Planera distributionen av Microsoft Entra-enheten
Den här artikeln hjälper dig att utvärdera metoderna för att integrera din enhet med Microsoft Entra-ID, välja implementeringsplan och innehåller viktiga länkar till verktyg för enhetshantering som stöds.
Landskapet för användarens enheter expanderar ständigt. Organisationer kan tillhandahålla stationära datorer, bärbara datorer, telefoner, surfplattor och andra enheter. Användarna kan ta med sin egen matris med enheter och komma åt information från olika platser. I den här miljön är ditt jobb som administratör att skydda organisationens resurser på alla enheter.
Med Microsoft Entra-ID kan din organisation uppfylla dessa mål med enhetsidentitetshantering. Nu kan du hämta dina enheter i Microsoft Entra-ID och styra dem från en central plats i administrationscentret för Microsoft Entra. Den här processen ger dig en enhetlig upplevelse, förbättrad säkerhet och minskar den tid som krävs för att konfigurera en ny enhet.
Det finns flera metoder för att integrera dina enheter i Microsoft Entra-ID: de kan fungera separat eller tillsammans baserat på operativsystemet och dina krav:
- Du kan registrera enheter med Microsoft Entra-ID.
- Anslut enheter till Microsoft Entra-ID (endast moln).
- Microsoft Entra-hybridanslutningsenheter till din lokal Active Directory domän och Microsoft Entra-ID.
Lär dig
Innan du börjar kontrollerar du att du är bekant med översikten över enhetsidentitetshantering.
Förmåner
De viktigaste fördelarna med att ge dina enheter en Microsoft Entra-identitet:
Öka produktiviteten – Användarna kan göra sömlös inloggning (SSO) till dina lokala resurser och molnresurser, vilket möjliggör produktivitet var de än befinner sig.
Öka säkerheten – Tillämpa principer för villkorsstyrd åtkomst på resurser baserat på enhetens eller användarens identitet. Att ansluta en enhet till Microsoft Entra-ID är en förutsättning för att öka säkerheten med en strategi utan lösenord.
Förbättra användarupplevelsen – Ge användarna enkel åtkomst till organisationens molnbaserade resurser från både personliga enheter och företagsenheter. Administratörer kan aktivera Enterprise State Roaming för en enhetlig upplevelse på alla Windows-enheter.
Förenkla distribution och hantering – Förenkla processen med att föra enheter till Microsoft Entra-ID med Windows Autopilot, massetablering eller självbetjäning: Out of Box Experience (OOBE). Hantera enheter med MDM-verktyg (Mobile Enhetshantering) som Microsoft Intune och deras identiteter i administrationscentret för Microsoft Entra.
Planera distributionsprojektet
Tänk på organisationens behov när du fastställer strategin för den här distributionen i din miljö.
Engagera rätt intressenter
När teknikprojekt misslyckas gör de vanligtvis det på grund av felaktiga förväntningar på påverkan, resultat och ansvarsområden. Undvik dessa fallgropar genom att se till att du engagerar rätt intressenter och att intressenternas roller i projektet är väl förstådda.
För den här planen lägger du till följande intressenter i listan:
| Roll | beskrivning |
|---|---|
| Enhetsadministratör | En representant från enhetsteamet som kan kontrollera att planen uppfyller organisationens enhetskrav. |
| Nätverksadministratör | En representant från nätverksteamet som kan se till att uppfylla nätverkskraven. |
| Enhetshanteringsteam | Team som hanterar inventering av enheter. |
| OS-specifika administratörsteam | Team som stöder och hanterar specifika OS-versioner. Det kan till exempel finnas ett Mac- eller iOS-fokuserat team. |
Planera kommunikation
Kommunikation är avgörande för att alla nya tjänster ska lyckas. Kommunicera proaktivt med dina användare hur deras upplevelse kommer att förändras, när den ändras och hur de får support om de får problem.
Planera en pilot
Vi rekommenderar att den första konfigurationen av integreringsmetoden finns i en testmiljö eller med en liten grupp testenheter. Se Metodtips för en pilot.
Du kanske vill göra en riktad distribution av Microsoft Entra-hybridanslutning innan du aktiverar den i hela organisationen.
Varning
Organisationer bör inkludera ett urval av användare från olika roller och profiler i pilotgruppen. En riktad distribution hjälper dig att identifiera eventuella problem som din plan kanske inte har åtgärdat innan du aktiverar för hela organisationen.
Välj dina integreringsmetoder
Din organisation kan använda flera metoder för enhetsintegrering i en enda Microsoft Entra-klientorganisation. Målet är att välja de metoder som är lämpliga för att få dina enheter säkert hanterade i Microsoft Entra-ID. Det finns många parametrar som styr det här beslutet, inklusive ägarskap, enhetstyper, primär målgrupp och organisationens infrastruktur.
