Gewusst wie: Planen der Implementierung Ihrer Azure AD-EinbindungHow to: Plan your Azure AD join implementation

Mit Azure AD Join können Sie Geräte direkt in Azure AD einbinden, ohne dem lokalen Active Directory beitreten zu müssen, während Ihre Benutzer produktiv und sicher bleiben.Azure AD join allows you to join devices directly to Azure AD without the need to join to on-premises Active Directory while keeping your users productive and secure. Azure AD Join eignet sich für skalierbare und bereichsbezogene Bereitstellungen in Unternehmen.Azure AD join is enterprise-ready for both at-scale and scoped deployments.

In diesem Artikel erhalten Sie die Informationen, die Sie zum Planen der Implementierung von Azure AD Join benötigen.This article provides you with the information you need to plan your Azure AD join implementation.

VoraussetzungenPrerequisites

Dieser Artikel setzt voraus, dass Sie die Einführung in die Geräteverwaltung in Azure Active Directory gelesen haben.This article assumes that you are familiar with the Introduction to device management in Azure Active Directory.

Planen Ihrer ImplementierungPlan your implementation

Um die Implementierung Ihrer Azure AD-Einbindung zu planen, sollten Sie sich mit folgenden Themen vertraut machen:To plan your Azure AD join implementation, you should familiarize yourself with:

  • Überprüfen Ihrer SzenarienReview your scenarios
  • Überprüfen Ihrer IdentitätsinfrastrukturReview your identity infrastructure
  • Bewerten Ihrer GeräteverwaltungAssess your device management
  • Verstehen der zu berücksichtigenden Aspekte für Anwendungen und RessourcenUnderstand considerations for applications and resources
  • Grundlegendes zu Ihren BereitstellungsoptionenUnderstand your provisioning options
  • Konfigurieren von Enterprise State RoamingConfigure enterprise state roaming
  • Konfigurieren des bedingten ZugriffsConfigure Conditional Access

Überprüfen Ihrer SzenarienReview your scenarios

Während Azure AD Hybrid Join für bestimmte Szenarien bevorzugt werden kann, ermöglicht Azure AD Join den Übergang zu einem Cloud-First-Modell mit Windows.While Hybrid Azure AD join may be preferred for certain scenarios, Azure AD join enables you to transition towards a cloud-first model with Windows. Wenn Sie Ihre Geräteverwaltung modernisieren und gerätebezogene IT-Kosten senken möchten, bietet Azure AD Join eine hervorragende Grundlage, um diese Ziele zu erreichen.If you are planning to modernize your devices management and reduce device-related IT costs, Azure AD join provides a great foundation towards achieving those objectives.

Sie sollten Azure AD Join in Betracht ziehen, wenn Ihre Ziele den folgenden Kriterien entsprechen:You should consider Azure AD join if your goals align with the following criteria:

  • Sie führen Microsoft 365 als Produktivitätssuite für Ihre Benutzer ein.You are adopting Microsoft 365 as the productivity suite for your users.
  • Sie möchten Geräte mit einer cloudspezifischen Geräteverwaltungslösung verwalten.You want to manage devices with a cloud device management solution.
  • Sie möchten die Gerätebereitstellung für geografisch verteilte Benutzer vereinfachen.You want to simplify device provisioning for geographically distributed users.
  • Sie haben vor, Ihre Anwendungsinfrastruktur zu modernisieren.You plan to modernize your application infrastructure.

Überprüfen Ihrer IdentitätsinfrastrukturReview your identity infrastructure

Azure AD Join kann sowohl in verwalteten Umgebungen als auch in Verbundumgebungen eingesetzt werden.Azure AD join works with both, managed and federated environments.

Verwaltete UmgebungManaged environment

Eine verwaltete Umgebung kann entweder durch Kennworthashsynchronisierung oder Passthrough-Authentifizierung mit dem nahtlosen einmaligen Anmelden (Seamless Single Sign On, Seamless SSO) bereitgestellt werden.A managed environment can be deployed either through Password Hash Sync or Pass Through Authentication with Seamless Single Sign On.

In diesen Szenarien müssen Sie keinen Verbundserver für die Authentifizierung konfigurieren.These scenarios don't require you to configure a federation server for authentication.

