Planera distributionen av Microsoft Entra-enheten
Den här artikeln hjälper dig att utvärdera metoderna för att integrera din enhet med Microsoft Entra-ID, välja implementeringsplan och innehåller viktiga länkar till verktyg för enhetshantering som stöds.
Landskapet för användarens enheter expanderar ständigt. Organisationer kan tillhandahålla stationära datorer, bärbara datorer, telefoner, surfplattor och andra enheter. Användarna kan ha sina egna enheter och komma åt information från olika platser. I den här miljön är ditt jobb som administratör att skydda organisationens resurser på alla enheter.
Med Microsoft Entra-ID kan din organisation uppfylla dessa mål med enhetsidentitetshantering. Nu kan du hämta dina enheter i Microsoft Entra-ID och styra dem från en central plats i Administrationscenter för Microsoft Entra. Den här processen ger dig en enhetlig upplevelse, förbättrad säkerhet och minskar den tid som krävs för att konfigurera en ny enhet.
Det finns flera metoder för att integrera dina enheter i Microsoft Entra-ID. Dessa metoder kan fungera separat eller tillsammans baserat på operativsystemet och dina krav:
- Du kan registrera enheter med Microsoft Entra-ID.
- Anslut enheter till Microsoft Entra-ID (endast moln).
- Anslut enheter med Microsoft Entra i en hybridmiljö till din lokala Active Directory-domän och Microsoft Entra-ID.
Lära sig
Innan du börjar, se till att du är bekant med översikten över enhetsidentitetshantering .
Fördelar
De viktigaste fördelarna med att ge dina enheter en Microsoft Entra-identitet:
Öka produktiviteten – Användarna kan göra sömlös inloggning (SSO) till dina lokala resurser och molnresurser, vilket möjliggör produktivitet oavsett var de befinner sig.
Öka säkerheten – Tillämpa principer för villkorsstyrd åtkomst på resurser baserat på enhetens eller användarens identitet. Att ansluta en enhet till Microsoft Entra-ID är en förutsättning för att öka säkerheten med en lösenordsfri strategi.
Förbättra användarupplevelsen – Ge användarna enkel åtkomst till organisationens molnbaserade resurser från både personliga enheter och företagsenheter. Administratörer kan aktivera Enterprise State Roaming- för en enhetlig upplevelse på alla Windows-enheter.
Förenkla distribution och hantering – Förenkla processen för att föra enheter till Microsoft Entra-ID med Windows Autopilot, massetableringeller självbetjäning: Out of Box Experience (OOBE). Hantera enheter med MDM-verktyg (Mobile Device Management) som Microsoft Intuneoch deras identiteter i administrationscentret för Microsoft Entra.
Planera distributionsprojektet
Tänk på organisationens behov när du fastställer strategin för den här distributionen i din miljö.
Engagera rätt intressenter
När teknikprojekt misslyckas gör de vanligtvis det på grund av felaktiga förväntningar på påverkan, resultat och ansvarsområden. För att undvika dessa fallgropar se till att du engagerar rätt intressenter, och att intressenternas roller i projektet är väl förstådda.
För den här planen lägger du till följande intressenter i listan:
| Roll | Beskrivning |
|---|---|
| Enhetsadministratör | En representant från enhetsteamet som kan kontrollera att planen uppfyller organisationens enhetskrav. |
| Nätverksadministratör | En representant från nätverksteamet som kan se till att uppfylla nätverkskraven. |
| Enhetshanteringsteam | Team som hanterar inventering av enheter. |
| OS-specifika administratörsteam | Team som stöder och hanterar specifika OS-versioner. Det kan till exempel finnas ett Mac- eller iOS-fokuserat team. |
Planera kommunikation
Kommunikation är avgörande för att alla nya tjänster ska lyckas. Kommunicera proaktivt med dina användare hur deras upplevelse ändras, när den ändras och hur de får support om de får problem.
Planera ett pilotprojekt
Vi rekommenderar att den första konfigurationen av integreringsmetoden finns i en testmiljö eller med en liten grupp testenheter. Se Metodtips för en pilot.
Du kanske vill göra en riktad distribution av Microsoft Entra-hybridanslutning innan du aktiverar funktionen i hela organisationen.
Varning
Organisationer bör inkludera ett urval av användare från olika roller och profiler i pilotgruppen. En riktad distribution hjälper dig att identifiera eventuella problem som din plan kanske inte har åtgärdat innan du aktiverar för hela organisationen.
Välj dina integreringsmetoder
Din organisation kan använda flera metoder för enhetsintegrering i en enda Microsoft Entra-klientorganisation. Målet är att välja en eller flera metoder som är lämpliga för att hantera dina enheter på ett säkert sätt i Microsoft Entra-ID. Det finns många parametrar som styr det här beslutet, inklusive ägarskap, enhetstyper, primär målgrupp och organisationens infrastruktur.
