Gewusst wie: Planen der Implementierung Ihrer Azure AD-Einbindung

Sie können Geräte direkt in Azure Active Directory (Azure AD) einbinden, ohne dem lokalen Active Directory beitreten zu müssen, während Ihre Benutzer*innen produktiv und geschützt bleiben. Azure AD Join eignet sich für skalierbare und bereichsbezogene Bereitstellungen in Unternehmen. SSO-Zugriff (Single Sign-On, einmaliges Anmelden) auf lokale Ressourcen ist auch für Geräte verfügbar, die in Azure AD eingebunden sind. Weitere Informationen finden Sie unter So funktioniert das einmalige Anmelden bei lokalen Ressourcen auf in Azure AD eingebundenen Geräten.

In diesem Artikel erhalten Sie die Informationen, die Sie zum Planen der Implementierung von Azure AD Join benötigen.

Voraussetzungen

Dieser Artikel setzt voraus, dass Sie die Einführung in die Geräteverwaltung in Azure Active Directory gelesen haben.

Planen Ihrer Implementierung

Um die Implementierung Ihrer Azure AD-Einbindung zu planen, sollten Sie sich mit folgenden Themen vertraut machen:

  • Überprüfen Ihrer Szenarien
  • Überprüfen Ihrer Identitätsinfrastruktur
  • Bewerten Ihrer Geräteverwaltung
  • Verstehen der zu berücksichtigenden Aspekte für Anwendungen und Ressourcen
  • Grundlegendes zu Ihren Bereitstellungsoptionen
  • Konfigurieren von Enterprise State Roaming
  • Konfigurieren des bedingten Zugriffs

Überprüfen Ihrer Szenarien

Azure AD Join ermöglicht es Ihnen, mit Windows zu einem Cloud-First-Modell zu wechseln. Wenn Sie Ihre Geräteverwaltung modernisieren und gerätebezogene IT-Kosten senken möchten, bietet die Azure AD-Einbindung eine hervorragende Grundlage, um diese Ziele zu erreichen.

Ziehen Sie die Azure AD-Einbindung in Betracht, wenn Ihre Ziele den folgenden Kriterien entsprechen:

  • Sie führen Microsoft 365 als Produktivitätssuite für Ihre Benutzer ein.
  • Sie möchten Geräte mit einer cloudspezifischen Geräteverwaltungslösung verwalten.
  • Sie möchten die Gerätebereitstellung für geografisch verteilte Benutzer vereinfachen.
  • Sie haben vor, Ihre Anwendungsinfrastruktur zu modernisieren.

Überprüfen Ihrer Identitätsinfrastruktur

Die Azure AD-Einbindung kann sowohl in verwalteten Umgebungen als auch in Verbundumgebungen eingesetzt werden. Wir gehen davon aus, dass die meisten Organisationen mithilfe verwalteter Domänen bereitstellen. Szenarien mit verwalteten Domänen erfordern keine Konfiguration und Verwaltung eines Verbundservers wie Active Directory-Verbunddienste (AD FS).

Verwaltete Umgebung

Eine verwaltete Umgebung kann entweder durch Kennworthashsynchronisierung oder Passthrough-Authentifizierung mit dem nahtlosen einmaligen Anmelden (Seamless Single Sign On, Seamless SSO) bereitgestellt werden.

Verbundumgebung

Bei Verbundumgebungen sollte ein Identitätsanbieter verwendet werden, der sowohl das WS-Trust- als auch das WS-Fed-Protokoll unterstützt:

  • WS-Fed: Dieses Protokoll ist erforderlich, um ein Gerät in Azure AD einzubinden.
  • WS-Trust: Dieses Protokoll ist für die Anmeldung bei einem in Azure AD eingebundenen Gerät erforderlich.

Bei Verwendung von AD FS müssen Sie die folgenden WS-Trust-Endpunkte aktivieren: /adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

Wenn Ihr Identitätsanbieter diese Protokolle nicht unterstützt, funktioniert die Azure AD-Einbindung nicht nativ.

Hinweis

Derzeit funktioniert Azure AD Join nicht, wenn AD FS 2019 mit externen Authentifizierungsanbietern als primäre Authentifizierungsmethode konfiguriert ist. Für Azure AD Join ist standardmäßig die Kennwortauthentifizierung als primäre Methode festgelegt, was in diesem Szenario zu Authentifizierungsfehlern führt.

