Wenn Sie die Funktionen des lokalen Active Directory (AD) verwenden und auch die Funktionen von Azure AD wie bedingten Zugriff, Single Sign-On (SSO) und mehr nutzen möchten, ist dieser Artikel genau das Richtige für Sie. In diesem Artikel erfahren Sie, wie Sie eine Funktion einrichten, die von Microsoft als Hybrid Azure AD Join bezeichnet wird.
Was ist Hybrid Azure AD Join?
Kurz gesagt handelt es sich bei Hybrid Azure AD Join um einen Modus, der es Ihnen ermöglicht, Geräte sowohl über traditionelle lokale AD-Tools zu verwalten als auch diese bei Azure AD zu registrieren. Weitere Informationen finden Sie in der Microsoft-Dokumentation zu Geräten, die Hybrid Azure AD Join verwenden.
Voraussetzungen
Es gibt viele Anforderungen und Voraussetzungen, die Sie erfüllen müssen, bevor Sie mit der Konfiguration von Hybrid Azure AD-Geräten beginnen können. Stellen Sie vor Beginn der in diesem Artikel beschriebenen Schritte sicher, dass Sie Folgendes erfüllen oder besitzen:
- Die Geräte müssen ein unterstütztes aktuelles Windows-Gerät sein (Windows 10 1809 oder höher oder Windows Server 2016 und höher)
- Ein mit dem lokalen AD verbundenes Windows 10-Gerät
- Internetverbindung auf dem Windows-Gerät (enterpriseregistration.windows.net:443, login.microsoftonline.com:443 und device.login.microsoftonline.com:443)
- On-prem AD muss mit Azure AD zu nur einem Azure AD-Mandanten synchronisiert werden. Beide Domänen für alle Beispiele in diesem Artikel werden als adamtheautomator.com bezeichnet. Wenn Sie mehrere Azure AD-Mandanten synchronisieren möchten, verwenden Sie GPO anstelle von SCP.
- Sie müssen Ihr globales Administratorkonto für Azure AD kennen. Das Beispiel in diesem Artikel verwendet den Kontonamen adam.
- Sie müssen ein Unternehmensadministrator-Konto für das lokale AD kennen. Das Beispiel in diesem Artikel verwendet den Kontonamen [email protected].
- Sie haben Azure AD Connect 1.1.819.0 auf dem Mitgliedsserver installiert und mit Azure AD synchronisiert
Alle Beispiele in diesem Artikel verwenden eine lokale AD-Domäne namens adamtheautomator.com mit einem synchronisierten Azure AD mit demselben Namen.
Für eine vollständige Liste der Voraussetzungen siehe das Planen der hybriden Azure Active Directory-Beitrittsimplementierung Microsoft-Dokument.
Konfiguration von Azure AD Connect
Der erste Schritt zur Einrichtung von Hybrid Azure AD-verbundenen Geräten besteht darin, Azure AD Connect zu konfigurieren. Hier richten Sie den Azure AD-Synchronisierungsprozess so ein, dass er den von Ihnen beabsichtigten Hybridmodus berücksichtigt.
Um die Dinge einzurichten, öffnen Sie zuerst Azure AD Connect und klicken Sie auf Konfigurieren.
Im nächsten Bildschirm klicken Sie auf Geräteoptionen konfigurieren und dann auf Weiter.
Geben Sie Ihre globalen Administratoranmeldeinformationen für Azure AD ein und klicken Sie auf Weiter.
Klicken Sie auf Hybrid Azure AD-Join konfigurieren und dann auf Weiter.
Auf der Seite Betriebssysteme des Geräts wählen Sie aus, welche Arten von Geräten Sie an Bord holen möchten. In diesem Artikel werden wir nur aktuelle Geräte (Windows 10) an Bord holen. Wählen Sie Windows 10 oder neuere domänenbeigetretene Geräte und klicken Sie auf Weiter.
Für Informationen zur Konfiguration von Windows-Downlevel-Geräten (Windows 8.1+ und Windows Server 2008 R2+), siehe die Anleitung zum Konfigurieren des hybriden Azure Active Directory-Joins für verwaltete Domänen im Microsoft-Dokument.