Följande information kan hjälpa dig att avgöra vilka integreringsmetoder som ska användas.
Beslutsträd för enhetsintegrering
Använd det här trädet för att fastställa alternativ för organisationsägda enheter.
Not
Scenarier med personliga eller egna enheter (BYOD) visas inte i det här diagrammet. De resulterar alltid i Microsoft Entra-registrering.
Jämförelsematris
iOS- och Android-enheter är endast Microsoft Entra-registrerade. I följande tabell beskrivs överväganden på hög nivå för Windows-klientenheter. Använd det som en översikt och utforska sedan de olika integreringsmetoderna i detalj.
| Hänsyn | Microsoft Entra-registrerat | Microsoft Entra gick med | Microsoft Entra hybridansluten |
|---|---|---|---|
| Klientoperativsystem | |||
| Windows 11- eller Windows 10-enheter |
|
|
|
| Linux Desktop – Ubuntu 20.04/22.04/24.04, RHEL 8/9 |
|
||
| Inloggningsalternativ | |||
| Lokala autentiseringsuppgifter för slutanvändare |
|
||
| Lösenord |
|
|
|
| Pin-kod för enhet |
|
||
| Windows Hello |
|
||
| Windows Hello för företag |
|
|
|
| FIDO 2.0-säkerhetsnycklar |
|
|
|
| Microsoft Authenticator App (lösenordslös) |
|
|
|
| Viktiga funktioner | |||
| SSO för molnresurser |
|
|
|
| Enkel inloggning (SSO) till resurser på plats |
|
|
|
| Villkorlig åtkomst (Kräv att enheter markeras som kompatibla) (Måste hanteras av MDM) |
|
|
|
| Villkorlig åtkomst (Kräv hybridanslutna Microsoft Entra-enheter) |
|
||
| Självbetjäning av lösenordsåterställning från Windows-inloggningsskärmen |
|
|
|
| Återställning av PIN-kod för Windows Hello |
|
|
Microsoft Entra-registrering
Registrerade enheter hanteras ofta med Microsoft Intune. Enheter registreras i Intune på flera sätt, beroende på operativsystemet.
Microsoft Entra-registrerade enheter ger stöd för BYOD (Bring Your Own Devices) och företagsägda enheter till SSO till molnresurser. Åtkomst till resurser baseras på Microsoft Entra-principer för villkorsstyrd åtkomst tillämpas på enheten och användaren.
Registrera enheter
Registrerade enheter hanteras ofta med Microsoft Intune. Enheter registreras i Intune på flera sätt, beroende på operativsystemet.
Användare installerar företagsportalappen för att registrera BYOD- och företagsägda mobila enheter.
Om registrering av dina enheter är det bästa alternativet för din organisation kan du läsa följande resurser:
- Den här översikten över Microsoft Entra-registrerade enheter.
- Den här dokumentationen för slutanvändare rörande Registrera din personliga enhet i organisationens nätverk.
Microsoft Entra-anslutning
Med Microsoft Entra Join kan du övergå till en molnbaserad modell med Windows. Det är en bra grund om du planerar att modernisera enhetshanteringen och minska enhetsrelaterade IT-kostnader. Microsoft Entra-anslutning fungerar endast med Windows 10- eller senare enheter. Se det som det första valet för nya enheter.
Microsoft Entra-anslutna enheter kan använda enkel inloggning till lokala resurser när de finns i organisationens nätverk, och kan autentisera mot lokala servrar som filer, utskriftsservrar och andra program.
Om det här alternativet passar bäst för din organisation kan du läsa följande resurser:
- Den här översikten över Microsoft Entra-anslutna enheter.
- Bekanta dig med implementeringsplanen för Microsoft Entra Join.
Provisionera Microsoft Entra-anslutna enheter
Om du vill etablera enheter till Microsoft Entra-anslutning har du följande metoder:
- Självbetjäning: Windows 10 första startupplevelse
Om du har Windows 10 Professional eller Windows 10 Enterprise installerat på en enhet, kommer upplevelsen som standard att konfigureras för installationsprocessen för företagsägda enheter.
Välj distributionsproceduren efter noggrann jämförelse av dessa metoder.
