Microsoft Entra присоединены и гибридные Microsoft Entra присоединены в облачных конечных точках
Совет
При чтении об облачных собственных конечных точках вы увидите следующие термины:
- Конечная точка: конечная точка — это устройство, такое как мобильный телефон, планшет, ноутбук или настольный компьютер. "Конечные точки" и "устройства" взаимозаменяемы.
- Управляемые конечные точки: конечные точки, которые получают политики от организации с помощью решения MDM или объектов групповой политики. Эти устройства обычно принадлежат организации, но также могут быть BYOD или личными устройствами.
- Облачные собственные конечные точки: конечные точки, присоединенные к Microsoft Entra. Они не присоединены к локальной AD.
- Рабочая нагрузка: любая программа, служба или процесс.
Для многих критически важных и ценных служб, включая условный доступ и Microsoft Entra единый вход, конечные точки должны иметь облачное удостоверение. Для принадлежащих организации конечных точек Windows облачное удостоверение создается при Microsoft Entra присоединении устройства или присоединении гибридного Microsoft Entra.
При переходе на облачные конечные точки необходимо понимать различия между Microsoft Entra присоединенными устройствами и гибридными Microsoft Entra присоединенными устройствами:
Microsoft Entra присоединено: устройства присоединяются к Microsoft Entra. Они не присоединены к локальной службе AD.
Дополнительные сведения см. в разделе Microsoft Entra присоединенных устройств (открывается другой веб-сайт Майкрософт).
Гибридное Microsoft Entra присоединение. Устройства регистрируются в Microsoft Entra и присоединяются к локальному домену AD.
Дополнительные сведения см. в статье Гибридные Microsoft Entra присоединенные устройства (открывается другой веб-сайт Майкрософт).
Данная функция применяется к:
- Облачные конечные точки Windows
В этой статье описываются некоторые различия между Microsoft Entra присоединенными устройствами и гибридными Microsoft Entra присоединенными устройствами. Обзор облачных конечных точек и их преимуществ см. в статье Что такое облачные конечные точки..
Microsoft Entra присоединено
Когда конечная точка, например устройство Windows 10/11, Microsoft Entra присоединена, она устанавливает доверие с Microsoft Entra и имеет удостоверение (device-id
) в Microsoft Entra. Конечная точка управляется и контролируется организацией.
Конечная точка присоединена к Microsoft Entra. Она не присоединяется к локальному домену AD.
Для присоединения конечных точек Windows к Microsoft Entra есть несколько вариантов:
Использование Windows Autopilot. Windows Autopilot помогает пользователям посредством взаимодействия Windows при первом включении (OOBE). Когда пользователи входят в рабочую или учебную учетную запись, конечная точка присоединяется к Microsoft Entra.
Все устройства, зарегистрированные Windows Autopilot, автоматически считаются устройствами, принадлежащими организации. Windows Autopilot — это один из наиболее распространенных подходов к присоединению устройств организации к Microsoft Entra и управлении ит-отделами.
Использование взаимодействия Windows при первом включении (OOBE). Когда пользователи вводят свою рабочую или учебную учетную запись на устройстве, конечная точка автоматически присоединяется к Microsoft Entra.
Использование приложения "Параметры". На устройстве конечные пользователи открывают приложение "Параметры" (Учетные записи>Доступ к работе или учебе>Подключение) и используют свою рабочую или учебную учетную запись.
Использование пакета подготовки Windows. Для получения дополнительных сведений перейдите по ссылке:
Преимущества для ИТ-службы организации
- С помощью условного доступа можно разрешить или ограничить доступ к ресурсам организации, которые соответствуют или не соответствуют вашим требованиям.
- Параметры и рабочие данные свободно перемещаются в облаках, совместимых с корпоративной инфраструктурой. Личные учетные записи Майкрософт, такие как Hotmail, не используются и могут быть заблокированы.
- Использование Windows Hello для бизнеса позволяет снизить риск кражи учетных данных.
