De implementatie van uw Microsoft Entra-apparaat plannen
Dit artikel helpt u bij het evalueren van de methoden om uw apparaat te integreren met Microsoft Entra ID, het implementatieplan te kiezen en belangrijke koppelingen te bieden naar ondersteunde hulpprogramma's voor apparaatbeheer.
Het landschap van de apparaten van uw gebruiker wordt voortdurend uitgebreid. Organisaties kunnen desktops, laptops, telefoons, tablets en andere apparaten leveren. Uw gebruikers kunnen hun eigen reeks apparaten meenemen en informatie benaderen vanaf verschillende locaties. In deze omgeving is uw taak als beheerder om uw organisatieresources veilig te houden op alle apparaten.
Met Microsoft Entra ID kan uw organisatie aan deze doelstellingen voldoen met apparaatidentiteitsbeheer. U kunt uw apparaten nu ophalen in Microsoft Entra ID en deze beheren vanaf een centrale locatie in het Microsoft Entra-beheercentrum. Dit proces biedt u een uniforme ervaring, verbeterde beveiliging en vermindert de tijd die nodig is om een nieuw apparaat te configureren.
Er zijn meerdere methoden om uw apparaten te integreren in Microsoft Entra ID. Deze methoden kunnen afzonderlijk of samen werken op basis van het besturingssysteem en uw vereisten:
- U kunt apparaten registreren met Microsoft Entra ID.
- apparaten toevoegen aan Microsoft Entra ID (alleen in de cloud).
- Microsoft Entra hybride koppeling van apparaten met uw on-premises Active Directory-domein en Microsoft Entra ID.
Leren
Voordat u begint, moet u ervoor zorgen dat u bekend bent met het overzicht van apparaatidentiteitsbeheer.
Voordelen
De belangrijkste voordelen van het geven van een Microsoft Entra-identiteit aan uw apparaten:
Verhoog de productiviteit: gebruikers kunnen naadloze aanmelding (SSO) uitvoeren voor uw on-premises en cloudresources, waardoor de productiviteit overal mogelijk is.
Beveiliging verhogen: pas beleid voor voorwaardelijke toegang toe op resources op basis van de identiteit van het apparaat of de gebruiker. Het toevoegen van een apparaat aan Microsoft Entra ID is een vereiste voor het verhogen van uw beveiliging met een strategie zonder wachtwoord.
Gebruikerservaring verbeteren: bied uw gebruikers eenvoudige toegang tot de cloudresources van uw organisatie vanaf zowel persoonlijke als zakelijke apparaten. Beheerders kunnen Enterprise State Roaming- inschakelen voor een uniforme ervaring op alle Windows-apparaten.
Implementatie en beheer vereenvoudigen: vereenvoudig het proces van het overbrengen van apparaten naar Microsoft Entra ID met Windows Autopilot-, bulkinrichtingof selfservice: Out of Box Experience (OOBE). Apparaten beheren met MDM-hulpprogramma's (Mobile Device Management), zoals Microsoft Intuneen hun identiteiten in het Microsoft Entra-beheercentrum.
Het implementatieproject plannen
Houd rekening met de behoeften van uw organisatie terwijl u de strategie voor deze implementatie in uw omgeving bepaalt.
De juiste belanghebbenden betrekken
Wanneer technologieprojecten mislukken, doen ze meestal vanwege niet-overeenkomende verwachtingen op impact, resultaten en verantwoordelijkheden. Om deze valkuilen te voorkomen, zorg ervoor dat u de juiste belanghebbenden betrekt, en dat de rollen van belanghebbenden in het project goed begrepen worden.
