Planen Ihrer Azure Active Directory-Gerätebereitstellung

In diesem Artikel erfahren Sie, wie Sie die Methoden zur Integration Ihres Geräts in Azure AD auswerten, den Implementierungsplan auswählen und wichtige Links zu den unterstützten Geräteverwaltungstools bereitstellen.

Die Bandbreite an Benutzergeräten wird beständig erweitert. Organisationen können Desktops, Laptops, Smartphones, Tablets und andere Geräte bereitstellen. Ihre Benutzer können ihre eigenen Arrays von Geräten einbringen und von unterschiedlichen Standorten aus auf Informationen zugreifen. In dieser Umgebung besteht Ihr Auftrag als Administrator darin, für die Sicherheit Ihrer Organisationsressourcen auf allen Geräten zu sorgen.

Azure Active Directory (Azure AD) ermöglicht es Ihrer Organisation, mit der Geräteidentitätsverwaltung diese Ziele zu erreichen. Sie können Ihre Geräte jetzt in Azure AD abrufen und sie von einem zentralen Ort im Azure-Portal aus steuern. Dies ermöglicht ein einheitliches Benutzererlebnis, verbessert die Sicherheit und verkürzt zudem die Zeit, die zum Konfigurieren eines neuen Geräts benötigt wird.

Es gibt verschiedene Methoden zur Integration Ihrer Geräte in Azure AD, die je nach Betriebssystem und Ihren Anforderungen unabhängig voneinander oder zusammen arbeiten:

Lernen

Bevor Sie beginnen, stellen Sie sicher, dass Sie mit der Übersicht über die Geräteidentitätsverwaltung vertraut sind.

Vorteile

Die wichtigsten Vorteile, wenn Sie Ihren Geräten eine Azure AD Identität zuweisen:

  • Höhere Produktivität: Ermöglichen Sie Benutzern eine nahtlose Anmeldung (SSO) bei Ihren lokalen und Cloudressourcen, sodass sie unabhängig von ihrem Standort produktiv arbeiten können.

  • Mehr Sicherheit: Wenden Sie auf Ressourcen Richtlinien für den bedingten Zugriff an, die auf der Identität des Geräts oder Benutzers basieren. Das Einbinden eines Geräts in Azure AD ist eine Voraussetzung, um Ihre Sicherheit mithilfe einer kennwortlosen Strategie zu erhöhen.

  • Verbesserte Benutzerfreundlichkeit: Bieten Sie Ihren Benutzern unkomplizierten Zugriff auf die cloudbasierten Ressourcen Ihres Unternehmens, sowohl über persönliche als auch über unternehmenseigene Geräte. Administratoren können Enterprise State Roaming für eine einheitliche Darstellung auf allen Windows-Geräten aktivieren.

  • Vereinfachte Bereitstellung und Verwaltung: Vereinfachen Sie das Bereitstellen von Geräten in Azure AD mit Windows Autopilot, Massenbereitstellung oder über Self-Service: Windows-Willkommensseite. Verwalten Sie Geräte mit MDM-Tools (Mobile Device Management, Verwaltung mobiler Geräte) wie Microsoft Intune und ihre Identitäten im Azure-Portal.

Planen des Bereitstellungsprojekts

Berücksichtigen Sie die Anforderungen Ihrer Organisation, während Sie die Strategie für diese Bereitstellung in Ihrer Umgebung festlegen.

Einbeziehen der richtigen Beteiligten

Wenn Technologieprojekte scheitern, ist dies in der Regel auf unterschiedliche Erwartungen in Bezug auf Auswirkungen, Ergebnisse und Verantwortlichkeiten zurückzuführen. Um diese Fallstricke zu vermeiden, stellen Sie sicher, dass Sie die richtigen Beteiligten hinzuziehen und dass die Rollen der Beteiligten im Projekt gut verstanden werden.

Fügen Sie für diesen Plan die folgenden Projektbeteiligten zu Ihrer Liste hinzu:

Role BESCHREIBUNG
Geräteadministrator Ein Vertreter des Geräteteams, der überprüfen kann, dass der Plan die Geräteanforderungen Ihrer Organisation erfüllt
Netzwerkadministrator Ein Vertreter des Netzwerkteams, das sicherstellen kann, dass die Netzwerkanforderungen erfüllt sind
Geräteverwaltungsteam Das Team, das das Geräteinventar verwaltet
Betriebssystemspezifische Administratorteams Teams, die bestimmte Betriebssystemversionen unterstützen und verwalten. So kann es beispielsweise Teams mit Schwerpunkt Mac oder iOS geben.

