Geräte über Hybrid Join in Azure AD registrieren


    Tags: , ,

    Azure Active Directory (Azure AD, AAD)Die Mitgliedschaft von Geräten und Benutzern im Azure Active Directory ist praktisch immer eine Bedingung, um Cloud- und Hybrid-Dienste von Microsoft nutzen zu können. Dafür bietet der Verzeichnisdienst mehrere Optionen. Für Clients, die Mitglied in einer lokalen AD-Domäne sind, bietet sich ein Hybrid Join an.

    Wenn man PCs mit Windows 10/11 sowie Geräte unter iOS bzw. macOS sowie Android-Clients im Azure AD bekannt machen will, dann stehen für den Gerätestatus die folgenden drei Varianten zur Auswahl.

    Join-Typ Bedingung Auslöser
    AzureADRegistered Windows 10/11 - Domain-Mitgliedschaft spielt keine Rolle Durch Benutzer
    AzureADJoined Windows 10 /11 - ist nur für reine AAD-Mitglieder relevant (Cloud) Durch Benutzer
    AzureADHybridJoined Windows 10/11 - trifft nur für AD DS-Member zu (Hybrid) automatisiert

    Nur der Azure AD Hybrid Join erfolgt als automatisierter Prozess, und zwar dann, wenn das Gerät ein Mitglied der lokalen Domäne ist, Azure AD Connect entsprechend konfiguriert wurde und der Nutzer sich auf diesem Gerät bei einem Cloud-Dienst von Microsoft anmeldet.

    Folgende Abbildung zeigt alle drei Gerätestatus im Azure AD, die Übersicht enthält auch Android-Geräte.

    Der Gerätestatus im Azure AD

    Der Abbildung können Sie außerdem entnehmen, dass nur Geräte des Typs Azure AD registered einen Besitzer haben. Bei Clients vom Typ Hybrid Azure AD joined spielt der Owner keine Rolle und Geräte vom Typ Azure AD joined haben keinen Besitzer.

    Der Status Azure AD joined gilt nur für virtuelle Computer in der Cloud, etwa für eine Windows-10-VM mit Lizenz für das mehrinstanzfähige Hosting, beispielsweise in einer VDI-Umgebung wie Azure Virtual Desktop (AVD).

    Das Aktivieren der Option Login with Azure AD bei der Bereitstellung versieht die VM mit einer verwalteten Identität im Azure Active Directory.

    Eine Azure-VM mit Anmeldeinformationen für Azure AD

    Hybrid Join über Azure AD Connect

    Der Hybrid Join wird im Wizard für Azure AD Connect konfiguriert (siehe dazu: Azure AD Connect einrichten). Nach erfolgreicher Installation des Tools klicken Sie im Dialog Weitere Aufgaben auf Geräteoptionen konfigurieren.

    Hier können Sie sowohl die Azure-AD-Hybrid-Einbindung als auch das Geräte­zurück­schreiben einrichten.

    Hybrid-Join in Azure AD Connect einrichten

    Nach dem Klick auf Weiter melden Sie sich mit einem Azure-AD-Konto an, das die Rechte eines globalen Administrators hat, und aktivieren die Option Hybrid-Azure AD-Einbindung konfigurieren.

    Die Geräteoptionen im Azure AD

    Im nächsten Schritt wählen Sie die Option In die Domäne eingebundene Geräte mit Windows 10 oder höher und fügen anschließend die lokale AD DS-Domäne mit Hilfe eines Enterprise-Admins hinzu, um damit den so genannten Service Connection Point (SCP) zu konfigurieren. Mit diesem ermitteln die Geräte die Informationen zum Azure-AD-Tenant.

    Befinden sich Ihre Geräte in verschiedenen Gesamtstrukturen, dann braucht jede davon einen SCP. Sind Sie nicht im Besitz eines Unternehmens­kontos für die Gesamtstruktur, dann können Sie mit dem PowerShell-Script ConfigureSCP.ps1 den SCP offline einrichten.

    Die SCP-Konfiguration für den Hybrid-Join

    Außerdem müssen Sie in der allgemeinen Konfiguration von Azure AD Connect dafür sorgen, dass die Container mit den gewünschten Computer-Konten synchronisiert werden.

    Synchronisierung von Computer-Konten veranlassen

    Sollten die vorgesehenen Clients anschließend nicht in der Geräteregistrierung des Azure AD auftauchen, den Status Pending Registration aufweisen oder nur als Azure AD registered erscheinen, dann müssen Sie Ursachen­forschung betreiben. Einen ersten Anhaltspunkt liefert

    dsregcmd /status

    Damit können Sie verifizieren, ob das betreffende Gerät sowohl dem AD DS als auch dem AAD beigetreten ist. Solange das Onboarding bei Intune noch nicht erfolgt ist, werden noch keine MDMUrl, MDMToUrl und MdmComplianceUrl angezeigt.

    Ursachenforschung mit dsregcmd, falls Rechner nicht in der Geräteverwaltung erscheinen

    Microsoft liefert in seiner Dokumentation zu Azure AD Connect zahlreiche Anhaltspunkte zur Fehlersuche, und auch auf Youtube findet man Anleitungen. So müssen von der betreffenden Maschine unter anderem die folgenden URLs erreichbar sein:

    • https://enterpriseregistration.windows.net
    • https://login.microsoftonline.com
    • https://device.login.microsoftonline.com
    • https://autologon.microsoftazuread-sso.com (Wenn Sie nahtloses einmaliges Anmelden verwenden oder verwenden möchten.)
    • Sicherheitstokendienst (STS) Ihrer Organisation (für Verbunddomänen)

    In der Regel wird der SCP aber von Windows 10 und 11 selbständig ausgewertet, so dass diese Clients automatisch einen Hybrid Join ausführen. Möchten Sie den Prozess selber steuern, dann können Sie den SCP auch löschen und die Einstellung per Gruppenrichtlinie an die Clients verteilen.

    Sobald ihr Client erfolgreich AzureAD Hybrid Joined ist, lässt er sich in Intune ausrollen. Sie können das über eine Gruppenrichtlinie Automatische MDM-Registrierung mit standardmäßigen Azure-AD-Anmeldeinformationen aktivieren erzwingen.

    Gruppenrichtlinie für das MDM-Onboarding in Intune

    Alternativ steht dafür auch der Windows Autopilot zur Verfügung.

    Fazit

    Unter den verschiedenen Möglichkeiten, mit Geräten dem Azure AD beizutreten, ist der Hybrid Join der einzige, der sich automatisch und ohne Einbindung des Benutzers realisieren lässt. Er eignet sich nur für Endgeräte, die Mitglied in einer lokalen Domäne sind und damit dem Unternehmen selbst gehören.

    Als Tool für den Hybrid Join sieht Microsoft Azure AD Connect vor, das die Computer-Konten aus den on-prem AD DS nach Azure AD synchronisiert. Der Vorgang selbst lässt sich relativ einfach umsetzen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling

    Thomas Drilling arbeitet ist seit fast 30 Jahren selb­ständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehe­malige und aktuelle IT-Magazine sowie Blogs.

    Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.

    Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zerti­fi­zierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grund­lagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.

    Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Infor­mationen und Anmel­dung über sein Azure-Blog.

    Verwandte Beiträge

    Weitere Links