VerbundumgebungFederated environment

Bei Verbundumgebungen sollte ein Identitätsanbieter verwendet werden, der sowohl das WS-Trust- als auch das WS-Fed-Protokoll unterstützt:A federated environment should have an identity provider that supports both WS-Trust and WS-Fed protocols:

  • WS-Fed: Dieses Protokoll ist erforderlich, um ein Gerät in Azure AD einzubinden.WS-Fed: This protocol is required to join a device to Azure AD.
  • WS-Trust: Dieses Protokoll ist für die Anmeldung bei einem in Azure AD eingebundenen Gerät erforderlich.WS-Trust: This protocol is required to sign in to an Azure AD joined device.

Bei Verwendung von AD FS müssen Sie die folgenden WS-Trust-Endpunkte aktivieren: /adfs/services/trust/2005/usernamemixedWhen you're using AD FS, you need to enable the following WS-Trust endpoints: /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

Wenn Ihr Identitätsanbieter diese Protokolle nicht unterstützt, funktioniert Azure AD Join nicht systemintern.If your identity provider does not support these protocols, Azure AD join does not work natively.

Hinweis

Derzeit funktioniert Azure AD Join nicht, wenn AD FS 2019 mit externen Authentifizierungsanbietern als primäre Authentifizierungsmethode konfiguriert ist.Currently, Azure AD join does not work with AD FS 2019 configured with external authentication providers as the primary authentication method. Für Azure AD Join ist standardmäßig die Kennwortauthentifizierung als primäre Methode festgelegt, was in diesem Szenario zu Authentifizierungsfehlern führt.Azure AD join defaults to password authentication as the primary method, which results in authentication failures in this scenario

Smartcards und zertifikatbasierte AuthentifizierungSmartcards and certificate-based authentication

Zum Einbinden von Geräten in Azure AD können Sie keine Smartcards oder zertifikatbasierte Authentifizierung verwenden.You can't use smartcards or certificate-based authentication to join devices to Azure AD. Smartcards können jedoch für die Anmeldung bei in Azure AD eingebundenen Geräten verwendet werden, wenn AD FS konfiguriert ist.However, smartcards can be used to sign in to Azure AD joined devices if you have AD FS configured.

Empfehlung: Implementieren Sie Windows Hello for Business für eine sichere, kennwortlose Authentifizierung bei Windows 10-Geräten.Recommendation: Implement Windows Hello for Business for strong, password-less authentication to Windows 10 devices.

BenutzerkonfigurationUser configuration

Bei der Erstellung von Benutzern in:If you create users in your:

  • Lokalem Active Directory müssen Sie die Benutzer mithilfe von Azure AD Connect mit Azure AD synchronisieren.On-premises Active Directory, you need to synchronize them to Azure AD using Azure AD Connect.
  • Azure AD ist keine zusätzliche Einrichtung erforderlich.Azure AD, no additional setup is required.

Lokale UPNs, die sich von Azure AD-UPNs unterscheiden, werden auf in Azure AD eingebundenen Geräten nicht unterstützt.On-premises UPNs that are different from Azure AD UPNs are not supported on Azure AD joined devices. Wenn Ihre Benutzer einen lokalen UPN verwenden, sollten Sie auf die Verwendung ihres primären UPN in Azure AD umstellen.If your users use an on-premises UPN, you should plan to switch to using their primary UPN in Azure AD.

UPN-Änderungen werden erst ab dem Windows 10-Update 2004 unterstützt.UPN changes are only supported starting Windows 10 2004 update. Bei Benutzern, die Geräte mit diesem Update verwenden, kann der UPN problemlos geändert werden.Users on devices with this update will not have any issues after changing their UPNs. Auf Geräten vor dem Windows 10-Update 2004 haben Benutzer Probleme mit SSO und dem bedingten Zugriff.For devices prior to Windows 10 2004 update, users would have SSO and Conditional Access issues on their devices. Sie müssen sich über die Kachel „Anderer Benutzer“ mit ihrem neuen UPN bei Windows anmelden, um dieses Problem zu beheben.They need to sign in to Windows through the "Other user" tile using their new UPN to resolve this issue.

