Anleitung: Planen der Implementierung einer Azure Active Directory-Hybrideinbindung

Ähnlich wie ein Benutzer ist ein Gerät eine weitere zentrale Identität, die Sie schützen sowie jederzeit und überall zum Schutz Ihrer Ressourcen verwenden können. Dafür können Sie die Geräteidentitäten mit einer der folgenden Methoden in Azure AD bereitstellen und verwalten:

  • Azure AD-Einbindung
  • Azure AD-Hybrideinbindung
  • Azure AD-Registrierung

Durch das Bereitstellen Ihrer Geräte in Azure AD maximieren Sie die Produktivität Ihrer Benutzer durch einmaliges Anmelden (SSO) für Ihre gesamten Cloud- und lokalen Ressourcen. Gleichzeitig können Sie den Zugriff auf Ihre Cloud- und lokalen Ressourcen durch bedingten Zugriff schützen.

Wenn Sie in einer lokalen Active Directory (AD)-Umgebung Ihre in die AD-Domäne eingebundenen Compute in Azure AD einbinden möchten, kann dies durch Vornehmen einer Einbindung in Azure AD Hybrid erfolgen. Dieser Artikel enthält eine Anleitung zum Implementieren einer Azure AD-Hybrideinbindung in Ihre Umgebung.

Tipp

SSO-Zugriff auf lokale Ressourcen ist auch für Geräte verfügbar, die mit Azure AD verbunden sind. Weitere Informationen finden Sie unter So funktioniert das einmalige Anmelden bei lokalen Ressourcen auf in Azure AD eingebundenen Geräten.

Voraussetzungen

Dieser Artikel setzt voraus, dass Sie die Einführung in die Geräteidentitätsverwaltung in Azure Active Directory gelesen haben.

Hinweis

Die mindestens erforderliche Version des Domänencontrollers für die Azure AD-Hybrideinbindung unter Windows 10 ist Windows Server 2008 R2.

In Azure AD eingebundene Hybridgeräte benötigen regelmäßig eine Netzwerk-Sichtverbindung mit Ihren Domänencontrollern. Ohne diese Verbindung werden Geräte unbrauchbar.

Szenarien, die ohne Sichtverbindung zu Ihren Domänencontrollern nicht funktionieren:

  • Ändern des Gerätekennworts
  • Änderung des Benutzerkennworts (zwischengespeicherte Anmeldeinformationen)
  • TPM-Zurücksetzung

Planen Ihrer Implementierung

Um Ihre Azure AD-Hybridimplementierung zu planen, sollten Sie sich mit folgenden Themen vertraut machen:

  • Überprüfung unterstützter Geräte
  • Überprüfung wichtiger Informationen
  • Überprüfung der kontrollierten Überprüfung der Azure AD-Hybrideinbindung
  • Auswählen Ihres Szenarios, basierend auf Ihrer Identitätsinfrastruktur
  • Überprüfung der lokalen AD UPN-Unterstützung (Benutzerprinzipalname) für Azure AD-Hybrideinbindung

Überprüfung unterstützter Geräte

Azure AD Hybrid Join unterstützt zahlreiche Windows-Geräte. Da die Konfiguration für Geräte mit älteren Versionen von Windows zusätzliche oder unterschiedliche Schritte erfordert, werden die unterstützten Geräte in zwei Kategorien eingeteilt:

Aktuelle Windows-Geräte

  • Windows 10
  • Windows 11
  • Windows Server 2016
    • Hinweis: Kunden der nationalen Azure-Cloud benötigen Version 1803.
  • Windows Server 2019

Für Geräte, auf denen das Windows-Desktopbetriebssystem ausgeführt wird, sind die unterstützten Versionen in diesem Artikel aufgeführt: Windows 10 Releaseinformationen. Als bewährte Methode empfiehlt Microsoft, ein Upgrade auf die aktuelle Version von Windows 10 durchzuführen.

Kompatible Windows-Geräte

Als ersten Planungsschritt sollten Sie Ihre Umgebung überprüfen und ermitteln, ob Sie Unterstützung für kompatible Windows-Geräte benötigen.

Überprüfung wichtiger Informationen

Nicht unterstützte Szenarien

  • Azure AD Hybrideinbindung wird für Windows Server, die die Domänencontrollerrolle ausführen, nicht unterstützt.

  • Azure AD Hybrideinbindung wird für kompatible Windows-Geräte nicht unterstützt, wenn sie das Roaming von Anmeldeinformationen oder Benutzerprofilen bzw. obligatorischen Profilen verwenden.

