Azure Active Directory: Was ist der Unterschied zwischen Registrierung und Beitritt (AD Join)?


    Tags: , ,

    Azure Active DirectoryMicrosoft sieht verschiedene Optionen vor, um Geräte über das Azure Active Directory (AAD) zu verwalten. Wenn es sich um private Geräte der Mit­arbeiter handelt, dann reicht ein reduziertes Manage­ment. Gehören sie jedoch dem Unter­nehmen, dann lassen sich über einen AAD Join weiter­gehende Policies durchsetzen.

    Angenommen, Sie möchten Ihren Mitarbeitern die Möglichkeit geben, mit ihren eigenen Geräten, seien es Windows- bzw. macOS-PCs oder iOS- bzw. Android-Smartphones, sicher auf Anwendungen und Daten der Firma zuzugreifen. Da die IT-Abteilung nicht Eigentümerin dieser Geräte ist, ist sie bei der Implemen­tierung von Sicherheits­mechanismen stark eingeschränkt.

    MDM für Richtlinien erforderlich

    Für ein solches BYOD-Szenario sieht Microsoft die Azure AD-Registrierung vor. Ein in Azure AD registriertes Gerät wird von Administratoren "leicht verwaltet". Benutzer können sich hier entweder mit einer lokalen Geräte-ID (zum Beispiel ihrem Apple-Konto auf einem iOS-Gerät) oder mit ihrer AAD-Identität an ihrem Gerät anmelden.

    Azure AD Premium bietet registrierten oder angeschlossenen (joined) Geräten zwar SSO für Cloud-Apps, aber Sie benötigen ein Mobile Device Management, um Richtlinien wie Datenverschlüsselung, Remote Wipe usw. durchzusetzen.

    Das wichtigste MDM-Tool von Microsoft ist Intune. Es ist Teil einer größeren Client-Management-Plattform namens Microsoft Endpoint Manager.

    Beispiel: iPhone in AAD registrieren

    Im folgenden Abschnitt möchte demonstrieren, wie man ein Endgerät bei Azure AD registriert. In diesem Beispiel verwende ich ein Apple iPhone mit meiner Azure-AD-Organisation TIMW.INFO.

    Wie bei Microsoft üblich, gibt es mehrere Methoden, um ein Gerät bei AAD zu registrieren und/oder ihm beizutreten. Die einzelnen Schritte hängen vom Typ des Endgeräts ab, wie viel Automatisierung erforderlich ist oder ob Sie das Endgerät vom Server oder vom Client aus einbinden wollen.

    Zunächst installiere ich die Microsoft Authenticator Mobile App, öffne deren Einstellungen, tippe auf Geräteregistrierung und melde mich bei meinem Verzeichnis an. Die folgende Screenshot-Serie gibt den gesamten Vorgang wieder.

    Registrierung eines iOS-Geräts bei Azure AD

    Das Bild ganz rechts zeigt das MyApps-Portal, über das die Benutzer SSO für ihre Cloud-Anwendungen erhalten. Wie in der nächsten Abbildung zu sehen ist, können Sie das in Azure AD registrierte Gerät im AAD-Portal überprüfen.

    Überprüfen der Geräteregistrierung im AAD-Portal

    Windows-basierte Endgeräte, die in Azure AD registriert sind, können dort ihre Wiederherstellungs­schlüssel für BitLocker speichern. Für eine umfassende Verwaltung von Endpunkten sind jedoch sowohl ein Azure AD Join als auch Microsoft Intune erforderlich.

    Azure AD Join

    Azure AD Join ist die bevorzugte Option für unternehmens­eigene, persönlich aktivierte Endgeräte. Da sie im Besitz der Organisation sind, können Admins Richtlinien durchsetzen, die bei persönlichen Geräten der Mitarbeiter nicht möglich wären.

    Während die AAD-Registrierung und die Intune-Verwaltung auch mit macOS, iOS und Android funktionieren, erfordert der Azure AD Join ein Windows-basiertes Client- oder Server-System.

    Wichtig: Auf Geräten, die auf diese Weise mit dem Azure AD verbunden sind, kann sich der Benutzer nur mit seinem AAD-Konto am Gerät anmelden.

