Поделиться через

Присоединение к Microsoft Entra и гибридное присоединение к Microsoft Entra в облачных конечных точках

  • Статья

Совет

При чтении об облачных собственных конечных точках вы увидите следующие термины:

  • Конечная точка: конечная точка — это устройство, такое как мобильный телефон, планшет, ноутбук или настольный компьютер. "Конечные точки" и "устройства" взаимозаменяемы.
  • Управляемые конечные точки: конечные точки, которые получают политики от организации с помощью решения MDM или объектов групповой политики. Эти устройства обычно принадлежат организации, но также могут быть BYOD или личными устройствами.
  • Облачные собственные конечные точки: конечные точки, присоединенные к Microsoft Entra. Они не присоединены к локальной AD.
  • Рабочая нагрузка: любая программа, служба или процесс.

Для многих критически важных и ценных служб, включая условный доступ и единый вход Microsoft Entra, конечные точки должны иметь облачное удостоверение. Для принадлежащих организации конечных точек Windows облачное удостоверение создается при присоединении устройства к Microsoft Entra или гибридному присоединению к Microsoft Entra.

При переходе на облачные конечные точки необходимо понимать различия между устройствами, присоединенными к Microsoft Entra, и гибридными устройствами, присоединенными к Microsoft Entra.

  • Присоединено к Microsoft Entra: устройства присоединяются к Microsoft Entra. Они не присоединены к локальной службе AD.

    Дополнительные сведения см. в статье Устройства, присоединенные к Microsoft Entra (открывается другой веб-сайт Майкрософт).

  • Гибридное присоединение к Microsoft Entra. Устройства регистрируются в Microsoft Entra и присоединяются к локальному домену AD.

    Дополнительные сведения см. в статье Гибридные устройства, присоединенные к Microsoft Entra (открывается другой веб-сайт Майкрософт).

Данная функция применяется к:

  • Облачные конечные точки Windows

В этой статье описываются некоторые различия между устройствами, присоединенными к Microsoft Entra, и гибридными устройствами, присоединенными к Microsoft Entra. Обзор облачных конечных точек и их преимуществ см. в статье Что такое облачные конечные точки..

Присоединено к Microsoft Entra

Когда конечная точка, например устройство с Windows 10/11, присоединена к Microsoft Entra, она устанавливает доверие с Microsoft Entra и имеет удостоверение (device-id) в Microsoft Entra. Конечная точка управляется и контролируется организацией.

Конечная точка присоединена к Microsoft Entra. Она не присоединяется к локальному домену AD.

Для присоединения конечных точек Windows к Microsoft Entra есть несколько вариантов:

  • Использование Windows Autopilot. Windows Autopilot помогает пользователям посредством взаимодействия Windows при первом включении (OOBE). Когда пользователи вводят свою рабочую или учебную учетную запись, конечная точка присоединяется к Microsoft Entra.

    Все устройства, зарегистрированные Windows Autopilot, автоматически считаются устройствами, принадлежащими организации. Windows Autopilot — это один из наиболее распространенных подходов к присоединению устройств организации к Microsoft Entra и управлении ит-отделами.

  • Использование взаимодействия Windows при первом включении (OOBE). Когда пользователи вводят свою рабочую или учебную учетную запись на устройстве, конечная точка автоматически присоединяется к Microsoft Entra.

  • Использование приложения "Параметры". На устройстве конечные пользователи открывают приложение "Параметры" (Учетные записи>Доступ к работе или учебе>Подключение) и используют свою рабочую или учебную учетную запись.

  • Использование пакета подготовки Windows. Для получения дополнительных сведений перейдите по ссылке:

Преимущества для ИТ-службы организации

  • Механизм условного доступа позволяет разрешить или ограничить доступ к ресурсам организации, которые соответствуют или не соответствуют вашим требованиям.
  • Параметры и рабочие данные свободно перемещаются в облаках, совместимых с корпоративной инфраструктурой. Личные учетные записи Майкрософт, такие как Hotmail, не используются и могут быть заблокированы.
  • Использование Windows Hello для бизнеса позволяет снизить риск кражи учетных данных.

