Konfigurieren der Hybrid-Azure AD-Einbindung

Durch das Bereitstellen Ihrer Geräte in Azure AD wird die Benutzerproduktivität über einmaliges Anmelden (SSO) für Ihre gesamten Cloud- und lokalen Ressourcen maximiert. Gleichzeitig können Sie den Zugriff auf Ihre Ressourcen durch den bedingten Zugriff schützen.

Voraussetzungen

  • Azure AD Connect Version 1.1.819.0 oder höher
    • Schließen Sie die Standardgeräteattribute nicht aus Ihrer Azure AD Connect-Synchronisierungskonfiguration aus. Weitere Informationen zu Standardgeräteattributen, die mit Azure AD synchronisiert werden, finden Sie unter Azure AD Connect-Synchronisierung: Mit Azure Active Directory synchronisierte Attribute.
    • Wenn die Computerobjekte der Geräte für die Azure AD-Hybrideinbindung zu bestimmten Organisationseinheiten (OUs) gehören, konfigurieren Sie die richtigen Organisationseinheiten für die Synchronisierung in Azure AD Connect. Weitere Informationen zum Synchronisieren von Computerobjekten mit Azure AD Connect finden Sie unter Filterung basierend auf Organisationseinheiten.
  • Anmeldeinformationen eines globalen Administrators für Ihren Azure AD-Mandanten.
  • Anmeldeinformationen eines Unternehmensadministrators für jede lokale Active Directory Domain Services-Gesamtstruktur
  • (Für Verbunddomänen) Mindestens Windows Server 2012 R2 mit Installation der Active Directory-Verbunddienste (AD FS)
  • Benutzer können ihre Geräte für Azure AD registrieren. Weitere Informationen zu dieser Einstellung finden Sie unter der Überschrift Konfigurieren von Geräteeinstellungen im Artikel Verwalten von Geräteidentitäten mit dem Azure-Portal.

Konnektivitätsanforderungen für das Netzwerk

Für die Azure AD-Hybrideinbindung müssen die Geräte innerhalb des Netzwerks Ihrer Organisation Zugriff auf die folgenden Microsoft-Ressourcen haben:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (Wenn Sie nahtloses einmaliges Anmelden verwenden oder verwenden möchten.)
  • Sicherheitstokendienst (STS) Ihrer Organisation (für Verbunddomänen)

Warnung

Wenn Ihre Organisation Proxyserver verwendet, die SSL-Datenverkehr für Szenarien wie die Verhinderung von Datenverlust oder Azure AD-Mandanteneinschränkungen abfangen, stellen Sie sicher, dass der Datenverkehr zu diesen URLs von TLSI (TLS break and inspect) ausgeschlossen ist. Wenn diese URLs nicht ausgeschlossen werden, kann dies zu Störungen bei der Clientzertifikatauthentifizierung, Problemen mit der Geräteregistrierung und dem gerätebasierten bedingten Zugriff führen.

Wenn für Ihre Organisation Zugriff auf das Internet über einen ausgehenden Proxy erforderlich ist, können Sie die Vorgehensweise unter Informationen zur Implementierung von WPAD verwenden, damit Computer mit Windows 10 oder höher Geräte bei Azure AD registrieren können. Wenn bei der Konfiguration und Verwaltung von WPAD Probleme auftreten, finden Sie entsprechende Informationen unter Problembehandlung bei der automatischen Erkennung.

Wenn Sie WPAD nicht verwenden, können Sie ab Windows 10 1709 WinHTTP-Proxyeinstellungen auf Ihrem Computer mit einem Gruppenrichtlinienobjekt (GPO) konfigurieren. Weitere Informationen finden Sie unter Vom GPO bereitgestellte WinHTTP-Proxy-Einstellungen.

Hinweis

Wenn Sie Proxyeinstellungen auf Ihrem Computer mithilfe von WinHTTP-Einstellungen konfigurieren, können alle Computer, die keine Verbindung mit dem konfigurierten Proxy herstellen können, auch keine Internetverbindung herstellen.

