Aufgaben nach der Konfiguration für die Hybrid-Azure AD-EinbindungPost configuration tasks for Hybrid Azure AD join

Nachdem Sie Azure AD Connect ausgeführt haben, um Ihre Organisation für die Hybrid-Azure AD-Einbindung zu konfigurieren, müssen Sie noch einige zusätzliche Schritte ausführen, um dieses Setup abzuschließen.After you have run Azure AD Connect to configure your organization for Hybrid Azure AD join, there are a few additional steps that you must complete to finalize that setup. Führen Sie nur die Schritte aus, die für Ihre Geräte gelten.Carry out only the steps that apply for your devices.

1. Konfigurieren eines kontrollierten Rollouts (optional)1. Configure controlled rollout (Optional)

Alle in die Domäne eingebundenen Geräte, auf denen Windows 10 und Windows Server 2016 ausgeführt wird, werden automatisch bei Azure AD registriert, nachdem alle Konfigurationsschritte abgeschlossen sind.All domain-joined devices running Windows 10 and Windows Server 2016 automatically register with Azure AD once all configuration steps are complete. Falls Sie anstelle dieser automatischen Registrierung einen kontrollierten Rollout vorziehen, können Sie die Gruppenrichtlinie verwenden, um den automatischen Rollout selektiv zu aktivieren oder zu deaktivieren.If you prefer a controlled rollout rather than this auto-registration, you can use group policy to selectively enable or disable automatic rollout. Diese Gruppenrichtlinie sollte festgelegt werden, bevor Sie mit den weiteren Konfigurationsschritten beginnen:This group policy should be set before starting the other configuration steps:

  • Erstellen Sie ein Gruppenrichtlinienobjekt in Ihrer Active Directory-Instanz.Create a group policy object in your Active Directory.
  • Geben Sie ihm einen Namen (z.B. „Hybrid-Azure AD-Einbindung“).Name it (ex- Hybrid Azure AD join).
  • Bearbeiten Sie es, und wechseln Sie zu: „Computerkonfiguration“ > „Richtlinien“ > „Administrative Vorlagen“ > „Windows-Komponenten“ > „Geräteregistrierung“.Edit and go to: Computer Configuration > Policies > Administrative Templates > Windows Components > Device Registration.

Hinweis

Für 2012R2 befinden sich die Richtlinieneinstellungen unter Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Arbeitsbereichverknüpfung > Clientcomputer automatisch in Arbeitsbereich einbindenFor 2012R2 the policy settings are at Computer Configuration > Policies > Administrative Templates > Windows Components > Workplace Join > Automatically workplace join client computers

  • Aktivieren Sie diese Einstellung: „In die Domäne eingebundene Computer als Geräte registrieren“.Enable this setting: Register domain-joined computers as devices.
  • Übernehmen Sie die Änderung, und klicken Sie auf „OK“.Apply and click OK.
  • Verknüpfen Sie das GPO mit dem Speicherort Ihrer Wahl (Organisationseinheit, Sicherheitsgruppe oder Domäne für alle Geräte).Link the GPO to the location of your choice (organizational unit, security group, or to the domain for all devices).

2. Konfigurieren des Netzwerks mit Endpunkten für die Geräteregistrierung2. Configure network with device registration endpoints

Achten Sie darauf, dass von Computern innerhalb Ihres Unternehmensnetzwerks zur Registrierung bei Azure AD auf die folgenden URLs zugegriffen werden kann:Make sure that the following URLs are accessible from computers inside your organizational network for registration to Azure AD:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com

3. Implementieren von WPAD für Windows 10-Geräte3. Implement WPAD for Windows 10 devices

Wenn in Ihrer Organisation in ausgehender Richtung über einen Proxy auf das Internet zugegriffen wird, sollten Sie WPAD (Web Proxy Auto-Discovery) installieren, damit Windows 10-Computer bei Azure AD registriert werden können.If your organization accesses the Internet via an outbound proxy, implement Web Proxy Auto-Discovery (WPAD)to enable Windows 10 computers to register to Azure AD.

4. Konfigurieren des Dienstverbindungspunkts in allen Gesamtstrukturen, die nicht per Azure AD Connect konfiguriert wurden4. Configure the SCP in any forests that were not configured by Azure AD Connect

Der Dienstverbindungspunkt enthält Ihre Azure AD-Mandanteninformationen, die von Ihren Geräten für die automatische Registrierung verwendet werden.The service connection point (SCP) contains your Azure AD tenant information that will be used by your devices for auto-registration. Führen Sie das PowerShell-Skript „ConfigureSCP.ps1“ aus, das Sie von Azure AD Connect heruntergeladen haben.Run the PowerShell script, ConfigureSCP.ps1, that you downloaded from Azure AD Connect.

5. Konfigurieren aller Verbunddienste, die nicht per Azure AD Connect konfiguriert wurden5. Configure any federation service that was not configured by Azure AD Connect

Wenn Ihre Organisation einen Verbunddienst verwendet, um sich an Azure AD anzumelden, müssen die Anspruchsregeln in Ihrer Vertrauensstellung der vertrauenden Azure AD-Seite die Geräteauthentifizierung zulassen.If your organization uses a federation service to sign in to Azure AD, the claim rules in your Azure AD relying party trust must allow device authentication. Wenn Sie den Verbund mit AD FS nutzen, helfen Ihnen die Informationen in der Hilfe zu AD FS beim Generieren der Anspruchsregeln weiter.If you are using federation with AD FS, go to AD FS Help to generate the claim rules. Falls Sie eine Verbundlösung verwenden, die nicht von Microsoft stammt, können Sie sich an den Anbieter wenden, um Hilfe zu erhalten.If you are using a non-Microsoft federation solution, contact that provider for guidance.

