Delen via


De implementatie van uw Microsoft Entra-apparaat plannen

Dit artikel helpt u bij het evalueren van de methoden om uw apparaat te integreren met Microsoft Entra ID, het implementatieplan te kiezen en belangrijke koppelingen te bieden naar ondersteunde hulpprogramma's voor apparaatbeheer.

Het landschap van de apparaten van uw gebruiker wordt voortdurend uitgebreid. Organisaties kunnen desktops, laptops, telefoons, tablets en andere apparaten leveren. Uw gebruikers kunnen hun eigen reeks apparaten meenemen en informatie benaderen vanaf verschillende locaties. In deze omgeving is uw taak als beheerder om uw organisatieresources veilig te houden op alle apparaten.

Met Microsoft Entra ID kan uw organisatie aan deze doelstellingen voldoen met apparaatidentiteitsbeheer. U kunt uw apparaten nu ophalen in Microsoft Entra ID en deze beheren vanaf een centrale locatie in het Microsoft Entra-beheercentrum. Dit proces biedt u een uniforme ervaring, verbeterde beveiliging en vermindert de tijd die nodig is om een nieuw apparaat te configureren.

Er zijn meerdere methoden om uw apparaten te integreren in Microsoft Entra ID. Deze methoden kunnen afzonderlijk of samen werken op basis van het besturingssysteem en uw vereisten:

  • U kunt apparaten registreren met Microsoft Entra ID.
  • apparaten toevoegen aan Microsoft Entra ID (alleen in de cloud).
  • Microsoft Entra hybride koppeling van apparaten met uw on-premises Active Directory-domein en Microsoft Entra ID.

Leren

Voordat u begint, moet u ervoor zorgen dat u bekend bent met het overzicht van apparaatidentiteitsbeheer.

Voordelen

De belangrijkste voordelen van het geven van een Microsoft Entra-identiteit aan uw apparaten:

Het implementatieproject plannen

Houd rekening met de behoeften van uw organisatie terwijl u de strategie voor deze implementatie in uw omgeving bepaalt.

De juiste belanghebbenden betrekken

Wanneer technologieprojecten mislukken, doen ze meestal vanwege niet-overeenkomende verwachtingen op impact, resultaten en verantwoordelijkheden. Om deze valkuilen te voorkomen, zorg ervoor dat u de juiste belanghebbenden betrekt, en dat de rollen van belanghebbenden in het project goed begrepen worden.

Voeg voor dit plan de volgende belanghebbenden toe aan uw lijst:

Rol Beschrijving
Apparaatbeheerder Een vertegenwoordiger van het apparaatteam die kan controleren of het plan voldoet aan de apparaatvereisten van uw organisatie.
Netwerkbeheerder Een vertegenwoordiger van het netwerkteam die ervoor kan zorgen dat deze voldoet aan de netwerkvereisten.
Apparaatbeheerteam Team dat inventaris van apparaten beheert.
Besturingssysteemspecifieke beheerteams Teams die specifieke besturingssysteemversies ondersteunen en beheren. Er kan bijvoorbeeld een Mac- of iOS-gericht team zijn.

Plannen van communicatie

Communicatie is essentieel voor het succes van elke nieuwe service. Communiceer proactief met uw gebruikers hoe hun ervaring verandert, wanneer deze verandert en hoe ze ondersteuning kunnen krijgen als ze problemen ondervinden.

Een testfase plannen

We raden u aan om de eerste configuratie van uw integratiemethode in een testomgeving of met een kleine groep testapparaten te gebruiken. Zie Aanbevolen procedures voor een testfase.

Misschien wilt u een gerichte implementatie van Microsoft Entra hybride join uitvoeren voordat u het inschakelt in de hele organisatie.

Waarschuwing

Organisaties moeten een voorbeeld van gebruikers van verschillende rollen en profielen in hun testgroep opnemen. Een gerichte implementatie helpt bij het identificeren van problemen die uw plan mogelijk niet heeft opgelost voordat u de hele organisatie inschakelt.

Uw integratiemethoden kiezen

Uw organisatie kan meerdere methoden voor apparaatintegratie gebruiken in één Microsoft Entra-tenant. Het doel is om een of meer methoden te kiezen die geschikt zijn om uw apparaten veilig te laten beheren in Microsoft Entra ID. Er zijn veel parameters die deze beslissing bepalen, waaronder eigendom, apparaattypen, primaire doelgroep en de infrastructuur van uw organisatie.

De volgende informatie kan u helpen bepalen welke integratiemethoden u wilt gebruiken.

Beslissingsstructuur voor de integratie van apparaten

Gebruik deze structuur om opties te bepalen voor apparaten die eigendom zijn van de organisatie.