Преимущества для конечных пользователей
Для проверки подлинности конечных пользователей с помощью Microsoft Entra и конечной точки Windows пользователям требуется рабочая или учебная учетная запись. Личные учетные записи не используются.
Получите единый вход (SSO) для приложений Microsoft 365 и SaaS с подключением к Интернету.
Используйте удобство и безопасность Windows Hello для бизнеса для входа в конечную точку Windows.
При входе с Windows Hello для бизнеса пользователи автоматически используют единый вход для многих своих сетевых и локальных приложений и ресурсов.
Параметры ОС перемещаются по всем устройствам, присоединенным к Microsoft Entra.
Важно!
Конечным пользователям, работающим удаленно на устройствах, присоединенных к Microsoft Entra, не требуется VPN-подключение для входа по истечении срока действия кэшированных учетных данных на устройстве. На гибридных Microsoft Entra присоединенных устройствах им требуется VPN-подключение для входа по истечении срока действия кэшированных учетных данных.
ресурсы, присоединенные к Microsoft Entra
- Что такое удостоверение устройства в Microsoft Entra?
- Что такое устройство, присоединенное к Microsoft Entra?
- Как работает регистрация устройства Microsoft Entra
- Планирование реализации присоединения к Microsoft Entra
- Документация Windows Hello для бизнеса — безопасность Windows
Присоединено к гибридной Microsoft Entra
Гибридные Microsoft Entra присоединенные устройства присоединяются к локальному домену AD и регистрируются в Microsoft Entra. Для этих устройств требуется сетевое подключение к локальным контроллерам домена (DC) для первоначального входа на устройства и управления устройствами.
Если устройства не могут подключиться к контроллеру домена, возможно, пользователям не удастся выполнить вход, и они могут не получать обновления политики.
Многим организациям с существующими устройствами, присоединенными к домену, нужны преимущества и функции управления Microsoft Entra и конечными точками. Если ваши устройства еще не могут быть полностью облачными, вы можете зарегистрировать эти существующие устройства с помощью Microsoft Entra. При регистрации существующих устройств в Microsoft Entra создается удостоверение устройства, а ваши устройства являются гибридными Microsoft Entra присоединенными. Они не считаются облачными конечными точками.
Если ваша организация готова к работе с облаком, то Microsoft Entra присоединение (в этой статье) является правильным выбором. Существующие устройства необходимо сбросить. Дополнительные сведения и рекомендации см. в руководстве по планированию высокого уровня.
Ресурсы, присоединенные к гибридной Microsoft Entra
Сведения о регистрации существующих присоединенных к домену устройств для Microsoft Entra см. в разделе Настройка гибридного Microsoft Entra присоединения. Настройка гибридного Microsoft Entra присоединения включает сведения об управляемых и федеративных доменах.
Какой вариант подходит для вашей организации?
Выбор варианта зависит от среды, конечных точек и целей организации. Принимая решение, учитывайте краткосрочные и долгосрочные последствия.
Рассмотрим следующие сценарии.
