如需更具體的資訊,請移至 已加入混合式Microsoft的裝置 (開啟另一個Microsoft網站) 。

本功能適用於:

  • Windows 雲端原生端點

本文說明Microsoft已加入 Entra 和混合式 Microsoft Entra 聯結裝置之間的一些差異。 如需雲端原生端點及其優點的概觀,請移至 什麼是雲端原生端點

Microsoft加入

當 Windows 10/11 裝置等端點Microsoft加入 Entra 時,它會與 Microsoft Entra 建立信任,並在 device-id Microsoft Entra 中) 身分識別 (。 端點是由組織管理和控制。

端點會聯結至 Microsoft Entra。 它不會加入內部部署 AD 網域。

若要將 Windows 端點聯結至 Microsoft Entra,您有一些選項:

  • 使用 Windows Autopilot。 Windows Autopilot 會引導使用者完成 Windows 現用體驗 (OOBE) 。 當使用者輸入其公司或學校帳戶時,端點會加入 Microsoft Entra。

    向 Windows Autopilot 註冊的所有裝置都會自動視為組織擁有的裝置。 Windows Autopilot 是讓組織裝置加入 Microsoft Entra 並由 IT 管理的最常用方法之一。

  • (OOBE) 使用 Windows 現用體驗 。 當使用者在裝置上輸入其公司或學校帳戶時,端點會自動加入 Microsoft Entra。

  • 使用 [設定] 應用程式。 在裝置上,用戶開啟 [設定] 應用程式 (帳戶>存取公司或學校>連線) ,並使用其公司或學校帳戶。

  • 使用視窗布建套件。 如需詳細資訊,請移至:

組織IT權益

  • 使用條件式存取,您可以允許或限制對符合或不符合您需求之組織資源的存取。
  • 設定和工作數據會透過符合企業規範的雲端漫遊。 不會使用個人Microsoft帳戶,例如 Hotmail,而且可以加以封鎖。
  • 使用 Windows Hello 企業版,您可以降低認證竊取的風險。

終端用戶權益

  • 若要使用 Microsoft Entra 和 Windows 端點來驗證使用者,使用者需要公司或學校帳戶。 不使用任何個人帳戶。

  • 取得單一登錄 (SSO) ,以透過因特網連線Microsoft 365 和 SaaS 應用程式。

  • 使用 Windows Hello 企業版的便利性和安全性登入其 Windows 端點。

    當他們使用 Windows Hello 企業版登入時,用戶會自動對許多在線和內部部署應用程式和資源使用 SSO。

  • OS 設定會在所有已加入 Entra 的裝置Microsoft漫遊。

    重要事項

    在Microsoft加入 Entra 的裝置上遠端工作的終端使用者不需要 VPN,即可在裝置上快取的認證到期時登入。 在混合式Microsoft加入 Entra 的裝置上,它們需要 VPN 才能在快取認證到期時登入。

Microsoft加入的資源

混合式Microsoft加入

已加入混合式 Microsoft Entra 的裝置 已加入您的內部部署 AD 網域,並已向 Microsoft Entra 註冊。 這些裝置 需要 內部部署域控制器的網路視線, (DC) 進行初始登入和裝置管理。

如果裝置無法連線到 DC,則使用者可能無法登入,而且可能不會收到原則更新。

許多具有現有已加入網域裝置的組織都想要Microsoft Entra 和端點管理的優點和功能。 如果您的裝置還不能完全是雲端原生裝置,則您可以向 Microsoft Entra 註冊這些現有的裝置。 當您在 Microsoft Entra 中註冊現有的裝置時,會建立 裝置身 分識別,而且您的裝置是混合式Microsoft加入 Entra。 它們不會被視為雲端原生端點。

如果您的組織已就緒,而且想要成為雲端原生,則在本文中 Microsoft加入 Entra () 是正確的選擇。 現有的裝置必須重設。 如需更具體的資訊和指引,請移至 高階規劃指南

混合式Microsoft加入的資源

如需如何將現有已加入網域的裝置註冊到 Microsoft Entra 的相關信息,請移至設定 混合式Microsoft加入設定混合式Microsoft加入 包含受控網域和同盟網域的資訊。

哪一個選項適合您的組織

正確的選項取決於您的環境、端點和組織目標。 進行這項決策時,請考慮未來和長期的影響。

請考量下列案例:

案例 Microsoft加入或混合式Microsoft加入
您正在佈建新的 Windows 端點 ✔️ Microsoft加入

如果您有布建和註冊的新 Windows 裝置、已修閱或重新整理的 Windows 裝置,則建議您Microsoft加入 Entra。 Windows 10/11 具有內建於 OS 的新式功能,包括新式管理、新式驗證等等。 Microsoft加入應該是新端點和重設端點的預設選項。

❌ 混合式Microsoft加入

您可以針對新的端點使用混合式Microsoft加入,但通常不建議這麼做。 使用混合式Microsoft加入加入時,您可能無法使用 Windows 10/11 內建的新式功能。
您已有先前布建的混合式 Microsoft Entra 或 AD 聯結的現有 Windows 端點 ✔️ 混合式Microsoft加入

如果您有已加入內部部署 AD 網域的現有端點, (包括已加入混合式 Microsoft Entra 的) ,則建議使用混合式Microsoft Entra join。 裝置會取得雲端身分識別,並可使用需要雲端身分識別的雲端服務。 對於具有現有端點的使用者,此選項的影響最小。

❌ Microsoft加入

已加入內部部署 AD 網域的現有裝置 (包括已加入混合式 Microsoft Entra) 必須重設,才能Microsoft加入 Entra。 如果無法重設,則不支援Microsoft路徑Microsoft加入它們。

常見問題、答案和案例

本節解答Microsoft加入 Entra 和混合式 Microsoft Entra 聯結裝置的常見問題。

混合式Microsoft加入 Entra 應該是裝置的長期或最終目標狀態嗎?