Преимущества для конечных пользователей

  • Для проверки подлинности конечных пользователей с помощью Microsoft Entra и конечной точки Windows пользователям требуется рабочая или учебная учетная запись. Личные учетные записи не используются.

  • Получите единый вход (SSO) для приложений Microsoft 365 и SaaS с подключением к Интернету.

  • Используйте удобство и безопасность Windows Hello для бизнеса для входа в конечную точку Windows.

    При входе с Windows Hello для бизнеса пользователи автоматически используют единый вход для многих своих сетевых и локальных приложений и ресурсов.

  • Параметры ОС перемещаются между всеми устройствами, присоединенными к Microsoft Entra.

    Важно!

    Конечным пользователям, работающим удаленно на устройствах, присоединенных к Microsoft Entra, не требуется VPN-подключение для входа по истечении срока действия кэшированных учетных данных на устройстве. На гибридных устройствах, присоединенных к Microsoft Entra, им требуется VPN-подключение для входа по истечении срока действия кэшированных учетных данных.

Ресурсы, присоединенные к Microsoft Entra

Гибридное присоединение к Microsoft Entra

Гибридные устройства, присоединенные к Microsoft Entra , присоединяются к локальному домену AD и регистрируются в Microsoft Entra. Для этих устройств требуется сетевое подключение к локальным контроллерам домена (DC) для первоначального входа на устройства и управления устройствами.

Если устройства не могут подключиться к контроллеру домена, возможно, пользователям не удастся выполнить вход, и они могут не получать обновления политики.

Многим организациям с существующими устройствами, присоединенными к домену, нужны преимущества и функции Microsoft Entra и управления конечными точками. Если ваши устройства еще не могут быть полностью облачными, вы можете зарегистрировать эти существующие устройства в Microsoft Entra. При регистрации существующих устройств в Microsoft Entra создается удостоверение устройства , а ваши устройства присоединены к Microsoft Entra гибридно. Они не считаются облачными конечными точками.

Если ваша организация готова к работе с облаком, то правильный выбор — присоединение к Microsoft Entra (в этой статье). Существующие устройства необходимо сбросить. Дополнительные сведения и рекомендации см. в руководстве по планированию высокого уровня.

Гибридные ресурсы, присоединенные к Microsoft Entra

Сведения о регистрации существующих присоединенных к домену устройств в Microsoft Entra см. в статье Настройка гибридного присоединения к Microsoft Entra. Настройка гибридного присоединения к Microsoft Entra включает сведения об управляемых и федеративных доменах.

Какой вариант подходит для вашей организации?

Выбор варианта зависит от среды, конечных точек и целей организации. Принимая решение, учитывайте краткосрочные и долгосрочные последствия.

Рассмотрим следующие сценарии.

Сценарий Присоединение к Microsoft Entra или гибридное присоединение к Microsoft Entra
Вы подготавливаете новые конечные точки Windows ✔️ Присоединение к Microsoft Entra

Если у вас есть новые, восстановленные или обновленные устройства Windows, которые вы подготавливаете и регистрируете, рекомендуется присоединиться к Microsoft Entra. Windows 10/11 имеет современные функции, встроенные в ОС, в том числе современное управление, современную проверку подлинности и т. д. Присоединение к Microsoft Entra должно быть параметром по умолчанию для новых и сброса конечных точек.

