Tags: Azure, Active Directory, Synchronisierung
Die Mitgliedschaft von Geräten und Benutzern im Azure Active Directory ist praktisch immer eine Bedingung, um Cloud- und Hybrid-Dienste von Microsoft nutzen zu können. Dafür bietet der Verzeichnisdienst mehrere Optionen. Für Clients, die Mitglied in einer lokalen AD-Domäne sind, bietet sich ein Hybrid Join an.
Wenn man PCs mit Windows 10/11 sowie Geräte unter iOS bzw. macOS sowie Android-Clients im Azure AD bekannt machen will, dann stehen für den Gerätestatus die folgenden drei Varianten zur Auswahl.
Join-Typ | Bedingung | Auslöser |
---|---|---|
AzureADRegistered | Windows 10/11 - Domain-Mitgliedschaft spielt keine Rolle | Durch Benutzer |
AzureADJoined | Windows 10 /11 - ist nur für reine AAD-Mitglieder relevant (Cloud) | Durch Benutzer |
AzureADHybridJoined | Windows 10/11 - trifft nur für AD DS-Member zu (Hybrid) | automatisiert |
Nur der Azure AD Hybrid Join erfolgt als automatisierter Prozess, und zwar dann, wenn das Gerät ein Mitglied der lokalen Domäne ist, Azure AD Connect entsprechend konfiguriert wurde und der Nutzer sich auf diesem Gerät bei einem Cloud-Dienst von Microsoft anmeldet.
Folgende Abbildung zeigt alle drei Gerätestatus im Azure AD, die Übersicht enthält auch Android-Geräte.
Der Abbildung können Sie außerdem entnehmen, dass nur Geräte des Typs Azure AD registered einen Besitzer haben. Bei Clients vom Typ Hybrid Azure AD joined spielt der Owner keine Rolle und Geräte vom Typ Azure AD joined haben keinen Besitzer.
Der Status Azure AD joined gilt nur für virtuelle Computer in der Cloud, etwa für eine Windows-10-VM mit Lizenz für das mehrinstanzfähige Hosting, beispielsweise in einer VDI-Umgebung wie Azure Virtual Desktop (AVD).
Das Aktivieren der Option Login with Azure AD bei der Bereitstellung versieht die VM mit einer verwalteten Identität im Azure Active Directory.
Hybrid Join über Azure AD Connect
Der Hybrid Join wird im Wizard für Azure AD Connect konfiguriert (siehe dazu: Azure AD Connect einrichten). Nach erfolgreicher Installation des Tools klicken Sie im Dialog Weitere Aufgaben auf Geräteoptionen konfigurieren.
Hier können Sie sowohl die Azure-AD-Hybrid-Einbindung als auch das Gerätezurückschreiben einrichten.
Nach dem Klick auf Weiter melden Sie sich mit einem Azure-AD-Konto an, das die Rechte eines globalen Administrators hat, und aktivieren die Option Hybrid-Azure AD-Einbindung konfigurieren.
Im nächsten Schritt wählen Sie die Option In die Domäne eingebundene Geräte mit Windows 10 oder höher und fügen anschließend die lokale AD DS-Domäne mit Hilfe eines Enterprise-Admins hinzu, um damit den so genannten Service Connection Point (SCP) zu konfigurieren. Mit diesem ermitteln die Geräte die Informationen zum Azure-AD-Tenant.
Befinden sich Ihre Geräte in verschiedenen Gesamtstrukturen, dann braucht jede davon einen SCP. Sind Sie nicht im Besitz eines Unternehmenskontos für die Gesamtstruktur, dann können Sie mit dem PowerShell-Script ConfigureSCP.ps1 den SCP offline einrichten.
Außerdem müssen Sie in der allgemeinen Konfiguration von Azure AD Connect dafür sorgen, dass die Container mit den gewünschten Computer-Konten synchronisiert werden.
Sollten die vorgesehenen Clients anschließend nicht in der Geräteregistrierung des Azure AD auftauchen, den Status Pending Registration aufweisen oder nur als Azure AD registered erscheinen, dann müssen Sie Ursachenforschung betreiben. Einen ersten Anhaltspunkt liefert
dsregcmd /status
Damit können Sie verifizieren, ob das betreffende Gerät sowohl dem AD DS als auch dem AAD beigetreten ist. Solange das Onboarding bei Intune noch nicht erfolgt ist, werden noch keine MDMUrl, MDMToUrl und MdmComplianceUrl angezeigt.
Microsoft liefert in seiner Dokumentation zu Azure AD Connect zahlreiche Anhaltspunkte zur Fehlersuche, und auch auf Youtube findet man Anleitungen. So müssen von der betreffenden Maschine unter anderem die folgenden URLs erreichbar sein:
- https://enterpriseregistration.windows.net
- https://login.microsoftonline.com
- https://device.login.microsoftonline.com
- https://autologon.microsoftazuread-sso.com (Wenn Sie nahtloses einmaliges Anmelden verwenden oder verwenden möchten.)
- Sicherheitstokendienst (STS) Ihrer Organisation (für Verbunddomänen)
In der Regel wird der SCP aber von Windows 10 und 11 selbständig ausgewertet, so dass diese Clients automatisch einen Hybrid Join ausführen. Möchten Sie den Prozess selber steuern, dann können Sie den SCP auch löschen und die Einstellung per Gruppenrichtlinie an die Clients verteilen.
Sobald ihr Client erfolgreich AzureAD Hybrid Joined ist, lässt er sich in Intune ausrollen. Sie können das über eine Gruppenrichtlinie Automatische MDM-Registrierung mit standardmäßigen Azure-AD-Anmeldeinformationen aktivieren erzwingen.
Alternativ steht dafür auch der Windows Autopilot zur Verfügung.
Fazit
Unter den verschiedenen Möglichkeiten, mit Geräten dem Azure AD beizutreten, ist der Hybrid Join der einzige, der sich automatisch und ohne Einbindung des Benutzers realisieren lässt. Er eignet sich nur für Endgeräte, die Mitglied in einer lokalen Domäne sind und damit dem Unternehmen selbst gehören.
Als Tool für den Hybrid Join sieht Microsoft Azure AD Connect vor, das die Computer-Konten aus den on-prem AD DS nach Azure AD synchronisiert. Der Vorgang selbst lässt sich relativ einfach umsetzen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Seine Themenschwerpunkte sind Virtualisierung und Cloud Computing, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zertifizierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas ist außerdem zertifizierter AWS Solutions Architect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Administrator.
Thomas führt aktuell jeden zweiten Montag einen 4-tägigen Grundlagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Informationen und Anmeldung über sein AWS-Blog.
Ähnliche Beiträge
- Passwortänderungen und Kennwortschutz von Azure AD in das lokale Active Directory zurückschreiben
- Azure AD Connect 2.1.15.0: Automatische Updates, Aus für Admin Agent, Sync für zusätzliche Attribute
- Azure AD Connect einrichten
- SSO für lokale Active Directory-Konten beim Zugriff auf die Microsoft-Cloud konfigurieren
- AAD Connect mit Export und Re-Import der Konfiguration wiederherstellen
Weitere Links