  • Das Server Core-Betriebssystem unterstützt jeden Geräteregistrierungstyp.

  • Das Migrationstool für den Benutzerzustand (USMT) funktioniert nicht mit der Geräteregistrierung.

Überlegungen zur Erstellung von Betriebssystemimages

  • Wenn Sie das Systemvorbereitungstool (Sysprep) verwenden und ein Image einer niedrigeren Version als Windows 10 1809 für die Installation verwenden, stellen Sie sicher, dass dieses Image nicht von einem Gerät stammt, das bereits als Azure AD-Hybrideinbindung bei Azure AD registriert ist.

  • Wenn Sie zusätzliche VMs mit einer Momentaufnahme des virtuellen Computers erstellen, stellen Sie sicher, dass diese Momentaufnahme nicht von einem Computer stammt, der bereits als Azure AD-Hybrideinbindung bei Azure AD registriert ist.

  • Wenn Sie den vereinheitlichten Schreibfilter und ähnliche Technologien verwenden, die Änderungen am Datenträger beim Neustart löschen, müssen diese angewandt werden, nachdem das Gerät in Azure AD Hybrid eingebunden wurde. Das Aktivieren solcher Technologien vor dem Abschluss der Einbindung in Azure AD Hybrid führt dazu, dass das Gerät bei jedem Neustart getrennt wird.

Behandeln von Geräten mit registriertem Azure AD-Status

Wenn Ihre in die Windows 10-Domäne eingebundenen Geräte für Ihren Mandanten bei Azure AD registriert sind, kann dies zu einem Doppelstatus der Azure AD-Hybrideinbindung und der Registrierung bei Azure AD des Geräts führen. Es wird empfohlen, ein Upgrade auf Windows 10 1803 (mit angewandtem KB4489894) oder höher durchzuführen, um dieses Szenario automatisch zu beheben. In Releases vor 1803 müssen Sie die Registrierung bei Azure AD manuell entfernen, bevor Sie die Azure AD-Hybrideinbindung aktivieren. In Releases ab 1803 wurden die folgenden Änderungen vorgenommen, um diesen Doppelstatus zu vermeiden:

  • Jeder vorhandene Azure AD-Registrierungsstatus für einen Benutzer wird nach der Azure AD-Hybrideinbindung des Geräts und der Anmeldung desselben Benutzers automatisch entfernt. Wenn Benutzer A beispielsweise einen Azure AD-Registrierungsstatus auf dem Gerät hat, wird der Doppelstatus für Benutzer A nur dann bereinigt, wenn sich Benutzer A beim Gerät anmeldet. Bei mehreren Benutzern auf demselben Gerät wird der Doppelstatus individuell bei der Anmeldung der jeweiligen Benutzer bereinigt. Windows 10 entfernt die Registrierung bei Azure AD und hebt darüber hinaus auch die Registrierung des Geräts bei Intune oder einer anderen mobilen Geräteverwaltung auf, wenn die Registrierung im Rahmen der Azure AD-Registrierung über die automatische Registrierung erfolgt ist.
  • Der Azure AD-Registrierungsstatus für lokale Konten auf dem Gerät ist von dieser Änderung nicht betroffen. Sie gilt nur für Domänenkonten. Daher wird der Azure AD-Registrierungsstatus für lokale Konten auch nach der Benutzeranmeldung nicht automatisch entfernt, da der Benutzer kein Domänenbenutzer ist.
  • Sie können verhindern, dass Ihr in die Domäne eingebundenes Gerät bei Azure AD registriert wird, indem Sie den folgenden Registrierungsschlüssel in „HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin“ hinzufügen: "BlockAADWorkplaceJoin"=dword:00000001.
  • Wenn Sie Windows Hello for Business unter Windows 10 1803 konfiguriert haben, muss der Benutzer Windows Hello for Business nach der Bereinigung des Doppelstatus erneut einrichten. Dieses Problem wird mit KB4512509 behoben.

Hinweis

Obwohl Windows 10 die Registrierung bei Azure AD lokal automatisch entfernt, wird das Geräteobjekt in Azure AD nicht sofort gelöscht, wenn es von Intune verwaltet wird. Sie können die Entfernung der Registrierung bei Azure AD überprüfen, indem Sie „dsregcmd /status“ ausführen und das Gerät auf dieser Grundlage als nicht bei Azure AD registriert betrachten.