❌ Гибридное присоединение к Microsoft Entra

Вы можете использовать гибридное присоединение к Microsoft Entra для новых конечных точек, но обычно это не рекомендуется. При присоединении с помощью гибридного присоединения к Microsoft Entra вы можете не использовать современные функции, встроенные в Windows 10/11.
У вас есть существующие, ранее подготовленные конечные точки Windows, которые являются гибридными присоединенными к Microsoft Entra или AD ✔️ Гибридное присоединение к Microsoft Entra

Если у вас есть существующие конечные точки, присоединенные к локальному домену AD (включая гибридное присоединение к Microsoft Entra), рекомендуется гибридное присоединение к Microsoft Entra. Устройства получают удостоверение облака и могут использовать облачные службы, для которых требуется облачное удостоверение. Для конечных пользователей с существующими конечными точками этот параметр оказывает минимальное влияние.

❌ Присоединение к Microsoft Entra

Существующие устройства, присоединенные к локальному домену AD (включая гибридное присоединение к Microsoft Entra), должны быть сброшены, чтобы стать присоединенными к Microsoft Entra. Если их не удается сбросить, то не поддерживается путь Майкрософт к присоединению к Microsoft Entra.

Распространенные вопросы, ответы и сценарии

В этом разделе приведены ответы на распространенные вопросы о устройствах, присоединенных к Microsoft Entra, и гибридных устройствах, присоединенных к Microsoft Entra.

Должно ли гибридное присоединение к Microsoft Entra быть долгосрочным или конечным состоянием для устройств?

Нет, гибридное присоединение к Microsoft Entra не должно быть долгосрочной или конечной целью для любой организации.

Если вы не ограничены или ограничены (технические, политические или нормативные причины), ваша организация должна перемещаться или планировать переход на Microsoft Entra, присоединенный к вашим конечным точкам Windows.

Какую стратегию должна принять организация для перемещения существующих устройств гибридного присоединения к Microsoft Entra в Microsoft Entra Join?

Стратегия зависит от многих факторов, многие из которых характерны для вашей организации.

Как правило, корпорация Майкрософт рекомендует ждать дополнительного события. Например, вы можете перейти в Microsoft Entra Join во время обновления оборудования, обновления ОС или сценария устранения неполадок с устройством при наличии нового (или сброса) экземпляра Windows. Используя этот подход, вы минимизируете нарушения работы пользователей и оптимизируете процесс преобразования в Microsoft Entra Join. Помните, что не существует поддерживаемого корпорацией Майкрософт процесса или пути для преобразования существующего устройства из гибридного присоединения Microsoft Entra в Microsoft Entra Join без сброса Windows.

На устройствах с гибридным присоединением к Microsoft Entra необходимо выполнить полную очистку устройств, так как сброс Windows Autopilot не поддерживает устройства с гибридным присоединением к Microsoft Entra.

Чтобы перейти к Microsoft Entra Join, можно заранее сбросить существующие устройства. Этот подход может быть более разрушительным для пользователей и требует больше планирования & тестирования. Но вы можете использовать этот подход, если у вас есть несколько устройств или если у вас есть сильный бизнес-вариант для перехода на Microsoft Entra Join.

Существует блокировщик, который не позволяет моей организации перейти на Присоединение к Microsoft Entra

Возможно, есть блокировщики и проблемы, которые не контролируются корпорацией Майкрософт, которые могут помешать вашей организации полностью перейти на Microsoft Entra Join. Кроме того, могут обнаружиться неизвестные заранее проблемы, специфичные для вашей организации, ее конфигурации или ожиданий. Эти блокировщики могут быть техническими или возникать по другим, нетехническим причинам.

Помните, что переход на Microsoft Entra Join не является предложением все или ничего. Перемещение устройств в Microsoft Entra Join занимает время, даже с блокаторами или ингибиторами или без нее.

Если вы определите потенциальный блокировщик, который не позволяет использовать Microsoft Entra Join, определите область, влияние и решение. Поможет руководство по планированию высокого уровня по переходу на облачные конечные точки .

Могут ли конечные точки Microsoft Entra Join и Hybrid Microsoft Entra Join сосуществовать в одной среде?

Да, конечные точки присоединения к Microsoft Entra и гибридного соединения Microsoft Entra могут сосуществовать в одной среде. Они не являются взаимоисключающими.

