Tags: Azure, Active Directory, Synchronisierung
Die Mitgliedschaft von Geräten und Benutzern im Azure Active Directory ist praktisch immer eine Bedingung, um Cloud- und Hybrid-Dienste von Microsoft nutzen zu können. Dafür bietet der Verzeichnisdienst mehrere Optionen. Für Clients, die Mitglied in einer lokalen AD-Domäne sind, bietet sich ein Hybrid Join an.
Wenn man PCs mit Windows 10/11 sowie Geräte unter iOS bzw. macOS sowie Android-Clients im Azure AD bekannt machen will, dann stehen für den Gerätestatus die folgenden drei Varianten zur Auswahl.
| Join-Typ | Bedingung | Auslöser |
|---|---|---|
| AzureADRegistered | Windows 10/11 - Domain-Mitgliedschaft spielt keine Rolle | Durch Benutzer |
| AzureADJoined | Windows 10 /11 - ist nur für reine AAD-Mitglieder relevant (Cloud) | Durch Benutzer |
| AzureADHybridJoined | Windows 10/11 - trifft nur für AD DS-Member zu (Hybrid) | automatisiert |
Nur der Azure AD Hybrid Join erfolgt als automatisierter Prozess, und zwar dann, wenn das Gerät ein Mitglied der lokalen Domäne ist, Azure AD Connect entsprechend konfiguriert wurde und der Nutzer sich auf diesem Gerät bei einem Cloud-Dienst von Microsoft anmeldet.
Folgende Abbildung zeigt alle drei Gerätestatus im Azure AD, die Übersicht enthält auch Android-Geräte.
Der Abbildung können Sie außerdem entnehmen, dass nur Geräte des Typs Azure AD registered einen Besitzer haben. Bei Clients vom Typ Hybrid Azure AD joined spielt der Owner keine Rolle und Geräte vom Typ Azure AD joined haben keinen Besitzer.
Der Status Azure AD joined gilt nur für virtuelle Computer in der Cloud, etwa für eine Windows-10-VM mit Lizenz für das mehrinstanzfähige Hosting, beispielsweise in einer VDI-Umgebung wie Azure Virtual Desktop (AVD).
Das Aktivieren der Option Login with Azure AD bei der Bereitstellung versieht die VM mit einer verwalteten Identität im Azure Active Directory.
Hybrid Join über Azure AD Connect
Der Hybrid Join wird im Wizard für Azure AD Connect konfiguriert (siehe dazu: Azure AD Connect einrichten). Nach erfolgreicher Installation des Tools klicken Sie im Dialog Weitere Aufgaben auf Geräteoptionen konfigurieren.
Hier können Sie sowohl die Azure-AD-Hybrid-Einbindung als auch das Gerätezurückschreiben einrichten.
Nach dem Klick auf Weiter melden Sie sich mit einem Azure-AD-Konto an, das die Rechte eines globalen Administrators hat, und aktivieren die Option Hybrid-Azure AD-Einbindung konfigurieren.
Im nächsten Schritt wählen Sie die Option In die Domäne eingebundene Geräte mit Windows 10 oder höher und fügen anschließend die lokale AD DS-Domäne mit Hilfe eines Enterprise-Admins hinzu, um damit den so genannten Service Connection Point (SCP) zu konfigurieren. Mit diesem ermitteln die Geräte die Informationen zum Azure-AD-Tenant.
Befinden sich Ihre Geräte in verschiedenen Gesamtstrukturen, dann braucht jede davon einen SCP. Sind Sie nicht im Besitz eines Unternehmenskontos für die Gesamtstruktur, dann können Sie mit dem PowerShell-Script ConfigureSCP.ps1 den SCP offline einrichten.
Außerdem müssen Sie in der allgemeinen Konfiguration von Azure AD Connect dafür sorgen, dass die Container mit den gewünschten Computer-Konten synchronisiert werden.
Sollten die vorgesehenen Clients anschließend nicht in der Geräteregistrierung des Azure AD auftauchen, den Status Pending Registration aufweisen oder nur als Azure AD registered erscheinen, dann müssen Sie Ursachenforschung betreiben. Einen ersten Anhaltspunkt liefert
dsregcmd /status
Damit können Sie verifizieren, ob das betreffende Gerät sowohl dem AD DS als auch dem AAD beigetreten ist. Solange das Onboarding bei Intune noch nicht erfolgt ist, werden noch keine MDMUrl, MDMToUrl und MdmComplianceUrl angezeigt.
Microsoft liefert in seiner Dokumentation zu Azure AD Connect zahlreiche Anhaltspunkte zur Fehlersuche, und auch auf Youtube findet man Anleitungen. So müssen von der betreffenden Maschine unter anderem die folgenden URLs erreichbar sein:
- https://enterpriseregistration.windows.net
- https://login.microsoftonline.com
- https://device.login.microsoftonline.com
- https://autologon.microsoftazuread-sso.com (Wenn Sie nahtloses einmaliges Anmelden verwenden oder verwenden möchten.)
- Sicherheitstokendienst (STS) Ihrer Organisation (für Verbunddomänen)
In der Regel wird der SCP aber von Windows 10 und 11 selbständig ausgewertet, so dass diese Clients automatisch einen Hybrid Join ausführen. Möchten Sie den Prozess selber steuern, dann können Sie den SCP auch löschen und die Einstellung per Gruppenrichtlinie an die Clients verteilen.
Sobald ihr Client erfolgreich AzureAD Hybrid Joined ist, lässt er sich in Intune ausrollen. Sie können das über eine Gruppenrichtlinie Automatische MDM-Registrierung mit standardmäßigen Azure-AD-Anmeldeinformationen aktivieren erzwingen.
Alternativ steht dafür auch der Windows Autopilot zur Verfügung.
Fazit
Unter den verschiedenen Möglichkeiten, mit Geräten dem Azure AD beizutreten, ist der Hybrid Join der einzige, der sich automatisch und ohne Einbindung des Benutzers realisieren lässt. Er eignet sich nur für Endgeräte, die Mitglied in einer lokalen Domäne sind und damit dem Unternehmen selbst gehören.
Als Tool für den Hybrid Join sieht Microsoft Azure AD Connect vor, das die Computer-Konten aus den on-prem AD DS nach Azure AD synchronisiert. Der Vorgang selbst lässt sich relativ einfach umsetzen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Thomas Drilling arbeitet ist seit fast 30 Jahren selbständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehemalige und aktuelle IT-Magazine sowie Blogs.
Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.
Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zertifizierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grundlagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.
Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Informationen und Anmeldung über sein Azure-Blog.
Verwandte Beiträge
- Passwortänderungen und Kennwortschutz von Azure AD in das lokale Active Directory zurückschreiben
- Azure AD Connect 2.1.15.0: Automatische Updates, Aus für Admin Agent, Sync für zusätzliche Attribute
- Azure AD Connect einrichten
- SSO für lokale Active Directory-Konten beim Zugriff auf die Microsoft-Cloud konfigurieren
- AAD Connect mit Export und Re-Import der Konfiguration wiederherstellen
Weitere Links