Voeg voor dit plan de volgende belanghebbenden toe aan uw lijst:
Rol | Beschrijving |
---|---|
Apparaatbeheerder | Een vertegenwoordiger van het apparaatteam die kan controleren of het plan voldoet aan de apparaatvereisten van uw organisatie. |
Netwerkbeheerder | Een vertegenwoordiger van het netwerkteam die ervoor kan zorgen dat deze voldoet aan de netwerkvereisten. |
Apparaatbeheerteam | Team dat inventaris van apparaten beheert. |
Besturingssysteemspecifieke beheerteams | Teams die specifieke besturingssysteemversies ondersteunen en beheren. Er kan bijvoorbeeld een Mac- of iOS-gericht team zijn. |
Plannen van communicatie
Communicatie is essentieel voor het succes van elke nieuwe service. Communiceer proactief met uw gebruikers hoe hun ervaring verandert, wanneer deze verandert en hoe ze ondersteuning kunnen krijgen als ze problemen ondervinden.
Een testfase plannen
We raden u aan om de eerste configuratie van uw integratiemethode in een testomgeving of met een kleine groep testapparaten te gebruiken. Zie Aanbevolen procedures voor een testfase.
Misschien wilt u een gerichte implementatie van Microsoft Entra hybride join uitvoeren voordat u het inschakelt in de hele organisatie.
Waarschuwing
Organisaties moeten een voorbeeld van gebruikers van verschillende rollen en profielen in hun testgroep opnemen. Een gerichte implementatie helpt bij het identificeren van problemen die uw plan mogelijk niet heeft opgelost voordat u de hele organisatie inschakelt.
Uw integratiemethoden kiezen
Uw organisatie kan meerdere methoden voor apparaatintegratie gebruiken in één Microsoft Entra-tenant. Het doel is om een of meer methoden te kiezen die geschikt zijn om uw apparaten veilig te laten beheren in Microsoft Entra ID. Er zijn veel parameters die deze beslissing bepalen, waaronder eigendom, apparaattypen, primaire doelgroep en de infrastructuur van uw organisatie.
De volgende informatie kan u helpen bepalen welke integratiemethoden u wilt gebruiken.
Beslissingsstructuur voor de integratie van apparaten
Gebruik deze structuur om opties te bepalen voor apparaten die eigendom zijn van de organisatie.
Notitie
Persoonlijke of BYOD-scenario's (Bring Your Own Device) worden niet in dit diagram weergegeven. Ze resulteren altijd in Microsoft Entra-registratie.
Vergelijkingsmatrix
iOS- en Android-apparaten zijn alleen Microsoft Entra geregistreerd. De volgende tabel bevat overwegingen op hoog niveau voor Windows-clientapparaten. Gebruik dit als een overzicht en verken vervolgens de verschillende integratiemethoden in detail.
Overweging | Microsoft Entra geregistreerd | Microsoft Entra toegevoegd | Microsoft Entra hybride verbonden |
---|---|---|---|
Client-besturingssystemen | |||
Windows 11- of Windows 10-apparaten | |||
Linux Desktop - Ubuntu 20.04/22.04/24.04, RHEL 8/9 | |||
aanmeldingsopties | |||
Lokale referenties voor eindgebruikers | |||
Wachtwoord | |||
Pincode voor apparaat | |||
Windows Hello | |||
Windows Hello voor Bedrijven | |||
FIDO 2.0-beveiligingssleutels | |||
Microsoft Authenticator-app (zonder wachtwoord) | |||
belangrijke mogelijkheden | |||
Single Sign-On naar cloudbronnen | |||
Eenmalige aanmelding bij on-premises resources | |||
Voorwaardelijke toegang (Het vereisen dat apparaten worden gemarkeerd als conform) (Moet worden beheerd door MDM) |
|||
Voorwaardelijke toegang (Vereisen dat hybride gekoppelde Microsoft Entra-apparaten worden gebruikt) |
|||
Selfservice voor wachtwoordherstel vanuit het Windows-aanmeldingsscherm | |||
Pincode opnieuw instellen voor Windows Hello |
Microsoft Entra-registratie
Geregistreerde apparaten worden vaak beheerd met Microsoft Intune-. Apparaten worden op verschillende manieren geregistreerd bij Intune, afhankelijk van het besturingssysteem.
Geregistreerde Microsoft Entra-apparaten bieden ondersteuning voor BYOD-apparaten (Bring Your Own Devices) en apparaten in bedrijfseigendom voor eenmalige aanmelding bij cloudresources. Toegang tot de middelen is gebaseerd op het beleid voor voorwaardelijke toegang van Microsoft Entra, toegepast op het apparaat en de gebruiker.