Hinweis

Wenn Sie über kompatible Windows-Geräte verfügen, muss der Dienst das Ausstellen der Ansprüche authenticationmethod und wiaormultiauthn unterstützen, wenn Anforderungen für die Azure AD-Vertrauensstellung eingehen.If you have Windows down-level devices, the service must support issuing the authenticationmethod and wiaormultiauthn claims when receiving requests to the Azure AD trust. In AD FS sollten Sie eine Ausstellungstransformationsregel hinzufügen, die die Authentifizierungsmethode weitergibt.In AD FS, you should add an issuance transform rule that passes-through the authentication method.

6. Aktivieren des nahtlosen einmaligen Anmeldens mit Azure AD für kompatible Windows-Geräte6. Enable Azure AD Seamless SSO for Windows down-level devices

Wenn Sie in Ihrer Organisation die Kennworthashsynchronisierung oder die Passthrough-Authentifizierung nutzen, um sich an Azure AD anzumelden, können Sie das nahtlose einmalige Anmelden mit Azure AD mit diesem Anmeldeverfahren aktivieren, um kompatible Windows-Geräte zu authentifizieren: https://docs.microsoft.com/azure/active-directory/connect/active-directory-aadconnect-sso.If your organization uses Password Hash Synchronization or Pass-through Authentication to sign in to Azure AD, enable Azure AD Seamless SSO with that sign-in method to authenticate Windows down-level devices: https://docs.microsoft.com/azure/active-directory/connect/active-directory-aadconnect-sso.

7. Festlegen der Azure AD-Richtlinie für kompatible Windows-Geräte7. Set Azure AD policy for Windows down-level devices

Zum Registrieren von kompatiblen Windows-Geräten müssen Sie sicherstellen, dass für die Azure AD-Richtlinie das Registrieren von Geräten durch Benutzer zulässig ist.To register Windows down-level devices, you need to make sure that the Azure AD policy allows users to register devices.

  • Melden Sie sich im Azure-Portal an Ihrem Konto an.Log-in to your account in the Azure portal.
  • Wechseln Sie zu: „Azure Active Directory“ > „Geräte“ > „Geräteeinstellungen“.Go to: Azure Active Directory > Devices > Device settings
  • Legen Sie „Benutzer dürfen ihre Geräte für Azure AD registrieren“ auf „ALLE“ fest.Set "Users may register their devices with Azure AD" to ALL.
  • Klicken Sie auf Speichern.Click Save

8. Hinzufügen eines Azure AD-Endpunkts für Windows-kompatible Geräte8. Add Azure AD endpoint to Windows down-level devices

Fügen Sie den Endpunkt für die Azure AD-Geräteauthentifizierung den lokalen Intranetzonen auf Ihren kompatiblen Windows-Geräten hinzu, um beim Authentifizieren des Geräts Zertifikataufforderungen zu vermeiden: https://device.login.microsoftonline.comAdd the Azure AD device authentication endpoint to the local Intranet zones on your Windows down-level devices to avoid certificate prompts when authenticating the devices: https://device.login.microsoftonline.com

Aktivieren Sie bei Verwendung des nahtlosen einmaligen Anmeldens auch die Option „Statusleistenupdates über Skript zulassen“ für diese Zone, und fügen Sie den folgenden Endpunkt hinzu: https://autologon.microsoftazuread-sso.com.If you are using Seamless SSO, also enable “Allow status bar updates via script” on that zone and add the following endpoint: https://autologon.microsoftazuread-sso.com

9. Installieren von Microsoft Workplace Join auf kompatiblen Windows-Geräten9. Install Microsoft Workplace Join on Windows down-level devices

Dieses Installationsprogramm erstellt einen geplanten Task auf dem Gerätesystem, der im Kontext des Benutzers ausgeführt wird.This installer creates a scheduled task on the device system that runs in the user’s context. Der Task wird ausgelöst, wenn sich der Benutzer bei Windows anmeldet.The task is triggered when the user signs in to Windows. Nach der Authentifizierung per integrierter Windows-Authentifizierung bindet der Task das Gerät unter Verwendung der Anmeldeinformationen des Benutzers automatisch in Azure AD ein.The task silently joins the device with Azure AD with the user credentials after authenticating using Integrated Windows Authentication. Das Download Center befindet sich unter https://www.microsoft.com/download/details.aspx?id=53554.The download center is at https://www.microsoft.com/download/details.aspx?id=53554.

10. Konfigurieren der Gruppenrichtlinie, um die Geräteregistrierung zuzulassen10. Configure group policy to allow device registration

Informationen zum Zulassen einer Azure AD-Hybrideinbindung für einzelne Geräte finden Sie unter Kontrollierte Überprüfung der Azure AD-Hybrideinbindung.For information about how to allow hybrid Azure AD join for individual devices, see Controlled validation of hybrid Azure AD join.

Nächste SchritteNext steps

Konfigurieren des GeräterückschreibensConfigure device writeback