Azure Active Directory: Was ist der Unterschied zwischen Registrierung und Beitritt (AD Join)?

Für ein solches BYOD-Szenario sieht Microsoft die Azure AD-Registrierung vor. Ein in Azure AD registriertes Gerät wird von Administratoren "leicht verwaltet". Benutzer können sich hier entweder mit einer lokalen Geräte-ID (zum Beispiel ihrem Apple-Konto auf einem iOS-Gerät) oder mit ihrer AAD-Identität an ihrem Gerät anmelden.

Azure AD Premium bietet registrierten oder angeschlossenen (joined) Geräten zwar SSO für Cloud-Apps, aber Sie benötigen ein Mobile Device Management, um Richtlinien wie Datenverschlüsselung, Remote Wipe usw. durchzusetzen.

Das wichtigste MDM-Tool von Microsoft ist Intune. Es ist Teil einer größeren Client-Management-Plattform namens Microsoft Endpoint Manager.

Beispiel: iPhone in AAD registrieren

Im folgenden Abschnitt möchte demonstrieren, wie man ein Endgerät bei Azure AD registriert. In diesem Beispiel verwende ich ein Apple iPhone mit meiner Azure-AD-Organisation TIMW.INFO.

Wie bei Microsoft üblich, gibt es mehrere Methoden, um ein Gerät bei AAD zu registrieren und/oder ihm beizutreten. Die einzelnen Schritte hängen vom Typ des Endgeräts ab, wie viel Automatisierung erforderlich ist oder ob Sie das Endgerät vom Server oder vom Client aus einbinden wollen.

Zunächst installiere ich die Microsoft Authenticator Mobile App, öffne deren Einstellungen, tippe auf Geräteregistrierung und melde mich bei meinem Verzeichnis an. Die folgende Screenshot-Serie gibt den gesamten Vorgang wieder.

Das Bild ganz rechts zeigt das MyApps-Portal, über das die Benutzer SSO für ihre Cloud-Anwendungen erhalten. Wie in der nächsten Abbildung zu sehen ist, können Sie das in Azure AD registrierte Gerät im AAD-Portal überprüfen.

Windows-basierte Endgeräte, die in Azure AD registriert sind, können dort ihre Wiederherstellungs­schlüssel für BitLocker speichern. Für eine umfassende Verwaltung von Endpunkten sind jedoch sowohl ein Azure AD Join als auch Microsoft Intune erforderlich.

Azure AD Join

Azure AD Join ist die bevorzugte Option für unternehmens­eigene, persönlich aktivierte Endgeräte. Da sie im Besitz der Organisation sind, können Admins Richtlinien durchsetzen, die bei persönlichen Geräten der Mitarbeiter nicht möglich wären.

Während die AAD-Registrierung und die Intune-Verwaltung auch mit macOS, iOS und Android funktionieren, erfordert der Azure AD Join ein Windows-basiertes Client- oder Server-System.

Wichtig: Auf Geräten, die auf diese Weise mit dem Azure AD verbunden sind, kann sich der Benutzer nur mit seinem AAD-Konto am Gerät anmelden.

Im nächsten Beispiel möchte ich meinen Windows 10-Arbeitsplatzrechner mit meinem Azure AD-Tenant verbinden. Zuerst öffne ich in der App Einstellungen Auf Arbeits- oder Schulkonto zugreifen und klicke auf Verbinden.

Wenn Sie hier unter Geschäfts-, Schul- oder Unikonto Ihre Mail-Adresse eingeben, dann registrieren Sie einfach Ihr Windows 10-Gerät (oder melden sich alternativ beim Intune-Abonnement Ihres Unternehmens an). Das wollen wir jetzt nicht.

Um Azure AD beizutreten, klicken Sie im unteren Teil des Dialogfelds auf den Link Join this device to Azure Active Directory. Melden Sie sich mit Ihren Azure AD-Anmeldedaten an, und sobald Sie fertig sind, loggen Sie sich mit den gleichen Credentials an der Arbeitsstation ein.

Dieser Vorgang lässt sich für eine größere Zahl an Geräten automatisieren. Daher können Sie alternativ den Azure AD Join auch über eine Bulk-Operation in Microsoft Intune oder Windows Autopilot erledigen.

Nach meiner Meinung sollten Sie Microsoft Intune nutzen, wenn Sie Geräte mit Azure AD verbinden, damit Sie Ihre Sicherheits- und Zugriffsrichtlinien zentralisieren können. Die folgenden Screenshots zeigen mein Windows 10-Gerät aus der Perspektive von (a) Azure AD und (b) Microsoft Intune.

Das Microsoft Intune Company Portal ist ein weiteres Produkt, das Sie kennen sollten, wenn Sie Azure AD Join mit Intune verwenden. Dabei handelt es sich um ein Self-Service-App-Portal, das sowohl für Windows 10 als auch für mobile Geräte verfügbar ist und der Installation, dem Zugriff und der Verwaltung autorisierter Anwendungen dient.

Um sich an Azure-VMs mit Windows Server über AAD anmelden zu können, ist der Azure AD Join eine Voraussetzung. Sie können den Prozess automatisieren, indem Sie das folgende PowerShell-Script für Ihre Azure-VMs ausführen:

$vmName = "azurevm001" $vmRgName = "winpro-rg" $extensionName = "AADLoginForWindows" $publisher = "Microsoft.Azure.ActiveDirectory" $vm = Get-AzVm -ResourceGroupName $vmRgName -Name $vmName Set-AzVMExtension -ResourceGroupName $vmRgName ` -VMName $vm.Name ` -Name $extensionName ` -Location $vm.Location ` -Publisher $publisher ` -Type "AADLoginForWindows" ` -TypeHandlerVersion "0.4"

Hybrid Azure AD Join

Hybrid Azure AD Join richtet sich an Unternehmen, die ihre eigenen Geräte lokal mit System Center Configuration Manager oder Gruppen­richtlinien verwalten möchten, aber SSO für Cloud-Anwendungen und eventuell Intune für einige Aufgaben benötigen.

Da es sich um Azure AD Join handelt, sprechen wir hier nur über Windows-basierte Endpunkte. Microsoft sieht Azure AD Connect vor, um Benutzer- und Computerkonten des lokalen Active Directory nach Azure AD zu replizieren.

Der folgende Screenshot zeigt, wie Sie den automatischen Azure AD Join in Azure AD Connect konfigurieren können.

Zusammenfassung

Microsofts Cloud-Platform entwickelt sich sehr schnell, und es kann eine Herausforderung sein, auf dem neuesten Stand zu bleiben. Dennoch haben sich Tools wie Azure AD, Azure AD Connect und Microsoft Intune in den letzten Jahren als feste Größen etabliert.

Die Registrierung und der Beitritt von Geräten zu Azure AD sind zwei verschiedene Methoden, um Endpunkte über die Cloud zu verwalten. Die Registrierung eröffnet nur eingeschränkte Management-Optionen und eignet sich primär für BYOD und mobile Geräte.

Ein voller AAD Join ist Windows-Geräten vorbehalten und erlaubt eine weitergehende Verwaltung über Policies.