    Im nächsten Beispiel möchte ich meinen Windows 10-Arbeitsplatzrechner mit meinem Azure AD-Tenant verbinden. Zuerst öffne ich in der App Einstellungen Auf Arbeits- oder Schulkonto zugreifen und klicke auf Verbinden.

    Wenn Sie hier unter Geschäfts-, Schul- oder Unikonto Ihre Mail-Adresse eingeben, dann registrieren Sie einfach Ihr Windows 10-Gerät (oder melden sich alternativ beim Intune-Abonnement Ihres Unternehmens an). Das wollen wir jetzt nicht.

    Azure AD Join eines Windows 10-Geräts

    Um Azure AD beizutreten, klicken Sie im unteren Teil des Dialogfelds auf den Link Join this device to Azure Active Directory. Melden Sie sich mit Ihren Azure AD-Anmeldedaten an, und sobald Sie fertig sind, loggen Sie sich mit den gleichen Credentials an der Arbeitsstation ein.

    Dieser Vorgang lässt sich für eine größere Zahl an Geräten automatisieren. Daher können Sie alternativ den Azure AD Join auch über eine Bulk-Operation in Microsoft Intune oder Windows Autopilot erledigen.

    Nach meiner Meinung sollten Sie Microsoft Intune nutzen, wenn Sie Geräte mit Azure AD verbinden, damit Sie Ihre Sicherheits- und Zugriffsrichtlinien zentralisieren können. Die folgenden Screenshots zeigen mein Windows 10-Gerät aus der Perspektive von (a) Azure AD und (b) Microsoft Intune.

    Ein mit Azure AD verbundenes Gerät im Azure-Portal

    Verwaltetes Gerät im Microsoft Endpoint Manager Portal

    Das Microsoft Intune Company Portal ist ein weiteres Produkt, das Sie kennen sollten, wenn Sie Azure AD Join mit Intune verwenden. Dabei handelt es sich um ein Self-Service-App-Portal, das sowohl für Windows 10 als auch für mobile Geräte verfügbar ist und der Installation, dem Zugriff und der Verwaltung autorisierter Anwendungen dient.

    Microsoft Intune Unternehmensportal von einem Windows 10-Gerät aus gesehen

    Um sich an Azure-VMs mit Windows Server über AAD anmelden zu können, ist der Azure AD Join eine Voraussetzung. Sie können den Prozess automatisieren, indem Sie das folgende PowerShell-Script für Ihre Azure-VMs ausführen:

    Hybrid Azure AD Join

    Hybrid Azure AD Join richtet sich an Unternehmen, die ihre eigenen Geräte lokal mit System Center Configuration Manager oder Gruppen­richtlinien verwalten möchten, aber SSO für Cloud-Anwendungen und eventuell Intune für einige Aufgaben benötigen.

    Da es sich um Azure AD Join handelt, sprechen wir hier nur über Windows-basierte Endpunkte. Microsoft sieht Azure AD Connect vor, um Benutzer- und Computerkonten des lokalen Active Directory nach Azure AD zu replizieren.

    Der folgende Screenshot zeigt, wie Sie den automatischen Azure AD Join in Azure AD Connect konfigurieren können.

    Hybriden Azure AD Join über in Azure AD Connect konfigurieren

    Zusammenfassung

    Microsofts Cloud-Platform entwickelt sich sehr schnell, und es kann eine Herausforderung sein, auf dem neuesten Stand zu bleiben. Dennoch haben sich Tools wie Azure AD, Azure AD Connect und Microsoft Intune in den letzten Jahren als feste Größen etabliert.

    Die Registrierung und der Beitritt von Geräten zu Azure AD sind zwei verschiedene Methoden, um Endpunkte über die Cloud zu verwalten. Die Registrierung eröffnet nur eingeschränkte Management-Optionen und eignet sich primär für BYOD und mobile Geräte.

    Ein voller AAD Join ist Windows-Geräten vorbehalten und erlaubt eine weitergehende Verwaltung über Policies.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Timothy Warner

    Tim Warner wurde von Micro­soft als Most Valuable Profes­sional (MVP) für Micro­soft Cloud and Data­center Manage­ment ausge­zeichnet. Er veröffent­licht regel­mäßig Training-Videos zu Azure und Windows Server auf Pluralsight.

     

    // Kontakt: E-Mail, Twitter //

    Ähnliche Beiträge

    Weitere Links