Сценарий | Microsoft Entra присоединение или гибридное Microsoft Entra |
---|---|
Вы подготавливаете новые конечные точки Windows | ✔️ Microsoft Entra присоединение Если у вас есть новые, восстановленные или обновленные устройства Windows, которые вы подготавливаете и регистрируете, рекомендуется Microsoft Entra присоединение. Windows 10/11 имеет современные функции, встроенные в ОС, в том числе современное управление, современную проверку подлинности и т. д. Microsoft Entra соединение должно быть параметром по умолчанию для новых и сброса конечных точек. ❌Гибридное Microsoft Entra присоединение Гибридное Microsoft Entra присоединение можно использовать для новых конечных точек, но обычно это не рекомендуется. При присоединении с помощью гибридного Microsoft Entra присоединения вы можете не использовать современные функции, встроенные в Windows 10/11. |
У вас есть существующие, ранее подготовленные конечные точки Windows, которые являются гибридными Microsoft Entra или присоединенными к AD | ✔️ Гибридное Microsoft Entra присоединение Если у вас есть существующие конечные точки, присоединенные к локальному домену AD (включая гибридные Microsoft Entra присоединенные), рекомендуется гибридное Microsoft Entra присоединение. Устройства получают удостоверение облака и могут использовать облачные службы, для которых требуется облачное удостоверение. Для конечных пользователей с существующими конечными точками этот параметр оказывает минимальное влияние. ❌Microsoft Entra присоединение Существующие устройства, присоединенные к локальному домену AD (включая гибридные Microsoft Entra присоединенные), должны быть сброшены, чтобы они стали Microsoft Entra присоединены. Если их невозможно сбросить, то для Microsoft Entra присоединиться к ним не поддерживается путь Майкрософт. |
Распространенные вопросы, ответы и сценарии
В этом разделе приведены ответы на распространенные вопросы о присоединении Microsoft Entra и гибридных устройствах Microsoft Entra присоединенных устройствах.
Должно ли гибридное присоединение Microsoft Entra быть долгосрочным или конечным состоянием для устройств?
Нет, гибридное Microsoft Entra присоединение не должно быть долгосрочной или конечной целью для любой организации.
Если вы не ограничены или ограничены (технические, политические или нормативные причины), ваша организация должна двигаться или планировать переход на Microsoft Entra присоединены к конечным точкам Windows.
Какую стратегию следует принять организации для перемещения существующих устройств гибридного Microsoft Entra присоединения к Microsoft Entra присоединения?
Стратегия зависит от многих факторов, многие из которых характерны для вашей организации.
Как правило, корпорация Майкрософт рекомендует ждать дополнительного события. Например, вы можете перейти к Microsoft Entra присоединению во время обновления оборудования, обновления ОС или сценария устранения неполадок устройства при наличии нового (или сброса) экземпляра Windows. Используя этот подход, вы минимизируете нарушения работы пользователей и оптимизируете процесс преобразования для Microsoft Entra присоединения. Помните, что не существует поддерживаемого корпорацией Майкрософт процесса или пути преобразования существующего устройства из гибридного Microsoft Entra присоединения к Microsoft Entra присоединения без сброса Windows.
На Microsoft Entra устройствах с гибридным присоединением необходимо выполнить полную очистку устройств, так как сброс Windows Autopilot не поддерживает Microsoft Entra устройства с гибридным присоединением.
Чтобы перейти к Microsoft Entra присоединению, можно заранее сбросить существующие устройства. Этот подход может быть более разрушительным для пользователей и требует больше планирования & тестирования. Но вы можете использовать этот подход, если у вас есть несколько устройств или если у вас есть сильный бизнес-вариант для перехода на Microsoft Entra join.
Существует блокировщик, который не позволяет моей организации перейти на Microsoft Entra присоединения
Возможно, существуют блокировщики и проблемы, которые не контролируются корпорацией Майкрософт, которые могут помешать вашей организации полностью перейти на Microsoft Entra присоединения. Кроме того, могут обнаружиться неизвестные заранее проблемы, специфичные для вашей организации, ее конфигурации или ожиданий. Эти блокировщики могут быть техническими или возникать по другим, нетехническим причинам.
Помните, что переход на Microsoft Entra join не является предложением "все или ничего". Перемещение устройств в Microsoft Entra соединение занимает время, даже с блокаторами или ингибиторами или без нее.
Если вы определите потенциальный блокировщик, который не позволяет использовать Microsoft Entra join, определите область, влияние и решение. Поможет руководство по планированию высокого уровня по переходу на облачные конечные точки .
Могут ли Microsoft Entra конечные точки присоединения и гибридного Microsoft Entra присоединения сосуществовать в одной среде?
Да, Microsoft Entra конечные точки присоединения и гибридного Microsoft Entra присоединения могут сосуществовать в одной среде. Они не являются взаимоисключающими.
