Tutorial: Manuelles Konfigurieren von in Azure Active Directory eingebundenen HybridgerätenTutorial: Configure hybrid Azure Active Directory joined devices manually

Mit der Geräteverwaltung in Azure Active Directory (Azure AD) können Sie sicherstellen, dass Benutzer auf Ihre Ressourcen über Geräte zugreifen, die Ihren Standards für Sicherheit und Konformität entsprechen.With device management in Azure Active Directory (Azure AD), you can ensure that your users are accessing your resources from devices that meet your standards for security and compliance. Weitere Informationen finden Sie unter Einführung in die Geräteverwaltung in Azure Active Directory.For more details, see the Introduction to device management in Azure Active Directory.

Tipp

Wenn die Verwendung von Azure AD Connect für Sie eine Option ist, helfen Ihnen die Informationen unter Select your scenario (Auswählen Ihres Szenarios) weiter.If using Azure AD Connect is an option for you, see Select your scenario. Durch die Verwendung von Azure AD Connect können Sie die Konfiguration einer Azure AD-Hybrideinbindung erheblich vereinfachen.By using Azure AD Connect, you can simplify the configuration of hybrid Azure AD join significantly.

Wenn Sie in einer lokalen Active Directory-Umgebung Ihre in die Domäne eingebundenen Geräte in Azure AD einbinden möchten, kann dies durch Konfigurieren von in Azure AD eingebundenen Hybridgeräten erfolgen.If you have an on-premises Active Directory environment and you want to join your domain-joined devices to Azure AD, you can accomplish this by configuring hybrid Azure AD joined devices. In diesem Tutorial erfahren Sie, wie Sie die Azure AD-Hybrideinbindung für Ihre Geräte manuell konfigurieren.In this tutorial, you learn how to manually configure hybrid Azure AD join for your devices.

  • VoraussetzungenPrerequisites
  • KonfigurationsschritteConfiguration steps
  • Konfigurieren des DienstverbindungspunktsConfigure service connection point
  • Einrichten der Ausstellung von AnsprüchenSetup issuance of claims
  • Aktivieren von kompatiblen Windows-GerätenEnable Windows down-level devices
  • Überprüfen der eingebundenen GeräteVerify joined devices
  • Problembehandlung bei der ImplementierungTroubleshoot your implementation

VoraussetzungenPrerequisites

In diesem Tutorial wird vorausgesetzt, dass Sie mit Folgendem vertraut sind:This tutorial assumes that you are familiar with:

Bevor Sie beginnen, in Hybrid-Azure AD eingebundene Geräte in Ihrem Unternehmen zu aktivieren, müssen Sie Folgendes sicherstellen:Before you start enabling hybrid Azure AD joined devices in your organization, you need to make sure that:

  • Sie führen eine aktuelle Version von Azure AD Connect aus.You are running an up-to-date version of Azure AD connect.

  • Azure AD hat die Computerobjekte der Geräte für die Hybrid-Azure AD-Einbindung mit Azure AD synchronisiert.Azure AD connect has synchronized the computer objects of the devices you want to be hybrid Azure AD joined to Azure AD. Wenn die Computerobjekte zu bestimmten Organisationseinheiten (OEs) gehören, müssen diese OEs auch für die Synchronisierung in Azure AD Connect konfiguriert werden.If the computer objects belong to specific organizational units (OU), then these OUs need to be configured for synchronization in Azure AD connect as well.

Azure AD Connect:Azure AD Connect:

  • Sorgt dafür, dass die Zuordnung zwischen dem Computerkonto in Ihrer lokalen AD-Instanz (Active Directory) und dem Geräteobjekt in Azure AD beibehalten wird.Keeps the association between the computer account in your on-premises Active Directory (AD) and the device object in Azure AD.
  • Ermöglicht die Verwendung von anderen gerätebezogenen Features, z.B. Windows Hello for Business.Enables other device related features like Windows Hello for Business.

Achten Sie darauf, dass von Computern innerhalb Ihres Unternehmensnetzwerks zur Registrierung von Computern bei Azure AD auf die folgenden URLs zugegriffen werden kann:Make sure that the following URLs are accessible from computers inside your organization network for registration of computers to Azure AD:

Wenn dies noch nicht erfolgt ist, sollte der STS Ihrer Organisation (für Verbunddomänen) in den lokalen Intraneteinstellungen des Benutzers eingefügt werden.If not already done, your organization's STS (for federated domains) should be included in the user's local intranet settings.

Wenn Ihre Organisation das nahtlose SSO verwenden möchte, müssen die folgenden URLs über die Computer innerhalb Ihrer Organisation erreichbar sein und zudem der lokalen Intranetzone des Benutzers hinzugefügt werden:If your organization is planning to use Seamless SSO, then the following URLs need to be reachable from the computers inside your organization and they must also be added to the user's local intranet zone:

  • https://autologon.microsoftazuread-sso.com

  • Darüber hinaus muss die folgende Einstellung in der Intranetzone des Benutzers aktiviert werden: „Statusleistenupdates über Skript zulassen“.Also, the following setting should be enabled in the user's intranet zone: "Allow status bar updates via script."