Följande information kan hjälpa dig att avgöra vilka integreringsmetoder som ska användas.
Beslutsträd för enhetsintegrering
Använd det här trädet för att fastställa alternativ för organisationsägda enheter.
Kommentar
Scenarier med personliga eller egna enheter (BYOD) visas inte i det här diagrammet. De resulterar alltid i Microsoft Entra-registrering.
Jämförelsematris
iOS- och Android-enheter får endast vara Microsoft Entra-registrerade. I följande tabell beskrivs överväganden på hög nivå för Windows-klientenheter. Använd det som en översikt och utforska sedan de olika integreringsmetoderna i detalj.
| Att tänka på | Microsoft Entra-registrerat | Microsoft Entra-anslutning | Hybrid Microsoft Entra-anslutning |
|---|---|---|---|
| Klientoperativsystem | |||
| Windows 11- eller Windows 10-enheter |  |
|
|
| Windows-enheter på nednivå (Windows 8.1 eller Windows 7) | |
||
| Linux Desktop – Ubuntu 20.04/22.04 | |
||
| Inloggningsalternativ | |||
| Lokala autentiseringsuppgifter för slutanvändare | |
||
| Password | |
|
|
| Pin-kod för enhet | |
||
| Windows Hello | |
||
| Windows Hello för företag | |
|
|
| FIDO 2.0-säkerhetsnycklar | |
|
|
| Microsoft Authenticator App (lösenordslös) | |
|
|
| Viktiga funktioner | |||
| Enkel inloggning till molnresurser | |
|
|
| Enkel inloggning till lokala resurser | |
|
|
| Villkorlig åtkomst (Kräv att enheter markeras som kompatibla) (Måste hanteras av MDM) |
|
|
|
| Villkorlig åtkomst (Kräv Hybrid-anslutna Microsoft Entra-enheter) |
|
||
| Självbetjäning av lösenordsåterställning från Windows-inloggningsskärmen | |
|
|
| Återställning av PIN-kod för Windows Hello | |
|
Microsoft Entra-registrering
Registrerade enheter hanteras ofta med Microsoft Intune. Enheter registreras i Intune på flera sätt, beroende på operativsystemet.
Microsoft Entra-registrerade enheter ger stöd för BYOD (Bring Your Own Devices) och företagsägda enheter till SSO till molnresurser. Åtkomst till resurser baseras på Microsoft Entras principer för villkorsstyrd åtkomst som tillämpas på enheten och användaren.
Registrera enheter
Registrerade enheter hanteras ofta med Microsoft Intune. Enheter registreras i Intune på flera sätt, beroende på operativsystemet.
BYOD och företagsägda mobila enheter registreras av användare som installerar företagsportalappen.
Om registrering av dina enheter är det bästa alternativet för din organisation kan du läsa följande resurser:
- Den här översikten över Microsoft Entra-registrerade enheter.
- Den här slutanvändardokumentationen om Registrera din personliga enhet i organisationens nätverk.
Microsoft Entra-anslutning
Med Microsoft Entra Join kan du övergå till en molnbaserad modell med Windows. Det är en bra grund om du planerar att modernisera enhetshanteringen och minska enhetsrelaterade IT-kostnader. Microsoft Entra-anslutning fungerar endast med Windows 10- eller senare enheter. Se det som det första valet för nya enheter.
Microsoft Entra-anslutna enheter kan använda enkel inloggning för lokala resurser när de finns i organisationens nätverk, kan autentisera till lokala servrar som fil, utskrift och andra program.
Om det här alternativet passar bäst för din organisation kan du läsa följande resurser:
- Den här översikten över Microsoft Entra-anslutna enheter.
- Bekanta dig med implementeringsplanen för Microsoft Entra Join.
Etablera Microsoft Entra-anslutna enheter
Om du vill etablera enheter till Microsoft Entra-anslutning har du följande metoder:
- Självbetjäning: Första körningen av Windows 10
Om du har Windows 10 Professional eller Windows 10 Enterprise installerat på en enhet är standardinställningen konfigurationsprocessen för företagsägda enheter.
- Windows Out of Box Experience (OOBE) eller från Windows Inställningar
- Windows Autopilot
- Massregistrering
Välj distributionsproceduren efter noggrann jämförelse av dessa metoder.
Du kan fastställa att Microsoft Entra-anslutning är den bästa lösningen för en enhet i ett annat tillstånd. I följande tabell visas hur du ändrar tillståndet för en enhet.
| Aktuellt enhetstillstånd | Önskat enhetstillstånd | Så här gör du |
|---|---|---|
| Lokal domänansluten | Microsoft Entra-anslutning | Koppla bort enheten från den lokala domänen innan du ansluter till Microsoft Entra-ID. |
| Hybrid Microsoft Entra-anslutning | Microsoft Entra-anslutning | Koppla bort enheten från den lokala domänen och från Microsoft Entra-ID innan du ansluter till Microsoft Entra-ID. |
| Microsoft Entra-registrerat | Microsoft Entra-anslutning | Avregistrera enheten innan du ansluter till Microsoft Entra-ID. |
Microsoft Entra-hybridanslutning
Om du har en lokal Active Directory miljö och vill ansluta dina befintliga domänanslutna datorer till Microsoft Entra-ID kan du utföra den här uppgiften med Microsoft Entra Hybrid Join. Den har stöd för ett brett utbud av Windows-enheter, inklusive både windows aktuella enheter och Windows-enheter på nednivå.