Planen der Benachrichtigungen

Kommunikation ist ein kritischer Faktor für den Erfolg jedes neuen Diensts. Kommunizieren Sie proaktiv mit Ihren Benutzern darüber, wie sich die Nutzung ändern wird, wann sie sich ändert und wie sie Unterstützung erhalten, wenn sie auf Probleme stoßen.

Planen eines Pilotprojekts

Es wird empfohlen, dass die anfängliche Konfiguration Ihrer Integrationsmethode in einer Testumgebung oder einer kleinen Gruppe von Testgeräten durchgeführt wird. Lesen Sie hierzu Bewährte Methoden für einen Pilotversuch.

Möglicherweise möchten Sie vor der Aktivierung im gesamten Unternehmen eine gezielte Azure AD Hybrid Join-Bereitstellung durchführen.

Warnung

Organisationen sollten eine Auswahl von Benutzern mit unterschiedlichen Rollen und Profilen in diese Pilotgruppe aufnehmen. Mit einem gezielten Rollout können Sie Probleme identifizieren, die in Ihrem Plan möglicherweise nicht berücksichtigt wurden, bevor Sie eine Aktivierung in der gesamten Organisation durchführen.

Auswählen Ihrer Integrationsmethoden

Ihre Organisation kann mehrere Methoden zur Geräteintegration in einem einzelnen Azure AD-Mandanten verwenden. Ziel ist es, die Methoden auszuwählen, die für die sichere Verwaltung Ihrer Geräte in Azure AD geeignet sind. Es gibt viele Parameter, die diese Entscheidung steuern, einschließlich Besitz, Gerätetypen, primäre Zielgruppe und Infrastruktur Ihres Unternehmens.

Die folgenden Informationen können Ihnen bei der Entscheidung helfen, welche Integrationsmethoden Sie verwenden möchten.

Entscheidungsstruktur für die Geräteintegration

Verwenden Sie diese Struktur, um Optionen für Geräte zu bestimmen, die sich im Besitz der Organisation befinden.

Hinweis

In diesem Diagramm sind keine persönlichen oder Bring Your Own Device-Szenarien (BYOD) abgebildet. Sie führen stets zu einer Azure AD-Registrierung.

Decision tree

Vergleichsmatrix

iOS- und Android-Geräte können nur in Azure AD registriert werden. In der folgenden Tabelle sind allgemeine Überlegungen zu Windows-Clientgeräten dargestellt. Verwenden Sie sie als Übersicht, und sehen Sie sich die verschiedenen Integrationsmethoden anschließend ausführlich an.

Aspekt Bei Azure AD registriert In Azure AD eingebunden Hybrid in Azure AD eingebunden
Clientbetriebssysteme
Windows 11- oder Windows 10-Geräte Checkmark for these values. Checkmark for these values. Checkmark for these values.
Kompatible Windows-Geräte (Windows 8.1 oder Windows 7) Checkmark for these values.
Anmeldeoptionen
Lokale Anmeldeinformationen von Endbenutzern Checkmark for these values.
Kennwort Checkmark for these values. Checkmark for these values. Checkmark for these values.
Geräte-PIN Checkmark for these values.
Windows Hello Checkmark for these values.
Windows Hello for Business Checkmark for these values. Checkmark for these values.
FIDO 2.0-Sicherheitsschlüssel Checkmark for these values. Checkmark for these values.
Microsoft Authenticator-App (kennwortlos) Checkmark for these values. Checkmark for these values. Checkmark for these values.
Wichtige Funktionen
SSO für Cloudressourcen Checkmark for these values. Checkmark for these values. Checkmark for these values.
Einmaliges Anmelden bei lokalen Ressourcen Checkmark for these values. Checkmark for these values.
Bedingter Zugriff
(Markieren des Geräts als kompatibel erforderlich)
(Muss von MDM verwaltet werden)
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Bedingter Zugriff
(Über Azure AD Hybrid Join eingebundene Geräte erforderlich)
Checkmark for these values.
Self-Service-Kennwortzurücksetzung über den Windows-Anmeldebildschirm Checkmark for these values. Checkmark for these values.
Windows Hello-PIN-Zurücksetzung Checkmark for these values. Checkmark for these values.