Azure AD-Hybrideinbindung für eine einzelne Gesamtstruktur und mehrere Azure AD-Mandanten

Um Geräte als Azure AD-Hybrideinbindung bei dem jeweiligen Mandanten registrieren zu können, müssen Organisationen sicherstellen, dass die SCP-Konfiguration auf den Geräten erfolgt und nicht in AD. Weitere Informationen dazu finden Sie im Artikel Kontrollierte Überprüfung der Azure AD-Hybrideinbindung. Darüber hinaus ist es wichtig zu verstehen, dass bestimmte Azure AD-Funktionen nicht in einer einzelnen Gesamtstruktur mit mehreren Azure AD-Mandantenkonfigurationen funktionieren.

Weitere Überlegungen

  • Wenn in Ihrer Umgebung Virtual Desktop Infrastructure (VDI) verwendet wird, finden Sie unter Geräteidentität und Desktopvirtualisierung weitere Informationen.

  • Azure AD Hybrid Join wird für FIPS-konformes TPM 2.0 und nicht für TPM 1.2 unterstützt. Wenn Ihre Geräte über FIPS-konformes TPM 1.2 verfügen, müssen Sie sie deaktivieren, bevor Sie mit Azure AD Hybrid Join fortfahren. Microsoft stellt keine Tools zum Deaktivieren des FIPS-Modus für TPMs bereit, da dieser vom TPM-Hersteller abhängig ist. Wenden Sie sich an Ihren Hardware-OEM, um Unterstützung zu erhalten.

  • Ab Windows 10 Release 1903 werden TPMs 1.2 nicht mehr für die Azure AD-Hybrideinbindung verwendet, und Geräte mit diesen TPMs werden so betrachtet, als würden sie nicht über ein TPM verfügen.

  • UPN-Änderungen werden erst ab dem Windows 10-Update 2004 unterstützt. Auf Geräten vor dem Windows 10-Update 2004 haben Benutzer Probleme mit SSO und dem bedingten Zugriff. Zum Beheben des Problems müssen Sie das Gerät von Azure AD trennen (indem Sie „dsregcmd /leave“ mit erhöhten Rechten ausführen) und sich wieder anmelden (was automatisch geschieht). Allerdings tritt das Problem bei Benutzern, die sich mit Windows Hello for Business anmelden, nicht auf.

Überprüfung der kontrollierten Überprüfung der Azure AD-Hybrideinbindung

Wenn alle Voraussetzungen erfüllt sind, werden Windows-Geräte automatisch als Geräte bei Ihrem Azure AD-Mandanten registriert. Der Zustand dieser Geräteidentitäten in Azure AD wird als Azure AD Hybrid Join bezeichnet. Weitere Informationen zu den in diesem Artikel beschriebenen Konzepten finden Sie im Artikel Einführung in die Geräteidentitätsverwaltung in Azure Active Directory.

Organisationen sollten eine kontrollierte Überprüfung von Azure AD Hybrid Join durchführen, bevor sie den Dienst in der gesamten Organisation aktivieren. Das Verständnis, wie Sie dies erreichen können, erhalten Sie in dem Artikel Kontrollierte Überprüfung der Azure AD-Hybrideinbindung.

Auswählen Ihres Szenarios, basierend auf Ihrer Identitätsinfrastruktur

Azure AD Hybrid-Join funktioniert sowohl in verwalteten als auch in Verbundumgebungen, je nachdem, ob der UPN routingfähig ist. Eine Tabelle mit unterstützten Szenarien finden Sie unten auf der Seite.

Verwaltete Umgebung

Eine verwaltete Umgebung kann entweder durch Kennworthashsynchronisierung (Password Hash Sync, PHS) oder Passthrough-Authentifizierung (Pass Through Authentication, PTA) mit nahtlosem einmaligem Anmelden (Seamless Single Sign-On, Seamless SSO) bereitgestellt werden.

In diesen Szenarien müssen Sie keinen Verbundserver für die Authentifizierung konfigurieren.

Hinweis

Die Cloudauthentifizierung mit gestaffeltem Rollout wird nur ab Windows 10, Update 1903, unterstützt

Verbundumgebung

Bei Verbundumgebungen sollte ein Identitätsanbieter verwendet werden, der die folgenden Anforderungen erfüllt. Wenn Sie eine Verbundumgebung besitzen, die Active Directory-Verbunddienste (AD FS) verwendet, werden die nachfolgend genannten Anforderungen bereits unterstützt.