Использование смешанной среды повышает сложность, обслуживание и поддержку. Но вы можете использовать гибридное Microsoft Entra присоединение до тех пор, пока эти конечные точки не будут заменены или сброшены. Помните, что гибридное Microsoft Entra присоединение не должно быть конечной целью вашей организации для состояния конечной точки Windows.
Могут ли пользователи в Microsoft Entra присоединиться к системам доступ к локальным ресурсам?
Да, пользователи в системах Microsoft Entra join могут получать доступ к локальным ресурсам.
конечные точки Microsoft Entra Join могут получать доступ к локальным ресурсам и использовать единый вход. Для получения более подробных сведений обратитесь к документу Облачные конечные точки и локальные ресурсы.
Какими состояниями присоединения устройств можно управлять Intune?
Microsoft Intune, которая является 100% облачным решением, может управлять клиентскими устройствами Windows, которые Microsoft Entra присоединение или гибридное Microsoft Entra присоединение. В Intune множество встроенных функций и параметров, которые могут управлять параметрами и функциями устройств, защищать конечные точки и делать многое другое.
В документе Высокоуровневое руководство по планированию перехода на облачные конечные точки: какие функции Intune следует знать перечислены некоторые из этих возможностей. Еще один хороший ресурс — Что такое Intune.
В конечных точках гибридного Microsoft Entra присоединения можно использовать локальные объекты групповых политик (GPO) или Intune для управления параметрами политики. Можно также использовать сочетание объекта групповой политики и Intune, но это сочетание увеличивает административные издержки и сложность. Если включить совместное управление (Intune (облако) + Configuration Manager (локальная среда)), можно использовать некоторые функции Microsoft Entra, например условный доступ.
Некоторые рекомендации см. в Руководстве по развертыванию: настройка или переход к Microsoft Intune.
Какие состояния присоединения устройства требуются для соответствия требованиям устройства и (или) условного доступа?
Конечные точки гибридного Microsoft Entra присоединения и Microsoft Entra присоединения поддерживают политики соответствия требованиям и условный доступ при управлении Intune или совместно управляемыми Intune и Configuration Manager.
Существуют ли ограничения для гибридного Microsoft Entra присоединения?
Да, для гибридного Microsoft Entra присоединения существуют ограничения.
Эти ограничения, как правило, одинаковы для локальных устройств, присоединенных к домену. В частности, для конечных точек гибридного Microsoft Entra присоединения требуется прямой доступ к локальному контроллеру домена AD для первоначального входа и смены паролей. Если домен не работает или недоступен, пользователи могут быть заблокированы для входа в свои конечные точки. Если ваша организация отойдет от локального домена, необходимо также отойти от гибридного Microsoft Entra присоединения для своих устройств.
Если вы используете проверку подлинности без пароля, пользователям нужен доступ к Интернету и прямой видимости контроллеров домена . Для проверки подлинности конечные точки гибридного Microsoft Entra присоединения могут использовать kerberos и NTLM.
Гибридное Microsoft Entra присоединение считается облачным?
Нет, гибридное Microsoft Entra присоединение не считается облачным.
Облачное решение — Microsoft Entra присоединиться к конечным точкам. Конечные точки и их удостоверения создаются и хранятся в Microsoft Entra. Intune управляет конечными точками с помощью параметров и политик. Эти службы работают с другими облачными службами, включая Microsoft 365, Microsoft Defender XDR и многое другое.
Следуйте рекомендациям по облачным конечным точкам
- Обзор. Что такое облачные конечные точки?
- Руководство. Начало работы с облачными конечными точками Windows
- 🡺 Концепция: присоединено Microsoft Entra и гибридное Microsoft Entra присоединено (вы здесь)
- Концепция. Ориентированные на облако конечные точки и локальные ресурсы
- Руководство по высокоуровневому планированию
- Известные проблемы и важные сведения