Benutzerkonfiguration

Bei der Erstellung von Benutzern in:

  • Lokalem Active Directory müssen Sie die Benutzer mithilfe von Azure AD Connect mit Azure AD synchronisieren.
  • Azure AD, kein zusätzliches Setup erforderlich

Lokale Benutzerprinzipalnamen (UPNs), die sich von Azure AD-UPNs unterscheiden, werden auf in Azure AD eingebundenen Geräten nicht unterstützt. Wenn Ihre Benutzer einen lokalen UPN verwenden, sollten Sie auf die Verwendung ihres primären UPN in Azure AD umstellen.

UPN-Änderungen werden erst ab dem Windows 10-Update 2004 unterstützt. Bei Benutzern, die Geräte mit diesem Update verwenden, kann der UPN problemlos geändert werden. Auf Geräten vor dem Windows 10-Update 2004 haben Benutzer Probleme mit SSO und dem bedingten Zugriff. Sie müssen sich über die Kachel „Anderer Benutzer“ mit ihrem neuen UPN bei Windows anmelden, um dieses Problem zu beheben.

Bewerten Ihrer Geräteverwaltung

Unterstützte Geräte

Azure AD Join:

  • Unterstützt Windows 10- und Windows 11-Geräte.
  • Wird für vorherige Versionen von Windows oder andere Betriebssysteme nicht unterstützt. Wenn Sie über Windows 7- oder Windows 8.1-Geräte verfügen, müssen Sie ein Upgrade auf mindestens Windows 10 durchführen, um Azure AD Join bereitstellen zu können.
  • Wird für FIPS-konformes TPM 2.0 und nicht für TPM 1.2 unterstützt. Wenn Ihre Geräte über FIPS-konformes TPM 1.2 verfügen, müssen Sie sie deaktivieren, bevor Sie mit Azure AD Join fortfahren. Microsoft stellt keine Tools zum Deaktivieren des FIPS-Modus für TPMs bereit, da dieser vom TPM-Hersteller abhängig ist. Wenden Sie sich an Ihren Hardware-OEM, um Unterstützung zu erhalten.

Empfehlung: Verwenden Sie immer die neueste Version von Windows, um die aktualisierten Features nutzen zu können.

Verwaltungsplattform

Die Geräteverwaltung für in Azure AD eingebundene Geräte basiert auf einer MDM-Plattform (Mobile Device Management, Verwaltung mobiler Geräte) wie Intune und MDM-CSPs. Ab Windows 10 ist ein integrierter MDM-Agent verfügbar, der alle kompatiblen MDM-Lösungen unterstützt.

Hinweis

Gruppenrichtlinien werden für in Azure AD eingebundene Geräte nicht unterstützt, weil diese nicht mit der lokalen Active Directory-Instanz verbunden sind. Die Verwaltung von in Azure AD eingebundenen Geräten ist nur über MDM möglich.

Es gibt zwei Ansätze für die Verwaltung von in Azure AD eingebundenen Geräten:

  • Nur MDM: Ein Gerät wird ausschließlich von einem MDM-Anbieter wie Intune verwaltet. Alle Richtlinien werden im Rahmen des MDM-Registrierungsprozesses bereitgestellt. Für Azure AD Premium- oder EMS-Kunden ist die MDM-Registrierung ein automatisierter Schritt, der Teil einer Azure AD-Einbindung ist.
  • Co-Verwaltung: Ein Gerät wird von einem MDM-Anbieter und Microsoft Endpoint Configuration Manager verwaltet. Bei diesem Ansatz ist der Microsoft Endpoint Configuration Manager-Agent auf einem vom MDM verwalteten Gerät installiert, um bestimmte Aspekte zu verwalten.

Überprüfen Sie bei Verwendung von Gruppenrichtlinien mithilfe der Analyse von Gruppenrichtlinien in Microsoft Endpoint Manager die Parität von GPO- und MDM-Richtlinien.

Überprüfen Sie die unterstützten und nicht unterstützten Richtlinien, um zu bestimmen, ob Sie statt Gruppenrichtlinien eine MDM-Lösung verwenden können. In Bezug auf nicht unterstützte Richtlinien sind folgende Fragen zu berücksichtigen:

  • Sind die nicht unterstützten Richtlinien für in Azure AD eingebundene Geräte oder für Benutzer erforderlich?
  • Sind die nicht unterstützten Richtlinien in einer cloudbasierten Bereitstellung anwendbar?

Wenn Ihre MDM-Lösung nicht über den Azure AD-App-Katalog verfügbar ist, können Sie die Lösung gemäß der unter Azure Active Directory-Integration von MDM beschriebenen Vorgehensweise hinzufügen.

