Merencanakan penyebaran perangkat Microsoft Entra Anda
Artikel ini membantu Anda mengevaluasi metode untuk mengintegrasikan perangkat Anda dengan ID Microsoft Entra, memilih rencana implementasi, dan menyediakan tautan kunci ke alat manajemen perangkat yang didukung.
Lanskap perangkat pengguna Anda terus berkembang. Organisasi dapat menyediakan desktop, laptop, ponsel, tablet, dan perangkat lainnya. Pengguna Anda dapat membawa beragam perangkat mereka sendiri, dan mengakses informasi dari lokasi yang bervariasi. Dalam lingkungan ini, tugas Anda sebagai administrator adalah menjaga keamanan sumber daya organisasi Anda di semua perangkat.
MICROSOFT Entra ID memungkinkan organisasi Anda memenuhi tujuan ini dengan manajemen identitas perangkat. Anda sekarang bisa mendapatkan perangkat Anda di ID Microsoft Entra dan mengontrolnya dari lokasi pusat di pusat admin Microsoft Entra. Proses ini memberi Anda pengalaman terpadu, keamanan yang ditingkatkan, dan mengurangi waktu yang diperlukan untuk mengonfigurasi perangkat baru.
Ada beberapa metode untuk mengintegrasikan perangkat Anda ke dalam ID Microsoft Entra, mereka dapat bekerja secara terpisah atau bersama-sama berdasarkan sistem operasi dan kebutuhan Anda:
- Anda dapat mendaftarkan perangkat dengan ID Microsoft Entra.
- Gabungkan perangkat ke MICROSOFT Entra ID (khusus cloud).
- Perangkat gabungan hibrid Microsoft Entra ke domain Active Directory lokal dan ID Microsoft Entra Anda.
Learn
Sebelum memulai, pastikan Anda terbiasa dengan ikhtisar manajemen identitas perangkat.
Keuntungan
Manfaat utama memberi perangkat Anda identitas Microsoft Entra:
Meningkatnya produktivitas – Pengguna dapat melakukan akses menyeluruh (SSO) ke sumber daya lokal dan cloud Anda, memungkinkan produktivitas di mana pun pengguna berada.
Meningkatnya keamanan – Menerapkan kebijakan Akses Bersyarat ke sumber daya berdasarkan identitas perangkat atau pengguna. Menggabungkan perangkat ke ID Microsoft Entra adalah prasyarat untuk meningkatkan keamanan Anda dengan strategi Tanpa Kata Sandi.
Meningkatnya pengalaman pengguna - Memberikan pengguna Anda akses mudah ke sumber daya berbasis cloud organisasi dari perangkat pribadi dan perusahaan. Administrator dapat mengaktifkan Enterprise State Roaming untuk pengalaman terpadu di semua perangkat Windows.
Menyederhanakan penyebaran dan manajemen – Menyederhanakan proses membawa perangkat ke ID Microsoft Entra dengan Windows Autopilot, provisi massal, atau layanan mandiri: Pengalaman Di Luar Kotak (OOBE). Kelola perangkat dengan alat Mobile Manajemen Perangkat (MDM) seperti Microsoft Intune, dan identitasnya di pusat admin Microsoft Entra.
Merencanakan proyek penerapan
Pertimbangkan kebutuhan organisasi Anda saat Anda menentukan strategi penerapan ini di lingkungan Anda.
Melibatkan pemangku kepentingan yang tepat
Ketika proyek teknologi gagal, biasanya dikarenakan harapan yang tidak sesuai dengan dampak, hasil, dan tanggung jawab. Untuk menghindari jebakan ini, pastikan Anda melibatkan pemangku kepentingan yang tepat, dan bahwa peran pemangku kepentingan dalam proyek dipahami dengan baik.
Untuk rencana ini, tambahkan pemangku kepentingan berikut ke daftar Anda:
| Peran | Deskripsi |
|---|---|
| Admin perangkat | Perwakilan dari tim keamanan yang dapat memastikan bahwa rencana tersebut akan memenuhi persyaratan keamanan organisasi Anda. |
| Administrator jaringan | Perwakilan dari tim jaringan yang dapat memastikan untuk memenuhi persyaratan jaringan. |
| Tim manajemen perangkat | Tim yang mengelola inventaris perangkat. |
| Tim admin khusus OS | Tim yang mendukung dan mengelola versi OS tertentu. Misalnya, mungkin ada tim yang berfokus pada Mac atau iOS. |
Merencanakan komunikasi
Komunikasi sangat penting untuk keberhasilan semua layanan baru. Berkomunikasilah secara proaktif dengan pengguna Anda terkait bagaimana pengalaman mereka akan berubah, kapan itu akan berubah, dan cara mendapatkan bantuan jika mereka mengalami masalah.