Wenn Ihre Organisation die verwaltete Einrichtung (ohne Verbund) über lokales AD und nicht AD FS zum Herstellens eines Verbunds mit Azure AD verwendet, basiert die hybride Azure AD-Einbindung unter Windows 10 auf den Computerobjekten in AD, die mit Azure AD synchronisiert werden sollen.If your organization uses managed (non-federated) setup with on-premises AD and does not use ADFS to federate with Azure AD, then hybrid Azure AD join on Windows 10 relies on the computer objects in AD to be sync'ed to Azure AD. Stellen Sie sicher, dass alle Organisationseinheiten (OU), die die Computerobjekte enthalten, die hybrid in Azure AD eingebunden werden müssen, in der Azure AD Connect-Synchronisierungskonfiguration für die Synchronisierung aktiviert sind.Make sure that any Organizational Units (OU) that contain the computer objects that need to be hybrid Azure AD joined are enabled for sync in the Azure AD Connect sync configuration.

Wenn Ihre Organisation für Windows 10-Geräte mit Version 1703 oder einer älteren Version Zugriff auf das Internet über einen ausgehenden Proxy benötigt, müssen Sie die automatische Ermittlung von Webproxys (Web Proxy Auto-Discovery, WPAD) implementieren, damit Windows 10-Computer bei Azure AD registriert werden können.For Windows 10 devices on version 1703 or earlier, if your organization requires access to the Internet via an outbound proxy, you must implement Web Proxy Auto-Discovery (WPAD) to enable Windows 10 computers to register to Azure AD.

Ab Version 1803 von Windows 10 versucht das Gerät, die Azure AD-Hybrideinbindung unter Verwendung des synchronisierten Computers/Geräts durchzuführen, auch wenn die Azure AD-Hybrideinbindung durch ein Gerät in einer Verbunddomäne mit AD FS nicht erfolgreich war (sofern Azure AD Connect für die Synchronisierung des Computer-/Geräteobjekts mit Azure AD konfiguriert ist).Beginning with Windows 10 1803, even if hybrid Azure AD join attempt by a device in a federated domain using AD FS fails, and if Azure AD Connect is configured to sync the computer/device objects to Azure AD, then the device will attempt to complete the hybrid Azure AD join using the synced computer/device.

KonfigurationsschritteConfiguration steps

Sie können in Azure AD eingebundene Hybridgeräte für verschiedene Windows-Geräteplattformen konfigurieren.You can configure hybrid Azure AD joined devices for various types of Windows device platforms. Dieses Thema enthält die erforderlichen Schritte für alle typischen Konfigurationsszenarien.This topic includes the required steps for all typical configuration scenarios.

Verwenden Sie die folgende Tabelle, um eine Übersicht über die Schritte zu erhalten, die für Ihr Szenario erforderlich sind:Use the following table to get an overview of the steps that are required for your scenario:

SchritteSteps Aktuelle Windows-Geräte und KennworthashsynchronisierungWindows current and password hash sync Aktuelle Windows-Geräte und VerbundWindows current and federation Kompatible Windows-GeräteWindows down-level
Konfigurieren des DienstverbindungspunktsConfigure service connection point Prüfen Prüfen Prüfen
Einrichten der Ausstellung von AnsprüchenSetup issuance of claims Prüfen Prüfen
Aktivieren von Geräten, auf denen nicht Windows 10 ausgeführt wirdEnable non-Windows 10 devices Prüfen
Überprüfen der eingebundenen GeräteVerify joined devices Prüfen Prüfen Prüfen

Konfigurieren des DienstverbindungspunktsConfigure service connection point

Das SCP-Objekt (Service Connection Point, Dienstverbindungspunkt) wird von Ihren Geräten während der Registrierung verwendet, um Informationen zum Azure AD-Mandanten zu ermitteln.The service connection point (SCP) object is used by your devices during the registration to discover Azure AD tenant information. In Ihrer lokalen Active Directory-Instanz (AD) muss das SCP-Objekt für die in Azure AD eingebundenen Hybridgeräte in der Partition für den Konfigurationsnamenskontext der Computergesamtstruktur vorhanden sein.In your on-premises Active Directory (AD), the SCP object for the hybrid Azure AD joined devices must exist in the configuration naming context partition of the computer's forest. Es gibt nur einen Konfigurationsnamenskontext pro Gesamtstruktur.There is only one configuration naming context per forest. In einer Active Directory-Konfiguration mit mehreren Gesamtstrukturen muss der Dienstverbindungspunkt in allen Gesamtstrukturen vorhanden sein, die in die Domäne eingebundene Computer enthalten.In a multi-forest Active Directory configuration, the service connection point must exist in all forests containing domain-joined computers.

Sie können das Get-ADRootDSE-Cmdlet verwenden, um den Konfigurationsnamenskontext aus Ihrer Gesamtstruktur abzurufen.You can use the Get-ADRootDSE cmdlet to retrieve the configuration naming context of your forest.