Azure AD-Registrierung

Registrierte Geräte werden häufig mit Microsoft Intune verwaltet. Geräte werden, je nach Betriebssystem, in Intune auf verschiedene Arten registriert.

In Azure AD registrierte Geräte bieten Unterstützung für Bring Your Own Device (BYOD) und unternehmenseigene Geräte für das einmalige Anmelden in Cloudressourcen. Der Zugriff auf Ressourcen basiert auf den Azure AD-Richtlinien für bedingten Zugriff, die auf das Gerät und den Benutzer angewandt werden.

Registrieren von Geräten

Registrierte Geräte werden häufig mit Microsoft Intune verwaltet. Geräte werden, je nach Betriebssystem, in Intune auf verschiedene Arten registriert.

BYOD und unternehmenseigene mobile Geräte werden von Benutzern registriert, die die Unternehmensportal-App installieren.

Wenn die Registrierung Ihrer Geräte die beste Option für Ihre Organisation ist, sehen Sie sich die folgenden Ressourcen an:

Azure AD-Einbindung

Azure AD Join ermöglicht es Ihnen, mit Windows zu einem Cloud-First-Modell zu wechseln. Dies ist eine gute Grundlage, wenn Sie Ihre Geräteverwaltung modernisieren und gerätebezogene IT-Kosten senken möchten. Azure AD Join funktioniert nur bei Geräten mit Windows 10 oder höher. Dies ist die erste Wahl für neue Geräte.

In Azure AD eingebundene Geräte können SSO für lokale Ressourcen nutzen, wenn sie sich im Organisationsnetzwerk befinden, und können sich bei lokalen Servern wie Datei-, Druck- und anderen Anwendungen authentifizieren.

Wenn dies die beste Option für Ihre Organisation ist, sehen Sie sich die folgenden Ressourcen an:

Bereitstellen von in Azure AD eingebundenen Geräten

Für den Azure AD-Beitritt von Geräten stehen Ihnen die folgenden Möglichkeiten zur Verfügung:

Wenn Windows 10 Professional oder Windows 10 Enterprise auf einem Gerät installiert ist, wird standardmäßig der Setupprozess für firmeneigene Geräte übernommen.

Wählen Sie das Bereitstellungsverfahren aus, nachdem Sie diese Vorgehensweisen sorgfältig verglichen haben.

Sie stellen möglicherweise fest, dass ein Azure AD-Beitritt die optimale Lösung für ein Gerät ist, das derzeit einen anderen Zustand aufweist. Die folgende Tabelle zeigt, wie Sie den Zustand eines Geräts ändern.

Aktueller Gerätezustand Gewünschter Gerätezustand Vorgehensweise
Eingebundene lokale Domäne In Azure AD eingebunden Trennen Sie das Gerät von der lokalen Domäne, bevor Sie es in Azure AD einbinden.
Hybrid in Azure AD eingebunden In Azure AD eingebunden Trennen Sie das Gerät von der lokalen Domäne und von Azure AD, bevor Sie es in Azure AD einbinden.
Bei Azure AD registriert In Azure AD eingebunden Heben Sie die Registrierung des Geräts auf, bevor Sie es in Azure AD einbinden.

Azure AD-Hybrideinbindung

Wenn Sie über eine lokale Active Directory-Umgebung verfügen und Ihre in die Domäne eingebundenen Computer in Azure AD einbinden möchten, können Sie hierfür Azure AD Hybrid Join verwenden. Dies unterstützt eine breite Palette von Windows-Geräten, einschließlich aktueller und kompatibler Windows-Geräte.

Die meisten Organisationen verfügen bereits über in die Domäne eingebundene Geräte und verwalten sie über eine Gruppenrichtlinie oder System Center Configuration Manager (SCCM). In diesem Fall empfiehlt es sich, Azure AD Hybrid Join zu konfigurieren, um von den Vorteilen zu profitieren und gleichzeitig bestehende Investitionen zu schützen.