Bewerten Ihrer GeräteverwaltungAssess your device management

Unterstützte GeräteSupported devices

Azure AD Join:Azure AD join:

  • Gilt nur für Windows 10-Geräte.Is only applicable to Windows 10 devices.
  • Gilt nicht für vorherige Versionen von Windows oder andere Betriebssysteme.Is not applicable to previous versions of Windows or other operating systems. Wenn Sie über Windows 7- oder Windows 8.1-Geräte verfügen, müssen Sie ein Upgrade auf Windows 10 durchführen, um Azure AD Join bereitstellen zu können.If you have Windows 7/8.1 devices, you must upgrade to Windows 10 to deploy Azure AD join.
  • Wird für FIPS-konformes TPM 2.0 und nicht für TPM 1.2 unterstützt.Is supported for FIPS-compliant TPM 2.0 but not supported for TPM 1.2. Wenn Ihre Geräte über FIPS-konformes TPM 1.2 verfügen, müssen Sie sie deaktivieren, bevor Sie mit Azure AD Join fortfahren.If your devices have FIPS-compliant TPM 1.2, you must disable them before proceeding with Azure AD join. Microsoft stellt keine Tools zum Deaktivieren des FIPS-Modus für TPMs bereit, da dieser vom TPM-Hersteller abhängig ist.Microsoft does not provide any tools for disabling FIPS mode for TPMs as it is dependent on the TPM manufacturer. Wenden Sie sich an Ihren Hardware-OEM, um Unterstützung zu erhalten.Please contact your hardware OEM for support.

Empfehlung: Verwenden Sie immer das neueste Release von Windows 10, um die aktualisierten Features nutzen zu können.Recommendation: Always use the latest Windows 10 release to take advantage of updated features.

VerwaltungsplattformManagement platform

Die Geräteverwaltung für in Azure AD eingebundene Geräte basiert auf einer MDM-Plattform (wie Intune) und MDM-CSPs.Device management for Azure AD joined devices is based on an MDM platform such as Intune, and MDM CSPs. Windows 10 verfügt über einen integrierten MDM-Agent, der alle kompatiblen MDM-Lösungen unterstützt.Windows 10 has a built-in MDM agent that works with all compatible MDM solutions.

Hinweis

Gruppenrichtlinien werden für in Azure AD eingebundene Geräte nicht unterstützt, weil diese nicht mit der lokalen Active Directory-Instanz verbunden sind.Group policies are not supported in Azure AD joined devices as they are not connected to on-premises Active Directory. Die Verwaltung von in Azure AD eingebundenen Geräten ist nur über MDM möglich.Management of Azure AD joined devices is only possible through MDM

Es gibt zwei Ansätze für die Verwaltung von in Azure AD eingebundenen Geräten:There are two approaches for managing Azure AD joined devices:

  • Nur MDM: Ein Gerät wird ausschließlich von einem MDM-Anbieter wie Intune verwaltet.MDM-only - A device is exclusively managed by an MDM provider like Intune. Alle Richtlinien werden im Rahmen des MDM-Registrierungsprozesses bereitgestellt.All policies are delivered as part of the MDM enrollment process. Für Azure AD Premium- oder EMS-Kunden ist die MDM-Registrierung ein automatisierter Schritt, der Teil einer Azure AD-Einbindung ist.For Azure AD Premium or EMS customers, MDM enrollment is an automated step that is part of an Azure AD join.
  • Co-Verwaltung: Ein Gerät wird von einem MDM-Anbieter und SCCM verwaltet.Co-management - A device is managed by an MDM provider and SCCM. Bei diesem Ansatz ist der SCCM-Agent auf einem MDM-verwalteten Gerät zur Verwaltung bestimmter Aspekte installiert.In this approach, the SCCM agent is installed on an MDM-managed device to administer certain aspects.

Überprüfen Sie bei Verwendung von Gruppenrichtlinien mithilfe der Analyse von Gruppenrichtlinien in Microsoft Endpoint Manager die Parität von GPO- und MDM-Richtlinien.If you are using Group Policies, evaluate your GPO and MDM policy parity by using Group Policy analytics in Microsoft Endpoint Manager.