Durch die Co-Verwaltung können Sie Microsoft Endpoint Configuration Manager verwenden, um bestimmte Aspekte Ihrer Geräte zu verwalten, während die Richtlinien über Ihre MDM-Plattform bereitgestellt werden. Microsoft Intune ermöglicht die Co-Verwaltung mit Microsoft Endpoint Configuration Manager. Weitere Informationen zur Co-Verwaltung für Geräte mit Windows 10 oder höher finden Sie unter Was ist Co-Verwaltung?. Wenn Sie ein anderes MDM-Produkt als Intune verwenden, wenden Sie sich an Ihren MDM-Anbieter, um Informationen zu entsprechenden Szenarien für die Co-Verwaltung zu erhalten.

Empfehlung: Ziehen Sie für in Azure AD eingebundene Geräte nur die mobile Geräteverwaltung (MDM) in Betracht.

Verstehen der zu berücksichtigenden Aspekte für Anwendungen und Ressourcen

Wir empfehlen die Migration von lokalen Anwendungen zu Cloudanwendungen, um die Benutzerfreundlichkeit und die Zugriffssteuerung zu verbessern. Mit Azure AD verbundene Geräte können nahtlos sowohl auf lokale als auch auf Cloud-Anwendungen zugreifen. Weitere Informationen finden Sie unter So funktioniert das einmalige Anmelden bei lokalen Ressourcen auf in Azure AD eingebundenen Geräten.

In den folgenden Abschnitten werden Aspekte für verschiedene Arten von Anwendungen und Ressourcen aufgeführt.

Cloudbasierte Anwendungen

Wenn eine Anwendung zum Azure AD-App-Katalog hinzugefügt wird, erhalten Benutzer SSO über die in Azure AD eingebundenen Geräte. Es ist keine weitere Konfiguration erforderlich. Benutzer erhalten SSO in den Browsern Microsoft Edge und Chrome. Wenn Sie Chrome verwenden, müssen Sie die Erweiterung „Windows 10 Accounts“ bereitstellen.

Für Win32-Anwendungen gilt Folgendes:

  • Alle Win32-Anwendungen, die Web Account Manager (WAM) für Tokenanforderungen verwenden, erhalten auch SSO auf in Azure AD eingebundenen Geräten.
  • Alle Win32-Anwendungen, die WAM nicht verwenden, fordern Benutzer möglicherweise zur Authentifizierung auf.

Lokale Webanwendungen

Wenn Ihre Apps benutzerdefiniert sind und/oder lokal gehostet werden, müssen Sie die Apps aus folgenden Gründen zu den vertrauenswürdigen Sites Ihres Browsers hinzufügen:

  • Damit die integrierte Windows-Authentifizierung funktioniert
  • Um den Benutzern ein SSO-Erlebnis ohne Eingabeaufforderung zu bieten.

Wenn Sie AD FS verwenden, lesen Sie Überprüfen und Verwalten von einmaligem Anmelden mit AD FS.

Empfehlung: Ziehen Sie ein Hosting in der Cloud (z.B. Azure) und die Integration von Azure AD in Betracht, um die Benutzerfreundlichkeit zu verbessern.

Lokale Anwendungen, die ältere Protokolle verwenden

Benutzer erhalten SSO über in Azure AD eingebundene Geräte, wenn das jeweilige Gerät Zugriff auf einen Domänencontroller hat.

Hinweis

Mit Azure AD verbundene Geräte können nahtlos sowohl auf lokale als auch auf Cloud-Anwendungen zugreifen. Weitere Informationen finden Sie unter So funktioniert das einmalige Anmelden bei lokalen Ressourcen auf in Azure AD eingebundenen Geräten.

Empfehlung: Stellen Sie den Azure AD-App-Proxy bereit, um den sicheren Zugriff für diese Anwendungen zu ermöglichen.

Lokale Netzwerkfreigaben

Ihre Benutzer erhalten SSO über in Azure AD eingebundene Geräte, wenn das jeweilige Gerät Zugriff auf einen lokalen Domänencontroller hat. Erfahren Sie, wie dies funktioniert.

Drucker

Sie sollten Universal Print bereitstellen, um eine cloudbasierte Druckverwaltungslösung ohne lokale Abhängigkeiten zu besitzen.

Lokale Anwendungen, die Computerauthentifizierung verwenden

In Azure AD eingebundene Geräte unterstützen keine lokalen Anwendungen, die Computerauthentifizierung verwenden.

Empfehlung: Setzen Sie diese Anwendungen außer Kraft, und stellen Sie auf modernere Alternativen um.

