Planen Sie Ihre Microsoft Entra-Gerätebereitstellung
Dieser Artikel hilft Ihnen, die Methoden zur Integration Ihres Geräts mit Microsoft Entra ID zu bewerten, den Implementierungsplan auszuwählen und wichtige Links zu unterstützten Geräteverwaltungstools bereitzustellen.
Die Bandbreite an Benutzergeräten wird beständig erweitert. Organisationen stellen möglicherweise Desktops, Laptops, Smartphones, Tablets und andere Geräte bereit. Ihre Benutzer können ihre eigenen Geräte mitbringen und von verschiedenen Standorten aus auf Informationen zugreifen. In dieser Umgebung besteht Ihre Aufgabe als Administrator darin, Ihre Organisationsressourcen auf allen Geräten sicher zu halten.
Mit der Microsoft Entra-ID kann Ihre Organisation diese Ziele mit der Geräteidentitätsverwaltung erfüllen. Sie können Ihre Geräte jetzt in Microsoft Entra ID abrufen und zentral über das Microsoft Entra Admin Center steuern. Dieser Prozess bietet Ihnen eine einheitliche Benutzeroberfläche, eine verbesserte Sicherheit und reduziert die Zeit, die zum Konfigurieren eines neuen Geräts erforderlich ist.
Es gibt mehrere Methoden zum Integrieren Ihrer Geräte in die Microsoft Entra-ID. Diese Methoden können je nach Betriebssystem und Ihren Anforderungen getrennt oder zusammen arbeiten:
- Sie können ihre Geräte mit Microsoft Entra ID registrieren.
- Geräte mit Microsoft Entra ID (nur Cloud) verbinden.
- Microsoft Entra Geräte hybrid mit Ihrer lokales Active Directory Domäne und Microsoft Entra ID verknüpfen.
Lernen
Bevor Sie beginnen, stellen Sie sicher, dass Sie mit der Übersicht über die Geräteidentitätsverwaltung vertraut sind.
Vorteile
Die wichtigsten Vorteile, wenn Sie Ihren Geräten eine Microsoft Entra-Identität geben:
Höhere Produktivität: Ermöglichen Sie Benutzern eine nahtlose Anmeldung (SSO) bei Ihren lokalen und Cloudressourcen, sodass sie unabhängig von ihrem Standort produktiv arbeiten können.
Erhöhung der Sicherheit – Wenden Sie Richtlinien für bedingten Zugriff auf Ressourcen basierend auf der Identität des Geräts oder Benutzers an. Das Einbinden eines Geräts in Microsoft Entra ID ist eine Voraussetzung, um Ihre Sicherheit mithilfe einer kennwortlosen Strategie zu erhöhen.
Verbessern Sie die Benutzererfahrung – Bieten Sie Ihren Benutzern einfachen Zugriff auf die cloudbasierten Ressourcen Ihrer Organisation von persönlichen und unternehmenseigenen Geräten. Administratoren können Enterprise State Roaming für eine einheitliche Erfahrung auf allen Windows-Geräten aktivieren.
Vereinfachte Bereitstellung und Verwaltung: Vereinfachen Sie das Bereitstellen von Geräten in Microsoft Entra ID mit Windows Autopilot, Massenbereitstellung oder über Self-Service: Windows-Willkommensseite. Verwalten Sie Geräte mit MDM-Tools (Mobile Device Management, Verwaltung mobiler Geräte) wie Microsoft Intune und ihre Identitäten im Microsoft Entra Admin Center.
Planen des Bereitstellungsprojekts
Berücksichtigen Sie die Anforderungen Ihrer Organisation, während Sie die Strategie für diese Bereitstellung in Ihrer Umgebung bestimmen.
Einbeziehen der richtigen Interessengruppen
Wenn Technologieprojekte fehlschlagen, tun sie in der Regel aufgrund falscher Erwartungen an Auswirkungen, Ergebnisse und Verantwortlichkeiten. Um diese Fallstricke zu vermeiden, stellen Sie sicher, dass Sie die richtigen Beteiligten hinzuziehen und dass die Rollen der Beteiligten im Projekt gut verstanden werden.