Überprüfen Sie die unterstützten und nicht unterstützten Richtlinien, um zu bestimmen, ob Sie statt Gruppenrichtlinien eine MDM-Lösung verwenden können.Review supported and unsupported policies to determine whether you can use an MDM solution instead of Group policies. In Bezug auf nicht unterstützte Richtlinien ist Folgendes zu berücksichtigen:For unsupported policies, consider the following:

  • Sind die nicht unterstützten Richtlinien für in Azure AD eingebundene Geräte oder für Benutzer erforderlich?Are the unsupported policies necessary for Azure AD joined devices or users?
  • Sind die nicht unterstützten Richtlinien in einer cloudbasierten Bereitstellung anwendbar?Are the unsupported policies applicable in a cloud driven deployment?

Wenn Ihre MDM-Lösung nicht über den Azure AD-App-Katalog verfügbar ist, können Sie die Lösung gemäß der unter Azure Active Directory-Integration von MDM beschriebenen Vorgehensweise hinzufügen.If your MDM solution is not available through the Azure AD app gallery, you can add it following the process outlined in Azure Active Directory integration with MDM.

Durch die Co-Verwaltung können Sie SCCM verwenden, um bestimmte Aspekte Ihrer Geräte zu verwalten, während die Richtlinien über Ihre MDM-Plattform bereitgestellt werden.Through co-management, you can use SCCM to manage certain aspects of your devices while policies are delivered through your MDM platform. Microsoft Intune ermöglicht die Co-Verwaltung mit SCCM.Microsoft Intune enables co-management with SCCM. Weitere Informationen zur Co-Verwaltung für Windows 10-Geräte finden Sie unter Was ist Co-Verwaltung?.For more information on co-management for Windows 10 devices, see What is co-management?. Wenn Sie ein anderes MDM-Produkt als Intune verwenden, wenden Sie sich an Ihren MDM-Anbieter, um Informationen zu entsprechenden Szenarien für die Co-Verwaltung zu erhalten.If you use an MDM product other than Intune, please check with your MDM provider on applicable co-management scenarios.

Empfehlung: Ziehen Sie für in Azure AD eingebundene Geräte nur die mobile Geräteverwaltung (MDM) in Betracht.Recommendation: Consider MDM only management for Azure AD joined devices.

Verstehen der zu berücksichtigenden Aspekte für Anwendungen und RessourcenUnderstand considerations for applications and resources

Wir empfehlen die Migration von lokalen Anwendungen zu Cloudanwendungen, um die Benutzerfreundlichkeit und die Zugriffssteuerung zu verbessern.We recommend migrating applications from on-premises to cloud for a better user experience and access control. Aber in Azure AD eingebundene Geräte ermöglichen den nahtlosen Zugriff auf lokale Anwendungen und Cloudanwendungen.However, Azure AD joined devices can seamlessly provide access to both, on-premises and cloud applications. Weitere Informationen finden Sie unter So funktioniert das einmalige Anmelden bei lokalen Ressourcen auf in Azure AD eingebundenen Geräten.For more information, see How SSO to on-premises resources works on Azure AD joined devices.

In den folgenden Abschnitten werden Aspekte für verschiedene Arten von Anwendungen und Ressourcen aufgeführt.The following sections list considerations for different types of applications and resources.

Cloudbasierte AnwendungenCloud-based applications

Wenn eine Anwendung zum Azure AD-App-Katalog hinzugefügt wird, erhalten Benutzer SSO über die in Azure AD eingebundenen Geräte.If an application is added to Azure AD app gallery, users get SSO through Azure AD joined devices. Es ist keine zusätzliche Konfiguration erforderlich.No additional configuration is required. Benutzer erhalten SSO in den Browsern Microsoft Edge und Chrome.Users get SSO on both, Microsoft Edge and Chrome browsers. Wenn Sie Chrome verwenden, müssen Sie die Erweiterung „Windows 10 Accounts“ bereitstellen.For Chrome, you need to deploy the Windows 10 Accounts extension.

