Microsoft Entra 加入與已加入雲端原生端點的混合式 Microsoft Entra

發行項
03/10/2024

提示

閱讀雲端原生端點時，您會看到下列詞彙：

端點：端點是裝置，例如行動電話、平板電腦、膝上型電腦或桌面電腦。「端點」和「裝置」會交替使用。
受控端點：使用 MDM 解決方案或群組原則對象從組織接收原則的端點。這些裝置通常是組織所擁有的裝置，但也可以是 BYOD 或個人擁有的裝置。
雲端原生端點：已加入 Azure AD 的端點。它們未加入內部部署AD。
工作負載：任何程序、服務或程式。

許多重要且有價值的服務，包括條件式存取和 Microsoft Entra 單一登錄，都需要端點具有雲端身分識別。針對組織擁有的 Windows 端點，當裝置 Microsoft Entra 加入或混合式 Microsoft Entra 加入時，就會建立雲端身分識別。

移至雲端原生端點時，您必須瞭解已加入 Microsoft Entra 裝置與已加入混合式 Microsoft Entra 裝置之間的差異：

Microsoft Entra 加入：裝置已加入 Microsoft Entra。它們未加入內部部署AD。

如需更具體的資訊，請移至已加入 Microsoft Entra 裝置 (開啟另一個 Microsoft 網站) 。
已加入混合式 Microsoft Entra：裝置會在 Microsoft Entra 中註冊，並加入內部部署 AD 網域。

如需更具體的資訊，請移至已加入混合式 Microsoft Entra 裝置 (開啟另一個 Microsoft 網站) 。

本功能適用於：

Windows 雲端原生端點

本文說明已加入 Microsoft Entra 裝置與已加入混合式 Microsoft Entra 裝置之間的一些差異。如需雲端原生端點及其優點的概觀，請移至什麼是雲端原生端點。

Microsoft Entra 聯結

當像 Windows 10/11 裝置一樣的端點 Microsoft Entra 加入時，它會與 Microsoft Entra 建立信任，並在 device-id Microsoft Entra 中 (身分識別) 。端點是由組織管理和控制。

端點已聯結至 Microsoft Entra。它不會加入內部部署 AD 網域。

若要將 Windows 端點加入 Microsoft Entra，您有一些選項：

使用 Windows Autopilot。 Windows Autopilot 會引導使用者完成 Windows 現用體驗 (OOBE) 。當使用者輸入其公司或學校帳戶時，端點會加入 Microsoft Entra。

向 Windows Autopilot 註冊的所有裝置都會自動視為組織擁有的裝置。 Windows Autopilot 是讓組織裝置加入 Microsoft Entra 並由 IT 管理的最常用方法之一。
(OOBE) 使用 Windows 現用體驗 。當使用者在裝置上輸入其公司或學校帳戶時，端點會自動加入 Microsoft Entra。
使用 [設定] 應用程式。在裝置上，用戶開啟 [設定] 應用程式 (帳戶>存取公司或學校>連線) ，並使用其公司或學校帳戶。
使用視窗布建套件。如需詳細資訊，請移至：
- 布建 Windows 套件
- 使用布建套件大量加入 Windows 裝置以 Microsoft Entra 和 Microsoft Intune - Microsoft Tech Community 部落格文章

組織IT權益

使用條件式存取，您可以允許或限制對符合或不符合您需求之組織資源的存取。
設定和工作數據會透過符合企業規範的雲端漫遊。不會使用任何個人 Microsoft 帳戶，例如 Hotmail，而且可以加以封鎖。
使用 Windows Hello 企業版，您可以降低認證遭竊的風險。

終端用戶權益

若要使用 Microsoft Entra 和 Windows 端點來驗證使用者，使用者需要公司或學校帳戶。不使用任何個人帳戶。
取得單一登錄 (SSO) 至具有因特網連線的 Microsoft 365 和 SaaS 應用程式。
使用 Windows Hello 企業版的便利性和安全性登入其 Windows 端點。

使用 Windows Hello 企業版登入時，用戶會自動使用 SSO 來連線到許多在線和內部部署應用程式和資源。
OS 設定會在所有已加入 Microsoft Entra 裝置之間漫遊。

重要事項

在已加入 Microsoft Entra 裝置上遠端工作的終端使用者不需要 VPN，即可在裝置上快取認證到期時登入。在已加入混合式 Microsoft Entra 裝置上，它們需要 VPN 才能在快取認證到期時登入。

Microsoft Entra 聯結的資源

已加入混合式 Microsoft Entra

已加入混合式 Microsoft Entra 裝置已加入您的內部部署 AD 網域，並已向 Microsoft Entra 註冊。這些裝置需要內部部署域控制器的網路視線， (DC) 進行初始登入和裝置管理。