Fügen Sie für diesen Plan die folgenden Projektbeteiligten zu Ihrer Liste hinzu:
| Rolle | Beschreibung |
|---|---|
| Geräteadministrator | Ein Vertreter des Geräteteams, der überprüfen kann, ob der Plan die Geräteanforderungen Ihrer Organisation erfüllt. |
| Netzwerkadministrator | Ein Vertreter des Netzwerkteams, der sicherstellen kann, dass die Netzwerkanforderungen erfüllt werden. |
| Geräteverwaltungsteam | Team, das das Inventar von Geräten verwaltet. |
| Betriebssystemspezifische Administratorteams | Teams, die bestimmte Betriebssystemversionen unterstützen und verwalten. Zum Beispiel könnte es ein Team geben, das sich auf Mac oder iOS spezialisiert. |
Planen der Mitteilungen
Die Kommunikation ist entscheidend für den Erfolg eines neuen Dienstes. Kommunizieren Sie proaktiv mit Ihren Benutzern, wie sich ihre Erfahrung ändert, wann sie sich ändert, und wie Sie Unterstützung erhalten, wenn Probleme auftreten.
Planen eines Pilotprojekts
Es wird empfohlen, die anfängliche Konfiguration Ihrer Integrationsmethode in einer Testumgebung oder mit einer kleinen Gruppe von Testgeräten zu verwenden. Lesen Sie hierzu Bewährte Methoden für einen Pilotversuch.
Möglicherweise möchten Sie eine gezielte Bereitstellung von Microsoft Entra Hybrid Join durchführen, bevor Sie sie in der gesamten Organisation aktivieren.
Warnung
Organisationen sollten ein Beispiel für Benutzer aus unterschiedlichen Rollen und Profilen in ihrer Pilotgruppe enthalten. Ein gezielter Rollout hilft dabei, Probleme zu identifizieren, die Ihr Plan möglicherweise nicht berücksichtigt hat, bevor Sie ihn für die gesamte Organisation aktivieren.
Wählen Sie Ihre Integrationsmethoden
Ihre Organisation kann mehrere Methoden zur Geräteintegration in einem einzelnen Microsoft Entra-Mandanten verwenden. Ziel ist es, eine oder mehrere Methoden auszuwählen, die geeignet sind, um Ihre Geräte sicher in Microsoft Entra ID zu verwalten. Es gibt viele Parameter, die diese Entscheidung fördern, einschließlich Besitz, Gerätetypen, primäre Zielgruppe und infrastruktur Ihrer Organisation.
Anhand der folgenden Informationen können Sie entscheiden, welche Integrationsmethoden verwendet werden sollen.
Entscheidungsbaum für die Geräteintegration
Verwenden Sie diesen Entscheidungsbaum, um Optionen für unternehmenseigene Geräte zu bestimmen.
Anmerkung
Persönliche oder Bring-Your-Own-Device (BYOD)-Szenarien werden in diesem Diagramm nicht dargestellt. Sie führen immer zur Microsoft Entra-Registrierung.
Vergleichsmatrix
iOS- und Android-Geräte sind nur bei Microsoft Entra registriert. In der folgenden Tabelle sind allgemeine Überlegungen zu Windows-Clientgeräten dargestellt. Verwenden Sie sie als Übersicht, und erkunden Sie dann die verschiedenen Integrationsmethoden im Detail.
| Aspekt | Microsoft Entra registriert | Microsoft Entra hat sich angeschlossen | Hybrid in Microsoft Entra eingebunden |
|---|---|---|---|
| Clientbetriebssysteme | |||
| Windows 11- oder Windows 10-Geräte |  |
|
|
| Linux Desktop - Ubuntu 20.04/22.04/24.04, RHEL 8/9 | |
||
| Anmeldeoptionen | |||
| Lokale Anmeldeinformationen von Endbenutzern | |
||
| Passwort | |
|
|
| Geräte-PIN | |
||
| Windows Hello | |
||
| Windows Hello for Business | |
|
|
| FIDO 2.0-Sicherheitsschlüssel | |
|
|
| Microsoft Authenticator-App (kennwortlos) | |
|
|
| Wichtige Funktionen | |||
| SSO für Cloudressourcen | |
|
|
| SSO bei lokalen Ressourcen | |
|
|
| Bedingter Zugriff (Geräte müssen als konform gekennzeichnet werden) (Muss von MDM verwaltet werden) |
|
|
|
| Bedingter Zugriff (Microsoft Entra hybrid eingebundenes Gerät erforderlich) |
|
||
| Self-Service-Kennwortzurücksetzung über den Windows-Anmeldebildschirm | |
|
|
| Windows Hello-PIN-Zurücksetzung | |
|
Microsoft Entra Registrierung
Registrierte Geräte werden häufig mit Microsoft Intuneverwaltet. Geräte werden je nach Betriebssystem in Intune auf verschiedene Arten registriert.