Für Win32-Anwendungen gilt Folgendes:All Win32 applications that:

  • Alle Win32-Anwendungen, die Web Account Manager (WAM) für Tokenanforderungen verwenden, erhalten auch SSO auf in Azure AD eingebundenen Geräten.Rely on Web Account Manager (WAM) for token requests also get SSO on Azure AD joined devices.
  • Alle Win32-Anwendungen, die WAM nicht verwenden, fordern Benutzer möglicherweise zur Authentifizierung auf.Don't rely on WAM may prompt users for authentication.

Lokale WebanwendungenOn-premises web applications

Wenn Ihre Apps benutzerdefiniert sind und/oder lokal gehostet werden, müssen Sie die Apps aus folgenden Gründen zu den vertrauenswürdigen Sites Ihres Browsers hinzufügen:If your apps are custom built and/or hosted on-premises, you need to add them to your browser’s trusted sites to:

  • Damit die integrierte Windows-Authentifizierung funktioniertEnable Windows integrated authentication to work
  • Um den Benutzern ein SSO-Erlebnis ohne Eingabeaufforderung zu bieten.Provide a no-prompt SSO experience to users.

Wenn Sie AD FS verwenden, lesen Sie Überprüfen und Verwalten von einmaligem Anmelden mit AD FS.If you use AD FS, see Verify and manage single sign-on with AD FS.

Empfehlung: Ziehen Sie ein Hosting in der Cloud (z.B. Azure) und die Integration von Azure AD in Betracht, um die Benutzerfreundlichkeit zu verbessern.Recommendation: Consider hosting in the cloud (for example, Azure) and integrating with Azure AD for a better experience.

Lokale Anwendungen, die ältere Protokolle verwendenOn-premises applications relying on legacy protocols

Benutzer erhalten SSO über in Azure AD eingebundene Geräte, wenn das jeweilige Gerät Zugriff auf einen Domänencontroller hat.Users get SSO from Azure AD joined devices if the device has access to a domain controller.

Empfehlung: Stellen Sie den Azure AD-App-Proxy bereit, um den sicheren Zugriff für diese Anwendungen zu ermöglichen.Recommendation: Deploy Azure AD App proxy to enable secure access for these applications.

Lokale NetzwerkfreigabenOn-premises network shares

Ihre Benutzer erhalten SSO über in Azure AD eingebundene Geräte, wenn das jeweilige Gerät Zugriff auf einen lokalen Domänencontroller hat.Your users have SSO from Azure AD joined devices when a device has access to an on-premises domain controller. Erfahren Sie, wie dies funktioniert.Learn how this works

DruckerPrinters

Sie sollten Universal Print bereitstellen, um eine cloudbasierte Druckverwaltungslösung ohne lokale Abhängigkeiten zu besitzen.We recommend deploying Universal Print to have a cloud based print management solution without any on-premises dependencies.

Lokale Anwendungen, die Computerauthentifizierung verwendenOn-premises applications relying on machine authentication

In Azure AD eingebundene Geräte unterstützen keine lokalen Anwendungen, die Computerauthentifizierung verwenden.Azure AD joined devices don't support on-premises applications relying on machine authentication.

Empfehlung: Setzen Sie diese Anwendungen außer Kraft, und stellen Sie auf modernere Alternativen um.Recommendation: Consider retiring these applications and moving to their modern alternatives.

RemotedesktopdiensteRemote Desktop Services

Um eine Remotedesktopverbindung mit einem in Azure AD eingebundenen Gerät herstellen zu können, muss der Hostcomputer entweder in Azure AD oder Azure AD Hybrid eingebunden sein.Remote desktop connection to an Azure AD joined devices requires the host machine to be either Azure AD joined or Hybrid Azure AD joined. Eine Remotedesktopverbindung über ein nicht verbundenes oder Nicht-Windows-Gerät wird nicht unterstützt.Remote desktop from an unjoined or non-Windows device is not supported. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit einem in Azure AD eingebundenen Remote-PC.For more information, see Connect to remote Azure AD joined pc

Ab dem Windows 10-Update 2004 können Benutzer auch eine Remotedesktopverbindung auf einem bei Azure AD registrierten Windows 10-Gerät mit einem in Azure AD eingebundenen Gerät verwenden.Starting Windows 10 2004 update, users can also use remote desktop from an Azure AD registered Windows 10 device to an Azure AD joined device.