Notitie

Persoonlijke of BYOD-scenario's (Bring Your Own Device) worden niet in dit diagram weergegeven. Ze resulteren altijd in Microsoft Entra-registratie.

beslissingsstructuur

Vergelijkingsmatrix

iOS- en Android-apparaten zijn alleen Microsoft Entra geregistreerd. De volgende tabel bevat overwegingen op hoog niveau voor Windows-clientapparaten. Gebruik dit als een overzicht en verken vervolgens de verschillende integratiemethoden in detail.

Overweging Microsoft Entra geregistreerd Microsoft Entra toegevoegd Microsoft Entra hybride verbonden
Client-besturingssystemen
Windows 11- of Windows 10-apparaten vinkje voor deze waarden. vinkje voor deze waarden. vinkje voor deze waarden.
Linux Desktop - Ubuntu 20.04/22.04/24.04, RHEL 8/9 vinkje voor deze waarden.
aanmeldingsopties
Lokale referenties voor eindgebruikers vinkje voor deze waarden.
Wachtwoord vinkje voor deze waarden. vinkje voor deze waarden. vinkje voor deze waarden.
Pincode voor apparaat vinkje voor deze waarden.
Windows Hello vinkje voor deze waarden.
Windows Hello voor Bedrijven vinkje voor deze waarden. vinkje voor deze waarden.
FIDO 2.0-beveiligingssleutels vinkje voor deze waarden. vinkje voor deze waarden.
Microsoft Authenticator-app (zonder wachtwoord) vinkje voor deze waarden. vinkje voor deze waarden. vinkje voor deze waarden.
belangrijke mogelijkheden
Single Sign-On naar cloudbronnen vinkje voor deze waarden. vinkje voor deze waarden. vinkje voor deze waarden.
Eenmalige aanmelding bij on-premises resources vinkje voor deze waarden. vinkje voor deze waarden.
Voorwaardelijke toegang
(Het vereisen dat apparaten worden gemarkeerd als conform)
(Moet worden beheerd door MDM)
vinkje voor deze waarden. vinkje voor deze waarden. vinkje voor deze waarden.
Voorwaardelijke toegang
(Vereisen dat hybride gekoppelde Microsoft Entra-apparaten worden gebruikt)
vinkje voor deze waarden.
Selfservice voor wachtwoordherstel vanuit het Windows-aanmeldingsscherm vinkje voor deze waarden. vinkje voor deze waarden.
Pincode opnieuw instellen voor Windows Hello vinkje voor deze waarden. vinkje voor deze waarden.

Microsoft Entra-registratie

Geregistreerde apparaten worden vaak beheerd met Microsoft Intune-. Apparaten worden op verschillende manieren geregistreerd bij Intune, afhankelijk van het besturingssysteem.

Geregistreerde Microsoft Entra-apparaten bieden ondersteuning voor BYOD-apparaten (Bring Your Own Devices) en apparaten in bedrijfseigendom voor eenmalige aanmelding bij cloudresources. Toegang tot de middelen is gebaseerd op het beleid voor voorwaardelijke toegang van Microsoft Entra, toegepast op het apparaat en de gebruiker.

Apparaten registreren

Geregistreerde apparaten worden vaak beheerd met Microsoft Intune-. Apparaten worden op verschillende manieren geregistreerd bij Intune, afhankelijk van het besturingssysteem.

Gebruikers installeren de bedrijfsportal-app om BYOD en mobiele apparaten in bedrijfseigendom te registreren.

Als het registreren van uw apparaten de beste optie voor uw organisatie is, raadpleegt u de volgende bronnen:

Microsoft Entra join

Met Microsoft Entra join kunt u overstappen op een cloud-first model met Windows. Het biedt een uitstekende basis als u van plan bent om uw apparaatbeheer te moderniseren en de it-kosten met betrekking tot apparaten te verlagen. Microsoft Entra join werkt alleen met Windows 10- of nieuwere apparaten. Beschouw het als de eerste keuze voor nieuwe apparaten.

Microsoft Entra-gekoppelde apparaten kunnen SSO doen naar on-premises resources wanneer ze zich in het netwerk van de organisatie bevinden. Ze kunnen ook authenticeren bij on-premises servers, zoals bestanden, afdrukken en andere toepassingen.

Als deze optie het beste is voor uw organisatie, raadpleegt u de volgende bronnen:

Microsoft Entra-verbonden apparaten configureren

Als u apparaten wilt inrichten voor Microsoft Entra Join, hebt u de volgende methoden:

Als u Windows 10 Professional of Windows 10 Enterprise op een apparaat hebt geïnstalleerd, wordt het installatieproces voor apparaten in bedrijfseigendom standaard ingesteld.

Kies uw implementatieprocedure na zorgvuldige vergelijking van deze benaderingen.

U kunt bepalen dat Microsoft Entra join de beste oplossing is voor een apparaat in een andere status. In de volgende tabel ziet u hoe u de status van een apparaat wijzigt.