Merencanakan uji coba
Kami menyarankan agar konfigurasi awal metode integrasi Anda berada di lingkungan pengujian, atau dengan sekelompok kecil perangkat pengujian. Lihat Praktik terbaik untuk pilot (uji coba).
Anda mungkin ingin melakukan penyebaran gabungan hibrid Microsoft Entra yang ditargetkan sebelum mengaktifkannya di seluruh organisasi.
Peringatan
Organisasi harus menyertakan sampel pengguna dari berbagai peran dan profil dalam kelompok pilot mereka. Peluncuran yang ditargetkan akan membantu mengidentifikasi masalah apa pun yang mungkin tidak ditangani oleh rencana Anda sebelum Anda mengaktifkan untuk seluruh organisasi.
Pilih metode integrasi Anda
Organisasi Anda dapat menggunakan beberapa metode integrasi perangkat dalam satu penyewa Microsoft Entra. Tujuannya adalah untuk memilih metode yang cocok untuk mengelola perangkat Anda dengan aman di ID Microsoft Entra. Ada banyak parameter yang mendorong keputusan ini termasuk kepemilikan, jenis perangkat, audiens utama, dan infrastruktur organisasi Anda.
Informasi berikut ini dapat membantu Anda memutuskan metode integrasi mana yang akan digunakan.
Pohon keputusan untuk integrasi perangkat
Gunakan pohon ini untuk menentukan opsi untuk perangkat milik organisasi.
Catatan
Skenario perangkat pribadi atau bawa sendiri (BYOD) tidak digambarkan dalam diagram ini. Mereka selalu menghasilkan pendaftaran Microsoft Entra.
Matriks perbandingan
Perangkat iOS dan Android mungkin hanya terdaftar di Microsoft Entra. Tabel berikut menyajikan pertimbangan tingkat tinggi untuk perangkat klien Windows. Gunakan sebagai gambaran umum, lalu jelajahi berbagai metode integrasi secara rinci.
| Pertimbangan | Terdaftar Microsoft Entra | Gabungan Microsoft Entra | Gabungan hibrida Microsoft Entra |
|---|---|---|---|
| Sistem operasi klien | |||
| Perangkat Windows 11 atau Windows 10 |  |
|
|
| Perangkat tingkat bawah Windows (Windows 8.1 atau Windows 7) | |
||
| Linux Desktop - Ubuntu 20.04/22.04 | |
||
| Opsi masuk | |||
| Kredensial lokal pengguna akhir | |
||
| Kata sandi | |
|
|
| PIN Perangkat | |
||
| Windows Hello | |
||
| Windows Hello for Business | |
|
|
| Kunci keamanan FIDO 2.0 | |
|
|
| Aplikasi Microsoft Authenticator (Tanpa Kata Sandi) | |
|
|
| Kemampuan utama | |||
| SSO ke sumber daya cloud | |
|
|
| SSO ke sumber daya lokal | |
|
|
| Akses Bersyarah (Mengharuskan perangkat ditandai sebagai sesuai) (Harus dikelola oleh MDM) |
|
|
|
| Akses Bersyarah (Memerlukan perangkat gabungan hibrid Microsoft Entra) |
|
||
| Pengaturan ulang kata sandi mandiri dari layar masuk Windows | |
|
|
| Pengaturan ulang PIN Windows Hello | |
|
Pendaftaran Microsoft Entra
Perangkat terdaftar sering dikelola dengan Microsoft Intune. Perangkat didaftarkan di Intune dengan sejumlah cara, tergantung pada sistem operasinya.
Perangkat terdaftar Microsoft Entra menyediakan dukungan untuk Bring Your Own Devices (BYOD) dan perangkat milik perusahaan ke SSO ke sumber daya cloud. Akses ke sumber daya didasarkan pada kebijakan Microsoft Entra Conditional Access yang diterapkan ke perangkat dan pengguna.
