Mit Windows 11 dem Azure Active Directory beitreten

    , 01.09.2023
    Tags: , ,

    AAD Arbeitskonto in der App EinstellungenDie PCs der meisten Unternehmen werden über einen hybrid Join Mitglied in Azure AD (künftig Entra ID), wobei das lokale AD mit dem AAD synchronisiert wird. Wenn Organisationen ihre IT jedoch weitgehend in die Cloud ausgelagert haben, dann können die PCs direkt dem AAD beitreten. Wie on-prem gibt es dafür mehrere Optionen.

    Bevor man sich ans Werk macht, sollte man sich über den Unterschied zwischen Join und Registrierung im Klaren sein. Der Beitritt ist für PCs gedacht, die im Besitz der Firma sind und auf denen Windows 10 oder 11 läuft. Sie lassen sich mit Richtlinien vollständig verwalten.

    Die Registrierung hingegen ist für private (mobile) Geräte vorgesehen, auf denen auch andere Betriebs­systeme laufen können. Bei dieser Variante kann man sich mit dem Arbeitskonto nicht an Windows anmelden, nach einem Join dagegen schon.

    Wie beim lokalen Active Directory benötigt man auch in der Cloud ein Benutzerkonto, das berechtigt ist, ein Computer-Objekt im Verzeichnis anzulegen. Standardmäßig sind alle User befugt, bis zu 50 Rechner an das Azure AD anzuschließen.

    Diese Einstellung kann man im betreffenden Tenant unter Devices => Device Settings ändern. Zum einen kann man im Abschnitt Users may join devices to Azure AD den Schieberegler auf Selected stellen und die Berechtigung für den Join auf bestimmte Konten oder Gruppen beschränken.

    Über die Geräteeinstellungen kann man festlegen, wer wie viele Geräte an das AAD anschließen darf.

    Zum anderen legt man hier fest, ob für den AAD-Beitritt eine Multifaktor-Authentifizierung erforderlich ist und wie viele Geräte ein User maximal an das Verzeichnis anschließen darf.

    Nun können die berechtigten Benutzer mit ihren Geräten dem AAD beitreten. Das ist grundsätzlich schon bei der Einrichtung des neu installierten Rechners während der OOBE-Phase möglich, wenn sich Anwender dort mit einem Arbeits- oder Schulkonto anmelden.

    Für den nachträglichen Join stellt die App Einstellungen eine komfortable Variante dar. Die entsprechende Option findet sich unter Konten => Geschäfts-, Schul- oder Unikonto einrichten ("Auf Arbeits- oder Schulkonto zugreifen in Windows 10").

    Mit Rechner über das Arbeits-, Schul- oder Unikonto zu Azure AD beitreten

    Hier scrollt man im Dialog nach unten, der für diesen Zweck erforderliche Link "Dieses Gerät in Azure Active Directory einbinden" ist meistens verdeckt. Klickt man darauf, dann öffnet sich der Anmeldedialog für das AAD-Konto.

    Nach der Anmeldung mit dem AAD-Konto muss man den Join noch bestätigen.

    Folgt man hier nicht dem Link, sondern gibt seine Mail-Adresse sofort in das entsprechende Feld ein, dann wird das Gerät im Azure AD nur registriert.

    Nach erfolgreicher Anmeldung am Azure AD legt dieses automatisch eine Device Identity an. Diese findet sich dann unter Devices => All Devices.

    Die Detailansicht zeigt zahlreiche Eigenschaften, darunter die IDs, das Betriebs­system inklusive Version, den Besitzer oder den Join Type, also ob das Geräte dem AAD beigetreten oder nur dort registriert ist.

    Eigenschaften des neu hinzugefügten Geräts

    Der Vorgang lässt sich recht einfach rückgängig machen, indem der Benutzer, der den Join veranlasst hat, in der App Einstellungen an gleicher Stelle die Schaltfläche Trennen klickt. Nach einer Rückfrage wird der Join aufgehoben und das Gerät aus dem AAD gelöscht.

    Rechner wieder aus dem Azure AD entfernen

    AAD-Join mittels Provisioning Package

    Eine alternative Option für den automatisierten und massenhaften AAD-Beitritt bieten Provisioning Packages (.ppkg). Man kann sie vor dem Deployment in das OS-Image integrieren oder sie so bereitstellen, dass Anwender die Datei nur mehr per Doppelklick ausführen müssen.

