Worum handelt es sich bei der Geräteverwaltung in Azure Active Directory?What is device management in Azure Active Directory?

In einer Welt, in der Mobilität und die Cloud an erster Stelle stehen, ermöglicht Azure Active Directory (Azure AD) das einmalige Anmelden an Geräten, Apps und Diensten an jedem Ort.In a mobile-first, cloud-first world, Azure Active Directory (Azure AD) enables single sign-on to devices, apps, and services from anywhere. Aufgrund der steigenden Zahl von Geräten, etwa in Form von „Bring Your Own Device“ (BYOD), gelten für IT-Spezialisten zwei gegensätzliche Zielsetzungen:With the proliferation of devices - including Bring Your Own Device (BYOD), IT professionals are faced with two opposing goals:

  • Schaffen von Bedingungen für Endbenutzer, unter denen sie an jedem Ort und zu jeder Zeit produktiv sein könnenEmpower the end users to be productive wherever and whenever
  • Lückenloses Schützen der Assets eines UnternehmensProtect the corporate assets at any time

Über Geräte erhalten Ihre Benutzer Zugriff auf Ihre Unternehmensressourcen.Through devices, your users are getting access to your corporate assets. Zum Schutz der Unternehmensressourcen möchten Sie als IT-Administrator Kontrolle über diese Geräte haben.To protect your corporate assets, as an IT administrator, you want to have control over these devices. So können Sie sicherstellen, dass Ihre Benutzer auf Ihre Ressourcen über Geräte zugreifen, die Ihren Standards für Sicherheit und Konformität entsprechen.This enables you to make sure that your users are accessing your resources from devices that meet your standards for security and compliance.

Die Geräteverwaltung stellt zudem die Grundlage für gerätebasierten bedingten Zugriff dar.Device management is also the foundation for device-based conditional access. Mit dem gerätebasierten bedingten Zugriff können Sie sicherstellen, dass nur mit verwalteten Geräten auf Ressourcen in Ihrer Umgebung zugegriffen werden kann.With device-based conditional access, you can ensure that access to resources in your environment is only possible with managed devices.

In diesem Artikel wird erläutert, wie die Geräteverwaltung in Azure Active Directory funktioniert.This article explains how device management in Azure Active Directory works.

Steuern der Geräte über Azure ADGetting devices under the control of Azure AD

Um ein Gerät über Azure AD zu steuern, haben Sie zwei Möglichkeiten:To get a device under the control of Azure AD, you have two options:

  • RegistrierenRegistering
  • EinbindenJoining

Durch Registrieren eines Geräts bei Azure AD können Sie die Identität des Geräts verwalten.Registering a device to Azure AD enables you to manage a device’s identity. Wenn ein Gerät registriert wird, stellt Azure AD Device Registration eine Identität für das Gerät bereit, die bei der Anmeldung eines Benutzers bei Azure AD zum Authentifizieren des Geräts dient.When a device is registered, Azure AD device registration provides the device with an identity that is used to authenticate the device when a user signs-in to Azure AD. Sie können die Identität zum Aktivieren oder Deaktivieren eines Geräts verwenden.You can use the identity to enable or disable a device.

In Kombination mit einer Lösung für die Verwaltung mobiler Geräte, wie z.B. Microsoft Intune, werden die Geräteattribute in Azure AD mit zusätzlichen Informationen über das Gerät aktualisiert.When combined with a mobile device management(MDM) solution such as Microsoft Intune, the device attributes in Azure AD are updated with additional information about the device. So können Sie Regeln für den bedingten Zugriff erstellen, die erzwingen, dass der Zugriff von Geräten Ihren Standards für Sicherheit und Kompatibilität entspricht.This allows you to create conditional access rules that enforce access from devices to meet your standards for security and compliance. Weitere Informationen zum Registrieren von Geräten in Microsoft Intune finden Sie unter Was ist die Geräteregistrierung?.For more information on enrolling devices in Microsoft Intune, see What is device enrollment?