Für eine Gesamtstruktur mit dem Active Directory-Domänennamen fabrikam.com lautet der Konfigurationsnamenskontext:For a forest with the Active Directory domain name fabrikam.com, the configuration naming context is:

CN=Configuration,DC=fabrikam,DC=com

In Ihrer Gesamtstruktur befindet sich das SCP-Objekt für die automatische Registrierung von in die Domäne eingebundenen Geräten unter:In your forest, the SCP object for the auto-registration of domain-joined devices is located at:

CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,[Your Configuration Naming Context]

Je nachdem, wie Sie Azure AD Connect bereitgestellt haben, wurde das SCP-Objekt unter Umständen bereits konfiguriert.Depending on how you have deployed Azure AD Connect, the SCP object may have already been configured. Mit dem folgenden Windows PowerShell-Skript können Sie das Vorhandensein des Objekts überprüfen und die Ermittlungswerte abrufen:You can verify the existence of the object and retrieve the discovery values using the following Windows PowerShell script:

$scp = New-Object System.DirectoryServices.DirectoryEntry;

$scp.Path = "LDAP://CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=fabrikam,DC=com";

$scp.Keywords;

Die Ausgabe von $scp.Keywords enthält die Azure AD-Mandanteninformationen, z.B.:The $scp.Keywords output shows the Azure AD tenant information, for example:

azureADName:microsoft.com
azureADId:72f988bf-86f1-41af-91ab-2d7cd011db47

Wenn der Dienstverbindungsendpunkt nicht vorhanden ist, können Sie ihn erstellen, indem Sie das Initialize-ADSyncDomainJoinedComputerSync-Cmdlet auf Ihrem Azure AD Connect-Server ausführen.If the service connection point does not exist, you can create it by running the Initialize-ADSyncDomainJoinedComputerSync cmdlet on your Azure AD Connect server. Für die Ausführung dieses Cmdlets sind die Anmeldeinformationen eines Unternehmensadministrators erforderlich.Enterprise admin credential is required to run this cmdlet.
Für das Cmdlet gilt Folgendes:The cmdlet:

  • Erstellt den Dienstverbindungspunkt in der Active Directory-Gesamtstruktur, mit der Azure AD Connect verbunden ist.Creates the service connection point in the Active Directory forest Azure AD Connect is connected to.
  • Erfordert, dass Sie den Parameter AdConnectorAccount angeben.Requires you to specify the AdConnectorAccount parameter. Dies ist das Konto, das in Azure AD Connect als Active Directory-Connectorkonto konfiguriert ist.This is the account that is configured as Active Directory connector account in Azure AD connect.

Mit dem folgenden Skript wird ein Beispiel für die Verwendung des Cmdlets veranschaulicht.The following script shows an example for using the cmdlet. In diesem Skript ist für $aadAdminCred = Get-Credential die Eingabe eines Benutzernamens erforderlich.In this script, $aadAdminCred = Get-Credential requires you to type a user name. Sie müssen den Benutzernamen im UPN-Format (Benutzerprinzipalname) eingeben: user@example.com.You need to provide the user name in the user principal name (UPN) format (user@example.com).

Import-Module -Name "C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1";

$aadAdminCred = Get-Credential;

Initialize-ADSyncDomainJoinedComputerSync –AdConnectorAccount [connector account name] -AzureADCredentials $aadAdminCred;

Für das Initialize-ADSyncDomainJoinedComputerSync-Cmdlet gilt Folgendes:The Initialize-ADSyncDomainJoinedComputerSync cmdlet:

  • Es verwendet das Active Directory-PowerShell-Modul und die AD DS-Tools, die von der Ausführung von Active Directory-Webdiensten auf einem Domänencontroller abhängig sind.Uses the Active Directory PowerShell module and AD DS Tools, which rely on Active Directory Web Services running on a domain controller. Active Directory-Webdienste werden auf Domänencontrollern mit Windows Server 2008 R2 und höher unterstützt.Active Directory Web Services is supported on domain controllers running Windows Server 2008 R2 and later.
  • Es wird nur von der MSOnline PowerShell-Modulversion 1.1.166.0 unterstützt.Is only supported by the MSOnline PowerShell module version 1.1.166.0. Dieses Modul können Sie hier herunterladen.To download this module, use this link.
  • Wenn die AD DS-Tools nicht installiert sind, tritt bei Initialize-ADSyncDomainJoinedComputerSync ein Fehler auf.If the AD DS tools are not installed, the Initialize-ADSyncDomainJoinedComputerSync will fail. Die AD DS-Tools können über Server-Manager unter „Features“ > „Remoteserver-Verwaltungstools“ > „Rollenverwaltungstools“ installiert werden.The AD DS tools can be installed through Server Manager under Features - Remote Server Administration Tools - Role Administration Tools.

Verwenden Sie für Domänencontroller mit Windows Server 2008 oder früher das unten angegebene Skript zum Erstellen des Dienstverbindungsendpunkts.For domain controllers running Windows Server 2008 or earlier versions, use the script below to create the service connection point.

