Gezielte Bereitstellung der Azure AD-Hybrideinbindung

Sie können die Planung und Voraussetzungen für in Azure AD eingebundene Hybridgeräte mithilfe einer gezielten Bereitstellung überprüfen, bevor Sie sie in der gesamten Organisation aktivieren. In diesem Artikel erfahren Sie, wie Sie eine gezielte Bereitstellung der Azure AD-Hybrideinbindung durchführen.

Gezielte Bereitstellung der Azure AD-Hybrideinbindung für aktuelle Windows-Geräte

Für Geräte unter Windows 10 ist die unterstützte Mindestversion Windows 10 (Version 1607) für die Hybrideinbindung. Es wird empfohlen, ein Upgrade auf die aktuelle Version von Windows 10 oder Windows 11 durchzuführen. Wenn Sie frühere Betriebssysteme unterstützen müssen, finden Sie weitere Informationen im Abschnitt Unterstützen von kompatiblen Geräten.

Für eine gezielte Bereitstellung der Azure AD-Hybrideinbindung für aktuelle Windows-Geräte müssen Sie folgende Schritte ausführen:

  1. Entfernen Sie den Eintrag des Dienstverbindungspunkts (Service Connection Point, SCP) aus Active Directory (AD), sofern vorhanden.
  2. Konfigurieren Sie mithilfe eines Gruppenrichtlinienobjekts (Group Policy Object, GPO) die clientseitige Registrierungseinstellung für SCP auf Ihren in die Domäne eingebundenen Computern.
  3. Bei Verwendung von Active Directory-Verbunddienste (AD FS) müssen Sie mithilfe eines Gruppenrichtlinienobjekts auch die clientseitige Registrierungseinstellung für SCP auf Ihrem AD FS-Server konfigurieren.
  4. Möglicherweise müssen Sie auch in Azure AD Connect die Synchronisierungsoptionen anpassen, um die Gerätesynchronisierung zu aktivieren.

Entfernen des SCP aus AD

Verwenden Sie zum Ändern der SCP-Objekte in AD den Schnittstellen-Editor der Active Directory-Dienste (ADSI Edit).

  1. Starten Sie die Desktopanwendung ADSI Edit als Unternehmensadministrator auf einer Verwaltungsarbeitsstation oder auf einem Domänencontroller.
  2. Stellen Sie eine Verbindung mit dem Konfigurationsnamenskontext Ihrer Domäne her.
  3. Navigieren Sie zu CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
  4. Klicken Sie mit der rechten Maustaste auf das Blattobjekt CN=62a0ff2e-97b9-4513-943f-0d221bd30080, und wählen Sie Eigenschaften aus.
    1. Wählen Sie im Fenster Attribut-Editor die Option Schlüsselwörter und anschließend Bearbeiten aus.
    2. Wählen Sie nacheinander die Werte azureADId und azureADName und dann Entfernen aus.
  5. Schließen Sie ADSI Edit.

Konfigurieren der clientseitigen Registrierungseinstellung für SCP

Verwenden Sie das folgende Beispiel, um ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) für die Bereitstellung einer Registrierungseinstellung zu erstellen, die in der Registrierung Ihrer Geräte einen SCP-Eintrag konfiguriert.

  1. Öffnen Sie eine Gruppenrichtlinien-Verwaltungskonsole, und erstellen Sie ein neues Gruppenrichtlinienobjekt in Ihrer Domäne.
    1. Geben Sie Ihrem neu erstellten Gruppenrichtlinienobjekt einen Namen (beispielsweise „ClientSideSCP“).
  2. Bearbeiten Sie das Gruppenrichtlinienobjekt, und suchen Sie den folgenden Pfad: Computerkonfiguration>Einstellungen>Windows-Einstellungen>Registrierung.
  3. Klicken Sie mit der rechten Maustaste auf die Registrierung, und wählen Sie Neu>Registrierungselement aus.
    1. Konfigurieren Sie auf der Registerkarte Allgemein die folgenden Einstellungen:
      1. Aktion: Aktualisieren
      2. Struktur: HKEY_LOCAL_MACHINE
      3. Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD
      4. Wertname: TenantId
      5. Werttyp: REG_SZ
      6. Wertdaten: Die GUID oder Mandanten-ID Ihrer Azure AD-Instanz. (Sie finden diesen Wert unter Azure-Portal>Azure Active Directory>Eigenschaften>Mandanten-ID.)
    2. Klicken Sie auf OK.
  4. Klicken Sie mit der rechten Maustaste auf die Registrierung, und wählen Sie Neu>Registrierungselement aus.
    1. Konfigurieren Sie auf der Registerkarte Allgemein die folgenden Einstellungen:
      1. Aktion: Aktualisieren
      2. Struktur: HKEY_LOCAL_MACHINE
      3. Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD
      4. Wertname: TenantName
      5. Werttyp: REG_SZ
      6. Wertdaten: Der überprüfte Domänenname, wenn Sie eine Verbundumgebung wie Active Directory-Verbunddienste (AD FS) verwenden. Der überprüfte Domänenname oder beispielsweise Ihr Domänenname auf „onmicrosoft.com“ (etwa contoso.onmicrosoft.com), wenn Sie eine verwaltete Umgebung verwenden.
    2. Klicken Sie auf OK.
  5. Schließen Sie den Editor für das neu erstellte Gruppenrichtlinienobjekt.
  6. Verknüpfen Sie das neu erstellte Gruppenrichtlinienobjekt mit der richtigen Organisationseinheit, die die in die Domäne eingebundenen Computer Ihrer kontrollierten Rolloutelemente enthält.