Remotedesktopdienste

Um eine Remotedesktopverbindung mit einem in Azure AD eingebundenen Gerät herstellen zu können, muss der Hostcomputer entweder in Azure AD oder Azure AD Hybrid eingebunden sein. Eine Remotedesktopverbindung über ein nicht verbundenes oder Nicht-Windows-Gerät wird nicht unterstützt. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit einem in Azure AD eingebundenen Remote-PC.

Ab dem Windows 10-Update 2004 können Benutzer auch eine Remotedesktopverbindung auf einem bei Azure AD registrierten Gerät mit Windows 10 oder höher mit einem weiteren in Azure AD eingebundenen Gerät verwenden.

RADIUS- und WLAN-Authentifizierung

Derzeit unterstützen in Azure AD eingebundene Geräte keine RADIUS-Authentifizierung zum Herstellen einer Verbindung mit WLAN-Zugangspunkten, da RADIUS auf das Vorhandensein eines lokalen Computerobjekts angewiesen ist. Alternativ können Sie über Intune gepushte Zertifikate oder Benutzeranmeldeinformationen verwenden, um sich beim WLAN zu authentifizieren.

Grundlegendes zu Ihren Bereitstellungsoptionen

Hinweis: In Azure AD eingebundene Geräte können nicht mit einem Tool für die Systemvorbereitung (Sysprep) oder mit ähnlichen Imagingtools bereitgestellt werden.

Sie können in Azure AD eingebundene Geräte mithilfe der folgenden Methoden bereitstellen:

  • Self-Service auf der Windows-Willkommensseite/in den Windows-Einstellungen: Im Self-Service-Modus durchlaufen die Benutzer den Azure AD-Einbindungsprozess entweder auf der Windows-Willkommensseite (Windows Out-of-Box-Experience, OOBE) oder in den Windows-Einstellungen. Weitere Informationen finden Sie unter Einbinden von geschäftlichen Geräten in das Netzwerk der Organisation.
  • Windows Autopilot: Windows Autopilot ermöglicht die Vorkonfiguration von Geräten, um auf der Windows-Willkommensseite für ein möglichst reibungsloses Benutzererlebnis bei der Azure AD-Einbindung zu sorgen. Weitere Informationen finden Sie in der Übersicht über Windows Autopilot.
  • Massenregistrierung: Die Massenregistrierung ermöglicht eine vom Administrator gesteuerte Azure AD-Einbindung mithilfe eines Massenbereitstellungstools zum Konfigurieren von Geräten. Weitere Informationen finden Sie unter Massenregistrierung für Windows-Geräte.

Hier finden Sie einen Vergleich dieser drei Methoden:

Element Self-Service-Einrichtung Windows Autopilot Massenregistrierung
Benutzerinteraktion zum Einrichten erforderlich Ja Ja Nein
IT-Maßnahmen erforderlich Nein Ja Ja
Zutreffende Abläufe Windows-Willkommensseite (OOBE) & Einstellungen Nur Willkommensseite Nur Windows-Willkommensseite
Lokale Administratorrechte für primären Benutzer Ja, standardmäßig Konfigurierbar Nein
OEM-Support erforderlich Nein Ja Nein
Unterstützte Versionen 1511+ 1709+ 1703+

Wählen Sie Ihre Bereitstellungsmethode, indem Sie die obige Tabelle durchgehen und die folgenden Aspekte für die Anwendung der jeweiligen Methode berücksichtigen:

  • Sind Ihre Benutzer technisch versiert, sodass sie die Einrichtung selbst vornehmen können?
    • Self-Service kann für diese Benutzer am besten geeignet sein. Ziehen Sie Windows Autopilot in Betracht, um die Benutzerfreundlichkeit zu verbessern.
  • Arbeiten Ihre Benutzer remote oder in den Räumlichkeiten des Unternehmens?
    • Self-Service oder Autopilot sind für Remotebenutzer hinsichtlich einer problemlosen Einrichtung am besten geeignet.
  • Bevorzugen Sie eine benutzergesteuerte oder eine vom Administrator verwaltete Konfiguration?
    • Eine Massenregistrierung ist für die administratorgesteuerte Bereitstellung besser geeignet, um Geräte vor der Übergabe an die Benutzer einzurichten.
  • Erwerben Sie Geräte von 1 bis 2 OEMs, oder gibt es in Ihrem Unternehmen eine breite Verteilung von OEM-Geräten?
    • Wenn Sie Geräte von einer begrenzten Anzahl von OEMs erwerben, die auch Autopilot unterstützen, können Sie von einer engeren Integration von Autopilot profitieren.