Bei einer Active Directory-Konfiguration mit mehreren Gesamtstrukturen sollten Sie das folgende Skript verwenden, um den Dienstverbindungsendpunkt in allen Gesamtstrukturen zu erstellen, in denen Computer vorhanden sind:In a multi-forest configuration, you should use the following script to create the service connection point in each forest where computers exist:

$verifiedDomain = "contoso.com"    # Replace this with any of your verified domain names in Azure AD
$tenantID = "72f988bf-86f1-41af-91ab-2d7cd011db47"    # Replace this with you tenant ID
$configNC = "CN=Configuration,DC=corp,DC=contoso,DC=com"    # Replace this with your AD configuration naming context

$de = New-Object System.DirectoryServices.DirectoryEntry
$de.Path = "LDAP://CN=Services," + $configNC
$deDRC = $de.Children.Add("CN=Device Registration Configuration", "container")
$deDRC.CommitChanges()

$deSCP = $deDRC.Children.Add("CN=62a0ff2e-97b9-4513-943f-0d221bd30080", "serviceConnectionPoint")
$deSCP.Properties["keywords"].Add("azureADName:" + $verifiedDomain)
$deSCP.Properties["keywords"].Add("azureADId:" + $tenantID)

$deSCP.CommitChanges()

Im Skript obenIn the script above,

  • ist $verifiedDomain = "contoso.com" ein Platzhalter, den Sie durch einen Ihrer überprüften Domänennamen in Azure AD ersetzen müssen.$verifiedDomain = "contoso.com" is a placeholder you need to replace with one of your verified domain names in Azure AD. Sie müssen die Domäne besitzen, bevor Sie sie verwenden können.You will have to own the domain before you can use it.

Weitere Informationen zu überprüften Domänennamen finden Sie unter Hinzufügen eines benutzerdefinierten Domänennamens zu Azure Active Directory.For more details about verified domain names, see Add a custom domain name to Azure Active Directory.
Zum Abrufen einer Liste mit Ihren überprüften Unternehmensdomänen können Sie das Cmdlet Get-AzureADDomain verwenden.To get a list of your verified company domains, you can use the Get-AzureADDomain cmdlet.

Get-AzureADDomain

Einrichten der Ausstellung von AnsprüchenSetup issuance of claims

Bei einer Azure AD-Verbundkonfiguration wird für Geräte AD FS (Active Directory-Verbunddienste) oder ein lokaler Drittanbieter-Verbunddienst genutzt, um die Authentifizierung bei Azure AD durchzuführen.In a federated Azure AD configuration, devices rely on Active Directory Federation Services (AD FS) or a 3rd party on-premises federation service to authenticate to Azure AD. Die Geräte führen die Authentifizierung durch, um ein Zugriffstoken für die Registrierung beim Geräteregistrierungsdienst von Azure Active Directory (Azure DRS) zu erhalten.Devices authenticate to get an access token to register against the Azure Active Directory Device Registration Service (Azure DRS).

Für aktuelle Windows-Geräte wird die Authentifizierung per integrierter Windows-Authentifizierung gegenüber einem aktiven WS-Trust-Endpunkt (entweder Version 1.3 oder 2005) durchgeführt, der vom lokalen Verbunddienst gehostet wird.Windows current devices authenticate using Integrated Windows Authentication to an active WS-Trust endpoint (either 1.3 or 2005 versions) hosted by the on-premises federation service.

Hinweis

Bei Verwendung von AD FS muss entweder adfs/services/trust/13/windowstransport oder adfs/services/trust/2005/windowstransport aktiviert sein.When using AD FS, either adfs/services/trust/13/windowstransport or adfs/services/trust/2005/windowstransport must be enabled. Wenn Sie einen Webauthentifizierungsproxy verwenden, stellen Sie außerdem sicher, dass dieser Endpunkt durch den Proxy veröffentlicht wird.If you are using the Web Authentication Proxy, also ensure that this endpoint is published through the proxy. Sie können in der AD FS-Verwaltungskonsole unter Dienst > Endpunkte sehen, welche Endpunkte aktiviert sind.You can see what end-points are enabled through the AD FS management console under Service > Endpoints.

Wenn Sie AD FS nicht als lokalen Verbunddienst nutzen, können Sie der Anleitung Ihres jeweiligen Anbieters entnehmen, ob WS-Trust 1.3- oder 2005-Endpunkte unterstützt und per MEX-Datei (Metadata Exchange) veröffentlicht werden.If you don’t have AD FS as your on-premises federation service, follow the instructions of your vendor to make sure they support WS-Trust 1.3 or 2005 end-points and that these are published through the Metadata Exchange file (MEX).

Die folgenden Ansprüche müssen im Token vorhanden sein, das von Azure DRS empfangen wird, damit die Geräteregistrierung abgeschlossen werden kann.The following claims must exist in the token received by Azure DRS for device registration to complete. Von Azure DRS wird ein Geräteobjekt in Azure AD mit einigen dieser Informationen erstellt, die dann von Azure AD Connect verwendet werden, um das neu erstellte Geräteobjekt dem lokalen Computerkonto zuzuordnen.Azure DRS will create a device object in Azure AD with some of this information which is then used by Azure AD Connect to associate the newly created device object with the computer account on-premises.

