Planen der Implementierung einer Azure Active Directory-Hybrideinbindung

Wenn Sie eine lokale Active Directory Domain Services-Umgebung (AD DS) haben und Ihre in die AD DS-Domäne eingebundenen Computer in Azure AD einbinden möchten, kann diese Aufgabe durch eine Azure AD-Hybrideinbindung erfolgen.

Tipp

SSO-Zugriff auf lokale Ressourcen ist auch für Geräte verfügbar, die mit Azure AD verbunden sind. Weitere Informationen finden Sie unter So funktioniert das einmalige Anmelden bei lokalen Ressourcen auf in Azure AD eingebundenen Geräten.

Voraussetzungen

Dieser Artikel setzt voraus, dass Sie die Einführung in die Geräteidentitätsverwaltung in Azure Active Directory gelesen haben.

Hinweis

Die mindestens erforderliche Version des Domänencontrollers für die Azure AD-Hybrideinbindung unter Windows 10 oder höher ist Windows Server 2008 R2.

In Azure AD eingebundene Hybridgeräte benötigen regelmäßig eine Netzwerk-Sichtverbindung mit Ihren Domänencontrollern. Ohne diese Verbindung werden Geräte unbrauchbar.

Szenarien, die ohne Sichtverbindung zu Ihren Domänencontrollern nicht funktionieren:

  • Ändern des Gerätekennworts
  • Änderung des Benutzerkennworts (zwischengespeicherte Anmeldeinformationen)
  • TPM-Zurücksetzung

Planen Ihrer Implementierung

Um Ihre Azure AD-Hybridimplementierung zu planen, sollten Sie sich mit folgenden Themen vertraut machen:

  • Überprüfung unterstützter Geräte
  • Überprüfung wichtiger Informationen
  • Überprüfung gezielter Bereitstellungen bei der Azure AD-Hybrideinbindung
  • Auswählen Ihres Szenarios, basierend auf Ihrer Identitätsinfrastruktur
  • Überprüfung der lokalen AD UPN-Unterstützung (Benutzerprinzipalname) für Azure AD-Hybrideinbindung

Überprüfung unterstützter Geräte

Azure AD Hybrid Join unterstützt zahlreiche Windows-Geräte. Da die Konfiguration für Geräte mit älteren Versionen von Windows andere Schritte erfordert, werden die unterstützten Geräte in zwei Kategorien eingeteilt:

Aktuelle Windows-Geräte

  • Windows 11
  • Windows 10
  • Windows Server 2016
    • Hinweis: Kunden der nationalen Azure-Cloud benötigen Version 1803.
  • Windows Server 2019

Bei Geräten, auf denen das Windows-Desktopbetriebssystem ausgeführt wird, finden Sie die unterstützten Versionen im Artikel Versionsinformationen zu Windows 10. Als bewährte Methode empfiehlt Microsoft, ein Upgrade auf die aktuelle Windows-Version durchzuführen.

Kompatible Windows-Geräte

Als ersten Planungsschritt sollten Sie Ihre Umgebung überprüfen und ermitteln, ob Sie Unterstützung für kompatible Windows-Geräte benötigen.

Überprüfung wichtiger Informationen

Nicht unterstützte Szenarien

  • Die Azure AD-Hybrideinbindung wird nicht bei Windows Server mit der Domänencontrollerrolle unterstützt.
  • Die Azure AD-Hybrideinbindung wird nicht für kompatible Windows-Geräte unterstützt, wenn das Roaming von Anmeldeinformationen oder Benutzerprofilen bzw. obligatorischen Profilen verwendet wird.
  • Das Server Core-Betriebssystem unterstützt jeden Geräteregistrierungstyp.
  • Das Migrationstool für den Benutzerzustand (USMT) funktioniert nicht mit der Geräteregistrierung.

Überlegungen zur Erstellung von Betriebssystemimages

  • Wenn Sie das Systemvorbereitungstool (Sysprep) verwenden und ein Image einer Vorversion von Windows 10 1809 für die Installation verwenden, stellen Sie sicher, dass dieses Image nicht von einem Gerät stammt, das bereits als hybrid in Azure AD eingebunden bei Azure AD registriert ist.