Grundlegendes zu Ihren BereitstellungsoptionenUnderstand your provisioning options

Hinweis: In Azure AD eingebundene Geräte können nicht mit einem Tool für die Systemvorbereitung (Sysprep) oder mit ähnlichen Abbilderstellungstools bereitgestellt werden.Note: Azure AD joined devices cannot be deployed using System Preparation Tool (Sysprep) or similar imaging tools

Sie können Azure AD Join mithilfe der folgenden Methoden bereitstellen:You can provision Azure AD join using the following approaches:

  • Self-Service auf der Windows-Willkommensseite/in den Windows-Einstellungen: Im Self-Service-Modus durchlaufen die Benutzer den Azure AD-Einbindungsprozess entweder auf der Windows-Willkommensseite (Windows Out-of-Box-Experience, OOBE) oder in den Windows-Einstellungen.Self-service in OOBE/Settings - In the self-service mode, users go through the Azure AD join process either during Windows Out of Box Experience (OOBE) or from Windows Settings. Weitere Informationen finden Sie unter Einbinden von geschäftlichen Geräten in das Netzwerk der Organisation.For more information, see Join your work device to your organization's network.
  • Windows Autopilot: Windows Autopilot ermöglicht die Vorkonfiguration von Geräten, um auf der Windows-Willkommensseite für ein möglichst reibungsloses Benutzererlebnis bei einer Azure AD-Einbindung zu sorgen.Windows Autopilot - Windows Autopilot enables pre-configuration of devices for a smoother experience in OOBE to perform an Azure AD join. Weitere Informationen finden Sie in der Übersicht über Windows Autopilot.For more information, see the Overview of Windows Autopilot.
  • Massenregistrierung: Die Massenregistrierung ermöglicht eine vom Administrator gesteuerte Azure AD-Einbindung mithilfe eines Massenbereitstellungstools zum Konfigurieren von Geräten.Bulk enrollment - Bulk enrollment enables an administrator driven Azure AD join by using a bulk provisioning tool to configure devices. Weitere Informationen finden Sie unter Massenregistrierung für Windows-Geräte.For more information, see Bulk enrollment for Windows devices.

Hier finden Sie einen Vergleich dieser drei Methoden:Here’s a comparison of these three approaches

ElementElement Self-Service-EinrichtungSelf-service setup Windows AutopilotWindows Autopilot MassenregistrierungBulk enrollment
Benutzerinteraktion zum Einrichten erforderlichRequire user interaction to set up JaYes JaYes NeinNo
IT-Maßnahmen erforderlichRequire IT effort NeinNo JaYes JaYes
Zutreffende AbläufeApplicable flows Windows-Willkommensseite & EinstellungenOOBE & Settings Nur Windows-WillkommensseiteOOBE only Nur Windows-WillkommensseiteOOBE only
Lokale Administratorrechte für primären BenutzerLocal admin rights to primary user Ja, standardmäßigYes, by default KonfigurierbarConfigurable NeinNo
OEM-Support erforderlichRequire device OEM support NeinNo JaYes NeinNo
Unterstützte VersionenSupported versions 1511+1511+ 1709+1709+ 1703+1703+

Wählen Sie Ihre Bereitstellungsmethode(n), indem Sie die obige Tabelle durchgehen und die folgenden Aspekte für die Anwendung der jeweiligen Methode berücksichtigen:Choose your deployment approach or approaches by reviewing the table above and reviewing the following considerations for adopting either approach:

