Zugreifen auf lokale Ressourcen von einem Azure AD verbundenen Gerät in Microsoft 365 BusinessAccess on-premises resources from an Azure AD-joined device in Microsoft 365 Business

Jedes Windows 10-Gerät, das Azure Active Directory beigetreten ist, hat Zugriff auf alle cloudbasierten Ressourcen wie Ihre Office 365-apps und kann von Microsoft 365 Business geschützt werden.Any Windows 10 device that is Azure Active Directory joined has access to all cloud-based resources, such as your Office 365 apps, and can be protected by Microsoft 365 Business. Sie können auch Zugriff auf lokale Ressourcen wie Branchen-apps, Dateifreigaben und Drucker gewähren.You can also allow access to on-premises resources like line of business (LOB) apps, file shares, and printers. Um den Zugriff zuzulassen, verwenden Sie Azure AD Connect , um Ihre lokale Active Directory mit Azure Active Directory zu synchronisieren.To allow access, use Azure AD Connect to synchronize your on-premises Active Directory with Azure Active Directory.

Weitere Informationen finden Sie unter Einführung in die Geräteverwaltung in Azure Active Directory.To learn more, see Introduction to device management in Azure Active Directory. Die Schritte sind auch in den folgenden Abschnitten zusammengefasst.The steps are also summarized in the following sections.

Wichtig

Dieses Verfahren gilt nur für OAuth und NTLM.This procedure is only applicable to OAuth and NTLM. Kerberos wird nicht unterstützt.Kerberos is not supported.

Ausführen Azure AD ConnectRun Azure AD Connect

Führen Sie die folgenden Schritte aus, um die Azure AD verbundenen Geräte Ihrer Organisation für den Zugriff auf lokale Ressourcen zu aktivieren.Complete the following steps to enable your organization's Azure AD joined devices to access on-premises resources.

  1. Führen Sie den Assistenten für die Verzeichnissynchronisierung aus, und Azure AD Connect wie unter Einrichten der Verzeichnissynchronisierung für Office 365beschrieben, um Ihre Benutzer, Gruppen und Kontakte von der lokalen Active Directory in Azure Active Directory zu synchronisieren.To synchronize your users, groups, and contacts from local Active Directory into Azure Active Directory, run the Directory synchronization wizard and Azure AD Connect as described in Set up directory synchronization for Office 365.

  2. Nachdem die Verzeichnissynchronisierung abgeschlossen ist, stellen Sie sicher, dass die Windows 10-Geräte Ihrer Organisation Azure AD verbunden sind.After the directory synchronization is complete, make sure your organization's Windows 10 devices are Azure AD joined. Dieser Schritt wird auf jedem Windows 10-Gerät einzeln ausgeführt.This step is done individually on each Windows 10 device. Weitere Informationen finden Sie unter Einrichten von Windows-Geräten für Microsoft 365 Business-Benutzer .See Set up Windows devices for Microsoft 365 Business users for details.

  3. Nachdem die Windows 10-Geräte Azure AD beigetreten sind, müssen alle Benutzer ihre Geräte neu starten und sich mit Ihren Microsoft 365-Geschäfts Anmeldeinformationen anmelden.Once the Windows 10 devices are Azure AD joined, each user must reboot their devices and sign in with their Microsoft 365 Business credentials. Alle Geräte haben jetzt auch Zugriff auf lokale Ressourcen.All devices now have access to on-premises resources as well.

Es sind keine weiteren Schritte erforderlich, um Zugriff auf lokale Ressourcen für Azure AD verbundene Geräte zu erhalten.No additional steps are required to get access to on-premises resources for Azure AD joined devices. Diese Funktionalität ist in Windows 10 integriert.This functionality is built into Windows 10.

Wenn Sie Pläne zur Anmeldung auf dem AADJ-Gerät als Kenn Wort Methode wie PIN/Bio-Metric über WHFB Credential Login haben und dann auf lokale Ressourcen (Freigaben, Drucker.. usw.), bitte beachten Siehttps://docs.microsoft.com/windows/security/identity-protection/hello-for-business/hello-hybrid-aadj-sso-baseIf you have plans to login to the AADJ device other than password method Like PIN/Bio-metric via WHFB credential login and then access on-premise resources (shares,printers..etc), please follow https://docs.microsoft.com/windows/security/identity-protection/hello-for-business/hello-hybrid-aadj-sso-base

Wenn Ihre Organisation nicht bereit ist, die oben beschriebene Bereitstellung in der Azure AD beigefügten Gerätekonfiguration vorzulegen, sollten Sie die Konfiguration einer hybriden Azure AD verbundenen Gerätekonfigurationin prüfen.If your organization isn't ready to deploy in the Azure AD joined device configuration described above, consider setting up Hybrid Azure AD Joined device configuration.

Überlegungen beim Beitritt von Windows-Geräten zu Azure ADConsiderations when you join Windows devices to Azure AD

Wenn das Windows-Gerät, das Sie Azure-AD beigetreten sind, zuvor einer Domäne beigetreten war oder sich in einer Arbeitsgruppe befand, sollten Sie die folgenden Einschränkungen in Frage stellen:If the Windows device that you Azure-AD joined was previously domain-joined or in a workgroup, consider the following limitations:

  • Wenn ein Gerät Azure AD Beitritt, wird ein neuer Benutzer erstellt, ohne auf ein vorhandenes Profil zu verweisen.When a device Azure AD joins, it creates a new user without referencing an existing profile. Profile müssen manuell migriert werden.Profiles must be manually migrated. Ein Benutzerprofil enthält Informationen wie Favoriten, lokale Dateien, Browsereinstellungen und Start Menü Einstellungen.A user profile contains information like favorites, local files, browser settings, and Start menu settings. Ein optimaler Ansatz besteht darin, ein Drittanbietertool zu finden, um vorhandene Dateien und Einstellungen dem neuen Profil zuzuordnen.A best approach is to find a third-party tool to map existing files and settings to the new profile.

  • Wenn das Gerät Gruppenrichtlinienobjekte (Group Policy Objects, GPO) verwendet, verfügen einige GPOs möglicherweise nicht über einen vergleichbaren Configuration Service Provider (CSP) in InTune.If the device is using Group Policy Objects (GPO), some GPOs may not have a comparable Configuration Service Provider (CSP) in Intune. Führen Sie das FMAT-Tool aus, um vergleichbare Kryptografiedienstanbieter für vorhandene GPOs zu finden.Run the MMAT tool to find comparable CSPs for existing GPOs.

  • Benutzer können sich nicht bei Anwendungen authentifizieren, die von der Active Directory-Authentifizierung abhängen.Users won't be able to authenticate to applications that depend on Active Directory authentication. Bewerten Sie die Legacy-APP, und aktualisieren Sie diese in einer APP, die eine moderne Authentifizierung verwendet, wenn möglich.Evaluate the legacy app and consider updating to an app that uses modern Auth, if possible.

  • Active Directory Druckersuche funktioniert nicht.Active Directory printer discovery won't work. Sie können direkte Druckerpfade für alle Benutzer bereitstellen oder Hybrid Cloud Printverwenden.You can provide direct printer paths for all users or use Hybrid Cloud Print.