In Microsoft Entra registrierte Geräte bieten Unterstützung für Bring Your Own Device (BYOD) und unternehmenseigene Geräte für das einmalige Anmelden in Cloudressourcen. Der Zugriff auf Ressourcen basiert auf den Microsoft Entra-Richtlinien für bedingten Zugriff, die auf das Gerät und den Benutzer angewandt werden.
Registrieren von Geräten
Registrierte Geräte werden häufig mit Microsoft Intuneverwaltet. Geräte werden je nach Betriebssystem in Intune auf verschiedene Arten registriert.
Benutzer installieren die Unternehmensportal-App, um BYOD und mobile Geräte im Unternehmensbesitz zu registrieren.
Wenn die Registrierung Ihrer Geräte die beste Option für Ihre Organisation ist, lesen Sie die folgenden Ressourcen:
- Diese Übersicht von Bei Microsoft Entra registrierte Geräte.
- Die Dokumentation für Endbenutzer zum Registrieren Ihres persönlichen Geräts im Netzwerk Ihrer Organisation.
Microsoft Entra Einbindung
Mit der Funktion "Microsoft Entra Join" können Sie zu einem Cloud-first-Modell mit Windows wechseln. Es bietet eine großartige Grundlage, wenn Sie planen, Ihre Geräteverwaltung zu modernisieren und gerätebezogene IT-Kosten zu reduzieren. Microsoft Entra Join funktioniert nur bei Geräten mit Windows 10 oder höher. Betrachten Sie es als erste Wahl für neue Geräte.
In Microsoft Entra eingebundene Geräte können SSO zu lokalen Ressourcen durchführen, wenn sie sich im Netzwerk der Organisation befinden, und sich bei lokalen Servern wie Datei-, Druckdiensten und anderen Anwendungen authentifizieren.
Wenn diese Option für Ihre Organisation am besten geeignet ist, lesen Sie die folgenden Ressourcen:
- Diese Übersicht von In Microsoft Entra eingebundene Geräte.
- Machen Sie sich mit dem Implementierungsplan für Microsoft Entra Join vertraut.
Bereitstellung von in Microsoft Entra eingebundenen Geräten
Für den Microsoft Entra-Beitritt von Geräten stehen Ihnen die folgenden Möglichkeiten zur Verfügung:
- Self-Service: Windows 10-Erstausführungsumgebung
Wenn Sie entweder Windows 10 Professional oder Windows 10 Enterprise auf einem Gerät installiert haben, wird standardmäßig der Einrichtungsprozess für unternehmenseigene Geräte verwendet.
- Out of Box Experience (OOBE) von Windows oder über die Windows-Einstellungen
- Windows Autopilot
- Massenregistrierung
Wählen Sie das Bereitstellungsverfahren aus, nachdem Sie diese Vorgehensweisen sorgfältig verglichen haben.
Möglicherweise stellen Sie fest, dass Microsoft Entra Join die beste Lösung für ein Gerät in einer anderen Region ist. In der folgenden Tabelle wird gezeigt, wie Sie den Zustand eines Geräts ändern.
| Aktueller Gerätestatus | Gewünschter Gerätezustand | Vorgehensweise |
|---|---|---|
| Eingebundene lokale Domäne | Microsoft Entra ist beigetreten | Trennen Sie das Gerät von der lokalen Domäne, bevor Sie es in Microsoft Entra ID einbinden. |
| Hybrid in Microsoft Entra eingebunden | In Microsoft Entra eingebunden | Heben Sie den Beitritt des Geräts aus der lokalen Domäne und von Microsoft Entra ID auf, bevor Sie Microsoft Entra ID beitreten. |
| Microsoft Entra registriert | Microsoft Entra ist beigetreten | Heben Sie die Registrierung des Geräts auf, bevor Sie der Microsoft Entra-ID beitreten. |
Microsoft Entra-Hybridbeitritt
Wenn Sie über eine lokale Active Directory-Umgebung verfügen und Ihre in die Domäne eingebundenen Computer in Microsoft Entra ID einbinden möchten, können Sie hierfür Microsoft Entra Hybrid Join verwenden. Es unterstützt eine breite Palette von Windows-Geräten.
Die meisten Organisationen verfügen bereits über geräteverbundene Domänen und verwalten sie über Gruppenrichtlinien oder System Center Configuration Manager (SCCM). In diesem Fall empfiehlt es sich, Microsoft Entra Hybrid Join zu konfigurieren, um von den Vorteilen zu profitieren und gleichzeitig bestehende Investitionen zu schützen.
Wenn der Hybridbeitritt von Microsoft Entra die beste Option für Ihre Organisation ist, lesen Sie die folgenden Ressourcen:
- Diese Übersicht von In Microsoft Entra Hybrid eingebundene Geräte.