  • http://schemas.microsoft.com/ws/2012/01/accounttype
  • http://schemas.microsoft.com/identity/claims/onpremobjectguid
  • http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid

Wenn Sie über mehr als einen verifizierten Domänennamen verfügen, müssen Sie für Computer den folgenden Anspruch angeben:If you have more than one verified domain name, you need to provide the following claim for computers:

  • http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid

Falls Sie bereits einen ImmutableID-Anspruch ausstellen (z.B. alternative Anmelde-ID), müssen Sie für Computer einen entsprechenden Anspruch angeben:If you are already issuing an ImmutableID claim (e.g., alternate login ID) you need to provide one corresponding claim for computers:

  • http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID

Die folgenden Abschnitte enthalten Informationen zu diesen Punkten:In the following sections, you find information about:

  • Werte, über die jeder Anspruch verfügen sollteThe values each claim should have
  • Aussehen einer Definition in AD FSHow a definition would look like in AD FS

Mithilfe der Definition können Sie überprüfen, ob die Werte vorhanden sind oder ob Sie sie erstellen müssen.The definition helps you to verify whether the values are present or if you need to create them.

Hinweis

Wenn Sie als lokalen Verbundserver nicht AD FS nutzen, sollten Sie die Anleitung Ihres Anbieters befolgen, um die entsprechende Konfiguration zum Ausgeben dieser Ansprüche zu erstellen.If you don’t use AD FS for your on-premises federation server, follow your vendor's instructions to create the appropriate configuration to issue these claims.

Ausstellen des KontotypanspruchsIssue account type claim

http://schemas.microsoft.com/ws/2012/01/accounttype: Dieser Anspruch muss den Wert DJ enthalten, mit dem das Gerät als in die Domäne eingebundener Computer identifiziert wird.http://schemas.microsoft.com/ws/2012/01/accounttype - This claim must contain a value of DJ, which identifies the device as a domain-joined computer. In AD FS können Sie eine Ausstellungstransformationsregel hinzufügen, die wie folgt aussieht:In AD FS, you can add an issuance transform rule that looks like this:

@RuleName = "Issue account type for domain-joined computers"
c:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
    Value =~ "-515$", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    Type = "http://schemas.microsoft.com/ws/2012/01/accounttype", 
    Value = "DJ"
);

Ausstellen der objectGUID des lokalen ComputerkontosIssue objectGUID of the computer account on-premises

http://schemas.microsoft.com/identity/claims/onpremobjectguid: Dieser Anspruch muss den objectGUID-Wert des lokalen Computerkontos enthalten.http://schemas.microsoft.com/identity/claims/onpremobjectguid - This claim must contain the objectGUID value of the on-premises computer account. In AD FS können Sie eine Ausstellungstransformationsregel hinzufügen, die wie folgt aussieht:In AD FS, you can add an issuance transform rule that looks like this:

@RuleName = "Issue object GUID for domain-joined computers"
c1:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
    Value =~ "-515$", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&& 
c2:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    store = "Active Directory", 
    types = ("http://schemas.microsoft.com/identity/claims/onpremobjectguid"), 
    query = ";objectguid;{0}", 
    param = c2.Value
);

Ausstellen der objectSID des lokalen ComputerkontosIssue objectSID of the computer account on-premises

http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid: Dieser Anspruch muss den objectSid-Wert des lokalen Computerkontos enthalten.http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid - This claim must contain the objectSid value of the on-premises computer account. In AD FS können Sie eine Ausstellungstransformationsregel hinzufügen, die wie folgt aussieht:In AD FS, you can add an issuance transform rule that looks like this:

@RuleName = "Issue objectSID for domain-joined computers"
c1:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
    Value =~ "-515$", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&& 
c2:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(claim = c2);

Ausstellen der issuerID für Computer, wenn in Azure AD mehrere verifizierte Domänennamen enthalten sindIssue issuerID for computer when multiple verified domain names in Azure AD

http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid: Dieser Anspruch muss den URI (Uniform Resource Identifier) von einem der verifizierten Domänennamen enthalten, für die eine Verbindung mit dem lokalen Verbunddienst (AD FS oder Drittanbieter) hergestellt wird, von dem das Token ausgestellt wird.http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid - This claim must contain the Uniform Resource Identifier (URI) of any of the verified domain names that connect with the on-premises federation service (AD FS or 3rd party) issuing the token. In AD FS können Sie Ausstellungstransformationsregeln hinzufügen, die wie die unten angegebenen Beispiele aussehen (in dieser spezifischen Reihenfolge nach den obigen Regeln).In AD FS, you can add issuance transform rules that look like the ones below in that specific order after the ones above. Beachten Sie, dass eine Regel erforderlich ist, um die Regel explizit für Benutzer auszustellen.Please note that one rule to explicitly issue the rule for users is necessary. In den unten angegebenen Regeln wird eine erste Regel hinzugefügt, mit der die Benutzer-/Computerauthentifizierung identifiziert wird.In the rules below, a first rule identifying user vs. computer authentication is added.