Использование смешанной среды повышает сложность, обслуживание и поддержку. Но вы можете использовать гибридное присоединение к Microsoft Entra до тех пор, пока эти конечные точки не будут заменены или сброшены. Помните, что гибридное присоединение к Microsoft Entra не должно быть конечной целью вашей организации для состояния конечной точки Windows.

Могут ли пользователи в системах Microsoft Entra Join получать доступ к локальным ресурсам?

Да, пользователи в системах Microsoft Entra Join могут получать доступ к локальным ресурсам.

Конечные точки Microsoft Entra Join могут получать доступ к локальным ресурсам и использовать единый вход. Для получения более подробных сведений обратитесь к документу Облачные конечные точки и локальные ресурсы.

Какими состояниями присоединения устройств может управлять Intune?

Microsoft Intune, являющееся 100% облачным решением, может управлять клиентскими устройствами Windows, которые являются присоединением к Microsoft Entra или гибридным присоединением к Microsoft Entra. В Intune множество встроенных функций и параметров, которые могут управлять параметрами и функциями устройств, защищать конечные точки и делать многое другое.

В документе Высокоуровневое руководство по планированию перехода на облачные конечные точки: какие функции Intune следует знать перечислены некоторые из этих возможностей. Еще один хороший ресурс — Что такое Intune.

В гибридных конечных точках присоединения к Microsoft Entra можно использовать локальные объекты групповых политик (GPO) или Intune для управления параметрами политики. Можно также использовать сочетание объекта групповой политики и Intune, но это сочетание увеличивает административные издержки и сложность. Если включить совместное управление (Intune (облако) и Configuration Manager (локальная среда)), можно использовать некоторые функции Microsoft Entra, например условный доступ.

Некоторые рекомендации см. в Руководстве по развертыванию: настройка или переход к Microsoft Intune.

Какие состояния присоединения устройства необходимы для соответствия требованиям и (или) условного доступа устройства?

Как гибридные конечные точки Microsoft Entra Join, так и Microsoft Entra Join поддерживают политики соответствия требованиям и условный доступ при управлении Intune или совместно управляемых Intune и Configuration Manager.

Существуют ли ограничения для гибридного присоединения к Microsoft Entra?

Да, существуют ограничения для гибридного присоединения к Microsoft Entra.

Эти ограничения, как правило, одинаковы для локальных устройств, присоединенных к домену. В частности, для конечных точек гибридного присоединения к Microsoft Entra требуется прямой доступ к локальному контроллеру домена AD для первоначального входа и смены паролей. Если домен не работает или недоступен, пользователи могут быть заблокированы для входа в свои конечные точки. Если ваша организация отойдет от локального домена, необходимо также отойти от гибридного присоединения к Microsoft Entra для своих устройств.

Если вы используете проверку подлинности без пароля, пользователям нужен доступ к Интернету и прямой видимости контроллеров домена . Для проверки подлинности конечные точки гибридного присоединения к Microsoft Entra могут использовать kerberos и NTLM.

Гибридное присоединение к Microsoft Entra считается облачным?

Нет, гибридное присоединение к Microsoft Entra не считается облачным.

Облачное решение — присоединиться к конечным точкам Microsoft Entra. Конечные точки и их удостоверения создаются и хранятся в Microsoft Entra. Intune управляет конечными точками с помощью параметров и политик. Эти службы работают с другими облачными службами, включая Microsoft 365, Microsoft Defender XDR и многое другое.

Следуйте рекомендациям по облачным конечным точкам

  1. Обзор. Что такое облачные конечные точки?
  2. Руководство. Начало работы с облачными конечными точками Windows
  3. 🡺 Концепция: присоединение к Microsoft Entra и гибридное присоединение к Microsoft Entra (Вы здесь)
  4. Концепция. Ориентированные на облако конечные точки и локальные ресурсы
  5. Руководство по высокоуровневому планированию
  6. Известные проблемы и важные сведения