Was ist eine Geräteidentität?What is a device identity?

Aufgrund der steigenden Zahl von Geräten aller Art und Größe und dem BYOD-Konzept (Bring Your Own Device) gelten für IT-Spezialisten zwei eigentlich gegensätzliche Zielsetzungen:With the proliferation of devices of all shapes and sizes and the Bring Your Own Device (BYOD) concept, IT professionals are faced with two somewhat opposing goals:

  • Schaffen von Bedingungen für Benutzer, unter denen sie an jedem Ort und zu jeder Zeit produktiv sein könnenAllow end users to be productive wherever and whenever
  • Schützen der Ressourcen einer OrganisationProtect the organization's assets

Zum Schutz dieser Ressourcen müssen IT-Mitarbeiter zunächst die Geräteidentitäten verwalten.To protect these assets, IT staff need to first manage the device identities. IT-Mitarbeiter können mit Tools wie Microsoft Intune auf der Geräteidentität aufbauen, um sicherzustellen, dass die Standards für Sicherheit und Konformität erfüllt werden.IT staff can build on the device identity with tools like Microsoft Intune to ensure standards for security and compliance are met. Azure Active Directory (Azure AD) ermöglicht das einmalige Anmelden bei Geräten, Apps und Diensten an jedem Ort über diese Geräte.Azure Active Directory (Azure AD) enables single sign-on to devices, apps, and services from anywhere through these devices.

  • Ihre Benutzer erhalten Zugriff auf die benötigten Ressourcen Ihrer Organisation.Your users get access to your organization's assets they need.
  • Ihre IT-Mitarbeiter erhalten die Kontrolle, die sie benötigen, um Ihre Organisation zu schützen.Your IT staff get the controls they need to secure your organization.

Die Geräteidentitätsverwaltung stellt die Grundlage für gerätebasierten bedingten Zugriff dar.Device identity management is the foundation for device-based conditional access. Mit Richtlinien für gerätebasierten bedingten Zugriff können Sie sicherstellen, dass nur mit verwalteten Geräten auf Ressourcen in Ihrer Umgebung zugegriffen werden kann.With device-based conditional access policies, you can ensure that access to resources in your environment is only possible with managed devices.

Aufnehmen von Geräten in Azure ADGetting devices in Azure AD

Um ein Gerät in Azure AD aufzunehmen, haben Sie mehrere Möglichkeiten:To get a device in Azure AD, you have multiple options:

  • Bei Azure AD registriertAzure AD registered
    • Geräte, die bei Azure AD registriert sind, sind normalerweise persönliche oder mobile Geräte und werden mit einem persönlichen Microsoft-Konto oder einem anderen lokalen Konto angemeldet.Devices that are Azure AD registered are typically personally owned or mobile devices, and are signed into with a personal Microsoft account or another local account.
      • Windows 10Windows 10
      • iOSiOS
      • AndroidAndroid
      • macOSMacOS
  • In Azure AD eingebundenAzure AD joined
    • Geräte, die in Azure AD eingebunden sind, gehören einer Organisation und werden mit einem Azure AD-Konto angemeldet, das zu der Organisation gehört.Devices that are Azure AD joined are owned by an organization, and are signed in to with an Azure AD account belonging to that organization. Sie sind nur in der Cloud vorhanden.They exist only in the cloud.
      • Windows 10Windows 10
  • eingebunden in Hybrid Azure ADHybrid Azure AD joined
    • Geräte, die in Hybrid Azure AD eingebunden sind, gehören einer Organisation und werden mit einem Azure AD-Konto angemeldet, das zu der Organisation gehört.Devices that are hybrid Azure AD joined are owned by an organization, and are signed in to with an Azure AD account belonging to that organization. Sie sind vorhanden in der Cloud und nutzenThey exist in the cloud and
      • Windows 7, 8.1 oder 10Windows 7, 8.1, or 10
      • Windows Server 2008 oder höherWindows Server 2008 or newer

