Planen Ihrer Microsoft Entra-Gerätebereitstellung

In diesem Artikel erfahren Sie, wie Sie die Methoden zur Integration Ihres Geräts in Microsoft Entra ID auswerten, den Implementierungsplan auswählen und wichtige Links zu den unterstützten Geräteverwaltungstools bereitstellen.

Die Bandbreite an Benutzergeräten wird beständig erweitert. Organisationen können Desktops, Laptops, Smartphones, Tablets und andere Geräte bereitstellen. Ihre Benutzer können ihre eigenen Arrays von Geräten einbringen und von unterschiedlichen Standorten aus auf Informationen zugreifen. In dieser Umgebung besteht Ihr Auftrag als Administrator darin, für die Sicherheit Ihrer Organisationsressourcen auf allen Geräten zu sorgen.

Microsoft Entra ID ermöglicht es Ihrer Organisation, mit der Geräteidentitätsverwaltung diese Ziele zu erreichen. Sie können Ihre Geräte jetzt in Microsoft Entra ID abrufen und zentral über das Microsoft Entra Admin Center steuern. Dies ermöglicht ein einheitliches Benutzererlebnis, verbessert die Sicherheit und verkürzt zudem die Zeit, die zum Konfigurieren eines neuen Geräts benötigt wird.

Es gibt verschiedene Methoden zur Integration Ihrer Geräte in Microsoft Entra ID, die je nach Betriebssystem und Ihren Anforderungen unabhängig voneinander oder zusammen arbeiten:

Lernen

Bevor Sie beginnen, stellen Sie sicher, dass Sie mit der Übersicht über die Geräteidentitätsverwaltung vertraut sind.

Vorteile

Die wichtigsten Vorteile, wenn Sie Ihren Geräten eine Microsoft Entra Identität zuweisen:

  • Höhere Produktivität: Ermöglichen Sie Benutzern eine nahtlose Anmeldung (SSO) bei Ihren lokalen und Cloudressourcen, sodass sie unabhängig von ihrem Standort produktiv arbeiten können.

  • Mehr Sicherheit: Wenden Sie auf Ressourcen Richtlinien für den bedingten Zugriff an, die auf der Identität des Geräts oder Benutzers basieren. Das Einbinden eines Geräts in Microsoft Entra ID ist eine Voraussetzung, um Ihre Sicherheit mithilfe einer kennwortlosen Strategie zu erhöhen.

  • Verbesserte Benutzerfreundlichkeit: Bieten Sie Ihren Benutzern unkomplizierten Zugriff auf die cloudbasierten Ressourcen Ihres Unternehmens, sowohl über persönliche als auch über unternehmenseigene Geräte. Administratoren können Enterprise State Roaming für eine einheitliche Darstellung auf allen Windows-Geräten aktivieren.

  • Vereinfachte Bereitstellung und Verwaltung: Vereinfachen Sie das Bereitstellen von Geräten in Microsoft Entra ID mit Windows Autopilot, Massenbereitstellung oder über Self-Service: Windows-Willkommensseite. Verwalten Sie Geräte mit MDM-Tools (Mobile Device Management, Verwaltung mobiler Geräte) wie Microsoft Intune und ihre Identitäten im Microsoft Entra Admin Center.

Planen des Bereitstellungsprojekts

Berücksichtigen Sie die Anforderungen Ihrer Organisation, während Sie die Strategie für diese Bereitstellung in Ihrer Umgebung festlegen.

Einbeziehen der richtigen Beteiligten

Wenn Technologieprojekte scheitern, ist dies in der Regel auf unterschiedliche Erwartungen in Bezug auf Auswirkungen, Ergebnisse und Verantwortlichkeiten zurückzuführen. Um diese Fallstricke zu vermeiden, stellen Sie sicher, dass Sie die richtigen Beteiligten hinzuziehen und dass die Rollen der Beteiligten im Projekt gut verstanden werden.

Fügen Sie für diesen Plan die folgenden Projektbeteiligten zu Ihrer Liste hinzu:

Role BESCHREIBUNG
Geräteadministrator Ein Vertreter des Geräteteams, der überprüfen kann, dass der Plan die Geräteanforderungen Ihrer Organisation erfüllt
Netzwerkadministrator Ein Vertreter des Netzwerkteams, das sicherstellen kann, dass die Netzwerkanforderungen erfüllt sind
Geräteverwaltungsteam Das Team, das das Geräteinventar verwaltet
Betriebssystemspezifische Administratorteams Teams, die bestimmte Betriebssystemversionen unterstützen und verwalten. So kann es beispielsweise Teams mit Schwerpunkt Mac oder iOS geben.

