Komputery Windows bez hybrydy

Zarządzanie firmowymi urządzeniami użytkowników, w tym komputerami Windows, jest podstawą tworzenia bezpiecznego środowiska pracy. Dla usług w chmurze, takich jak Microsoft 365, dostęp z urządzenia służbowego (jedynego na świecie), stanowi naturalne zabezpieczenie wobec dostępu z dowolnego innego, prywatnego urządzenia.

Bez stosowania zarządzania, rozróżnienie tego typu nie jest możliwe. Bez zarządzania relacja zaufania urządzenia do Entra ID nie istnieje. Każde urządzenie jest „nieznane” dla Microsoft 365.

Komputery Windows zarządzane z chmury przez Microsoft Intune (MDM) mogą być wdrożone na dwa sposoby:

1. podłączone hybrydowo: do lokalnego Active Directory i do chmurowego Entra ID jednocześnie

2. podłączone wyłącznie do Entra ID

Pierwszy sposób wykorzystywany jest zazwyczaj tam, gdzie istniało już środowisko domenowe. Drugi, nazywany „cloud-native”, wykorzystywany jest tylko w środowisku nowoczesnym bez Active Directory. W praktyce większość dużych organizacji wdrażało komputery Windows hybrydowo.

Tymczasem Microsoft przedstawił jednoznaczną rekomendację:

‍

‍

Microsoft recommends deploying new devices as cloud-native using Microsoft Entra join. Deploying new devices as Microsoft Entra hybrid join devices isn't recommended, including through Autopilot.

‍

Oznacza to, że niezależnie od wielości organizacji oraz od posiadanego środowiska wszystkie nowe urządzenia Windows powinny być wdrażane wyłącznie jako „cloud-native”. Dotyczy to również wdrożenia zautomatyzowanego przez Windows Autopilot. Profile wdrożeniowe powinny być stosowane tylko w modelu Entra ID Join.

Stosując negatywną rekomendację dla modelu hybrydowego, Microsoft chce ograniczyć ilość urządzeń podłączonych globalnie do lokalnej usługi Active Directory. Można tylko spekulować, jakie są rzeczywiste powody. Jednym z nich mogą być ograniczenia w rozwoju platformy AD. W tym ograniczenia w zakresie zapewnienia wystarczającego poziomu zabezpieczeń.

Rekomendacja w pewnością byłaby bardziej restrykcyjna, gdyby istniał scenariusz przejścia od zarządzania hybrydowego do „cloud-native’, ale nie istnieje. Urządzenie musi zostać zresetowane. Tym bardziej warto przemyśleć rekomendację i przynajmniej nowe komputery wdrażać tylko w chmurze.

RedFlag od początku istnienia „cloud-native” dla Windows 10 stosuje i rekomenduje zarządzanie urządzeniami w modelu Entra ID Join. Pozwala to na łatwiejsze wdrażanie innowacji i zapewnienie aktualnego poziomu zabezpieczeń dla firm i organizacji każdej wielkości i każdej branży.