Planen Ihrer Microsoft Entra-Hybridbeitritt-Implementierung

Wenn Sie eine lokale Active Directory Domain Services-Umgebung (AD DS) haben und Ihre in die AD DS-Domäne eingebundenen Computer in Microsoft Entra ID einbinden möchten, kann diese Aufgabe durch eine Microsoft Entra-Hybrideinbindung erfolgen.

Tipp

SSO-Zugriff auf lokale Ressourcen ist auch für Geräte verfügbar, die in Microsoft Entra eingebunden sind. Weitere Informationen finden Sie unter So funktioniert das einmalige Anmelden bei lokalen Ressourcen auf in Microsoft Entra eingebundenen Geräten.

Voraussetzungen

Dieser Artikel setzt voraus, dass Sie die Einführung in die Geräteidentitätsverwaltung in Microsoft Entra ID gelesen haben.

Hinweis

Die mindestens erforderliche Version des Domänencontrollers für die Microsoft Entra-Hybrideinbindung unter Windows 10 oder höher ist Windows Server 2008 R2.

In Microsoft Entra eingebundene Hybridgeräte benötigen regelmäßig eine Netzwerk-Sichtverbindung mit Ihren Domänencontrollern. Ohne diese Verbindung werden Geräte unbrauchbar.

Szenarien, die ohne Sichtverbindung zu Ihren Domänencontrollern nicht funktionieren:

  • Ändern des Gerätekennworts
  • Änderung des Benutzerkennworts (zwischengespeicherte Anmeldeinformationen)
  • TPM-Zurücksetzung

Planen Ihrer Implementierung

Um die Implementierung Ihrer Microsoft Entra-Hybrideinbindung zu planen, sollten Sie sich mit folgenden Themen vertraut machen:

  • Überprüfung unterstützter Geräte
  • Überprüfung wichtiger Informationen
  • Überprüfung der gezielten Bereitstellungen des Microsoft Entra-Hybridbeitritts
  • Auswählen Ihres Szenarios, basierend auf Ihrer Identitätsinfrastruktur
  • Überprüfung der lokalen AD UPN-Unterstützung für Microsoft Entra-Hybrideinbindung

Überprüfung unterstützter Geräte

Die Microsoft Entra Hybrideinbindung unterstützt eine Vielzahl von Windows-Geräten.

  • Windows 11
  • Windows 10
  • Windows Server 2016
    • Hinweis: Kunden der nationalen Azure-Cloud benötigen Version 1803.
  • Windows Server 2019

Als bewährte Methode empfiehlt Microsoft, ein Upgrade auf die aktuelle Windows-Version durchzuführen.

Überprüfung wichtiger Informationen

Nicht unterstützte Szenarien

  • Die Microsoft Entra-Hybrideinbindung wird nicht bei Windows Server mit der Domänencontrollerrolle unterstützt.
  • Das Server Core-Betriebssystem unterstützt jeden Geräteregistrierungstyp.
  • Das Migrationstool für den Benutzerzustand (USMT) funktioniert nicht mit der Geräteregistrierung.

Überlegungen zur Erstellung von Betriebssystemimages

  • Wenn Sie das Systemvorbereitungstool (Sysprep) verwenden und ein Image einer Vorversion von Windows 10 1809 für die Installation verwenden, stellen Sie sicher, dass dieses Image nicht von einem Gerät stammt, das bereits als hybrid in Microsoft Entra eingebunden bei Microsoft Entra ID registriert ist.

  • Wenn Sie zusätzliche VMs mit einer Momentaufnahme eines virtuellen Computers erstellen, stellen Sie sicher, dass diese Momentaufnahme nicht von einem virtuellen Computer stammt, der bereits als hybrid in Microsoft Entra eingebunden bei Microsoft Entra ID registriert ist.

  • Wenn Sie den vereinheitlichten Schreibfilter und ähnliche Technologien verwenden, die Änderungen am Datenträger beim Neustart löschen, müssen diese angewandt werden, nachdem das Gerät hybrid in Microsoft Entra eingebunden wurde. Das Aktivieren solcher Technologien vor dem Abschluss der hybriden Einbindung in Microsoft Entra führt dazu, dass das Gerät bei jedem Neustart getrennt wird.