Huidige apparaatstatus Gewenste apparaatstatus Handleiding
On-premises domein toegevoegd Microsoft Entra toegevoegd Ontkoppel het apparaat van het on-premises domein voordat u deelneemt aan Microsoft Entra-id.
Microsoft Entra hybride gekoppeld Microsoft Entra toegevoegd Ontkoppel het apparaat van het on-premises domein en van Microsoft Entra ID voordat u deelneemt aan Microsoft Entra-id.
Microsoft Entra geregistreerd Microsoft Entra toegevoegd De registratie van het apparaat ongedaan maken voordat u deelneemt aan Microsoft Entra-id.

Hybride deelname aan Microsoft Entra

Als u een on-premises Active Directory-omgeving hebt en uw bestaande computers die lid zijn van een domein wilt toevoegen aan Microsoft Entra ID, kunt u deze taak uitvoeren met hybride deelname aan Microsoft Entra. Het ondersteunt Windows-apparaten in een breed scala .

De meeste organisaties hebben al apparaten die lid zijn van een domein en beheren ze via Groepsbeleid of System Center Configuration Manager (SCCM). In dat geval raden we u aan om de hybride join van Microsoft Entra te configureren om voordelen te behalen terwijl bestaande investeringen worden benut.

Als Hybride deelname van Microsoft Entra de beste optie voor uw organisatie is, raadpleegt u de volgende bronnen:

Hybride verbinding van Microsoft Entra inrichten voor uw apparaten

Controleer uw identiteitsinfrastructuur. Microsoft Entra Connect biedt u een wizard voor het configureren van hybride deelname aan Microsoft Entra voor:

Als het installeren van de vereiste versie van Microsoft Entra Connect geen optie voor u is, raadpleegt u hoe u hybride deelname van Microsoft Entra handmatig configureert.

Notitie

Het op locatie gekoppelde Windows 10- of nieuwere apparaat probeert automatisch lid te worden van Microsoft Entra ID om standaard hybride lid te worden van Microsoft Entra. Dit lukt alleen als u de juiste omgeving hebt ingesteld.

U kunt bepalen dat Microsoft Entra hybride join de beste oplossing is voor een apparaat in een andere toestand. In de volgende tabel ziet u hoe u de status van een apparaat wijzigt.

Huidige apparaatstatus Gewenste apparaatstatus Handleiding
On-premises domein toegevoegd Hybride gekoppeld aan Microsoft Entra Gebruik Microsoft Entra Connect of AD FS om lid te worden van Azure.
Op locatie werkgroep toegetreden of nieuw Microsoft Entra hybride verbonden Ondersteund met Windows Autopilot. Anders moet het apparaat lid zijn van een on-premises domein voordat Microsoft Entra Hybrid Join wordt toegevoegd.
Microsoft Entra toegevoegd Microsoft Entra hybride gekoppeld Ontkoppelen van Microsoft Entra ID, waardoor het in de on-premises werkgroep of nieuwe staat wordt geplaatst.
Microsoft Entra geregistreerd Hybride versie van Microsoft Entra Is afhankelijk van de Windows-versie. Zie deze overwegingen.

Uw apparaten beheren

Nadat u uw apparaten hebt geregistreerd of gekoppeld aan Microsoft Entra ID, gebruikt u het Microsoft Entra-beheercentrum als centrale plaats om uw apparaatidentiteiten te beheren. Op de pagina Microsoft Entra-apparaten kunt u het volgende doen:

Zorg ervoor dat u de omgeving schoon houdt door verouderde apparatente beheren en uw resources te richten op het beheren van huidige apparaten.

Ondersteunde hulpprogramma's voor apparaatbeheer

Beheerders kunnen geregistreerde en gekoppelde apparaten beveiligen en verder beheren met andere hulpprogramma's voor apparaatbeheer. Deze hulpprogramma's bieden u een manier om configuraties af te dwingen, zoals het vereisen van opslag die moet worden versleuteld, wachtwoordcomplexiteit, software-installaties en software-updates.

Bekijk ondersteunde en niet-ondersteunde platforms voor geïntegreerde apparaten:

Hulpprogramma's voor apparaatbeheer Microsoft Entra geregistreerd Microsoft Entra toegevoegd Hybride aangemeld bij Microsoft Entra
Mobile Device Management (MDM)
Voorbeeld: Microsoft Intune
vinkje voor deze waarden. vinkje voor deze waarden. vinkje voor deze waarden.
Co-beheer met Microsoft Intune en Microsoft Configuration Manager
(Windows 10 of hoger)
vinkje voor deze waarden. vinkje voor deze waarden.
groepsbeleid
(alleen Windows)
vinkje voor deze waarden.

We raden u aan om Mam- (Mobile Application Management) van Microsoft Intune te overwegen met of zonder apparaatbeheer voor geregistreerde iOS- of Android-apparaten.

Beheerders kunnen ook VDI-platformen (Virtual Desktop Infrastructure) implementeren windows-besturingssystemen in hun organisaties hosten om het beheer te stroomlijnen en de kosten te verlagen door middel van consolidatie en centralisatie van resources.

Volgende stappen