@RuleName = "Issue account type with the value User when its not a computer"
NOT EXISTS(
[
    Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", 
    Value == "DJ"
]
)
=> add(
    Type = "http://schemas.microsoft.com/ws/2012/01/accounttype", 
    Value = "User"
);

@RuleName = "Capture UPN when AccountType is User and issue the IssuerID"
c1:[
    Type == "http://schemas.xmlsoap.org/claims/UPN"
]
&& 
c2:[
    Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", 
    Value == "User"
]
=> issue(
    Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", 
    Value = regexreplace(
    c1.Value, 
    ".+@(?<domain>.+)", 
    "http://${domain}/adfs/services/trust/"
    )
);

@RuleName = "Issue issuerID for domain-joined computers"
c:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
    Value =~ "-515$", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", 
    Value = "http://<verified-domain-name>/adfs/services/trust/"
);

Im Anspruch obenIn the claim above,

Weitere Informationen zu überprüften Domänennamen finden Sie unter Hinzufügen eines benutzerdefinierten Domänennamens zu Azure Active Directory.For more details about verified domain names, see Add a custom domain name to Azure Active Directory.

Zum Abrufen einer Liste mit Ihren überprüften Unternehmensdomänen können Sie das Get-MsolDomain-Cmdlet verwenden.To get a list of your verified company domains, you can use the Get-MsolDomain cmdlet.

Get-MsolDomain

Ausstellen der ImmutableID für Computer, wenn ein Wert für Benutzer vorhanden ist (z.B. Angabe der alternativen Anmelde-ID)Issue ImmutableID for computer when one for users exist (e.g. alternate login ID is set)

http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID: Dieser Anspruch muss einen gültigen Wert für Computer enthalten.http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID - This claim must contain a valid value for computers. In AD FS können Sie wie folgt eine Ausstellungstransformationsregel erstellen:In AD FS, you can create an issuance transform rule as follows:

@RuleName = "Issue ImmutableID for computers"
c1:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
    Value =~ "-515$", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
] 
&& 
c2:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    store = "Active Directory", 
    types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), 
    query = ";objectguid;{0}", 
    param = c2.Value
);

Hilfsskript zum Erstellen der AD FS-AusstellungstransformationsregelnHelper script to create the AD FS issuance transform rules

Das folgende Skript dient Ihnen als Hilfe beim Erstellen der oben beschriebenen Ausstellungstransformationsregeln.The following script helps you with the creation of the issuance transform rules described above.

$multipleVerifiedDomainNames = $false
$immutableIDAlreadyIssuedforUsers = $false
$oneOfVerifiedDomainNames = 'example.com'   # Replace example.com with one of your verified domains

$rule1 = '@RuleName = "Issue account type for domain-joined computers"
c:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
    Value =~ "-515$", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    Type = "http://schemas.microsoft.com/ws/2012/01/accounttype", 
    Value = "DJ"
);'

$rule2 = '@RuleName = "Issue object GUID for domain-joined computers"
c1:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
    Value =~ "-515$", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&& 
c2:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    store = "Active Directory", 
    types = ("http://schemas.microsoft.com/identity/claims/onpremobjectguid"), 
    query = ";objectguid;{0}", 
    param = c2.Value
);'

$rule3 = '@RuleName = "Issue objectSID for domain-joined computers"
c1:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
    Value =~ "-515$", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&& 
c2:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(claim = c2);'

$rule4 = ''
if ($multipleVerifiedDomainNames -eq $true) {
$rule4 = '@RuleName = "Issue account type with the value User when it is not a computer"
NOT EXISTS(
[
    Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", 
    Value == "DJ"
]
)
=> add(
    Type = "http://schemas.microsoft.com/ws/2012/01/accounttype", 
    Value = "User"
);

@RuleName = "Capture UPN when AccountType is User and issue the IssuerID"
c1:[
    Type == "http://schemas.xmlsoap.org/claims/UPN"
]
&& 
c2:[
    Type == "http://schemas.microsoft.com/ws/2012/01/accounttype", 
    Value == "User"
]
=> issue(
    Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", 
    Value = regexreplace(
    c1.Value, 
    ".+@(?<domain>.+)", 
    "http://${domain}/adfs/services/trust/"
    )
);

@RuleName = "Issue issuerID for domain-joined computers"
c:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
    Value =~ "-515$", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", 
    Value = "http://' + $oneOfVerifiedDomainNames + '/adfs/services/trust/"
);'
}

$rule5 = ''
if ($immutableIDAlreadyIssuedforUsers -eq $true) {
$rule5 = '@RuleName = "Issue ImmutableID for computers"
c1:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
    Value =~ "-515$", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
] 
&& 
c2:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", 
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    store = "Active Directory", 
    types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"), 
    query = ";objectguid;{0}", 
    param = c2.Value
);'
}

$existingRules = (Get-ADFSRelyingPartyTrust -Identifier urn:federation:MicrosoftOnline).IssuanceTransformRules 

$updatedRules = $existingRules + $rule1 + $rule2 + $rule3 + $rule4 + $rule5

$crSet = New-ADFSClaimRuleSet -ClaimRule $updatedRules 

Set-AdfsRelyingPartyTrust -TargetIdentifier urn:federation:MicrosoftOnline -IssuanceTransformRules $crSet.ClaimRulesString 

AnmerkungenRemarks

  • Mit diesem Skript werden die Regeln an die bereits vorhandenen Regeln angefügt.This script appends the rules to the existing rules. Führen Sie das Skript nicht zweimal aus, weil der Regelsatz dann doppelt hinzugefügt wird.Do not run the script twice because the set of rules would be added twice. Stellen Sie sicher, dass keine entsprechenden Regeln für diese Ansprüche vorhanden sind (unter den jeweiligen Bedingungen), bevor Sie das Skript erneut ausführen.Make sure that no corresponding rules exist for these claims (under the corresponding conditions) before running the script again.