Auf dem Blatt „Azure AD-Geräte“ angezeigte Geräte

GeräteverwaltungDevice management

Geräte in Azure AD können mithilfe von Tools für die mobile Geräteverwaltung (Mobile Device Management, MDM) wie z. B. Microsoft Intune, System Center Configuration Manager, Gruppenrichtlinie(eingebunden in Hybrid Azure AD), Tools für die Mobile Anwendungsverwaltung (Mobile Application Management, MAM) oder anderen Tools von Drittanbietern verwaltet werden.Devices in Azure AD can be managed using Mobile Device Management (MDM) tools like Microsoft Intune, System Center Configuration Manager, Group Policy (hybrid Azure AD join), Mobile Application Management (MAM) tools, or other third-party tools.

Zugriff auf RessourcenResource access

Die Registrierung und Einbindung ermöglichen Ihren Benutzern nahtloses einmaliges Anmelden (SSO) bei Cloudressourcen und geben Administratoren die Möglichkeit, Richtlinien für bedingten Zugriff auf diese Ressourcen anzuwenden.Registering and joining give your users Seamless Sign-on (SSO) to cloud resources and administrators the ability to apply Conditional Access policies to those resources.

Für Geräte, die in Azure AD oder in Hybrid Azure AD eingebunden sind, kann das einmalige Anmelden für die lokalen Ressourcen sowie die Cloudressourcen Ihrer Organisation genutzt werden.Devices that are Azure AD joined or hybrid Azure AD joined benefit from SSO to your organization's on-premises resources as well as cloud resources. Weitere Informationen finden Sie unter Funktionsweise von SSO für lokale Ressourcen auf in Azure AD eingebundenen Geräten.More information can be found in the article, How SSO to on-premises resources works on Azure AD joined devices.

GerätesicherheitDevice security

  • Bei Azure AD registrierte Geräte nutzen ein vom Endbenutzer verwaltetes Konto. Bei diesem Konto handelt es sich entweder um ein Microsoft-Konto oder um andere lokale Anmeldeinformationen, die durch eines oder mehrere der folgenden Elemente gesichert sind.Azure AD registered devices utilize an account managed by the end user, this account is either a Microsoft account or another locally managed credential secured with one or more of the following.
    • KennwortPassword
    • PINPIN
    • MusterPattern
    • Windows HelloWindows Hello
  • In Azure AD oder in Hybrid Azure AD eingebundene Geräte nutzen ein Organisationskonto in Azure AD, das durch eines oder mehrere der folgenden Elemente gesichert ist.Azure AD joined or hybrid Azure AD joined devices utilize an organizational account in Azure AD secured with one or more of the following.
    • KennwortPassword
    • Windows Hello for BusinessWindows Hello for Business

BereitstellungProvisioning

Die Bereitstellung von Geräten in Azure AD kann im Self-Service-Modus oder über einen von Administratoren gesteuerten Bereitstellungsprozess erfolgen.Getting devices in to Azure AD can be done in a self-service manner or a controlled provisioning process by administrators.

ZusammenfassungSummary

Mit der Geräteidentitätsverwaltung in Azure AD haben Sie folgende Möglichkeiten:With device identity management in Azure AD, you can:

  • Vereinfachen des Prozesses zum Aufnehmen und Verwalten von Geräten in Azure ADSimplify the process of bringing and managing devices in Azure AD
  • Benutzerfreundlicher Zugriff auf die cloudbasierten Ressourcen Ihres Unternehmens für Ihre BenutzerProvide your users with an easy to use access to your organization’s cloud-based resources

LizenzanforderungenLicense requirements

Für die Verwendung dieses Features ist eine Azure AD Premium P1-Lizenz erforderlich.Using this feature requires an Azure AD Premium P1 license. Um die richtige Lizenz für Ihre Anforderungen zu ermitteln, lesen Sie  Vergleich: Allgemein verfügbare Features der Editionen Free, Basic und Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Nächste SchritteNext steps