Wenn Ihre Organisation Internetzugriff über einen authentifizierten ausgehenden Proxy erfordert, stellen Sie sicher, dass Ihre Computer mit Windows 10 oder höher erfolgreich beim ausgehenden Proxy authentifiziert werden können. Da Computer mit Windows 10 oder höher die Geräteregistrierung mithilfe des Computerkontexts ausführen, konfigurieren Sie die Authentifizierung bei ausgehenden Proxys mit dem Computerkontext. Erkundigen Sie sich beim Anbieter Ihres ausgehenden Proxys nach den Konfigurationsanforderungen.

Verwenden Sie das Skript zum Testen der Geräteregistrierungskonnektivität, um zu überprüfen, ob Geräte unter dem Systemkonto auf die erforderlichen Microsoft-Ressourcen zugreifen kann.

Verwaltete Domänen

Wir gehen davon aus, dass die meisten Organisationen die Azure AD-Hybrideinbindung mit verwalteten Domänen bereitstellen. Verwaltete Domänen verwenden Kennworthashsynchronisierung (Password Hash Sync, PHS) oder Passthrough-Authentifizierung (PTA) mit nahtloser einmaliger Anmeldung. Szenarien mit verwalteten Domänen erfordern keine Konfiguration eines Verbundservers.

Konfigurieren Sie die Azure AD-Hybrideinbindung mithilfe von Azure AD Connect für eine verwaltete Domäne:

  1. Starten Sie Azure AD Connect, und wählen Sie dann Konfigurieren aus.

  2. Wählen Sie unter Zusätzliche Aufgaben die Option Geräteoptionen konfigurieren und dann Weiter aus.

  3. Wählen Sie unter Übersicht die Option Weiter aus.

  4. Geben Sie unter Mit Azure AD verbinden die Anmeldeinformationen eines globalen Administrators für Ihren Azure AD-Mandanten ein.

  5. Wählen Sie unter Geräteoptionen die Option Hybrid-Azure AD-Einbindung konfigurieren und dann Weiter aus.

  6. Wählen Sie unter Gerätebetriebssysteme die Betriebssysteme der Geräte in Ihrer Active Directory-Umgebung und dann Weiter aus.

  7. Führen Sie unter SCP-Konfiguration für jede Gesamtstruktur, in der Azure AD Connect das SCP konfigurieren soll, die folgenden Schritte aus, und wählen Sie dann Weiter aus.

    1. Wählen Sie die Gesamtstruktur aus.
    2. Wählen Sie einen Authentifizierungsdienst aus.
    3. Wählen Sie Hinzufügen aus, um die Anmeldeinformationen eines Unternehmensadministrators einzugeben.

    Eine von der Azure AD Connect SCP-Konfiguration verwaltete Domäne

  8. Wählen Sie unter Bereit zur Konfiguration die Option Konfigurieren aus.

  9. Wählen Sie unter Konfiguration abgeschlossen die Option Beenden aus.

Verbunddomänen

Bei Verbundumgebungen sollte ein Identitätsanbieter verwendet werden, der die folgenden Anforderungen erfüllt. Wenn Sie eine Verbundumgebung besitzen, die Active Directory-Verbunddienste (AD FS) verwendet, werden die nachfolgend genannten Anforderungen bereits unterstützt.

  • WIAORMULTIAUTHN-Anspruch: Dieser Anspruch ist erforderlich, um eine Azure AD-Hybrideinbindung für kompatible Windows-Geräte durchzuführen.
  • WS-Trust-Protokoll: Dieses Protokoll ist erforderlich, um aktuelle Azure AD-hybrideingebundene Windows-Geräte mit Azure AD zu authentifizieren. Bei Verwendung von AD FS müssen Sie die folgenden WS-Trust-Endpunkte aktivieren:
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

Warnung

Die Endpunkte adfs/services/trust/2005/windowstransport und adfs/services/trust/13/windowstransport dürfen nur als Endpunkte mit Intranetzugriff aktiviert und NICHT als Endpunkte mit Extranetzugriff über den Webanwendungsproxy verfügbar gemacht werden. Weitere Informationen zum Deaktivieren von WS-Trust-Windows-Endpunkten finden Sie unter Deaktivieren von WS-Trust-Windows-Endpunkten auf dem Proxy. Welche Endpunkte aktiviert sind, sehen Sie in der AD FS-Verwaltungskonsole unter DienstEndpunkte.