Behandeln von Geräten mit Microsoft Entra registrierten Status

Wenn Ihre in die Domäne eingebundenen Geräte mit Windows 10 oder höher für Ihren Mandanten bei Microsoft Entra registriert sind, kann dies zu einem Doppelstatus der Microsoft Entra-Hybrideinbindung und der Registrierung bei Microsoft Entra des Geräts führen. Es wird empfohlen, ein Upgrade auf Windows 10 1803 (mit angewandtem KB4489894) oder höher durchzuführen, um dieses Szenario automatisch zu beheben. In Versionen vor 1803 müssen Sie die Registrierung bei Microsoft Entra manuell entfernen, bevor Sie die Microsoft Entra-Hybrideinbindung aktivieren. In Releases ab 1803 wurden die folgenden Änderungen vorgenommen, um diesen Doppelstatus zu vermeiden:

  • Jeder vorhandene Microsoft Entra-Registrierungsstatus für einen Benutzer wird nach der Microsoft Entra-Hybrideinbindung des Geräts und der Anmeldung desselben Benutzers in automatisch entfernt. Wenn Benutzer A beispielsweise einen Microsoft Entra-Registrierungsstatus auf dem Gerät hat, wird der Doppelstatus für Benutzer A nur dann bereinigt, wenn sich Benutzer A beim Gerät anmeldet. Bei mehreren Benutzern auf demselben Gerät wird der Doppelstatus individuell bei der Anmeldung der jeweiligen Benutzer bereinigt. Nachdem die Administration die Registrierung bei Microsoft Entra entfernt hat, hebt Windows 10 die Registrierung des Geräts bei Intune oder einer anderen MDM auf, wenn die Registrierung im Rahmen der Microsoft Entra-Registrierung über die automatische Registrierung erfolgt ist.
  • Der Microsoft Entra-Registrierungsstatus für lokale Konten auf dem Gerät ist von dieser Änderung nicht betroffen. Sie gilt nur für Domänenkonten. Der Microsoft Entra-Registrierungsstatus wird für lokale Konten auch nach der Benutzeranmeldung nicht automatisch entfernt, da der Benutzer kein Domänenbenutzer ist.
  • Sie können verhindern, dass Ihr in die Domäne eingebundenes Gerät bei Microsoft Entra registriert wird, indem Sie den folgenden Registrierungsschlüssel in „HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin“ hinzufügen: "BlockAADWorkplaceJoin"=dword:00000001.
  • Wenn in Windows 10 1803 jedoch Windows Hello for Business konfiguriert ist, muss der Benutzer Windows Hello for Business nach der Bereinigung des Doppelstatus erneut einrichten. Dieses Problem wurde in  KB4512509 behoben.

Hinweis

Obwohl Windows 10 und Windows 11 die Registrierung bei Microsoft Entra lokal automatisch entfernt, wird das Geräteobjekt in Microsoft Entra nicht sofort gelöscht, wenn es von Intune verwaltet wird. Sie können die Entfernung der Registrierung bei Microsoft Entra überprüfen, indem Sie „dsregcmd /status“ ausführen und das Gerät auf dieser Grundlage als nicht bei Microsoft Entra registriert betrachten.

Microsoft Entra Hybrideinbindung für einzelne Gesamtstrukturen, mehrere Microsoft Entra-Mandanten

Um Geräte als hybride Microsoft Entra-Verbindung zu den jeweiligen Mandanten zu registrieren, müssen Organisationen sicherstellen, dass die Konfiguration der Service Connection Points (SCP) auf den Geräten und nicht in AD vorgenommen wird. Weitere Informationen zu dieser Aufgabe finden Sie im Artikel Gezielte Bereitstellung der Microsoft Entra-Hybrideinbindung. Darüber hinaus ist es für Organisationen wichtig zu verstehen, dass bestimmte Microsoft Entra-Funktionen nicht in einer einzelnen Gesamtstruktur mit mehreren Microsoft Entra-Mandantenkonfigurationen funktionieren.