Wenn Azure AD Hybrid Join die beste Option für Ihre Organisation ist, sehen Sie sich die folgenden Ressourcen an:

Bereitstellen von Azure AD Hybrid Join für Ihre Geräte

Überprüfen Sie Ihre Identitätsinfrastruktur. Azure AD Connect bietet einen Assistenten für die Konfiguration von Azure AD Hybrid Join für folgende Szenarien:

Wenn die Installation der erforderlichen Version von Azure AD Connect für Sie nicht in Frage kommt, finden Sie weitere Informationen unter Manuelles Konfigurieren von in Azure Active Directory eingebundenen Hybridgeräten.

Hinweis

Das lokale in die Domäne eingebundene Gerät mit Windows 10 oder höher versucht, automatisch mit Azure AD verbunden zu werden, damit es standardmäßig in Azure AD Hybrid eingebunden wird. Dies ist nur erfolgreich, wenn Sie die richtige Umgebung eingerichtet haben.

Sie stellen möglicherweise fest, dass ein Azure AD-Beitritt als hybrides Gerät die optimale Lösung für ein Gerät ist, das derzeit einen anderen Zustand aufweist. Die folgende Tabelle zeigt, wie Sie den Zustand eines Geräts ändern.

Aktueller Gerätezustand Gewünschter Gerätezustand Vorgehensweise
Eingebundene lokale Domäne Hybrid in Azure AD eingebunden Verwenden Sie Azure AD Connect oder AD FS, um Azure beizutreten.
Lokale Arbeitsgruppe (beigetreten oder neu) Hybrid in Azure AD eingebunden Unterstützt mit Windows Autopilot Andernfalls muss das Gerät vor einem Azure AD-Beitritt als hybrides Gerät in eine lokale Domäne eingebunden sein.
In Azure AD eingebunden Hybrid in Azure AD eingebunden Entfernen Sie die Einbindung in Azure AD, was es in eine lokale Arbeitsgruppe oder in einen neuen Zustand versetzt.
Bei Azure AD registriert Hybrid in Azure AD eingebunden Hängt von der Windows-Version ab. Beachten Sie diese Überlegungen.

Verwalten von Geräten

Nachdem Sie Ihre Geräte registriert oder in Azure AD eingebunden haben, verwenden Sie das Azure-Portal als zentralen Ort zum Verwalten Ihrer Geräteidentitäten. Auf der Azure Active Directory-Geräteseite können Sie folgende Aktionen ausführen:

Stellen Sie sicher, dass Sie die Umgebung bereinigen, indem Sie veraltete Geräte verwalten, und konzentrieren Sie sich auf Ihre Ressourcen zum Verwalten aktueller Geräte.

Unterstützte Geräteverwaltungstools

Administratoren können registrierte und eingebundene Geräte mit weiteren Tools für die Geräteverwaltung schützen und steuern. Diese Tools bieten Ihnen eine Möglichkeit zur Erzwingung der benötigten Konfigurationen, z. B. Verschlüsselung des Speichers, Kennwortkomplexität, Softwareinstallationen und Softwareupdates.

Überprüfen Sie die unterstützten und nicht unterstützten Plattformen für integrierte Geräte:

Geräteverwaltungstools Bei Azure AD registriert In Azure AD eingebunden Hybrid in Azure AD eingebunden
Verwaltung mobiler Geräte (Mobile Device Management, MDM)
Beispiel: Microsoft Intune
Checkmark for these values. Checkmark for these values. Checkmark for these values.
Kombinierte Verwaltung mit Microsoft Intune und Microsoft Endpoint Configuration Manager
(Windows 10 oder höher)
Checkmark for these values. Checkmark for these values.
Gruppenrichtlinie
(nur Windows)
Checkmark for these values.

Ziehen Sie die mobile Anwendungsverwaltung von Microsoft Intune mit oder ohne Geräteverwaltung für registrierte iOS- oder Android-Geräte in Erwägung.

Administratoren können auch VDI-Plattformen (Virtual Desktop Infrastructure) bereitstellen, die Windows-Betriebssysteme in ihren Unternehmen hosten, um die Verwaltung zu vereinfachen und die Kosten durch Konsolidierung und Zentralisierung von Ressourcen zu verringern.

Nächste Schritte