Bei Azure AD registrierte GeräteAzure AD registered devices

Ziel von bei Azure AD registrierten Geräten ist die Bereitstellung der Unterstützung für das BYOD-Szenario (Bring Your Own Device) oder von mobilen Geräten für Ihre Benutzer.The goal of Azure AD registered devices is to provide your users with support for the Bring Your Own Device (BYOD) or mobile device scenarios. In diesen Szenarien kann ein Benutzer mit einem persönlichen Gerät auf die über Azure Active Directory gesteuerten Ressourcen Ihres Unternehmens zugreifen.In these scenarios, a user can access your organization’s Azure Active Directory controlled resources using a personal device.

Bei Azure AD registriertAzure AD Registered BESCHREIBUNGDescription
DefinitionDefinition Registrierung bei Azure AD, ohne dass ein Organisationskonto für die Anmeldung am Gerät verwendet werden mussRegistered to Azure AD without requiring organizational account to sign in to the device
HauptzielgruppePrimary audience Gilt für alle Benutzer mit den folgenden Kriterien:Applicable to all users with the following criteria:
Bring Your Own Device (BYOD)Bring your own device (BYOD)
Mobile GeräteMobile devices
GerätebesitzDevice ownership Benutzer oder OrganisationUser or Organization
BetriebssystemeOperating Systems Windows 10, iOS, Android und macOSWindows 10, iOS, Android, and MacOS
BereitstellungProvisioning Windows 10: EinstellungenWindows 10 – Settings
iOS/Android: Unternehmensportal oder Microsoft Authenticator-AppiOS/Android – Company Portal or Microsoft Authenticator app
macOS: UnternehmensportalMacOS – Company Portal
Anmeldeoptionen für GerätDevice sign in options Lokale Anmeldeinformationen von EndbenutzernEnd-user local credentials
KennwortPassword
Windows HelloWindows Hello
PINPIN
Biometrische Daten oder Muster für andere GeräteBiometrics or Pattern for other devices
GeräteverwaltungDevice management Mobile Geräteverwaltung (z. B. Microsoft Intune)Mobile Device Management (example: Microsoft Intune)
Verwaltung mobiler AnwendungenMobile Application Management
Wichtige FunktionenKey capabilities SSO für CloudressourcenSSO to cloud resources
Bedingter Zugriff bei der Registrierung in IntuneConditional Access when enrolled into Intune
Bedingter Zugriff über App-SchutzrichtlinieConditional Access via App protection policy
Ermöglichung der telefonischen Anmeldung per Microsoft Authenticator-AppEnables Phone sign in with Microsoft Authenticator app

Bei Azure AD registrierte Geräte

Bei Azure AD registrierte Geräte werden angemeldet, um ein lokales Konto zu verwenden, z. B. ein Microsoft-Konto auf einem Windows 10-Gerät. Zusätzlich verfügen sie aber noch über ein angefügtes Azure AD-Konto für den Zugriff auf Organisationsressourcen.Azure AD registered devices are signed in to using a local account like a Microsoft account on a Windows 10 device, but additionally have an Azure AD account attached for access to organizational resources. Der Zugriff auf Ressourcen in der Organisation kann basierend auf diesem Azure AD-Konto und auf Richtlinien für den bedingten Zugriff, die auf die Geräteidentität angewendet werden, weiter eingeschränkt werden.Access to resources in the organization can be further limited based on that Azure AD account and Conditional Access policies applied to the device identity.

Administratoren können diese bei Azure AD registrierten Geräte schützen und genauer steuern, indem sie MDM-Tools (Mobile Device Management, Mobile Geräteverwaltung) verwenden, z. B. Microsoft Intune.Administrators can secure and further control these Azure AD registered devices using Mobile Device Management (MDM) tools like Microsoft Intune. MDM ist eine Möglichkeit zur Erzwingung der von einer Organisation geforderten Konfigurationen, z. B. Verschlüsselung des Speichers, Kennwortkomplexität und aktuelle Sicherheitssoftware.MDM provides a means to enforce organization-required configurations like requiring storage to be encrypted, password complexity, and security software kept updated.

Die Azure AD-Registrierung kann durchgeführt werden, wenn zum ersten Mal auf eine Arbeitsanwendung zugegriffen wird, oder manuell über das Menü mit den Windows 10-Einstellungen.Azure AD registration can be accomplished when accessing a work application for the first time or manually using the Windows 10 Settings menu.

SzenarienScenarios

Ein Benutzer Ihrer Organisation möchte von seinem Heim-PC aus auf Tools für E-Mail, das Melden von Abwesenheit und die Registrierung für Boni zugreifen.A user in your organization wants to access tools for email, reporting time-off, and benefits enrollment from their home PC. In Ihrer Organisation sind diese Tools hinter einer Richtlinie für bedingten Zugriff angeordnet, sodass der Zugriff über ein Intune-konformes Gerät durchgeführt werden muss.Your organization has these tools behind a Conditional Access policy that requires access from an Intune compliant device. Der Benutzer fügt sein Organisationskonto hinzu und registriert seinen Heim-PC bei Azure AD. Die erforderlichen Intune-Richtlinien werden dann erzwungen, und dem Benutzer wird Zugriff auf seine Ressourcen gewährt.The user adds their organization account and registers their home PC with Azure AD and the required Intune policies are enforced giving the user access to their resources.

Ein anderer Benutzer möchte auf sein E-Mail-Konto der Organisation über sein eigenes Android-Smartphone zugreifen, das manipuliert wurde.Another user wants to access their organizational email on their personal Android phone that has been rooted. Für Ihr Unternehmen gilt die Regel, dass ein konformes Gerät verwendet werden muss, und es wurde eine Intune-Konformitätsrichtlinie erstellt, um manipulierte Geräte zu blockieren.Your company requires a compliant device and has created an Intune compliance policy to block any rooted devices. Es wird verhindert, dass der Mitarbeiter mit diesem Gerät auf Ressourcen der Organisation zugreift.The employee is stopped from accessing organizational resources on this device.

Nächste SchritteNext steps