Planen der Benachrichtigungen

Kommunikation ist ein kritischer Faktor für den Erfolg jedes neuen Diensts. Kommunizieren Sie proaktiv mit Ihren Benutzern darüber, wie sich die Nutzung ändern wird, wann sie sich ändert und wie sie Unterstützung erhalten, wenn sie auf Probleme stoßen.

Planen eines Pilotprojekts

Es wird empfohlen, dass die anfängliche Konfiguration Ihrer Integrationsmethode in einer Testumgebung oder einer kleinen Gruppe von Testgeräten durchgeführt wird. Lesen Sie hierzu Bewährte Methoden für einen Pilotversuch.

Erfahren Sie, wie Sie eine gezielte Bereitstellung eines Microsoft Entra-Hybridbeitritts vornehmen, bevor Sie sie in der gesamten Organisation aktivieren.

Warnung

Organisationen sollten eine Auswahl von Benutzern mit unterschiedlichen Rollen und Profilen in diese Pilotgruppe aufnehmen. Mit einem gezielten Rollout können Sie Probleme identifizieren, die in Ihrem Plan möglicherweise nicht berücksichtigt wurden, bevor Sie eine Aktivierung in der gesamten Organisation durchführen.

Auswählen Ihrer Integrationsmethoden

Ihre Organisation kann mehrere Methoden zur Geräteintegration in einem einzelnen Microsoft Entra-Mandanten verwenden. Ziel ist es, die Methoden auszuwählen, die für die sichere Verwaltung Ihrer Geräte in Microsoft Entra ID geeignet sind. Es gibt viele Parameter, die diese Entscheidung steuern, einschließlich Besitz, Gerätetypen, primäre Zielgruppe und Infrastruktur Ihres Unternehmens.

Die folgenden Informationen können Ihnen bei der Entscheidung helfen, welche Integrationsmethoden Sie verwenden möchten.

Entscheidungsstruktur für die Geräteintegration

Verwenden Sie diese Struktur, um Optionen für Geräte zu bestimmen, die sich im Besitz der Organisation befinden.

Hinweis

In diesem Diagramm sind keine persönlichen oder Bring Your Own Device-Szenarien (BYOD) abgebildet. Sie führen immer zur Microsoft Entra Registrierung.

Decision tree

Vergleichsmatrix

iOS- und Android-Geräte können nur in Microsoft Entra registriert werden. In der folgenden Tabelle sind allgemeine Überlegungen zu Windows-Clientgeräten dargestellt. Verwenden Sie sie als Übersicht, und sehen Sie sich die verschiedenen Integrationsmethoden anschließend ausführlich an.

Aspekt Microsoft Entra-registriert In Microsoft Entra eingebunden Hybrid in Microsoft Entra eingebunden
Clientbetriebssysteme
Windows 11- oder Windows 10-Geräte Checkmark for these values. Checkmark for these values. Checkmark for these values.
Kompatible Windows-Geräte (Windows 8.1 oder Windows 7) Checkmark for these values.
Linux Desktop – Ubuntu 20.04/22.04 Checkmark for these values.
Anmeldeoptionen
Lokale Anmeldeinformationen von Endbenutzern Checkmark for these values.
Kennwort Checkmark for these values. Checkmark for these values. Checkmark for these values.
Geräte-PIN Checkmark for these values.
Windows Hello Checkmark for these values.
Windows Hello for Business Checkmark for these values. Checkmark for these values.
FIDO 2.0-Sicherheitsschlüssel Checkmark for these values. Checkmark for these values.
Microsoft Authenticator-App (kennwortlos) Checkmark for these values. Checkmark for these values. Checkmark for these values.
Wichtige Funktionen
SSO für Cloudressourcen Checkmark for these values. Checkmark for these values. Checkmark for these values.
Einmaliges Anmelden bei lokalen Ressourcen Checkmark for these values. Checkmark for these values.
Bedingter Zugriff
(Markieren des Geräts als kompatibel erforderlich)
(Muss von MDM verwaltet werden)
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Bedingter Zugriff
(Microsoft Entra hybrid eingebundenes Gerät erforderlich)
Checkmark for these values.
Self-Service-Kennwortzurücksetzung über den Windows-Anmeldebildschirm Checkmark for these values. Checkmark for these values.
Windows Hello-PIN-Zurücksetzung Checkmark for these values. Checkmark for these values.