Das Einbinden eines Geräts stellt eine Erweiterung der Registrierung eines Geräts dar.Joining a device is an extension to registering a device. Das bedeutet, Sie profitieren von allen Vorteilen der Registrierung eines Geräts, und darüber hinaus wird der lokale Status des Geräts geändert.This means, it provides you with all the benefits of registering a device and in addition to this, it also changes the local state of a device. Durch Änderung des lokalen Status können sich Ihre Benutzer an einem Gerät anstatt mit einem persönlichen Konto mit einem Geschäfts-, Schul- oder Unikonto anmelden.Changing the local state enables your users to sign-in to a device using an organizational work or school account instead of a personal account.

Bei Azure AD registrierte GeräteAzure AD registered devices

Ziel von bei Azure AD registrierten Geräten ist die Bereitstellung der Unterstützung für das Bring Your Own Device (BYOD)-Szenario.The goal of Azure AD registered devices is to provide you with support for the Bring Your Own Device (BYOD) scenario. In diesem Szenario kann ein Benutzer auf die über Azure Active Directory gesteuerten Ressourcen Ihres Unternehmens über ein persönliches Gerät zugreifen.In this scenario, a user can access your organization’s Azure Active Directory controlled resources using a personal device.

Bei Azure AD registrierte Geräte

Der Zugriff basiert auf einem Geschäfts-, Schul- oder Unikonto, das auf dem Gerät eingegeben wurde.The access is based on a work or school account that has been entered on the device.
Unter Windows 10 können Benutzer beispielsweise ein Geschäfts-, Schul- oder Unikonto auf einem Personalcomputer, Tablet oder Telefon hinzufügen.For example, Windows 10 enables users to add a work or school account to a personal computer, tablet, or phone.
Wenn ein Benutzer ein Geschäfts-, Schul- oder Unikonto hinzugefügt hat, ist das Gerät in Azure AD und optional in dem von Ihrem Unternehmen konfigurierten System für die Verwaltung mobiler Geräte registriert.When a user has added a work or school account, the device is registered with Azure AD and optionally enrolled in the mobile device management (MDM) system that your organization has configured. Benutzer Ihres Unternehmens können einem persönlichen Gerät einfach ein Geschäfts-, Schul- oder Unikonto hinzufügen:Your organization’s users can add a work or school account to a personal device conveniently:

  • Beim erstmaligen Zugriff auf eine UnternehmensanwendungWhen accessing a work application for the first time
  • Manuell über das Menü Einstellungen unter Windows 10Manually via the Settings menu in the case of Windows 10

Sie können bei Azure AD registrierte Geräte für Windows 10, iOS, Android und macOS konfigurieren.You can configure Azure AD registered devices for Windows 10, iOS, Android and macOS.

In Azure AD eingebundene GeräteAzure AD joined devices

Ziel von in Azure AD eingebundenen Geräten ist die Vereinfachung folgender Elemente:The goal of Azure AD joined devices is to simplify:

  • Windows-Bereitstellungen unternehmenseigener GeräteWindows deployments of work-owned devices
  • Zugriff auf Unternehmens-Apps und Unternehmensressourcen über jegliche Windows-GeräteAccess to organizational apps and resources from any Windows device
  • Cloudbasierte Verwaltung von unternehmenseigenen GerätenCloud-based management of work-owned devices

Bei Azure AD registrierte Geräte

Azure AD Join kann mit einer der folgenden Methoden bereitgestellt werden:Azure AD Join can be deployed by using any of the following methods:

Azure AD Join ist für Organisationen gedacht, die in erster Linie Clouddienste verwenden und die lokale Infrastruktur reduzieren möchten, oder solche, die über gar keine lokale Infrastruktur verfügen.Azure AD Join is intended for organizations that want to be cloud-first (that is, primarily use cloud services, with a goal to reduce use of an on-premises infrastructure) or cloud-only (no on-premises infrastructure). Es gibt keine Einschränkung bezüglich der Größe oder dem Typ von Organisationen, die Azure AD Join bereitstellen können.There are no restrictions on the size or type of organizations that can deploy Azure AD Join. Azure AD Join funktioniert auch in einer Hybridumgebung gut, da es den Zugriff auf Apps und Ressourcen ermöglicht, egal ob in der Cloud oder vor Ort.Azure AD Join works well even in a hybrid environment, enabling access to both cloud and on-premises apps and resources.