    Für das Erstellen eines solchen Pakets ist der Windows Imaging and Configuration Designer (ICD) aus dem Windows ADK zuständig. Den gesamten Durchlauf durch den Workflow beschreibt im Detail dieser Beitrag auf Microsoft Techcommunity.

    Für diese Aufgabe führt man auf der Startseite des Tools den Wizard für Desktopgeräte bereitstellen aus. Nach dem Anlegen des Projekts durchläuft man die ersten drei Schritte bis Kontenverwaltung.

    Projekt in ICD anlegen und Wizard für die Bereitstellung von Desktop-Geräten starten

    Dort wählt man die Option in Azure AD registrieren aus und klickt auf Massentoken abrufen. Dies öffnet den Dialog zur Anmeldung am AAD, in den man die Informationen für den User eingibt, der den Join ausführt. Zusätzlich kann man das Gültigkeitsdatum für den Token anpassen.

    Bulk Enrollment Token in ICD abrufen

    Wenn man Glück hat, dann liefert das notorisch unzuverlässige ICD den benötigten Token. Allerdings stehen die Chancen nicht schlecht, dass man nur die Meldung "Fehler beim Abrufen von Massentoken" zu sehen bekommt.

    Für diese Fälle hat der ehemalige Microsoft-Manager Michael Niehaus ein PowerShell-Script entwickelt, das den Token über das Modul AADInternals abruft. ICD muss aber trotzdem installiert sein, es wird noch benötigt, um die XML-Datei in ein Provisioning Package zu packen.

    Status des AAD-Join anzeigen

    Nach dem Beitritt eines Computers zu Azure AD kann man den Erfolg der Operation verifizieren. Auf der Cloud-Seite lässt sich das relativ einfach durch einen Blick in die Übersicht unter Devices => All Devices bewerkstelligen.

    Die neu hinzugefügten Geräte tauchen in der Übersicht auf.

    Auf dem Client kann man Details über denJoin-Status mit Hilfe des Dienstprogramms dsregcmd abrufen:

    dsregcmd.exe /status

     Es zeigt auch zahlreiche Informationen zum Tenant, zum SSO-Status oder Diagnosedaten an.

    Dsregcmd gibt zahlreiche Informationen zur AAD-Integration aus

    Mit AAD-Konto an Windows anmelden

    Nach dem erfolgreichen AAD-Join kann man sich mit dem Arbeitskonto an Windows anmelden. Dazu gibt man den User Principal Name (Mail-Adresse) des Kontos an.

    An Windows 11 mit dem AAD-Arbeitskonto anmelden

    Unter Windows 10 kann es vorkommen, dass der Logon scheitert. In diesem Fall stellt man der Mail-Adresse ein "AzureAD\" voran, also zum Beispiel AzureAD\djoin@contoso.onmicrosoft.com.

    Zusammenfassung

    In reinen Cloud-Umgebungen ohne lokales Active Directory bietet es sich an, die Benutzer gegen Azure AD zu authentifizieren und die Windows-PCs in das Cloud-Directory einzubinden.

    Der Beitritt zum Azure AD setzt voraus, dass die jeweiligen User dazu berechtigt sind. Das ist per Voreinstellung der Fall. Der Join erfolgt dann auf einem neuen Rechner während der OOBE-Phase oder sonst über die App Einstellungen.

    Hier muss man aufpassen, dass die Anwender dem Link "Dieses Gerät in Azure Active Directory einbinden" folgen. Melden sie sich in diesem Dialog direkt an, dann wird das Gerät nur im AAD registriert.

    Für Bulk-Operationen sieht Microsoft so genannte Provisioning Packages vor, die man mit dem ICD erstellt. Diese integriert man vor dem Deployment in das OS-Image oder überlässt es den Endanwendern, diese auszuführen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links

    1 Kommentar

    Dennis Gutschalk (Besucher) sagt:
    15. September 2023 - 15:49

    Hallo,
    Vielen Dank für den Artikel. Ich würde mich über mehr zum Thema freuen, gerade für kleine und mittelständische Betriebe die nicht auf ein lokales AD setzen wollen/können wäre im Anschluss ja interessant mit welchen Mitteln diese AAD beigetretenen Rechner á la GPO verwaltet werden können und im Idealfall ja noch die Info welches Microsoft 365 Paket da gebraucht wird.

    Beste Grüße