Microsoft Entra Registrierung

Registrierte Geräte werden häufig mit Microsoft Intune verwaltet. Geräte werden, je nach Betriebssystem, in Intune auf verschiedene Arten registriert.

In Microsoft Entra registrierte Geräte bieten Unterstützung für Bring Your Own Device (BYOD) und unternehmenseigene Geräte für das einmalige Anmelden in Cloudressourcen. Der Zugriff auf Ressourcen basiert auf den Microsoft Entra-Richtlinien für bedingten Zugriff, die auf das Gerät und den Benutzer angewandt werden.

Registrieren von Geräten

Registrierte Geräte werden häufig mit Microsoft Intune verwaltet. Geräte werden, je nach Betriebssystem, in Intune auf verschiedene Arten registriert.

BYOD und unternehmenseigene mobile Geräte werden von Benutzern registriert, die die Unternehmensportal-App installieren.

Wenn die Registrierung Ihrer Geräte die beste Option für Ihre Organisation ist, sehen Sie sich die folgenden Ressourcen an:

Microsoft Entra-Beitritt

Die Microsoft Entra-Einbindung ermöglicht es Ihnen, mit Windows zu einem Cloud-First-Modell zu wechseln. Dies ist eine gute Grundlage, wenn Sie Ihre Geräteverwaltung modernisieren und gerätebezogene IT-Kosten senken möchten. Microsoft Entra Join funktioniert nur bei Geräten mit Windows 10 oder höher. Dies ist die erste Wahl für neue Geräte.

In Microsoft Entra eingebundene Geräte können SSO für lokale Ressourcen nutzen, wenn sie sich im Organisationsnetzwerk befinden, und können sich bei lokalen Servern wie Datei-, Druck- und anderen Anwendungen authentifizieren.

Wenn dies die beste Option für Ihre Organisation ist, sehen Sie sich die folgenden Ressourcen an:

Bereitstellung von in Microsoft Entra eingebundenen Geräten

Für den Microsoft Entra-Beitritt von Geräten stehen Ihnen die folgenden Möglichkeiten zur Verfügung:

Wenn Windows 10 Professional oder Windows 10 Enterprise auf einem Gerät installiert ist, wird standardmäßig der Setupprozess für firmeneigene Geräte übernommen.

Wählen Sie das Bereitstellungsverfahren aus, nachdem Sie diese Vorgehensweisen sorgfältig verglichen haben.

Sie stellen möglicherweise fest, dass ein Microsoft Entra-Beitritt als hybrides Gerät die optimale Lösung für ein Gerät ist, das derzeit einen anderen Zustand aufweist. Die folgende Tabelle zeigt, wie Sie den Zustand eines Geräts ändern.

Aktueller Gerätezustand Gewünschter Gerätezustand Vorgehensweise
Eingebundene lokale Domäne In Microsoft Entra eingebunden Trennen Sie das Gerät von der lokalen Domäne, bevor Sie es in Microsoft Entra ID einbinden.
Hybrid in Microsoft Entra eingebunden In Microsoft Entra eingebunden Heben Sie den Beitritt des Geräts aus der lokalen Domäne und von Microsoft Entra ID auf, bevor Sie Microsoft Entra ID beitreten.
Microsoft Entra-registriert In Microsoft Entra eingebunden Heben Sie die Registrierung des Geräts auf, bevor Sie Microsoft Entra ID beitreten.

Microsoft Entra Hybrid Join

Wenn Sie über eine lokale Active Directory-Umgebung verfügen und Ihre in die Domäne eingebundenen Computer in Microsoft Entra ID einbinden möchten, können Sie hierfür Microsoft Entra Hybrid Join verwenden. Dies unterstützt eine breite Palette von Windows-Geräten, einschließlich aktueller und kompatibler Windows-Geräte.

Die meisten Organisationen verfügen bereits über in die Domäne eingebundene Geräte und verwalten sie über eine Gruppenrichtlinie oder System Center Configuration Manager (SCCM). In diesem Fall empfiehlt es sich, Microsoft Entra Hybrid Join zu konfigurieren, um von den Vorteilen zu profitieren und gleichzeitig bestehende Investitionen zu schützen.