Apparaten registreren
Geregistreerde apparaten worden vaak beheerd met Microsoft Intune-. Apparaten worden op verschillende manieren geregistreerd bij Intune, afhankelijk van het besturingssysteem.
Gebruikers installeren de bedrijfsportal-app om BYOD en mobiele apparaten in bedrijfseigendom te registreren.
Als het registreren van uw apparaten de beste optie voor uw organisatie is, raadpleegt u de volgende bronnen:
- Overzicht van geregistreerde Microsoft Entra-apparaten .
- Deze eindgebruikersdocumentatie op Uw persoonlijke apparaat registreren op het netwerkvan uw organisatie.
Microsoft Entra join
Met Microsoft Entra join kunt u overstappen op een cloud-first model met Windows. Het biedt een uitstekende basis als u van plan bent om uw apparaatbeheer te moderniseren en de it-kosten met betrekking tot apparaten te verlagen. Microsoft Entra join werkt alleen met Windows 10- of nieuwere apparaten. Beschouw het als de eerste keuze voor nieuwe apparaten.
Microsoft Entra-gekoppelde apparaten kunnen SSO doen naar on-premises resources wanneer ze zich in het netwerk van de organisatie bevinden. Ze kunnen ook authenticeren bij on-premises servers, zoals bestanden, afdrukken en andere toepassingen.
Als deze optie het beste is voor uw organisatie, raadpleegt u de volgende bronnen:
- Dit overzicht van aan Microsoft Entra gekoppelde apparaten.
- Raak vertrouwd met het Microsoft Entra join-implementatieplan.
Microsoft Entra-verbonden apparaten configureren
Als u apparaten wilt inrichten voor Microsoft Entra Join, hebt u de volgende methoden:
- Zelfbediening: Windows 10 eerste gebruikservaring
Als u Windows 10 Professional of Windows 10 Enterprise op een apparaat hebt geïnstalleerd, wordt het installatieproces voor apparaten in bedrijfseigendom standaard ingesteld.
- Windows Out of Box Experience (OOBE) of via de Windows-instellingen
- Windows Autopilot-
- bulkinschrijving
Kies uw implementatieprocedure na zorgvuldige vergelijking van deze benaderingen.
U kunt bepalen dat Microsoft Entra join de beste oplossing is voor een apparaat in een andere status. In de volgende tabel ziet u hoe u de status van een apparaat wijzigt.
Huidige apparaatstatus | Gewenste apparaatstatus | Handleiding |
---|---|---|
On-premises domein toegevoegd | Microsoft Entra toegevoegd | Ontkoppel het apparaat van het on-premises domein voordat u deelneemt aan Microsoft Entra-id. |
Microsoft Entra hybride gekoppeld | Microsoft Entra toegevoegd | Ontkoppel het apparaat van het on-premises domein en van Microsoft Entra ID voordat u deelneemt aan Microsoft Entra-id. |
Microsoft Entra geregistreerd | Microsoft Entra toegevoegd | De registratie van het apparaat ongedaan maken voordat u deelneemt aan Microsoft Entra-id. |
Hybride deelname aan Microsoft Entra
Als u een on-premises Active Directory-omgeving hebt en uw bestaande computers die lid zijn van een domein wilt toevoegen aan Microsoft Entra ID, kunt u deze taak uitvoeren met hybride deelname aan Microsoft Entra. Het ondersteunt Windows-apparaten in een breed scala .
De meeste organisaties hebben al apparaten die lid zijn van een domein en beheren ze via Groepsbeleid of System Center Configuration Manager (SCCM). In dat geval raden we u aan om de hybride join van Microsoft Entra te configureren om voordelen te behalen terwijl bestaande investeringen worden benut.
Als Hybride deelname van Microsoft Entra de beste optie voor uw organisatie is, raadpleegt u de volgende bronnen:
- Dit overzicht van hybride gekoppelde apparaten van Microsoft Entra.