Mendaftarkan perangkat
Perangkat terdaftar sering dikelola dengan Microsoft Intune. Perangkat didaftarkan di Intune dengan sejumlah cara, tergantung pada sistem operasinya.
BYOD dan perangkat seluler milik perusahaan didaftarkan oleh pengguna yang menginstal aplikasi portal Perusahaan.
Jika mendaftarkan perangkat Anda adalah opsi terbaik untuk organisasi Anda, lihat sumber daya berikut ini:
- Gambaran umum perangkat terdaftar Microsoft Entra ini.
- Dokumentasi pengguna akhir ini di Daftarkan perangkat pribadi Anda di jaringan organisasi Anda.
Gabungan Microsoft Entra
Gabungan Microsoft Entra memungkinkan Anda beralih ke model cloud-first dengan Windows. Ini memberikan fondasi yang bagus jika Anda berencana untuk memodernisasi manajemen perangkat Anda dan mengurangi biaya IT terkait perangkat. Gabungan Microsoft Entra hanya berfungsi dengan perangkat Windows 10 atau yang lebih baru. Anggap saja sebagai pilihan pertama untuk perangkat baru.
Perangkat yang bergabung dengan Microsoft Entra dapat SSO ke sumber daya lokal saat berada di jaringan organisasi, dapat mengautentikasi ke server lokal seperti file, cetak, dan aplikasi lainnya.
Jika ini adalah opsi terbaik untuk organisasi Anda, lihat sumber daya berikut ini:
- Gambaran umum perangkat yang bergabung dengan Microsoft Entra ini.
- Biasakan diri Anda dengan rencana implementasi gabungan Microsoft Entra.
Memprovisikan perangkat yang bergabung dengan Microsoft Entra
Untuk memprovisikan perangkat ke gabungan Microsoft Entra, Anda memiliki pendekatan berikut:
- Layanan Mandiri: Pengalaman menjalankan pertama Windows 10
Jika Anda memiliki Windows 10 Professional atau Windows 10 Enterprise yang diinstal pada perangkat, pengalaman default ke proses pengaturan untuk perangkat milik perusahaan.
- Windows Out of Box Experience (OOBE) atau dari Pengaturan Windows
- Windows Autopilot
- Pendaftaran Massal
Pilih prosedur penyebaran Anda setelah perbandingan yang cermat dari pendekatan ini.
Anda dapat menentukan bahwa gabungan Microsoft Entra adalah solusi terbaik untuk perangkat dalam keadaan yang berbeda. Tabel berikut menunjukkan cara mengubah status perangkat.
| Status perangkat saat ini | Status perangkat yang diinginkan | Bagaimana |
|---|---|---|
| Domain Lokal yang tergabung | Gabungan Microsoft Entra | Batalkan bergabung dengan perangkat dari domain lokal sebelum bergabung ke ID Microsoft Entra. |
| Gabungan hibrida Microsoft Entra | Gabungan Microsoft Entra | Batalkan bergabung dengan perangkat dari domain lokal dan dari ID Microsoft Entra sebelum bergabung ke ID Microsoft Entra. |
| Terdaftar Microsoft Entra | Gabungan Microsoft Entra | Batalkan pendaftaran perangkat sebelum bergabung ke ID Microsoft Entra. |
Gabungan hibrid Microsoft Entra
Jika Anda memiliki lingkungan Active Directory lokal dan ingin bergabung dengan komputer yang bergabung dengan domain yang ada ke MICROSOFT Entra ID, Anda dapat menyelesaikan tugas ini dengan gabungan hibrid Microsoft Entra. Ini mendukung berbagai perangkat Windows, termasuk perangkat Windows saat ini dan Windows tingkat bawah.
Sebagian besar organisasi sudah memiliki perangkat yang bergabung dengan domain dan mengelolanya melalui Kebijakan Grup atau System Center Configuration Manager (SCCM). Dalam hal ini, sebaiknya konfigurasikan gabungan hibrid Microsoft Entra untuk mulai mendapatkan manfaat saat menggunakan investasi yang ada.
Jika gabungan hibrid Microsoft Entra adalah opsi terbaik untuk organisasi Anda, lihat sumber daya berikut ini:
- Gambaran umum perangkat gabungan hibrid Microsoft Entra ini.
- Biasakan diri Anda dengan rencana implementasi gabungan hibrid Microsoft Entra.