如果裝置無法連線到 DC，則使用者可能無法登入，而且可能不會收到原則更新。

許多具有現有已加入網域裝置的組織都想要 Microsoft Entra 和端點管理的優點和功能。如果您的裝置還不能完全是雲端原生裝置，您可以向 Microsoft Entra 註冊這些現有的裝置。當您在 Microsoft Entra 中註冊現有的裝置時，會建立裝置身分識別，而且您的裝置會 Microsoft Entra 混合式聯結。它們不會被視為雲端原生端點。

如果您的組織已就緒，而且想要成為雲端原生，則在本文中 Microsoft Entra 加入 () 是正確的選擇。現有的裝置必須重設。如需更具體的資訊和指引，請移至高階規劃指南。

已加入混合式 Microsoft Entra 資源

如需如何向 Microsoft Entra 註冊現有已加入網域裝置的資訊，請移至設定混合式 Microsoft Entra 加入。設定混合式 Microsoft Entra 加入包含受控網域和同盟網域的資訊。

哪一個選項適合您的組織

正確的選項取決於您的環境、端點和組織目標。進行這項決策時，請考慮未來和長期的影響。

請考量下列案例：

案例	Microsoft Entra 加入或混合式 Microsoft Entra 加入
您正在佈建新的 Windows 端點	✔️ Microsoft Entra 聯結如果您有布建和註冊的新 Windows 裝置、已修閱或重新整理的 Windows 裝置，則建議 Microsoft Entra 加入。 Windows 10/11 具有操作系統內建的新式功能，包括新式管理、新式驗證等等。 Microsoft Entra 聯結應該是新端點和重設端點的預設選項。 ❌混合式 Microsoft Entra 聯結您可以針對新的端點使用混合式 Microsoft Entra 聯結，但通常不建議使用。使用混合式 Microsoft Entra 聯結加入時，您可能無法使用 Windows 10/11 內建的新式功能。
您先前已布建混合式 Microsoft Entra 或 AD 聯結的現有 Windows 端點	✔️ 混合式 Microsoft Entra 加入如果您現有的端點已加入內部部署 AD 網域 (包括已加入混合式 Microsoft Entra) ，則建議使用混合式 Microsoft Entra 加入。裝置會取得雲端身分識別，並可使用需要雲端身分識別的雲端服務。對於具有現有端點的使用者，此選項的影響最小。 ❌Microsoft Entra 聯結已加入內部部署 AD 網域的現有裝置 (包括已加入混合式 Microsoft Entra) 必須重設，才能 Microsoft Entra 加入。如果無法重設，則沒有支援的 Microsoft 路徑 Microsoft Entra 加入它們。

案例

Microsoft Entra 加入或混合式 Microsoft Entra 加入

您正在佈建新的 Windows 端點

✔️ Microsoft Entra 聯結

如果您有布建和註冊的新 Windows 裝置、已修閱或重新整理的 Windows 裝置，則建議 Microsoft Entra 加入。 Windows 10/11 具有操作系統內建的新式功能，包括新式管理、新式驗證等等。 Microsoft Entra 聯結應該是新端點和重設端點的預設選項。

❌混合式 Microsoft Entra 聯結

您可以針對新的端點使用混合式 Microsoft Entra 聯結，但通常不建議使用。使用混合式 Microsoft Entra 聯結加入時，您可能無法使用 Windows 10/11 內建的新式功能。

您先前已布建混合式 Microsoft Entra 或 AD 聯結的現有 Windows 端點

✔️ 混合式 Microsoft Entra 加入

如果您現有的端點已加入內部部署 AD 網域 (包括已加入混合式 Microsoft Entra) ，則建議使用混合式 Microsoft Entra 加入。裝置會取得雲端身分識別，並可使用需要雲端身分識別的雲端服務。對於具有現有端點的使用者，此選項的影響最小。

❌Microsoft Entra 聯結

已加入內部部署 AD 網域的現有裝置 (包括已加入混合式 Microsoft Entra) 必須重設，才能 Microsoft Entra 加入。如果無法重設，則沒有支援的 Microsoft 路徑 Microsoft Entra 加入它們。

常見問題、答案和案例

本節回答 Microsoft Entra 加入和混合式 Microsoft Entra 裝置的常見問題。

混合式 Microsoft Entra 聯結應該是裝置的長期或最終目標狀態嗎？

否，混合式 Microsoft Entra 加入不應是任何組織的長期目標或最終目標。

當您未受到限制或 (技術、政治或法規原因) 時，您的組織應該移動或規劃移至 Microsoft Entra 加入您的 Windows 端點。

組織應該採用何種策略，將現有的混合式 Microsoft Entra 加入裝置移至 Microsoft Entra 聯結？

此策略取決於許多因素，其中有許多是您組織特有的因素。

一般而言，Microsoft 建議您等候互補事件。例如，您可以在硬體重新整理、OS 升級或裝置疑難解答案例期間移至 Microsoft Entra 聯結，當 Windows 實例有新的 (或重設) 時。使用此方法，您可以將用戶中斷情況降至最低，並簡化轉換程式以 Microsoft Entra 聯結。請記住，沒有 Microsoft 支援的程式或路徑可將現有裝置從混合式 Microsoft Entra 聯結轉換為 Microsoft Entra 聯結，而不需要重設 Windows。