Die Implementierung von in Azure AD eingebundenen Geräten bietet die folgenden Vorteile:Implementing Azure AD joined devices provides you with the following benefits:

  • Einmaliges Anmelden (SSO) bei Ihren in Azure verwalteten SaaS-Apps und -Diensten.Single-Sign-On (SSO) to your Azure managed SaaS apps and services. Für Benutzer werden beim Zugriff auf Arbeitsressourcen keine zusätzlichen Authentifizierungsaufforderungen angezeigt.Your users don’t see additional authentication prompts when accessing work resources. Die SSO-Funktionalität ist auch dann verfügbar, wenn Ihre Benutzer nicht mit dem Domänennetzwerk verbunden sind.The SSO functionality is available, even when your users are not connected to the domain network.

  • Für Unternehmen geeignetes Roaming von Benutzereinstellungen auf allen eingebundenen Geräten.Enterprise compliant roaming of user settings across joined devices. Benutzer müssen keine Verbindung mit einem Microsoft-Konto (z.B. Hotmail) herstellen, um geräteübergreifende Einstellungen zu sehen.Users don’t need to connect a Microsoft account (for example, Hotmail) to see settings across devices.

  • Zugriff auf Windows Store für Unternehmen über ein Azure AD-Konto.Access to Windows Store for Business using an Azure AD account. Ihre Benutzer können aus einem Bestand von durch das Unternehmen vorausgewählten Anwendungen auswählen.Your users can choose from an inventory of applications pre-selected by the organization.

  • Unterstützung von Windows Hello für einen sicheren und komfortablen Zugriff auf Arbeitsressourcen.Windows Hello support for secure and convenient access to work resources.

  • Einschränkung des Zugriffs auf Apps nur über die Geräte, die die Konformitätsrichtlinie erfüllen.Restriction of access to apps from only devices that meet compliance policy.

  • Nahtloser Zugriff auf lokale Ressourcen, wenn das Gerät über Sichtverbindung mit dem lokalen Domänencontroller verfügt.Seamless access to on-premises resources when the device has line of sight to the on-premises domain controller.

Azure AD Join ist zwar hauptsächlich für Unternehmen vorgesehen, die über keine lokale Windows Server Active Directory-Infrastruktur verfügen, kann aber auch in folgenden Szenarios verwendet werden:While Azure AD join is primarily intended for organizations that do not have an on-premises Windows Server Active Directory infrastructure, you can certainly use it in scenarios where:

  • Sie möchten mit Azure AD und einer Lösung für die Verwaltung mobiler Geräte wie Intune zu einer cloudbasierten Infrastruktur wechseln.You want to transition to cloud-based infrastructure using Azure AD and MDM like Intune.

  • Sie können keinen lokalen Domänenbeitritt verwenden, z.B. wenn Sie mobile Geräte wie Tablets und Telefone steuern möchten.You can’t use an on-premises domain join, for example, if you need to get mobile devices such as tablets and phones under control.

  • Benutzer müssen hauptsächlich auf Office 365 oder andere in Azure AD integrierte SaaS-Apps zugreifen.Your users primarily need to access Office 365 or other SaaS apps integrated with Azure AD.

  • Sie möchten eine Gruppe von Benutzern in Azure AD anstatt in Active Directory verwalten.You want to manage a group of users in Azure AD instead of in Active Directory. Dies können z.B. Saisonkräfte, Auftragnehmer oder Studenten sein.This can apply, for example, to seasonal workers, contractors, or students.

  • Sie möchten Beitrittsfunktionen für Mitarbeiter in entfernten Niederlassungen mit eingeschränkter lokaler Infrastruktur bereitstellen.You want to provide joining capabilities to workers in remote branch offices with limited on-premises infrastructure.

Sie können in Azure AD eingebundene Geräte für Windows 10-Geräte konfigurieren.You can configure Azure AD joined devices for Windows 10 devices.

In Azure AD eingebundene HybridgeräteHybrid Azure AD joined devices

Seit über zehn Jahren verwenden viele Unternehmen den Domänenbeitritt für das lokale Active Directory, um Folgendes zu ermöglichen:For more than a decade, many organizations have used the domain join to their on-premises Active Directory to enable:

  • Verwaltung unternehmenseigener Geräte über einen zentralen Ort für IT-AbteilungenIT departments to manage work-owned devices from a central location.