Konfigurieren Ihrer Geräteeinstellungen

Im Azure-Portal können Sie die Bereitstellung von in Azure AD eingebundenen Geräten in Ihrer Organisation steuern. Wählen Sie zum Konfigurieren der entsprechenden Einstellungen auf der Seite Azure Active Directory die Option Devices > Device settings aus. Weitere Informationen

Benutzer dürfen Geräte in Azure AD einbinden

Legen Sie diese Option basierend auf dem Umfang Ihrer Bereitstellung und den Benutzern, die ein in Azure AD eingebundenes Gerät einrichten sollen, auf Alle oder Ausgewählte fest.

Users may join devices to Azure AD

Weitere lokale Administratoren für in Azure AD eingebundene Geräte

Wählen Sie Ausgewählte aus, und wählen Sie die Benutzer aus, die Sie der lokalen Administratorgruppe für alle in Azure AD eingebundenen Geräte hinzufügen möchten.

Additional local administrators on Azure AD joined devices

Voraussetzen der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) für das Einbinden von Geräten

Wählen Sie Ja aus, wenn Benutzer beim Einbinden von Geräten in Azure AD die Multi-Faktor-Authentifizierung (Multi-Factor Authentication, MFA) ausführen müssen.

Require multi-factor Auth to join devices

Empfehlung: Erzwingen Sie mit der Benutzeraktion Geräte registrieren oder einbinden in bedingtem Zugriff die Verwendung von MFA für das Einbinden von Geräten.

Konfigurieren Ihrer Mobilitätseinstellungen

Bevor Sie Ihre Mobilitätseinstellungen konfigurieren können, müssen Sie möglicherweise zuerst einen MDM-Anbieter hinzufügen.

Gehen Sie wie folgt vor, um einen MDM-Anbieter hinzuzufügen:

  1. Wählen Sie auf der Seite Azure Active Directory im Abschnitt Verwalten die Option Mobility (MDM and MAM) aus.

  2. Wählen Sie Anwendung hinzufügenaus.

  3. Wählen Sie Ihren MDM-Anbieter aus der Liste aus.

    Screenshot of the Azure Active Directory Add an application page. Several M D M providers are listed.

Wählen Sie Ihren MDM-Anbieter aus, um die entsprechenden Einstellungen zu konfigurieren.

MDM-Benutzerbereich

Wählen Sie basierend auf dem Benutzerbereich Ihrer Bereitstellung entweder Einige oder Alle aus.

MDM user scope

Basierend auf Ihrem Benutzerbereich ergibt sich eine der folgenden Situationen:

  • Der Benutzer befindet sich im MDM-Bereich: Wenn Sie über ein Azure AD Premium-Abonnement verfügen, ist die MDM-Registrierung mit der Azure AD-Einbindung automatisiert. Alle bereichsbezogenen Benutzer müssen eine entsprechende Lizenz für die MDM verfügen. Wenn die MDM-Registrierung in diesem Szenario fehlschlägt, wird auch für die Azure AD-Einbindung ein Rollback ausgeführt.
  • Der Benutzer ist nicht im MDM-Bereich: Wenn Benutzer nicht im MDM-Bereich enthalten sind, wird die Azure AD-Einbindung ohne MDM-Registrierung abgeschlossen. Dieser Bereich führt zu einem nicht verwalteten Gerät.

MDM-URLs

Es gibt drei URLs, die sich auf die MDM-Konfiguration beziehen:

  • URL für MDM-Nutzungsbedingungen
  • URL für MDM-Ermittlung
  • MDM Compliance-URL

Screenshot of part of the Azure Active Directory M D M configuration section, with U R L fields for M D M terms of use, discovery, and compliance.

Jede URL besitzt einen vordefinierten Standardwert. Wenn diese Felder leer sind, wenden Sie sich für weitere Informationen an Ihren MDM-Anbieter.

MAM-Einstellungen

MAM gilt nicht für die Azure AD-Einbindung.

Konfigurieren von Enterprise State Roaming

Wenn Sie Enterprise State Roaming in Azure AD aktivieren möchten, damit Benutzer ihre Einstellungen geräteübergreifend synchronisieren können, lesen Sie Aktivieren von Enterprise State Roaming in Azure Active Directory.

Empfehlung: Aktivieren Sie diese Einstellung auch für über Azure AD Hybrid eingebundene Geräte.

Konfigurieren des bedingten Zugriffs

Wenn für Ihre in Azure AD eingebundenen Geräte ein MDM-Anbieter konfiguriert ist, kennzeichnet der Anbieter das Gerät als konform, sobald das Gerät verwaltet wird.

Compliant device

Sie können diese Implementierung nutzen, um die Verwendung verwalteter Geräte für den Zugriff auf Cloud-Apps mithilfe des bedingten Zugriffs vorzuschreiben.

Nächste Schritte