Geräte über Hybrid Join in Azure AD registrieren

    , 03.02.2023
    Tags: , ,

    Azure Active Directory (Azure AD, AAD)Die Mitgliedschaft von Geräten und Benutzern im Azure Active Directory ist praktisch immer eine Bedingung, um Cloud- und Hybrid-Dienste von Microsoft nutzen zu können. Dafür bietet der Verzeichnisdienst mehrere Optionen. Für Clients, die Mitglied in einer lokalen AD-Domäne sind, bietet sich ein Hybrid Join an.

    Wenn man PCs mit Windows 10/11 sowie Geräte unter iOS bzw. macOS sowie Android-Clients im Azure AD bekannt machen will, dann stehen für den Gerätestatus die folgenden drei Varianten zur Auswahl.

    Join-Typ Bedingung Auslöser
    AzureADRegistered Windows 10/11 - Domain-Mitgliedschaft spielt keine Rolle Durch Benutzer
    AzureADJoined Windows 10 /11 - ist nur für reine AAD-Mitglieder relevant (Cloud) Durch Benutzer
    AzureADHybridJoined Windows 10/11 - trifft nur für AD DS-Member zu (Hybrid) automatisiert

    Nur der Azure AD Hybrid Join erfolgt als automatisierter Prozess, und zwar dann, wenn das Gerät ein Mitglied der lokalen Domäne ist, Azure AD Connect entsprechend konfiguriert wurde und der Nutzer sich auf diesem Gerät bei einem Cloud-Dienst von Microsoft anmeldet.

    Folgende Abbildung zeigt alle drei Gerätestatus im Azure AD, die Übersicht enthält auch Android-Geräte.

    Der Gerätestatus im Azure AD

    Der Abbildung können Sie außerdem entnehmen, dass nur Geräte des Typs Azure AD registered einen Besitzer haben. Bei Clients vom Typ Hybrid Azure AD joined spielt der Owner keine Rolle und Geräte vom Typ Azure AD joined haben keinen Besitzer.

    Der Status Azure AD joined gilt nur für virtuelle Computer in der Cloud, etwa für eine Windows-10-VM mit Lizenz für das mehrinstanzfähige Hosting, beispielsweise in einer VDI-Umgebung wie Azure Virtual Desktop (AVD).

    Das Aktivieren der Option Login with Azure AD bei der Bereitstellung versieht die VM mit einer verwalteten Identität im Azure Active Directory.

    Eine Azure-VM mit Anmeldeinformationen für Azure AD

    Hybrid Join über Azure AD Connect

    Der Hybrid Join wird im Wizard für Azure AD Connect konfiguriert (siehe dazu: Azure AD Connect einrichten). Nach erfolgreicher Installation des Tools klicken Sie im Dialog Weitere Aufgaben auf Geräteoptionen konfigurieren.

    Hier können Sie sowohl die Azure-AD-Hybrid-Einbindung als auch das Geräte­zurück­schreiben einrichten.

    Hybrid-Join in Azure AD Connect einrichten

    Nach dem Klick auf Weiter melden Sie sich mit einem Azure-AD-Konto an, das die Rechte eines globalen Administrators hat, und aktivieren die Option Hybrid-Azure AD-Einbindung konfigurieren.

    Die Geräteoptionen im Azure AD

    Im nächsten Schritt wählen Sie die Option In die Domäne eingebundene Geräte mit Windows 10 oder höher und fügen anschließend die lokale AD DS-Domäne mit Hilfe eines Enterprise-Admins hinzu, um damit den so genannten Service Connection Point (SCP) zu konfigurieren. Mit diesem ermitteln die Geräte die Informationen zum Azure-AD-Tenant.

    Befinden sich Ihre Geräte in verschiedenen Gesamtstrukturen, dann braucht jede davon einen SCP. Sind Sie nicht im Besitz eines Unternehmens­kontos für die Gesamtstruktur, dann können Sie mit dem PowerShell-Script ConfigureSCP.ps1 den SCP offline einrichten.