Du kan fastställa att Microsoft Entra-anslutning är bäst för en enhet i ett annat läge. I följande tabell visas hur du ändrar tillståndet för en enhet.
| Aktuellt enhetstillstånd | Önskat enhetstillstånd | Anvisningar |
|---|---|---|
| Lokal domänansluten | Microsoft Entra gick med | Koppla bort enheten från den lokala domänen innan du ansluter till Microsoft Entra-ID. |
| Microsoft Entra hybridansluten | Microsoft Entra gick med | Koppla bort enheten från den lokala domänen och från Microsoft Entra-ID innan du ansluter till Microsoft Entra-ID. |
| Microsoft Entra-registrerat | Microsoft Entra gick med | Avregistrera enheten innan du ansluter till Microsoft Entra-ID. |
Microsoft Entra-hybridanslutning
Om du har en lokal Active Directory-miljö och vill ansluta dina befintliga domänanslutna datorer till Microsoft Entra-ID kan du utföra den här uppgiften med Microsoft Entra-hybridanslutning. Den stöder ett brett utbud av Windows-enheter.
De flesta organisationer har redan domänanslutna enheter och hanterar dem via grupprincip eller System Center Configuration Manager (SCCM). I så fall rekommenderar vi att du konfigurerar Microsoft Entra-hybridanslutning för att börja få fördelar när du använder befintliga investeringar.
Om Microsoft Entra-hybridanslutning är det bästa alternativet för din organisation kan du läsa följande resurser:
- Den här översikten över hybridanslutna Microsoft Entra-enheter.
- Bekanta dig med planeringen för implementeringen av Microsoft Entra hybridanslutning.
Etablera Microsoft Entra-hybridanslutning till dina enheter
Granska din identitetsinfrastruktur. Microsoft Entra Connect tillhandahåller en guide för att konfigurera Microsoft Entra-hybridanslutning för:
Om det inte är ett alternativ att installera den nödvändiga versionen av Microsoft Entra Connect kan du läsa hur du konfigurerar Microsoft Entra-hybridanslutning manuellt.
Anteckning
Den lokala domänanslutna Windows 10- eller nyare enheten försöker automatiskt ansluta till Microsoft Entra-ID för att bli Microsoft Entra-hybridansluten som standard. Detta lyckas bara om du har konfigurerat rätt miljö.
Du kan fastställa att Microsoft Entra-hybridanslutning är den bästa lösningen för en enhet i ett annat tillstånd. I följande tabell visas hur du ändrar tillståndet för en enhet.
| Aktuellt enhetstillstånd | Önskat enhetstillstånd | Anvisningar |
|---|---|---|
| Lokal domänansluten | Microsoft Entra hybridansluten | Använd Microsoft Entra Connect eller AD FS för att ansluta till Azure. |
| Intern arbetsgrupp ansluten eller nyskapad | Microsoft Entra hybridansluten | Stöds med Windows Autopilot. Annars måste enheten vara lokal domänansluten innan Microsoft Entra-hybridanslutningen. |
| Microsoft Entra har anslutit | Microsoft Entra hybridansluten | Koppla från Microsoft Entra-ID, vilket flyttar det till den lokala arbetsgruppen eller till ett nytt läge. |
| Microsoft Entra registrerad | Microsoft Entra hybridansluten | Beror på Windows-versionen. Se dessa överväganden. |
Hantera dina enheter
När du har registrerat eller anslutit dina enheter till Microsoft Entra-ID använder du administrationscentret för Microsoft Entra som en central plats för att hantera dina enhetsidentiteter. På sidan Microsoft Entra-enheter kan du:
- Konfigurera enhetsinställningarna.
- Du måste vara lokal administratör för att hantera Windows-enheter. Microsoft Entra ID uppdaterar det här medlemskapet för Microsoft Entra-anslutna enheter, och lägger automatiskt till användare med enhetshanterarens roll som administratörer på alla anslutna enheter.
Se till att du håller miljön ren genom att hantera inaktuella enheteroch fokusera resurserna på att hantera aktuella enheter.
Verktyg för enhetshantering som stöds
Administratörer kan skydda och ytterligare kontrollera registrerade och anslutna enheter med hjälp av andra verktyg för enhetshantering. De här verktygen ger dig ett sätt att framtvinga konfigurationer som att kräva att lagringen krypteras, lösenordskomplexitet, programvaruinstallationer och programuppdateringar.
Granska plattformar som stöds och som inte stöds för integrerade enheter:
| Verktyg för enhetshantering | Microsoft Entra-registrerat | Microsoft Entra gick med i | Microsoft Entra hybridansluten |
|---|---|---|---|
|
Hantera mobila enheter (MDM) Exempel: Microsoft Intune |
|
|
|
|
samhantering med Microsoft Intune och Microsoft Configuration Manager (Windows 10 eller senare) |
|
|
|
|
Gruppolicy (Endast Windows) |
|
Vi rekommenderar att du överväger Microsoft Intune Mobile Application Management (MAM) med eller utan enhetshantering för registrerade iOS- eller Android-enheter.
Administratörer kan också distribuera VDI-plattformar (Virtual Desktop Infrastructure) som är värdar för Windows-operativsystem i sina organisationer för att effektivisera hanteringen och minska kostnaderna genom konsolidering och centralisering av resurser.