否,混合式Microsoft加入不應是任何組織的長期目標或最終目標。

當您未受到限制或 (技術、政治或法規原因) 時,您的組織應該移動或規劃移至 windows 端點的 Microsoft Entra joined。

組織應採用何種策略,將現有的混合式Microsoft加入裝置移至 Microsoft Entra Join?

此策略取決於許多因素,其中有許多是您組織特有的因素。

一般而言,Microsoft建議等候互補事件。 例如,當 Windows 實例有新的 (或重設時,您可以在硬體重新整理、OS 升級或裝置疑難解答案例期間移至) Microsoft Entra Join。 使用此方法,您可以將用戶中斷情況降至最低,並簡化轉換程式以Microsoft加入。 請記住,沒有任何Microsoft支援的程式或路徑可將現有裝置從混合式Microsoft加入轉換為 Microsoft Entra Join,而不需要重設 Windows。

在Microsoft已加入 Entra 的裝置上,您必須執行完整的裝置抹除,因為 Windows Autopilot 重設 不支援Microsoft已加入 Entra 混合式裝置。

若要移至Microsoft加入,您可以主動重設現有的裝置。 這種方法可能會對使用者更具干擾性,而且需要更規劃 & 測試。 但是,如果您有一些裝置,或如果您有強大的商務案例可移至 Microsoft Entra Join,則可以使用此方法。

有一個封鎖程式可防止我的組織移至Microsoft加入

在Microsoft的控制之外,可能會有一些阻礙和挑戰,可能會導致您的組織無法完全移至 Microsoft Entra Join。 您組織及其設定或期望也可能有未知的封鎖程式。 這些封鎖程式可能是技術性的,或因其他非技術性原因而發生。

請記住,移至 Microsoft加入並非全部或全無主張。 將裝置移至 Microsoft加入需要一些時間,即使有或沒有封鎖程式或抑制因素也一樣。

如果您識別出阻礙您使用 Microsoft Entra Join 的潛在封鎖程式,請判斷範圍、影響和解決方案。 移 至雲端原生端點的高階規劃指南 可提供協助。

Microsoft加入和混合式Microsoft加入的端點是否並存於相同的環境中?

是,Microsoft加入和混合式Microsoft加入的端點可以並存於相同的環境中。 它們不是互斥的。

擁有混合環境會增加複雜度、維護和支援成本。 但是,您可以使用混合式Microsoft加入,直到這些端點被取代或重設為止。 請記住,混合式Microsoft加入不應是組織針對 Windows 端點狀態的最終目標。

Microsoft Entra Join 系統上的使用者是否可以存取內部部署資源?

是,Microsoft Entra Join 系統上的使用者可以存取內部部署資源。

Microsoft Entra Join 端點可以存取內部部署資源,而且可以使用單一登錄 (SSO) 。 如需更具體的資訊,請移至 雲端原生端點和內部部署資源

Intune 可以管理哪些裝置加入狀態?

Microsoft Intune 是 100% 雲端解決方案,可以管理 Microsoft Entra Join 或混合式 Microsoft Entra Join 的 Windows 用戶端裝置。 Intune 有許多內建功能和設定,可以管理設定、控制裝置功能、協助保護端點等等。

至雲端原生端點的高階規劃指南:您應該知道的 Intune 功能 會列出其中一些功能。 什麼是 Intune 也是不錯的資源。

在混合式Microsoft加入端點上,您可以使用內部部署組策略物件 (GPO) 或 Intune 來控制原則設定。 您也可以使用 GPO 和 Intune 的組合,但這種組合會增加系統管理額外負荷和複雜度。 如果您在內部部署) ) ( (雲端) + Configuration Manager (啟用 共同管理 ,則可以使用一些Microsoft的 Entra 功能,例如條件式存取。

如需一些指引,請移至 部署指南:設定或移至 Microsoft Intune

裝置合規性和/或條件式存取需要哪些裝置加入狀態?

混合式 Microsoft Entra Join 和 Microsoft Entra Join 端點都支援由 Intune 管理或由 Intune 和 Configuration Manager 共同管理時的 合規性原則條件式存取

混合式Microsoft加入是否有限制?

是,混合式Microsoft加入有一些限制。

這些限制通常與僅限已加入網域的內部部署裝置相同。 具體而言,混合式Microsoft加入端點需要內部部署AD域控制器的視線才能初始登入和變更密碼。 如果網域已關閉或無法使用,則可能會封鎖使用者登入其端點。 如果您的組織即將離開內部部署網域,則您也必須離開裝置的混合式Microsoft加入。

如果您使用 無密碼驗證,則使用者需要因特網存取,以及域控制器的視線, (DC) 。 若要驗證,混合式Microsoft加入端點可以使用 kerberos 和 NTLM。

混合式Microsoft加入是否視為雲端原生?

否,混合式Microsoft加入不被視為雲端原生。

雲端解決方案是Microsoft加入您的端點。 端點及其身分識別會建立並儲存在 Microsoft Entra 中。 Intune 會使用設定和原則來管理端點。 這些服務適用於其他雲端服務,包括 Microsoft 365、Microsoft Defender XDR 等等。

遵循雲端原生端點指引

  1. 概觀:什麼是雲端原生端點?
  2. 教學課程:開始使用雲端原生 Windows 端點
  3. 🡺 概念:Microsoft加入 Entra 與已加入混合式Microsoft Entra (您在這裡)
  4. 概念:雲端原生端點和內部部署資源
  5. 高階規劃指南
  6. 已知問題和重要資訊