Wenn Microsoft Entra Hybrid Join die beste Option für Ihre Organisation ist, sehen Sie sich die folgenden Ressourcen an:

Bereitstellen Microsoft Entra Hybrid Join auf Ihren Geräten

Überprüfen Sie Ihre Identitätsinfrastruktur. Microsoft Entra Connect bietet einen Assistenten für die Konfiguration der Microsoft Entra-Hybrideinbindung für:

Wenn das Installieren der erforderlichen Version von Microsoft Entra Connect keine Option für Sie ist, informieren Sie sich über die manuelle Konfiguration von Microsoft Entra Hybrid Join.

Hinweis

Das lokale in die Domäne eingebundene Gerät mit Windows 10 oder höher versucht, automatisch mit Microsoft Entra ID verbunden zu werden, damit es standardmäßig Microsoft Entra Hybrid eingebunden wird. Dies ist nur erfolgreich, wenn Sie die richtige Umgebung eingerichtet haben.

Sie stellen möglicherweise fest, dass ein Microsoft Entra-Beitritt als hybrides Gerät die optimale Lösung für ein Gerät ist, das derzeit einen anderen Zustand aufweist. Die folgende Tabelle zeigt, wie Sie den Zustand eines Geräts ändern.

Aktueller Gerätezustand Gewünschter Gerätezustand Vorgehensweise
Eingebundene lokale Domäne Hybrid in Microsoft Entra eingebunden Verwenden Sie Microsoft Entra Connect oder AD FS, um Azure beizutreten.
Lokale Arbeitsgruppe (beigetreten oder neu) Hybrid in Microsoft Entra eingebunden Unterstützt mit Windows Autopilot Andernfalls muss das Gerät vor einem Microsoft Entra-Beitritt als hybrides Gerät in eine lokale Domäne eingebunden sein.
In Microsoft Entra eingebunden Hybrid in Microsoft Entra eingebunden Entfernen Sie die Einbindung in Microsoft Entra ID, was es in eine lokale Arbeitsgruppe oder in einen neuen Zustand versetzt.
Microsoft Entra-registriert Hybrid in Microsoft Entra eingebunden Hängt von der Windows-Version ab. Beachten Sie diese Überlegungen.

Verwalten von Geräten

Nachdem Sie Ihre Geräte registriert oder in Microsoft Entra ID eingebunden haben, verwenden Sie das Microsoft Entra Admin Center zur zentralen Verwaltung Ihrer Geräteidentitäten. Auf der Seite Microsoft Entra Geräte können Sie Folgendes ausführen:

Stellen Sie sicher, dass Sie die Umgebung bereinigen, indem Sie veraltete Geräte verwalten, und konzentrieren Sie sich auf Ihre Ressourcen zum Verwalten aktueller Geräte.

Unterstützte Geräteverwaltungstools

Administratoren können registrierte und eingebundene Geräte mit weiteren Tools für die Geräteverwaltung schützen und steuern. Diese Tools bieten Ihnen eine Möglichkeit zur Erzwingung der benötigten Konfigurationen, z. B. Verschlüsselung des Speichers, Kennwortkomplexität, Softwareinstallationen und Softwareupdates.

Überprüfen Sie die unterstützten und nicht unterstützten Plattformen für integrierte Geräte:

Geräteverwaltungstools Microsoft Entra-registriert In Microsoft Entra eingebunden Hybrid in Microsoft Entra eingebunden
Mobile Geräteverwaltung (MDM)
Beispiel: Microsoft Intune
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Co-Verwaltung mit Microsoft Intune und Microsoft Configuration Manager
(Windows 10 oder höher)
Checkmark for these values. Checkmark for these values.
Gruppenrichtlinie
(nur Windows)
Checkmark for these values.

Ziehen Sie die mobile Anwendungsverwaltung von Microsoft Intune mit oder ohne Geräteverwaltung für registrierte iOS- oder Android-Geräte in Erwägung.

Administratoren können auch VDI-Plattformen (Virtual Desktop Infrastructure) bereitstellen, die Windows-Betriebssysteme in ihren Unternehmen hosten, um die Verwaltung zu vereinfachen und die Kosten durch Konsolidierung und Zentralisierung von Ressourcen zu verringern.

Nächste Schritte