  • Wenn Sie über mehrere verifizierte Domänennamen verfügen (wie im Azure AD-Portal oder per Get-MsolDomains-Cmdlet angegeben), legen Sie den Wert von $multipleVerifiedDomainNames im Skript auf $true fest.If you have multiple verified domain names (as shown in the Azure AD portal or via the Get-MsolDomains cmdlet), set the value of $multipleVerifiedDomainNames in the script to $true. Stellen Sie außerdem sicher, dass Sie alle vorhandenen issuerid-Ansprüche entfernen, die unter Umständen von Azure AD Connect oder auf anderem Wege erstellt wurden.Also make sure that you remove any existing issuerid claim that might have been created by Azure AD Connect or via other means. Hier ist ein Beispiel für diese Regel angegeben:Here is an example for this rule:

    c:[Type == "http://schemas.xmlsoap.org/claims/UPN"]
    => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid", Value = regexreplace(c.Value, ".+@(?<domain>.+)",  "http://${domain}/adfs/services/trust/")); 
  • Wenn Sie bereits einen ImmutableID-Anspruch für Benutzerkonten ausgestellt haben, legen Sie den Wert von $immutableIDAlreadyIssuedforUsers im Skript auf $true fest.If you have already issued an ImmutableID claim for user accounts, set the value of $immutableIDAlreadyIssuedforUsers in the script to $true.

Aktivieren von kompatiblen Windows-GerätenEnable Windows down-level devices

Wenn es sich bei einigen Ihrer in die Domäne eingebundenen Geräte um kompatible Windows-Geräte handelt, gehen Sie wie folgt vor:If some of your domain-joined devices are Windows down-level devices, you need to:

  • Legen Sie eine Richtlinie in Azure AD fest, um Benutzern das Registrieren von Geräten zu ermöglichen.Set a policy in Azure AD to enable users to register devices.

  • Konfigurieren Sie Ihren lokalen Verbunddienst für das Ausstellen von Ansprüchen, um die Integrierte Windows-Authentifizierung (IWA) für die Geräteregistrierung zu unterstützen.Configure your on-premises federation service to issue claims to support Integrated Windows Authentication (IWA) for device registration.

  • Fügen Sie den Endpunkt für die Azure AD-Geräteauthentifizierung den lokalen Intranetzonen hinzu, um beim Authentifizieren des Geräts Zertifikataufforderungen zu vermeiden.Add the Azure AD device authentication end-point to the local Intranet zones to avoid certificate prompts when authenticating the device.

  • Steuern kompatibler Windows-GeräteControl Windows down-level devices

Festlegen einer Richtlinie in Azure AD, um Benutzern das Registrieren von Geräten zu ermöglichenSet policy in Azure AD to enable users to register devices

Zum Registrieren von kompatiblen Windows-Geräten müssen Sie sicherstellen, dass die Einstellung festgelegt ist, mit der Benutzer Geräte in Azure AD registrieren können.To register Windows down-level devices, you need to make sure that the setting to allow users to register devices in Azure AD is set. Im Azure-Portal finden Sie diese Einstellung unter:In the Azure portal, you can find this setting under:

Azure Active Directory > Users and groups > Device settings

Die folgende Richtlinie muss auf Alle festgelegt sein: Benutzer dürfen ihre Geräte für Azure AD registrierenThe following policy must be set to All: Users may register their devices with Azure AD

Registrieren von Geräten

Konfigurieren eines lokalen VerbunddienstsConfigure on-premises federation service

Ihr lokaler Verbunddienst muss das Ausstellen der Ansprüche authenticationmethod und wiaormultiauthn unterstützen, wenn eine Authentifizierungsanforderung an die vertrauende Seite von Azure AD empfangen wird, die wie unten gezeigt den Parameter „resource_params“ mit einem codierten Wert enthält:Your on-premises federation service must support issuing the authenticationmethod and wiaormultiauthn claims when receiving an authentication request to the Azure AD relying party holding a resource_params parameter with an encoded value as shown below:

eyJQcm9wZXJ0aWVzIjpbeyJLZXkiOiJhY3IiLCJWYWx1ZSI6IndpYW9ybXVsdGlhdXRobiJ9XX0

which decoded is {"Properties":[{"Key":"acr","Value":"wiaormultiauthn"}]}

Wenn eine Anforderung dieser Art eingeht, muss der lokale Verbunddienst den Benutzer per integrierter Windows-Authentifizierung authentifizieren und die folgenden beiden Ansprüche ausstellen, sofern der Vorgang erfolgreich ist:When such a request comes, the on-premises federation service must authenticate the user using Integrated Windows Authentication and upon success, it must issue the following two claims:

http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/windows
http://schemas.microsoft.com/claims/wiaormultiauthn

In AD FS müssen Sie eine Ausstellungstransformationsregel hinzufügen, die die Authentifizierungsmethode weitergibt.In AD FS, you must add an issuance transform rule that passes-through the authentication method.