在 Microsoft Entra 混合式聯結裝置上，您必須執行完整的裝置抹除，因為 Windows Autopilot 重設不支援 Microsoft Entra 混合式聯結裝置。

若要移至 Microsoft Entra 加入，您可以主動重設現有的裝置。這種方法可能會對使用者更具干擾性，而且需要更規劃 & 測試。但是，如果您有一些裝置，或如果您有強大的商業案例可移至 Microsoft Entra 聯結，則可以使用此方法。

有一個封鎖程式可防止我的組織移至 Microsoft Entra 加入

Microsoft 控制範圍之外可能會有一些阻礙和挑戰，可能會導致您的組織無法完全移至 Microsoft Entra 加入。您組織及其設定或期望也可能有未知的封鎖程式。這些封鎖程式可能是技術性的，或因其他非技術性原因而發生。

請記住，移至 Microsoft Entra 聯結並非全部或全無主張。將裝置移至 Microsoft Entra 聯結需要一些時間，即使有或沒有封鎖程式或抑制因素也一樣。

如果您識別出阻礙您使用 Microsoft Entra 聯結的潛在封鎖程式，請判斷範圍、影響和解決方案。移至雲端原生端點的高階規劃指南可提供協助。

Microsoft Entra 聯結和混合式 Microsoft Entra 聯結端點是否並存於相同的環境中？

是，Microsoft Entra 聯結和混合式 Microsoft Entra 聯結端點可以並存於相同的環境中。它們不是互斥的。

擁有混合環境會增加複雜度、維護和支援成本。但您可以使用混合式 Microsoft Entra 聯結，直到這些端點被取代或重設為止。請記住，混合式 Microsoft Entra 加入不應該是組織針對 Windows 端點狀態的最終目標。

Microsoft Entra 聯結系統上的使用者可以存取內部部署資源嗎？

是，Microsoft Entra 聯結系統上的使用者可以存取內部部署資源。

Microsoft Entra 聯結端點可以存取內部部署資源，而且可以使用單一登錄 (SSO) 。如需更具體的資訊，請移至雲端原生端點和內部部署資源。

Intune 管理哪些裝置加入狀態？

Microsoft Intune 是 100% 的雲端解決方案，可以管理 Microsoft Entra 加入或混合式 Microsoft Entra 加入的 Windows 用戶端裝置。 Intune 有許多內建功能和設定，可以管理設定、控制裝置功能、協助保護端點等等。

移至雲端原生端點的高階規劃指南：Intune 您應該知道的功能會列出其中一些功能。什麼是 Intune 也是不錯的資源。

在混合式 Microsoft Entra 聯結端點上，您可以使用內部部署組策略物件 (GPO) 或 Intune 來控制原則設定。您也可以使用 GPO 和 Intune 的組合，但這種組合會增加系統管理額外負荷和複雜度。如果您啟用共同管理 (Intune (雲端) + Configuration Manager (內部部署) ) ，則可以使用一些 Microsoft Entra 功能，例如條件式存取。

如需一些指引，請移至部署指南：設定或移至 Microsoft Intune。

裝置合規性和/或條件式存取需要哪些裝置加入狀態？

混合式 Microsoft Entra 聯結和 Microsoft Entra 聯結端點都支援 Intune 或由 Intune 和 Configuration Manager 共同管理時的合規性原則和條件式存取。

混合式 Microsoft Entra 聯結是否有限制？

是，混合式 Microsoft Entra 聯結有一些限制。

這些限制通常與僅限已加入網域的內部部署裝置相同。具體而言，混合式 Microsoft Entra 聯結端點需要內部部署 AD 域控制器的視線才能初始登入和變更密碼。如果網域已關閉或無法使用，則可能會封鎖使用者登入其端點。如果您的組織即將離開內部部署網域，則您也必須從裝置的混合式 Microsoft Entra 加入移開。

如果您使用無密碼驗證，則使用者需要因特網存取，以及域控制器的視線， (DC) 。若要驗證，混合式 Microsoft Entra 聯結端點可以使用 kerberos 和 NTLM。

混合式 Microsoft Entra 聯結是否視為雲端原生？

否，混合式 Microsoft Entra 聯結不被視為雲端原生。

雲端解決方案是 Microsoft Entra 加入您的端點。端點及其身分識別會建立並儲存在 Microsoft Entra 中。 Intune 使用設定和原則來管理端點。這些服務適用於其他雲端服務，包括 Microsoft 365、Microsoft Defender 全面偵測回應等。

遵循雲端原生端點指引

概觀：什麼是雲端原生端點？
教學課程：開始使用雲端原生 Windows 端點
🡺 概念：已加入 Microsoft Entra 與已加入混合式 Microsoft Entra (您在這裡)
概念：雲端原生端點和內部部署資源
高階規劃指南
已知問題和重要資訊