- Machen Sie sich mit dem Implementierungsplan für Microsoft Entra Hybrid Join vertraut.
Bereitstellen Microsoft Entra Hybrid Join auf Ihren Geräten
Überprüfen Sie ihre Identitätsinfrastruktur. Microsoft Entra Connect bietet einen Assistenten für die Konfiguration der Microsoft Entra-Hybrideinbindung für:
Wenn das Installieren der erforderlichen Version von Microsoft Entra Connect keine Option für Sie ist, informieren Sie sich über die manuelle Konfiguration von Microsoft Entra Hybrid Join.
Anmerkung
Das lokale in die Domäne eingebundene Gerät mit Windows 10 oder höher versucht, automatisch mit Microsoft Entra ID verbunden zu werden, damit es standardmäßig Microsoft Entra Hybrid eingebunden wird. Dies ist nur erfolgreich, wenn Sie die richtige Umgebung eingerichtet haben.
Sie stellen möglicherweise fest, dass ein Microsoft Entra-Beitritt als hybrides Gerät die optimale Lösung für ein Gerät ist, das derzeit einen anderen Zustand aufweist. In der folgenden Tabelle wird gezeigt, wie Sie den Zustand eines Geräts ändern.
| Aktueller Gerätestatus | Gewünschter Gerätezustand | Vorgehensweise |
|---|---|---|
| Eingebundene lokale Domäne | Hybrid in Microsoft Entra eingebunden | Verwenden Sie Microsoft Entra Connect oder AD FS, um Azure beizutreten. |
| Lokale Arbeitsgruppe beigetreten oder neu | Hybrid in Microsoft Entra eingebunden | Unterstützt mit Windows Autopilot. Andernfalls muss das Gerät vor einem Microsoft Entra-Beitritt als hybrides Gerät in eine lokale Domäne eingebunden sein. |
| Microsoft Entra ist beigetreten | Hybrid in Microsoft Entra eingebunden | Entfernen Sie die Einbindung in Microsoft Entra ID, was es in eine lokale Arbeitsgruppe oder in einen neuen Zustand versetzt. |
| Microsoft Entra registriert | Hybrid in Microsoft Entra eingebunden | Hängt von der Windows-Version ab. Beachten Sie diese Überlegungen. |
Verwalten Ihrer Geräte
Nachdem Sie Ihre Geräte bei Microsoft Entra-ID registriert oder verknüpft haben, verwenden Sie das Microsoft Entra Admin Center als zentralen Ort zum Verwalten Ihrer Geräteidentitäten. Auf der Microsoft Entra-Geräteseite können Sie folgende Aktionen ausführen:
- Konfigurieren Sie Ihre Geräteeinstellungen.
- Sie müssen ein lokaler Administrator sein, um Windows-Geräte zu verwalten. Microsoft Entra ID aktualisiert diese Mitgliedschaft für mit Microsoft Entra verknüpfte Geräteund fügt automatisch Benutzer mit der Geräte-Manager-Rolle als Administratoren zu allen verknüpften Geräten hinzu.
Stellen Sie sicher, dass Sie die Umgebung sauber halten, indem Sie veraltete Gerätebeseitigen
Unterstützte Geräteverwaltungstools
Administratoren können registrierte und verbundene Geräte mithilfe anderer Geräteverwaltungstools sichern und weiter steuern. Mit diesen Tools können Sie Konfigurationen erzwingen, z. B. verschlüsselung, Kennwortkomplexität, Softwareinstallationen und Softwareupdates.
Überprüfen Sie unterstützte und nicht unterstützte Plattformen für integrierte Geräte:
| Geräteverwaltungstools | Microsoft Entra registriert | Microsoft Entra ist beigetreten. | Hybrid in Microsoft Entra eingebunden |
|---|---|---|---|
| Geräteverwaltung für mobile Endgeräte (MDM) Beispiel: Microsoft Intune |
|
|
|
| Co-Verwaltung mit Microsoft Intune und Microsoft Configuration Manager (Windows 10 oder höher) |
|
|
|
| Gruppenrichtlinie (nur Windows) |
|
Ziehen Sie die mobile Anwendungsverwaltung von Microsoft Intune Mobile Application-Management (MAM) mit oder ohne Geräteverwaltung für registrierte iOS- oder Android-Geräte in Erwägung.
Administratoren können auch VDI-Plattformen (Virtual Desktop Infrastructure) bereitstellen, die Windows-Betriebssysteme in ihren Unternehmen hosten, um die Verwaltung zu vereinfachen und die Kosten durch Konsolidierung und Zentralisierung von Ressourcen zu verringern.