  • Sind Ihre Benutzer technisch versiert, sodass sie die Einrichtung selbst vornehmen können?Are your users tech savvy to go through the setup themselves?
    • Self-Service kann für diese Benutzer am besten geeignet sein.Self-service can work best for these users. Ziehen Sie Windows Autopilot in Betracht, um die Benutzerfreundlichkeit zu verbessern.Consider Windows Autopilot to enhance the user experience.
  • Arbeiten Ihre Benutzer remote oder in den Räumlichkeiten des Unternehmens?Are your users remote or within corporate premises?
    • Self-Service oder Autopilot sind für Remotebenutzer hinsichtlich einer problemlosen Einrichtung am besten geeignet.Self-service or Autopilot work best for remote users for a hassle-free setup.
  • Bevorzugen Sie eine benutzergesteuerte oder eine vom Administrator verwaltete Konfiguration?Do you prefer a user driven or an admin-managed configuration?
    • Eine Massenregistrierung ist für die administratorgesteuerte Bereitstellung besser geeignet, um Geräte vor der Übergabe an die Benutzer einzurichten.Bulk enrollment works better for admin driven deployment to set up devices before handing over to users.
  • Erwerben Sie Geräte von 1 bis 2 OEMs, oder gibt es in Ihrem Unternehmen eine breite Verteilung von OEM-Geräten?Do you purchase devices from 1-2 OEMS, or do you have a wide distribution of OEM devices?
    • Wenn Sie Geräte von einer begrenzten Anzahl von OEMs erwerben, die auch Autopilot unterstützen, können Sie von einer engeren Integration von Autopilot profitieren.If purchasing from limited OEMs who also support Autopilot, you can benefit from tighter integration with Autopilot.

Konfigurieren Ihrer GeräteeinstellungenConfigure your device settings

Im Azure-Portal können Sie die Bereitstellung von in Azure AD eingebundenen Geräten in Ihrer Organisation steuern.The Azure portal allows you to control the deployment of Azure AD joined devices in your organization. Wählen Sie zum Konfigurieren der entsprechenden Einstellungen auf der Seite Azure Active Directory die Option Devices > Device settings aus.To configure the related settings, on the Azure Active Directory page, select Devices > Device settings. Weitere InformationenLearn more

Benutzer dürfen Geräte in Azure AD einbindenUsers may join devices to Azure AD

Legen Sie diese Option basierend auf dem Umfang/Benutzerbereich Ihrer Bereitstellung und den Benutzern, denen Sie die Einrichtung eines in Azure AD eingebundenen Geräts erlauben möchten, auf Alle oder Ausgewählte fest.Set this option to All or Selected based on the scope of your deployment and who you want to allow to setup an Azure AD joined device.

Benutzer dürfen Geräte in Azure AD einbinden

Weitere lokale Administratoren für in Azure AD eingebundene GeräteAdditional local administrators on Azure AD joined devices

Wählen Sie Ausgewählte aus, und wählen Sie die Benutzer aus, die Sie der lokalen Administratorgruppe für alle in Azure AD eingebundenen Geräte hinzufügen möchten.Choose Selected and selects the users you want to add to the local administrators’ group on all Azure AD joined devices.

Weitere lokale Administratoren für in Azure AD eingebundene Geräte

Voraussetzen der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) für das Einbinden von GerätenRequire multi-factor authentication (MFA) to join devices

Wählen Sie Ja aus, wenn Benutzer beim Einbinden von Geräten in Azure AD die Multi-Factor Authentication (MFA) ausführen müssen.Select “Yes if you require users to perform MFA while joining devices to Azure AD. Für die Benutzer, die Geräte in Azure AD mit der MFA einbinden, wird das Gerät selbst zum zweiten Faktor.For the users joining devices to Azure AD using MFA, the device itself becomes a 2nd factor.

Multi-factor Auth zum Hinzufügen von Geräten erforderlich

Empfehlung: Erzwingen Sie mit der Benutzeraktion Geräte registrieren oder einbinden in bedingtem Zugriff die Verwendung von MFA für das Einbinden von Geräten.Recommendation: Use the user action Register or join devices in Conditional Access for enforcing MFA for joining devices.

Konfigurieren Ihrer MobilitätseinstellungenConfigure your mobility settings

Bevor Sie Ihre Mobilitätseinstellungen konfigurieren können, müssen Sie möglicherweise zuerst einen MDM-Anbieter hinzufügen.Before you can configure your mobility settings, you may have to add an MDM provider, first.

Gehen Sie wie folgt vor, um einen MDM-Anbieter hinzuzufügen:To add an MDM provider:

  1. Klicken Sie auf der Seite Azure Active Directory im Abschnitt Verwalten auf Mobility (MDM and MAM).On the Azure Active Directory page, in the Manage section, click Mobility (MDM and MAM).