Konfigurieren Sie die Azure AD-Hybrideinbindung mithilfe von Azure AD Connect für eine Verbundumgebung:

  1. Starten Sie Azure AD Connect, und wählen Sie dann Konfigurieren aus.

  2. Wählen Sie auf der Seite Zusätzliche Aufgaben die Option Geräteoptionen konfigurieren und dann Weiter aus.

  3. Wählen Sie auf der Seite Übersicht die Option Weiter aus.

  4. Geben Sie auf der Seite Mit Azure AD verbinden die Anmeldeinformationen eines globalen Administrators für Ihren Azure AD-Mandanten ein und klicken Sie dann auf Weiter.

  5. Wählen Sie auf der Seite Geräteoptionen die Option Hybrid-Azure AD-Einbindung konfigurieren und dann Weiter aus.

  6. Führen Sie auf der Seite SCP die folgenden Schritte aus, und wählen Sie dann Weiter aus:

    1. Wählen Sie die Gesamtstruktur aus.
    2. Wählen Sie den Authentifizierungsdienst aus. Sie müssen AD FS-Server auswählen – es sei denn, Ihre Organisation verfügt ausschließlich über Clients mit Windows 10 oder höher und Sie haben die Computer-/Gerätesynchronisierung konfiguriert, oder Ihre Organisation verwendet nahtlose einmaliges Anmelden.
    3. Wählen Sie Hinzufügen aus, um die Anmeldeinformationen eines Unternehmensadministrators einzugeben.

    Eine föderierte Domäne der Azure AD Connect SCP-Konfiguration

  7. Wählen Sie auf der Seite Gerätebetriebssysteme die Betriebssysteme der Geräte in Ihrer Active Directory-Umgebung und dann Weiter aus.

  8. Geben Sie auf der Seite Verbundkonfiguration die Anmeldeinformationen Ihres AD FS-Administrators ein, und wählen Sie dann Weiter.

  9. Wählen Sie auf der Seite Bereit für Konfiguration die Option Konfigurieren.

  10. Wählen Sie auf der Seite Konfiguration abgeschlossen die Option Beenden.

Verbundeinschränkungen

Ab Windows 10 1803 gilt Folgendes: Wenn bei der sofortigen Azure AD-Hybrideinbindung für Verbundumgebungen unter Verwendung von AD FS ein Fehler auftritt, nutzen wir Azure AD Connect, um das Computerobjekt in Azure AD zu synchronisieren. Dieses Objekt wird anschließend verwendet, um die Geräteregistrierung für die Azure AD-Hybrideinbindung durchzuführen.

Andere Szenarien

Organisationen können die Azure AD-Hybrideinbindung vor dem vollständigen Rollout für einen Teil ihrer Umgebung testen. Die Schritte zum Abschließen einer gezielten Bereitstellung finden Sie im Artikel Kontrollierte Überprüfung der Azure AD-Hybrideinbindung. Organisationen sollten eine Stichprobe von Benutzern mit unterschiedlichen Rollen und Profilen in diese Pilotgruppe aufnehmen. Mit einem gezielten Rollout können Sie Probleme identifizieren, die durch Ihren Plan möglicherweise nicht behandelt wurden, bevor Sie ihn für die gesamte Organisation bereitstellen.

Einige Organisationen können Azure AD Connect möglicherweise nicht für die Konfiguration von AD FS verwenden. Die Schritte zum manuellen Konfigurieren der Ansprüche finden Sie im Artikel Tutorial: Manuelles Konfigurieren von in Azure Active Directory eingebundenen Hybridgeräten.

Government-Cloud

Bei Organisationen in Azure Government müssen für die Azure AD-Hybrideinbindung die Geräte innerhalb des Netzwerks Ihrer Organisation Zugriff auf die folgenden Microsoft-Ressourcen haben:

  • https://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us (Wenn Sie nahtloses einmaliges Anmelden verwenden oder verwenden möchten.)

Beheben von Problemen bei der Azure AD-Hybrideinbindung

Sollten bei der Azure AD-Hybrideinbindung für in Domänen eingebundene Windows-Geräte Probleme auftreten, finden Sie weitere Informationen unter:

Nächste Schritte