Konfigurieren von AD FS-Einstellungen

Bei einem Verbund von Azure AD mit AD FS müssen Sie gemäß der weiter oben angegebenen Anleitung zunächst den clientseitigen SCP konfigurieren. Dazu muss das Gruppenrichtlinienobjekt mit Ihren AD FS-Servern verknüpft werden. Das SCP-Objekt definiert die Autoritätsquelle für Geräteobjekte. Dabei kann es sich um die lokale Umgebung oder um Azure AD handeln. Wenn der clientseitige SCP für AD FS konfiguriert ist, wird die Quelle für Geräteobjekte als Azure AD eingerichtet.

Hinweis

Wenn Sie den clientseitigen SCP nicht auf Ihren AD FS-Servern konfigurieren konnten, wird die Quelle für Geräteidentitäten als lokal betrachtet. AD FS beginnt dann nach Ablauf des im Attribut „MaximumInactiveDays“ der AD FS-Geräteregistrierung festgelegten Zeitraums mit dem Löschen von Geräteobjekten aus dem lokalen Verzeichnis. AD FS-Geräteregistrierungsobjekte können Sie mithilfe des Cmdlets Get-AdfsDeviceRegistration ermitteln.

Unterstützen von kompatiblen Geräten

Zur Registrierung von kompatiblen Windows-Geräten müssen Organisationen Microsoft Workplace Join für Computer installieren, auf denen nicht Windows 10 ausgeführt wird (verfügbar im Microsoft Download Center).

Sie können das Paket mithilfe eines Softwareverteilungssystems wie Microsoft Endpoint Configuration Manager bereitstellen. Das Paket unterstützt die Standardoptionen für die Installation im Hintergrund unter Verwendung des quiet-Parameters. Configuration Manager Current Branch bietet zusätzliche Vorteile gegenüber früheren Versionen, z.B. die Möglichkeit zur Nachverfolgung abgeschlossener Registrierungen.

Das Installationsprogramm erstellt einen geplanten Task für das System, der im Kontext des Benutzers ausgeführt wird. Der Task wird ausgelöst, wenn sich der Benutzer bei Windows anmeldet. Nach der Authentifizierung durch Azure AD verknüpft die Aufgabe das Gerät unter Verwendung der Benutzeranmeldeinformationen mit Azure AD.

Zur Kontrolle der Registrierung dürfen Sie das Windows Installer-Paket nur für Ihre spezifische Gruppe kompatibler Windows-Geräte bereitstellen.

Hinweis

Ist in AD kein SCP konfiguriert, müssen Sie gemäß der Anleitung zum Konfigurieren der clientseitigen Registrierungseinstellung für SCP vorgehen, um die Konfiguration auf Ihren in die Domäne eingebundenen Computern mithilfe eines Gruppenrichtlinienobjekts (Group Policy Object, GPO) vorzunehmen.

Ursache für den Status „Ausstehend“ eines Geräts

Wenn Sie in der Azure AD Connect-Synchronisierung für Ihre lokalen Geräte eine Aufgabe zur Azure AD-Hybrideinbindung konfigurieren, werden die Geräteobjekte mit Azure AD synchronisiert, und der registrierte Status der Geräte wird vorübergehend auf „Ausstehend“ festgelegt, bis die Geräteregistrierung abgeschlossen ist. Dies liegt daran, dass das Gerät zuerst dem Azure AD-Verzeichnis hinzugefügt werden muss, bevor es registriert werden kann. Weitere Informationen zum Geräteregistrierungsprozess finden Sie unter Funktionsweise: Geräteregistrierung.

Nach der Überprüfung

Nachdem Sie sich vergewissert haben, dass alles wie erwartet funktioniert, können Sie Ihre restlichen aktuellen und kompatiblen Windows-Geräte automatisch bei Azure AD registrieren, indem Sie den SCP mithilfe von Azure AD Connect konfigurieren.

Nächste Schritte