  • Wenn Sie zusätzliche VMs mit einer Momentaufnahme eines virtuellen Computers erstellen, stellen Sie sicher, dass diese Momentaufnahme nicht von einem virtuellen Computer stammt, der bereits als hybrid in Azure AD eingebunden bei Azure AD registriert ist.

  • Wenn Sie den vereinheitlichten Schreibfilter und ähnliche Technologien verwenden, die Änderungen am Datenträger beim Neustart löschen, müssen diese angewandt werden, nachdem das Gerät hybrid in Azure AD eingebunden wurde. Das Aktivieren solcher Technologien vor dem Abschluss der hybriden Einbindung in Azure AD führt dazu, dass das Gerät bei jedem Neustart getrennt wird.

Behandeln von Geräten mit registriertem Azure AD-Status

Wenn Ihre in die Domäne eingebundenen Geräte mit Windows 10 oder höher für Ihren Mandanten bei Azure AD registriert sind, kann dies zu einem Doppelstatus der Azure AD-Hybrideinbindung und der Registrierung bei Azure AD des Geräts führen. Es wird empfohlen, ein Upgrade auf Windows 10 1803 (mit angewandtem KB4489894) oder höher durchzuführen, um dieses Szenario automatisch zu beheben. In Versionen vor 1803 müssen Sie die Registrierung bei Azure AD manuell entfernen, bevor Sie die Azure AD-Hybrideinbindung aktivieren. In Releases ab 1803 wurden die folgenden Änderungen vorgenommen, um diesen Doppelstatus zu vermeiden:

  • Jeder vorhandene Azure AD-Registrierungsstatus für einen Benutzer wird nach der Azure AD-Hybrideinbindung des Geräts und der Anmeldung desselben Benutzers automatisch entfernt. Wenn Benutzer A beispielsweise einen Azure AD-Registrierungsstatus auf dem Gerät hat, wird der Doppelstatus für Benutzer A nur dann bereinigt, wenn sich Benutzer A beim Gerät anmeldet. Bei mehreren Benutzern auf demselben Gerät wird der Doppelstatus individuell bei der Anmeldung der jeweiligen Benutzer bereinigt. Nachdem Windows 10 die Registrierung bei Azure AD entfernt hat, wird die Registrierung des Geräts bei Intune oder einer anderen mobilen Geräteverwaltung aufgehoben, wenn die Registrierung im Rahmen der Azure AD-Registrierung über die automatische Registrierung erfolgt ist.
  • Der Azure AD-Registrierungsstatus für lokale Konten auf dem Gerät ist von dieser Änderung nicht betroffen. Sie gilt nur für Domänenkonten. Der Azure AD-Registrierungsstatus wird für lokale Konten auch nach der Benutzeranmeldung nicht automatisch entfernt, da der Benutzer kein Domänenbenutzer ist.
  • Sie können verhindern, dass Ihr in die Domäne eingebundenes Gerät bei Azure AD registriert wird, indem Sie den folgenden Registrierungsschlüssel in „HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin“ hinzufügen: "BlockAADWorkplaceJoin"=dword:00000001.
  • Wenn in Windows 10 1803 jedoch Windows Hello for Business konfiguriert ist, muss der Benutzer Windows Hello for Business nach der Bereinigung des Doppelstatus erneut einrichten. Dieses Problem wurde mit KB4512509 behoben.

Hinweis

Obwohl Windows 10 und Windows 11 die Registrierung bei Azure AD lokal automatisch entfernt, wird das Geräteobjekt in Azure AD nicht sofort gelöscht, wenn es von Intune verwaltet wird. Sie können die Entfernung der Registrierung bei Azure AD überprüfen, indem Sie „dsregcmd /status“ ausführen und das Gerät auf dieser Grundlage als nicht bei Azure AD registriert betrachten.

Azure AD-Hybrideinbindung für eine einzelne Gesamtstruktur und mehrere Azure AD-Mandanten

Um Geräte als Azure AD-Hybrideinbindung bei dem jeweiligen Mandanten registrieren zu können, müssen Organisationen sicherstellen, dass die SCP-Konfiguration auf den Geräten erfolgt und nicht in AD. Weitere Informationen zu dieser Aufgabe finden Sie im Artikel Gezielte Bereitstellung der Azure AD-Hybrideinbindung. Darüber hinaus ist es für Organisationen wichtig zu verstehen, dass bestimmte Azure AD-Funktionen nicht in einer einzelnen Gesamtstruktur mit mehreren Azure AD-Mandantenkonfigurationen funktionieren.