Andere Aspekte

  • Wenn in Ihrer Umgebung Virtual Desktop Infrastructure (VDI) verwendet wird, finden Sie unter Geräteidentität und Desktopvirtualisierung weitere Informationen.

  • Microsoft Entra Hybrid Join wird für FIPS-konformes TPM 2.0 und nicht für TPM 1.2 unterstützt. Wenn Ihre Geräte über FIPS-konformes TPM 1.2 verfügen, müssen Sie es deaktivieren, bevor Sie die mit der Microsoft Entra-Hybrideinbindung fortfahren. Microsoft stellt keine Tools zum Deaktivieren des FIPS-Modus für TPMs bereit, da dieser vom TPM-Hersteller abhängt. Wenden Sie sich an Ihren Hardware-OEM, um Unterstützung zu erhalten.

  • Ab Windows 10 Version 1903 werden TPMs 1.2 nicht mehr für die Microsoft Entra-Hybrideinbindung verwendet, und Geräte mit diesen TPMs werden wie Geräte ohne TPM behandelt.

  • UPN-Änderungen werden erst ab dem Windows 10-Update 2004 unterstützt. Bei Geräten, auf denen Windows 10 vor dem Update 2004 ausgeführt wird, haben Benutzer möglicherweise Probleme mit dem nahtlosen einmaligen Anmelden (SSO) und dem bedingten Zugriff. Zum Beheben des Problems müssen Sie das Gerät von Microsoft Entra ID trennen (indem Sie „dsregcmd /leave“ mit erhöhten Rechten ausführen) und sich wieder anmelden (was automatisch geschieht). Allerdings tritt das Problem bei Benutzern, die sich mit Windows Hello for Business anmelden, nicht auf.

Überprüfung des gezielten Microsoft Entra-Hybridbeitritts

Organisationen sollten einen gezielten Rollout der Microsoft Entra-Hybrideinbindung ausführen, bevor sie für die gesamte Organisation aktiviert wird. Lesen Sie den Artikel Gezielte Bereitstellung der Microsoft Entra-Hybrideinbindung, um zu verstehen, wie Sie dies erreichen.

Warnung

Organisationen sollten eine Auswahl von Benutzern mit unterschiedlichen Rollen und Profilen in diese Pilotgruppe aufnehmen. Mit einem gezielten Rollout können Sie Probleme identifizieren, die in Ihrem Plan möglicherweise nicht berücksichtigt wurden, bevor Sie eine Aktivierung in der gesamten Organisation durchführen.

Auswählen Ihres Szenarios, basierend auf Ihrer Identitätsinfrastruktur

Microsoft Entra Hybrid-Join funktioniert sowohl in verwalteten als auch in Verbundumgebungen, je nachdem, ob der UPN routingfähig ist. Eine Tabelle mit unterstützten Szenarien finden Sie unten auf der Seite.

Verwaltete Umgebung

Eine verwaltete Umgebung kann entweder durch Kennworthashsynchronisierung (Password Hash Sync, PHS) oder Passthrough-Authentifizierung (Pass Through Authentication, PTA) mit nahtlosem einmaligem Anmelden (Seamless Single Sign-On, Seamless SSO) bereitgestellt werden.

In diesen Szenarien müssen Sie keinen Verbundserver für die Authentifizierung konfigurieren.

Hinweis

Die Cloudauthentifizierung mit gestaffeltem Rollout wird nur ab Windows 10 mit Update 1903 unterstützt.

Verbundumgebung

Bei Verbundumgebungen sollte ein Identitätsanbieter verwendet werden, der die folgenden Anforderungen erfüllt. Wenn Sie eine Verbundumgebung besitzen, die Active Directory-Verbunddienste (AD FS) verwendet, werden die nachfolgend genannten Anforderungen bereits unterstützt.