  • Anmeldung von Benutzern bei Geräten mit ihrem Geschäfts-, Schul- oder Unikonto in Active DirectoryUsers to sign in to their devices with their Active Directory work or school accounts.

Unternehmen mit einem lokalen Fußabdruck nutzen normalerweise Verfahren für die Imageerstellung, um Geräte bereitzustellen, und häufig System Center Configuration Manager (SCCM) oder Gruppenrichtlinien für die Verwaltung der Geräte.Typically, organizations with an on-premises footprint rely on imaging methods to provision devices, and they often use System Center Configuration Manager (SCCM) or group policy (GP) to manage them.

Wenn Ihre Umgebung über einen lokalen AD-Fußabdruck verfügt und Sie zudem die Funktionen von Azure Active Directory nutzen möchten, können Sie in Azure AD eingebundene Hybridgeräte implementieren.If your environment has an on-premises AD footprint and you also want benefit from the capabilities provided by Azure Active Directory, you can implement hybrid Azure AD joined devices. Hierbei handelt es sich um Geräte, die in Ihre lokale Active Directory-Instanz eingebunden und dafür registriert sind.These are devices that are joined to your on-premises Active Directory and registered with your Azure Active Directory.

Bei Azure AD registrierte Geräte

Verwenden Sie in Azure AD eingebundene Hybridgeräte in folgenden Fällen:You should use Azure AD hybrid joined devices if:

  • Auf den Geräten sind Win32-Apps bereitgestellt, die die Active Directory-Authentifizierung für Computer benötigen.You have Win32 apps deployed to these devices that rely on Active Directory machine authentication.

  • Sie benötigen Gruppenrichtlinien, um Geräte zu verwalten.You require GP to manage devices.

  • Sie möchten weiterhin Lösungen für die Imageerstellung verwenden, um Geräte für Ihre Mitarbeiter zu konfigurieren.You want to continue to use imaging solutions to configure devices for your employees.

Sie können in Azure AD eingebundene Hybridgeräte für Windows 10-Geräte und kompatible Geräte, z.B. mit Windows 8 und Windows 7, konfigurieren.You can configure Hybrid Azure AD joined devices for Windows 10 and down-level devices such as Windows 8 and Windows 7.

ZusammenfassungSummary

Mit der Geräteverwaltung in Azure AD haben Sie folgende Möglichkeiten:With device management in Azure AD, you can:

  • Vereinfachen des Prozesses zum Steuern von Geräten über Azure ADSimplify the process of bringing devices under the control of Azure AD

  • Benutzerfreundlicher Zugriff auf die cloudbasierten Ressourcen Ihres Unternehmens für Ihre BenutzerProvide your users with an easy to use access to your organization’s cloud-based resources

Als Faustregel sollten Sie Folgendes verwenden:As a rule of a thumb, you should use:

  • Bei Azure AD registrierte Geräte:Azure AD registered devices:

    • Für persönliche GeräteFor personal devices

    • Manuelles Registrieren von Geräten für Azure ADTo manually register devices with Azure AD

  • In Azure AD eingebundene Geräte:Azure AD joined devices:

    • Für Geräte, die im Besitz Ihrer Organisation sindFor devices that are owned by your organization

    • Für Geräte, die nicht in eine lokale AD-Instanz eingebunden sindFor devices that are not joined to an on-premises AD

    • Manuelles Registrieren von Geräten für Azure ADTo manually register devices with Azure AD

    • Ändern des lokalen Status eines GerätsTo change the local state of a device

  • In Azure AD eingebundene Hybridgeräte für Geräte, die in ein lokales AD eingebunden sindHybrid Azure AD joined devices for devices that are joined to an on-premises AD

    • Für Geräte, die im Besitz Ihrer Organisation sindFor devices that are owned by your organization

    • Für Geräte, die in eine lokale AD-Instanz eingebunden sindFor devices that are joined to an on-premises AD

    • Automatisches Registrieren von Geräten für Azure ADTo automatically register devices with Azure AD

    • Ändern des lokalen Status eines GerätsTo change the local state of a device

Nächste SchritteNext steps