    Die SCP-Konfiguration für den Hybrid-Join

    Außerdem müssen Sie in der allgemeinen Konfiguration von Azure AD Connect dafür sorgen, dass die Container mit den gewünschten Computer-Konten synchronisiert werden.

    Synchronisierung von Computer-Konten veranlassen

    Sollten die vorgesehenen Clients anschließend nicht in der Geräteregistrierung des Azure AD auftauchen, den Status Pending Registration aufweisen oder nur als Azure AD registered erscheinen, dann müssen Sie Ursachen­forschung betreiben. Einen ersten Anhaltspunkt liefert

    dsregcmd /status

    Damit können Sie verifizieren, ob das betreffende Gerät sowohl dem AD DS als auch dem AAD beigetreten ist. Solange das Onboarding bei Intune noch nicht erfolgt ist, werden noch keine MDMUrl, MDMToUrl und MdmComplianceUrl angezeigt.

    Ursachenforschung mit dsregcmd, falls Rechner nicht in der Geräteverwaltung erscheinen

    Microsoft liefert in seiner Dokumentation zu Azure AD Connect zahlreiche Anhaltspunkte zur Fehlersuche, und auch auf Youtube findet man Anleitungen. So müssen von der betreffenden Maschine unter anderem die folgenden URLs erreichbar sein:

    • https://enterpriseregistration.windows.net
    • https://login.microsoftonline.com
    • https://device.login.microsoftonline.com
    • https://autologon.microsoftazuread-sso.com (Wenn Sie nahtloses einmaliges Anmelden verwenden oder verwenden möchten.)
    • Sicherheitstokendienst (STS) Ihrer Organisation (für Verbunddomänen)

    In der Regel wird der SCP aber von Windows 10 und 11 selbständig ausgewertet, so dass diese Clients automatisch einen Hybrid Join ausführen. Möchten Sie den Prozess selber steuern, dann können Sie den SCP auch löschen und die Einstellung per Gruppenrichtlinie an die Clients verteilen.

    Sobald ihr Client erfolgreich AzureAD Hybrid Joined ist, lässt er sich in Intune ausrollen. Sie können das über eine Gruppenrichtlinie Automatische MDM-Registrierung mit standardmäßigen Azure-AD-Anmeldeinformationen aktivieren erzwingen.

    Gruppenrichtlinie für das MDM-Onboarding in Intune

    Alternativ steht dafür auch der Windows Autopilot zur Verfügung.

    Fazit

    Unter den verschiedenen Möglichkeiten, mit Geräten dem Azure AD beizutreten, ist der Hybrid Join der einzige, der sich automatisch und ohne Einbindung des Benutzers realisieren lässt. Er eignet sich nur für Endgeräte, die Mitglied in einer lokalen Domäne sind und damit dem Unternehmen selbst gehören.

    Als Tool für den Hybrid Join sieht Microsoft Azure AD Connect vor, das die Computer-Konten aus den on-prem AD DS nach Azure AD synchronisiert. Der Vorgang selbst lässt sich relativ einfach umsetzen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling
    Thomas Drilling arbeitet seit mehr als 20 Jahren selb­ständig als Redakteur und Autor für viele ehe­malige und aktuelle IT-Magazine sowie Blogs. Thomas ist zudem Buch­autor und IT-Consultant. Seit 5 Jahren ist Thomas neben seiner journa­listischen Tätig­keit haupt­beruflicher, selb­ständiger IT-Trainer für VMware und Microsoft.

    Seine Themen­schwer­punkte sind Virtua­lisierung und Cloud Com­puting, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zerti­fi­zierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas ist außerdem zertifi­zierter AWS Solu­tions Archi­tect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Admini­strator.

    Thomas führt aktuell jeden zwei­ten Mon­tag einen 4-tägigen Grund­lagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Infor­mationen und Anmel­dung über sein AWS-Blog.

    Ähnliche Beiträge

    Weitere Links