WS-Trust-Protokoll: Dieses Protokoll ist erforderlich, um aktuelle hybrid in Microsoft Entra eingebundene Windows-Geräte mit Microsoft Entra ID zu authentifizieren. Bei Verwendung von AD FS müssen Sie die folgenden WS-Trust-Endpunkte aktivieren:

/adfs/services/trust/2005/windowstransport /adfs/services/trust/13/windowstransport /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

Warnung

Die Endpunkte adfs/services/trust/2005/windowstransport und adfs/services/trust/13/windowstransport sollten nur als Endpunkte mit Intranetzugriff aktiviert werden und dürfen NICHT als Endpunkte mit Extranetzugriff über den Webanwendungsproxy verfügbar gemacht werden. Weitere Informationen zum Deaktivieren von WS-Trust-Windows-Endpunkten finden Sie unter Deaktivieren von WS-Trust-Windows-Endpunkten auf dem Proxy. Welche Endpunkte aktiviert sind, sehen Sie in der AD FS-Verwaltungskonsole unter Dienst>Endpunkte.

Ab Version 1.1.819.0 bietet Microsoft Entra Connect einen Assistenten für die Konfiguration der Microsoft Entra-Hybrideinbindung. Mit dem Assistenten können Sie den Konfigurationsprozess erheblich vereinfachen. Wenn das Installieren der erforderlichen Version von Microsoft Entra Connect keine Option für Sie ist, informieren Sie sich über die manuelle Konfiguration der Geräteregistrierung. Wenn contoso.com als bestätigte benutzerdefinierte Domäne registriert ist, können Benutzer ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) erhalten, auch wenn sich ihr synchronisiertes lokales AD DS-UPN-Suffix in einer Unterdomäne wie test.contoso.com befindet.

Überprüfung der lokalen AD Benutzer-UPN-Unterstützung für Microsoft Entra-Hybrideinbindung

In einigen Fällen können Ihre lokalen AD-Benutzerprinzipalnamen von den Microsoft Entra-Benutzerprinzipalnamen abweichen. In diesen Fällen bietet die Microsoft Entra-Hybrideinbindung unter Windows 10 oder höher auf Basis der Authentifizierungsmethode, dem Domänentyp und der Windows-Version eingeschränkte Unterstützung für lokale AD-UPNs. Es gibt zwei Arten lokaler AD-UPNs, die in Ihrer Umgebung vorhanden sein können:

  • Routingfähige UPNs: Ein routingfähiger UPN verfügt über eine gültige überprüfte Domäne, die bei einer Domänenregistrierungsstelle registriert ist. Ist beispielsweise „contoso.com“ die primäre Domäne in Microsoft Entra ID, ist „contoso.org“ die primäre Domäne im lokalen Active Directory, die Contoso gehört und in Microsoft Entra ID überprüft wird.
  • Nicht routingfähige Benutzerprinzipalnamen: Ein nicht routingfähiger UPN hat keine überprüfte Domäne und ist nur innerhalb des privaten Netzwerks Ihrer Organisation anwendbar. Ist beispielsweise „contoso.com“ die primäre Domäne in Microsoft Entra ID, ist „contoso.local“ die primäre Domäne im lokalen Active Directory, aber keine überprüfbare Domäne im Internet und wird nur innerhalb des Contoso-Netzwerks verwendet.

Hinweis

Die Informationen in diesem Abschnitt gelten nur für einen lokalen Benutzerprinzipalnamen. Sie gelten nicht für ein lokales Computerdomänensuffix (Beispiel: computer1.contoso.local).

Die folgende Tabelle enthält Details zur Unterstützung dieser lokalen AD-UPNs bei der Microsoft Entra-Hybrideinbindung unter Windows 10:

Art der lokalen AD UPNs Domänentyp Windows 10-Version BESCHREIBUNG
Routingfähig Im Verbund Version 1703 Allgemein verfügbar
Nicht routingfähig Im Verbund Version 1803 Allgemein verfügbar
Routingfähig Verwaltet Version 1803 Allgemein verfügbar, Microsoft Entra SSPR auf dem Windows-Sperrbildschirm wird nicht in Umgebungen unterstützt, in denen sich der lokale UPN vom Microsoft Entra-UPN unterscheidet. Der lokale UPN muss mit dem Attribut onPremisesUserPrincipalName in Microsoft Entra ID synchronisiert werden
Nicht routingfähig Verwaltet Nicht unterstützt

Nächster Schritt