Weitere Überlegungen

  • Wenn in Ihrer Umgebung Virtual Desktop Infrastructure (VDI) verwendet wird, finden Sie unter Geräteidentität und Desktopvirtualisierung weitere Informationen.

  • Azure AD Hybrid Join wird für FIPS-konformes TPM 2.0 und nicht für TPM 1.2 unterstützt. Wenn Ihre Geräte über FIPS-konformes TPM 1.2 verfügen, müssen Sie sie deaktivieren, bevor Sie die Azure AD-Hybrideinbindung fortsetzen. Microsoft stellt keine Tools zum Deaktivieren des FIPS-Modus für TPMs bereit, da dieser vom TPM-Hersteller abhängt. Wenden Sie sich an Ihren Hardware-OEM, um Unterstützung zu erhalten.

  • Ab Windows 10 Version 1903 werden TPMs 1.2 nicht mehr für die Azure AD-Hybrideinbindung verwendet, und Geräte mit diesen TPMs werden wie Geräte ohne TPM betrachtet.

  • UPN-Änderungen werden erst ab dem Windows 10-Update 2004 unterstützt. Bei Geräten, auf denen Windows 10 vor dem Update 2004 ausgeführt wird, haben Benutzer möglicherweise Probleme mit dem nahtlosen einmaligen Anmelden (SSO) und dem bedingten Zugriff. Zum Beheben des Problems müssen Sie das Gerät von Azure AD trennen (indem Sie „dsregcmd /leave“ mit erhöhten Rechten ausführen) und sich wieder anmelden (was automatisch geschieht). Allerdings tritt das Problem bei Benutzern, die sich mit Windows Hello for Business anmelden, nicht auf.

Überprüfung der gezielten Azure AD-Hybrideinbindung

Organisationen sollten einen gezielten Rollout der Azure AD-Hybrideinbindung ausführen, bevor sie für die gesamte Organisation aktiviert wird. Lesen Sie den Artikel Gezielte Bereitstellung der Azure AD-Hybrideinbindung, um zu verstehen, wie Sie dies erreichen.

Warnung

Organisationen sollten eine Auswahl von Benutzern mit unterschiedlichen Rollen und Profilen in diese Pilotgruppe aufnehmen. Mit einem gezielten Rollout können Sie Probleme identifizieren, die in Ihrem Plan möglicherweise nicht berücksichtigt wurden, bevor Sie eine Aktivierung in der gesamten Organisation durchführen.

Auswählen Ihres Szenarios, basierend auf Ihrer Identitätsinfrastruktur

Azure AD Hybrid-Join funktioniert sowohl in verwalteten als auch in Verbundumgebungen, je nachdem, ob der UPN routingfähig ist. Eine Tabelle mit unterstützten Szenarien finden Sie unten auf der Seite.

Verwaltete Umgebung

Eine verwaltete Umgebung kann entweder durch Kennworthashsynchronisierung (Password Hash Sync, PHS) oder Passthrough-Authentifizierung (Pass Through Authentication, PTA) mit nahtlosem einmaligem Anmelden (Seamless Single Sign-On, Seamless SSO) bereitgestellt werden.

In diesen Szenarien müssen Sie keinen Verbundserver für die Authentifizierung konfigurieren.

Hinweis

Die Cloudauthentifizierung mit gestaffeltem Rollout wird nur ab Windows 10 mit Update 1903 unterstützt.

Verbundumgebung

Bei Verbundumgebungen sollte ein Identitätsanbieter verwendet werden, der die folgenden Anforderungen erfüllt. Wenn Sie eine Verbundumgebung besitzen, die Active Directory-Verbunddienste (AD FS) verwendet, werden die nachfolgend genannten Anforderungen bereits unterstützt.