De flesta organisationer har redan domänanslutna enheter och hanterar dem via grupprincip eller System Center Configuration Manager (SCCM). I så fall rekommenderar vi att du konfigurerar Microsoft Entra-hybridanslutning för att börja få fördelar när du använder befintliga investeringar.
Om Microsoft Entra-hybridanslutning är det bästa alternativet för din organisation kan du läsa följande resurser:
- Den här översikten över Hybrid-anslutna Microsoft Entra-enheter.
- Bekanta dig med implementeringsplanen för Microsoft Entra Hybrid Join.
Etablera Microsoft Entra-hybridanslutning till dina enheter
Granska din identitetsinfrastruktur. Microsoft Entra Anslut tillhandahåller en guide för att konfigurera Microsoft Entra-hybridanslutning för:
Om det inte är ett alternativ att installera den nödvändiga versionen av Microsoft Entra Anslut kan du läsa hur du konfigurerar Microsoft Entra-hybridanslutning manuellt.
Kommentar
Den lokala domänanslutna Windows 10- eller nyare enheten försöker automatiskt ansluta till Microsoft Entra-ID för att bli Microsoft Entra-hybridansluten som standard. Detta lyckas bara om du har konfigurerat rätt miljö.
Du kan fastställa att Microsoft Entra-hybridanslutning är den bästa lösningen för en enhet i ett annat tillstånd. I följande tabell visas hur du ändrar tillståndet för en enhet.
| Aktuellt enhetstillstånd | Önskat enhetstillstånd | Så här gör du |
|---|---|---|
| Lokal domänansluten | Hybrid Microsoft Entra-anslutning | Använd Microsoft Entra Anslut eller AD FS för att ansluta till Azure. |
| Lokal arbetsgrupp ansluten eller ny | Hybrid Microsoft Entra-anslutning | Stöds med Windows Autopilot. Annars måste enheten vara lokal domänansluten innan Microsoft Entra-hybridanslutningen. |
| Microsoft Entra-anslutning | Hybrid Microsoft Entra-anslutning | Koppla från Microsoft Entra-ID, vilket placerar det i den lokala arbetsgruppen eller i det nya tillståndet. |
| Microsoft Entra-registrerat | Hybrid Microsoft Entra-anslutning | Beror på Windows-versionen. Se dessa överväganden. |
Hantera dina enheter
När du har registrerat eller anslutit dina enheter till Microsoft Entra-ID använder du administrationscentret för Microsoft Entra som en central plats för att hantera dina enhetsidentiteter. På sidan Microsoft Entra-enheter kan du:
- Konfigurera enhetsinställningarna.
- Du måste vara lokal administratör för att hantera Windows-enheter. Microsoft Entra ID uppdaterar det här medlemskapet för Microsoft Entra-anslutna enheter och lägger automatiskt till användare med enhetshanterarens roll som administratörer på alla anslutna enheter.
Se till att du håller miljön ren genom att hantera inaktuella enheter och fokusera dina resurser på att hantera aktuella enheter.
Verktyg för enhetshantering som stöds
Administratörer kan skydda och ytterligare kontrollera registrerade och anslutna enheter med hjälp av andra verktyg för enhetshantering. De här verktygen ger dig ett sätt att framtvinga konfigurationer som att kräva att lagring krypteras, lösenordskomplexitet, programvaruinstallationer och programuppdateringar.
Granska plattformar som stöds och som inte stöds för integrerade enheter:
| Verktyg för enhetshantering | Microsoft Entra-registrerat | Microsoft Entra-anslutning | Hybrid Microsoft Entra-anslutning |
|---|---|---|---|
| Hantering av mobilenheter (MDM) Exempel: Microsoft Intune |
|
|
|
| Samhantering med Microsoft Intune och Microsoft Configuration Manager (Windows 10 eller senare) |
|
|
|
| Grupprincip (Endast Windows) |
|
Vi rekommenderar att du överväger Hantering av mobilprogram i Microsoft Intune (MAM) med eller utan enhetshantering för registrerade iOS- eller Android-enheter.
Administratörer kan också distribuera VDI-plattformar (Virtual Desktop Infrastructure) som är värdar för Windows-operativsystem i sina organisationer för att effektivisera hanteringen och minska kostnaderna genom konsolidering och centralisering av resurser.