Gehen Sie wie folgt vor, um diese Regel hinzuzufügen:To add this rule:

  1. Navigieren Sie in der AD FS-Verwaltungskonsole zu AD FS > Trust Relationships > Relying Party Trusts.In the AD FS management console, go to AD FS > Trust Relationships > Relying Party Trusts.
  2. Klicken Sie mit der rechten Maustaste auf das Vertrauensstellungsobjekt der vertrauenden Seite, „Microsoft Office 365 Identity Platform“, und wählen Sie dann Anspruchsregeln bearbeiten aus.Right-click the Microsoft Office 365 Identity Platform relying party trust object, and then select Edit Claim Rules.
  3. Wählen Sie auf der Registerkarte Ausstellungstransformationsregeln die Option Regel hinzufügen aus.On the Issuance Transform Rules tab, select Add Rule.
  4. Wählen Sie in der Vorlagenliste Anspruchsregel die Option Ansprüche mit benutzerdefinierter Regel senden aus.In the Claim rule template list, select Send Claims Using a Custom Rule.
  5. Wählen Sie Weiter.Select Next.
  6. Geben Sie in das Feld Anspruchsregelname den Text Anspruchsregel für Authentifizierungsmethode ein.In the Claim rule name box, type Auth Method Claim Rule.
  7. Geben Sie im Feld Anspruchsregel die folgende Regel ein:In the Claim rule box, type the following rule:

    c:[Type == "http://schemas.microsoft.com/claims/authnmethodsreferences"] => issue(claim = c);

  8. Geben Sie auf Ihrem Verbundserver den hier dargestellten PowerShell-Befehl ein, nachdem Sie <RPObjectName> durch den Objektnamen der vertrauenden Seite für Ihr Azure AD-Vertrauensstellungsobjekt der vertrauenden Seite ersetzt haben.On your federation server, type the PowerShell command below after replacing <RPObjectName> with the relying party object name for your Azure AD relying party trust object. Dieses Objekt trägt normalerweise den Namen Microsoft Office 365 Identity Platform.This object usually is named Microsoft Office 365 Identity Platform.

    Set-AdfsRelyingPartyTrust -TargetName <RPObjectName> -AllowedAuthenticationClassReferences wiaormultiauthn

Hinzufügen des Endpunkts für die Azure AD-Geräteauthentifizierung zu den lokalen IntranetzonenAdd the Azure AD device authentication end-point to the Local Intranet zones

Um die Anzeige von Zertifikataufforderungen zu vermeiden, wenn Benutzer beim Registrieren von Geräten die Authentifizierung für Azure AD durchführen, können Sie eine Richtlinie auf Ihre in die Domäne eingebundenen Geräte übertragen, um die folgende URL in Internet Explorer den lokalen Intranetzonen hinzuzufügen:To avoid certificate prompts when users in register devices authenticate to Azure AD you can push a policy to your domain-joined devices to add the following URL to the Local Intranet zone in Internet Explorer:

https://device.login.microsoftonline.com

Steuern kompatibler Windows-GeräteControl Windows down-level devices

Zum Registrieren von kompatiblen Windows-Geräten müssen Sie ein Windows Installer-Paket (.msi) aus dem Download Center herunterladen und installieren.To register Windows down-level devices, you need to download and install a Windows Installer package (.msi) from the Download Center. Klicken Sie hier, um weitere Informationen zu erhalten.For more information, click here.

Überprüfen der eingebundenen GeräteVerify joined devices

Sie können die erfolgreiche Einbindung für die Geräte Ihrer Organisation überprüfen, indem Sie das Cmdlet Get-MsolDevice im Azure Active Directory PowerShell-Modul verwenden.You can check successful joined devices in your organization by using the Get-MsolDevice cmdlet in the Azure Active Directory PowerShell module.

In der Ausgabe dieses Cmdlets werden Geräte angezeigt, die in Azure AD registriert und eingebunden sind.The output of this cmdlet shows devices that are registered and joined with Azure AD. Verwenden Sie zum Abrufen aller Geräte den Parameter -All, und filtern Sie sie anschließend mit der deviceTrustType-Eigenschaft.To get all devices, use the -All parameter, and then filter them using the deviceTrustType property. In die Domäne eingebundene Geräte weisen den Wert In die Domäne eingebunden auf.Domain joined devices have a value of Domain Joined.

Problembehandlung bei der ImplementierungTroubleshoot your implementation

Wenn bei der Azure AD-Hybrideinbindung für in Domänen eingebundene Windows-Geräte Probleme auftreten, finden Sie weitere Informationen unter:If you are experiencing issues with completing hybrid Azure AD join for domain joined Windows devices, see:

Nächste SchritteNext steps