Menyediakan gabungan hibrid Microsoft Entra ke perangkat Anda
Tinjau infrastruktur identitas Anda. Microsoft Entra Koneksi memberi Anda wizard untuk mengonfigurasi gabungan hibrid Microsoft Entra untuk:
Jika menginstal versi Microsoft Entra Koneksi yang diperlukan bukan opsi untuk Anda, lihat cara mengonfigurasi gabungan hibrid Microsoft Entra secara manual.
Catatan
Windows 10 yang bergabung dengan domain lokal atau perangkat yang lebih baru mencoba bergabung secara otomatis ke ID Microsoft Entra untuk menjadi microsoft Entra hibrid yang bergabung secara default. Ini hanya akan berhasil jika Anda telah menyiapkan lingkungan yang tepat.
Anda dapat menentukan bahwa gabungan hibrid Microsoft Entra adalah solusi terbaik untuk perangkat dalam keadaan yang berbeda. Tabel berikut menunjukkan cara mengubah status perangkat.
| Status perangkat saat ini | Status perangkat yang diinginkan | Bagaimana |
|---|---|---|
| Domain Lokal yang tergabung | Gabungan hibrida Microsoft Entra | Gunakan Microsoft Entra Koneksi atau AD FS untuk bergabung ke Azure. |
| Grup kerja lokal bergabung atau baru | Gabungan hibrida Microsoft Entra | Didukung dengan Windows Autopilot. Jika tidak, perangkat harus bergabung dengan domain lokal sebelum gabungan hibrid Microsoft Entra. |
| Gabungan Microsoft Entra | Gabungan hibrida Microsoft Entra | Batal bergabung dari MICROSOFT Entra ID, yang menempatkannya di grup kerja lokal atau status baru. |
| Terdaftar Microsoft Entra | Gabungan hibrida Microsoft Entra | Bergantung pada versi Windows. Lihat pertimbangan ini. |
Mengelola perangkat Anda
Setelah Anda mendaftarkan atau menggabungkan perangkat Anda ke ID Microsoft Entra, gunakan pusat admin Microsoft Entra sebagai tempat terpusat untuk mengelola identitas perangkat Anda. Halaman perangkat Microsoft Entra memungkinkan Anda untuk:
- Mengonfigurasi pengaturan perangkat Anda.
- Anda perlu menjadi administrator lokal untuk mengelola perangkat Windows. ID Microsoft Entra memperbarui keanggotaan ini untuk perangkat yang bergabung dengan Microsoft Entra, secara otomatis menambahkan pengguna dengan peran manajer perangkat sebagai administrator ke semua perangkat yang bergabung.
Pastikan Anda menjaga kebersihan lingkungan dengan mengelola perangkat kedaluwarsa, dan memfokuskan sumber daya Anda pada pengelolaan perangkat saat ini.
Alat manajemen perangkat yang didukung
Administrator dapat mengamankan dan mengontrol lebih lanjut perangkat yang terdaftar dan bergabung menggunakan alat manajemen perangkat lainnya. Alat-alat ini memberi Anda cara untuk menerapkan konfigurasi seperti mengharuskan penyimpanan dienkripsi, kompleksitas kata sandi, instalasi perangkat lunak, dan pembaruan perangkat lunak.
Tinjau platform yang didukung dan tidak didukung untuk perangkat terintegrasi:
| Alat manajemen perangkat | Terdaftar Microsoft Entra | Gabungan Microsoft Entra | Gabungan hibrida Microsoft Entra |
|---|---|---|---|
| Manajemen Perangkat Seluler (MDM) Contoh: Microsoft Intune |
|
|
|
| Manajemen bersama dengan Microsoft Intune dan Microsoft Configuration Manager (Windows 10 atau yang lebih baru) |
|
|
|
| Kebijakan grup (Khusus Windows) |
|
Kami menyarankan agar Anda mempertimbangkan manajemen Aplikasi Seluler (MAM) Microsoft Intune dengan atau tanpa manajemen perangkat untuk perangkat iOS atau Android yang terdaftar.
Administrator juga dapat menerapkan platform infrastruktur desktop virtual (VDI) yang menghosting sistem operasi Windows di organisasi mereka untuk merampingkan manajemen dan mengurangi biaya melalui konsolidasi dan sentralisasi sumber daya.