  • WIAORMULTIAUTHN-Anspruch: Dieser Anspruch ist erforderlich, um eine Azure AD-Hybrideinbindung für kompatible Windows-Geräte durchzuführen.
  • WS-Trust-Protokoll: Dieses Protokoll ist erforderlich, um aktuelle Azure AD-hybrideingebundene Windows-Geräte mit Azure AD zu authentifizieren. Bei Verwendung von AD FS müssen Sie die folgenden WS-Trust-Endpunkte aktivieren: /adfs/services/trust/2005/windowstransport/adfs/services/trust/13/windowstransport/adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

Warnung

Die Endpunkte adfs/services/trust/2005/windowstransport und adfs/services/trust/13/windowstransport sollten nur als Endpunkte mit Intranetzugriff aktiviert werden und dürfen NICHT als Endpunkte mit Extranetzugriff über den Webanwendungsproxy verfügbar gemacht werden. Weitere Informationen zum Deaktivieren von WS-Trust-Windows-Endpunkten finden Sie unter Deaktivieren von WS-Trust-Windows-Endpunkten auf dem Proxy. Welche Endpunkte aktiviert sind, sehen Sie in der AD FS-Verwaltungskonsole unter DienstEndpunkte.

Ab Version 1.1.819.0 bietet Azure AD Connect einen Assistenten für die Konfiguration der Azure AD-Hybrideinbindung. Mit dem Assistenten können Sie den Konfigurationsprozess erheblich vereinfachen. Wenn das Installieren der erforderlichen Version von Azure AD Connect keine Option für Sie ist, informieren Sie sich über die manuelle Konfiguration der Geräteregistrierung.

Überprüfung der Unterstützung von lokalen AD-Benutzerprinzipalnamen (UPNs) bei der Azure AD-Hybrideinbindung

In einigen Fällen können Ihre lokalen AD-Benutzerprinzipalnamen von den Azure AD-Benutzerprinzipalnamen abweichen. In diesen Fällen bietet die Azure AD-Hybrideinbindung unter Windows 10 oder höher auf Basis der Authentifizierungsmethode, dem Domänentyp und der Windows-Version eingeschränkte Unterstützung für lokale AD-UPNs. Es gibt zwei Arten lokaler AD-UPNs, die in Ihrer Umgebung vorhanden sein können:

  • Routingfähige UPNs: Ein routingfähiger UPN verfügt über eine gültige überprüfte Domäne, die bei einer Domänenregistrierungsstelle registriert ist. Ist beispielsweise „contoso.com“ die primäre Domäne in Azure AD, ist „contoso.org“ die primäre Domäne im lokalen Active Directory, die Contoso gehört und in Azure AD überprüft wird.
  • Nicht routingfähige Benutzerprinzipalnamen: Ein nicht routingfähiger UPN hat keine überprüfte Domäne und ist nur innerhalb des privaten Netzwerks Ihrer Organisation anwendbar. Ist beispielsweise „contoso.com“ die primäre Domäne in Azure AD, ist „contoso.local“ die primäre Domäne im lokalen Active Directory, aber keine überprüfbare Domäne im Internet und wird nur innerhalb des Contoso-Netzwerks verwendet.

Hinweis

Die Informationen in diesem Abschnitt gelten nur für einen lokalen Benutzerprinzipalnamen. Sie gelten nicht für ein lokales Computerdomänensuffix (Beispiel: computer1.contoso.local).

Die folgende Tabelle enthält Details zur Unterstützung dieser lokalen AD-UPNs bei der Azure AD-Hybrideinbindung unter Windows 10

Art der lokalen AD UPNs Domänentyp Windows 10-Version BESCHREIBUNG
Routingfähig Im Verbund Version 1703 Allgemein verfügbar
Nicht routingfähig Im Verbund Version 1803 Allgemein verfügbar
Routingfähig Verwaltet Version 1803 Allgemein verfügbar, Azure AD SSPR auf dem Windows-Sperrbildschirm wird nicht in Umgebungen unterstützt, in denen sich der lokale UPN vom Azure AD-UPN unterscheidet. Der lokale UPN muss mit dem Attribut onPremisesUserPrincipalName in Azure AD synchronisiert werden.
Nicht routingfähig Verwaltet Nicht unterstützt

Nächste Schritte