Sie werden nun den Dienstverbindungspunkt (SCP) in Azure erstellen, um Ihren Geräten zu ermöglichen, Informationen des Azure AD-Mandanten zu lesen. Überprüfen Sie Ihren Forstnamen unter Forst, wählen Sie Azure Active Directory als den Authentifizierungsdienst und klicken Sie dann auf Hinzufügen, um Anmeldeinformationen für Ihr lokales Unternehmensadministratorkonto bereitzustellen. Wenn Sie fertig sind, klicken Sie auf Weiter.
Auf dem nächsten Bildschirm klicken Sie auf Konfigurieren, um den Vorgang zu starten. Alles sollte nur wenige Sekunden dauern.
Wenn der Vorgang abgeschlossen ist, werden Sie aufgefordert, einige zusätzliche Schritte zu konfigurieren. Klicken Sie auf Beenden, wenn Sie fertig sind.
Bestätigung des Azure AD-Beitrittsstatus
Nachdem Sie Azure AD Connect konfiguriert haben, sollten Sie nun überprüfen, ob sich Ihre Bemühungen tatsächlich ausgezahlt haben! Glücklicherweise sollten alle Windows 10-Geräte automatisch irgendwann hybride AD-beigetreten sein, aber für das erste Gerät sollten Sie dies bestätigen.
Überprüfung auf Clientseite
Um die Registrierung des Windows 10-Geräts zu bestätigen, starten Sie eines davon neu. Nachdem es wieder hochgefahren ist, stellen Sie eine Verbindung dazu her, entweder remote oder an der Konsole, und gelangen Sie zu einer Eingabeaufforderung. Geben Sie in der Eingabeaufforderung dsregcmd /status ein. Wenn Sie unter Gerätestatus AzureADJoined: YES sehen, ist alles in Ordnung.
Wenn das Gerät noch nicht als Azure AD-beigetreten angezeigt wird, liegt dies möglicherweise daran, dass das Computerobjekt noch nicht mit Azure AD synchronisiert wurde. Sie können versuchen, eine Registrierung zu erzwingen, indem Sie dsregcmd /join ausführen und den Status erneut überprüfen.
Wenn Sie immer noch nicht sehen, dass das Gerät zu Azure AD hinzugefügt wurde, möchten Sie vielleicht diesen Problembehandlungsleitfaden überprüfen. Sie können auch dieses PowerShell-Skript herunterladen, um auf dem Gerät viele gängige Tests durchzuführen.
Überprüfung auf der Azure-Seite
Nachdem Sie bestätigt haben, dass der Windows 10-Client angibt, dass er verbunden ist, sollten Sie auch auf der Azure-Seite überprüfen. Navigieren Sie dazu zum Geräte-Blade in Ihrem Azure AD-Mandanten. Hier sollten Sie sehen, dass der VERBINDUNGSTYP Hybrid Azure AD verbunden ist und dass REGISTRIERT einen aktuellen Zeitstempel für das Windows 10-Gerät hat.
Wenn Sie Geräte sehen, die als „Registriert“ und „Hybrid Azure AD verbunden“ angezeigt werden, stellen Sie möglicherweise fest, dass AAD-Bedingter Zugriff (CA)-Regeln mit den „Registriert“-Einträgen nicht korrekt funktionieren. Um dies zu beheben, aktualisieren Sie alle Geräte auf Windows 10 1903. Möglicherweise müssen Sie auch alle „Registriert“-Einträge mit einem Skript entfernen.
Nachdem Sie bestätigt haben, dass Ihre Test-Windows 10-Maschine registriert und als Hybrid Azure AD verbunden ist, sollten alle anderen aktuellen Geräte im AD automatisch mit der Registrierung beginnen.
Wenn ein Benutzer am verbundenen Client angemeldet ist, muss er sich abmelden und erneut anmelden, um einen primären Auffrischungstoken zu erhalten.
Zusammenfassung
Sobald konfiguriert, melden sich Geräte, die im hybriden Azure AD-Join-Modell verbunden sind, automatisch an. Nachdem Sie alle erforderlichen Schritte in diesem Artikel durchgeführt haben, ist der Großteil der Arbeit für Sie erledigt. An diesem Punkt können Sie beginnen, die verschiedenen Dienste zu nutzen, die Azure AD bietet, um alle Ihre domänengebundenen Geräte zu verwalten.