  2. Klicken Sie auf Anwendung hinzufügen.Click Add application.

  3. Wählen Sie Ihren MDM-Anbieter aus der Liste aus.Select your MDM provider from the list.

    Screenshot der Seite „Anwendung hinzufügen“ in Azure Active Directory. Mehrere MDM-Anbieter sind aufgelistet.

Wählen Sie Ihren MDM-Anbieter aus, um die entsprechenden Einstellungen zu konfigurieren.Select your MDM provider to configure the related settings.

MDM-BenutzerbereichMDM user scope

Wählen Sie basierend auf dem Benutzerbereich Ihrer Bereitstellung entweder Einige oder Alle aus.Select Some or All based on the scope of your deployment.

MDM-Benutzerbereich

Basierend auf Ihrem Benutzerbereich ergibt sich eine der folgenden Situationen:Based on your scope, one of the following happens:

  • Der Benutzer befindet sich im MDM-Bereich: Wenn Sie über ein Azure AD Premium-Abonnement verfügen, ist die MDM-Registrierung mit der Azure AD-Einbindung automatisiert.User is in MDM scope: If you have an Azure AD Premium subscription, MDM enrollment is automated along with Azure AD join. Alle bereichsbezogenen Benutzer müssen eine entsprechende Lizenz für die MDM verfügen.All scoped users must have an appropriate license for your MDM. Wenn die MDM-Registrierung in diesem Szenario fehlschlägt, wird auch für die Azure AD-Einbindung ein Rollback ausgeführt.If MDM enrollment fails in this scenario, Azure AD join will also be rolled back.
  • Der Benutzer befindet sich nicht im MDM-Bereich: Wenn Benutzer nicht im MDM-Bereich enthalten sind, wird die Azure AD-Einbindung ohne MDM-Registrierung abgeschlossen.User is not in MDM scope: If users are not in MDM scope, Azure AD join completes without any MDM enrollment. Dies führt zu einem nicht verwalteten Gerät.This results in an unmanaged device.

MDM-URLsMDM URLs

Es gibt drei URLs, die sich auf die MDM-Konfiguration beziehen:There are three URLs that are related to your MDM configuration:

  • URL für MDM-NutzungsbedingungenMDM terms of use URL
  • URL für MDM-ErmittlungMDM discovery URL
  • MDM Compliance-URLMDM compliance URL

Screenshot: Teil des MDM-Konfigurationsbereichs in Azure Active Directory mit den URL-Feldern für MDM-Nutzungsbedingungen, Ermittlung und Compliance

Jede URL verfügt über einen vordefinierten Standardwert.Each URL has a predefined default value. Wenn diese Felder leer sind, wenden Sie sich an Ihren MDM-Anbieter, um weitere Informationen zu erhalten.If these fields are empty, please contact your MDM provider for more information.

MAM-EinstellungenMAM settings

MAM gilt nicht für Azure AD Join.MAM does not apply to Azure AD join.

Konfigurieren von Enterprise State RoamingConfigure enterprise state roaming

Wenn Sie Enterprise State Roaming in Azure AD aktivieren möchten, damit Benutzer ihre Einstellungen geräteübergreifend synchronisieren können, lesen Sie Aktivieren von Enterprise State Roaming in Azure Active Directory.If you want to enable state roaming to Azure AD so that users can sync their settings across devices, see Enable Enterprise State Roaming in Azure Active Directory.

Empfehlung: Aktivieren Sie diese Einstellung auch für über Azure AD Hybrid eingebundene Geräte.Recommendation: Enable this setting even for hybrid Azure AD joined devices.

Konfigurieren des bedingten ZugriffsConfigure Conditional Access

Wenn für Ihre in Azure AD eingebundenen Geräte ein MDM-Anbieter konfiguriert ist, kennzeichnet der Anbieter das Gerät als konform, sobald das Gerät verwaltet wird.If you have an MDM provider configured for your Azure AD joined devices, the provider flags the device as compliant as soon as the device is under management.

Kompatibles Gerät

Sie können diese Implementierung nutzen, um die Verwendung verwalteter Geräte für den Zugriff auf Cloud-Apps mithilfe des bedingten Zugriffs vorzuschreiben.You can use this implementation to require managed devices for cloud app access with Conditional Access.

Nächste SchritteNext steps