  • WIAORMULTIAUTHN-Anspruch: Dieser Anspruch ist erforderlich, um eine Azure AD-Hybrideinbindung für kompatible Windows-Geräte durchzuführen.
  • WS-Trust-Protokoll: Dieses Protokoll ist erforderlich, um aktuelle Azure AD-hybrideingebundene Windows-Geräte mit Azure AD zu authentifizieren. Bei Verwendung von AD FS müssen Sie die folgenden WS-Trust-Endpunkte aktivieren: /adfs/services/trust/2005/windowstransport
    /adfs/services/trust/13/windowstransport
    /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

Warnung

Die Endpunkte adfs/services/trust/2005/windowstransport und adfs/services/trust/13/windowstransport sollten nur als Endpunkte mit Intranetzugriff aktiviert werden und dürfen NICHT als Endpunkte mit Extranetzugriff über den Webanwendungsproxy verfügbar gemacht werden. Weitere Informationen zum Deaktivieren von WS-Trust-Windows-Endpunkten finden Sie unter Deaktivieren von WS-Trust-Windows-Endpunkten auf dem Proxy. Welche Endpunkte aktiviert sind, sehen Sie in der AD FS-Verwaltungskonsole unter DienstEndpunkte.

Hinweis

Azure AD unterstützt keine Smartcards oder Zertifikate in verwalteten Domänen.

Ab Version 1.1.819.0 bietet Azure AD Connect einen Assistenten für die Konfiguration der Azure AD-Hybrideinbindung. Mit dem Assistenten können Sie den Konfigurationsprozess erheblich vereinfachen. Wenn das Installieren der erforderlichen Version von Azure AD Connect keine Option für Sie ist, informieren Sie sich über die manuelle Konfiguration der Geräteregistrierung.

Lesen Sie auf Grundlage des Szenarios, das Ihrer Identitätsinfrastruktur entspricht:

Überprüfen der Unterstützung lokaler AD-Benutzerprinzipalnamen (UPNs) in Azure AD Hybrid Join

In einigen Fällen können Ihre lokalen AD-Benutzerprinzipalnamen von den Azure AD-Benutzerprinzipalnamen abweichen. In diesen Fällen bietet Azure AD Hybrid Join unter Windows 10 auf Grundlage der Authentifizierungsmethode, dem Domänentyp und der Windows 10-Version eingeschränkte Unterstützung für lokale AD-UPNs. Es gibt zwei Arten lokaler AD-UPNs, die in Ihrer Umgebung vorhanden sein können:

  • Routingfähige UPNs: Ein routingfähiger UPN verfügt über eine gültige überprüfte Domäne, die bei einer Domänenregistrierungsstelle registriert ist. Ist beispielsweise „contoso.com“ die primäre Domäne in Azure AD, ist „contoso.org“ die primäre Domäne im lokalen Active Directory, die Contoso gehört und in Azure AD überprüft wird.
  • Nicht routingfähige UPNs: Ein nicht routingfähiger UPN verfügt nicht über eine überprüfte Domäne. Sie ist nur in einem privaten Netzwerk Ihrer Organisation gültig. Ist beispielsweise „contoso.com“ die primäre Domäne in Azure AD, ist „contoso.local“ die primäre Domäne im lokalen Active Directory, aber keine überprüfbare Domäne im Internet und wird nur innerhalb des Contoso-Netzwerks verwendet.

Hinweis

Die Informationen in diesem Abschnitt gelten nur für einen lokalen Benutzerprinzipalnamen. Sie gelten nicht für ein lokales Computerdomänensuffix (Beispiel: computer1.contoso.local).

Die folgende Tabelle enthält Details zur Unterstützung dieser lokalen AD UPNs in Azure AD Hybrid Join unter Windows 10

Art der lokalen AD UPNs Domänentyp Windows 10-Version BESCHREIBUNG
Routingfähig Im Verbund Version 1703 Allgemein verfügbar
Nicht routingfähig Im Verbund Version 1803 Allgemein verfügbar
Routingfähig Verwaltet Version 1803 Allgemein verfügbar, die Self-Service-Kennwortzurücksetzung von Azure AD wird auf dem Windows-Sperrbildschirm nicht unterstützt. Der lokale UPN muss mit dem Attribut onPremisesUserPrincipalName in Azure AD synchronisiert werden.
Nicht routingfähig Verwaltet Nicht unterstützt

Nächste Schritte