- Maak kennis met de implementatie van hybride deelname aan Microsoft Entra plan.
Hybride verbinding van Microsoft Entra inrichten voor uw apparaten
Controleer uw identiteitsinfrastructuur. Microsoft Entra Connect biedt u een wizard voor het configureren van hybride deelname aan Microsoft Entra voor:
Als het installeren van de vereiste versie van Microsoft Entra Connect geen optie voor u is, raadpleegt u hoe u hybride deelname van Microsoft Entra handmatig configureert.
Notitie
Het op locatie gekoppelde Windows 10- of nieuwere apparaat probeert automatisch lid te worden van Microsoft Entra ID om standaard hybride lid te worden van Microsoft Entra. Dit lukt alleen als u de juiste omgeving hebt ingesteld.
U kunt bepalen dat Microsoft Entra hybride join de beste oplossing is voor een apparaat in een andere toestand. In de volgende tabel ziet u hoe u de status van een apparaat wijzigt.
Huidige apparaatstatus | Gewenste apparaatstatus | Handleiding |
---|---|---|
On-premises domein toegevoegd | Hybride gekoppeld aan Microsoft Entra | Gebruik Microsoft Entra Connect of AD FS om lid te worden van Azure. |
Op locatie werkgroep toegetreden of nieuw | Microsoft Entra hybride verbonden | Ondersteund met Windows Autopilot. Anders moet het apparaat lid zijn van een on-premises domein voordat Microsoft Entra Hybrid Join wordt toegevoegd. |
Microsoft Entra toegevoegd | Microsoft Entra hybride gekoppeld | Ontkoppelen van Microsoft Entra ID, waardoor het in de on-premises werkgroep of nieuwe staat wordt geplaatst. |
Microsoft Entra geregistreerd | Hybride versie van Microsoft Entra | Is afhankelijk van de Windows-versie. Zie deze overwegingen. |
Uw apparaten beheren
Nadat u uw apparaten hebt geregistreerd of gekoppeld aan Microsoft Entra ID, gebruikt u het Microsoft Entra-beheercentrum als centrale plaats om uw apparaatidentiteiten te beheren. Op de pagina Microsoft Entra-apparaten kunt u het volgende doen:
- Uw apparaatinstellingen configureren.
- U moet een lokale beheerder zijn om Windows-apparaten te beheren. Microsoft Entra ID werkt dit lidmaatschap bij voor apparaten die zijn toegevoegd aan Microsoft Entra, waarbij gebruikers met de rol apparaatbeheerder automatisch als beheerders worden toegevoegd aan alle gekoppelde apparaten.
Zorg ervoor dat u de omgeving schoon houdt door verouderde apparatente beheren en uw resources te richten op het beheren van huidige apparaten.
Ondersteunde hulpprogramma's voor apparaatbeheer
Beheerders kunnen geregistreerde en gekoppelde apparaten beveiligen en verder beheren met andere hulpprogramma's voor apparaatbeheer. Deze hulpprogramma's bieden u een manier om configuraties af te dwingen, zoals het vereisen van opslag die moet worden versleuteld, wachtwoordcomplexiteit, software-installaties en software-updates.
Bekijk ondersteunde en niet-ondersteunde platforms voor geïntegreerde apparaten:
Hulpprogramma's voor apparaatbeheer | Microsoft Entra geregistreerd | Microsoft Entra toegevoegd | Hybride aangemeld bij Microsoft Entra |
---|---|---|---|
Mobile Device Management (MDM) Voorbeeld: Microsoft Intune |
|||
Co-beheer met Microsoft Intune en Microsoft Configuration Manager (Windows 10 of hoger) |
|||
groepsbeleid (alleen Windows) |
We raden u aan om Mam- (Mobile Application Management) van Microsoft Intune te overwegen met of zonder apparaatbeheer voor geregistreerde iOS- of Android-apparaten.
Beheerders kunnen ook VDI-platformen (Virtual Desktop Infrastructure) implementeren windows-besturingssystemen in hun organisaties hosten om het beheer te stroomlijnen en de kosten te verlagen door middel van consolidatie en centralisatie van resources.