So planen Sie die Implementierung Ihrer Microsoft Entra-Einbindung

Sie können Geräte direkt in Microsoft Entra ID einbinden, ohne dem lokalen Active Directory beitreten zu müssen, während Ihre Benutzer produktiv und geschützt bleiben. Die Microsoft Entra-Einbindung eignet sich für bereichsbezogene wie für die Bereitstellung im großen Stil in Unternehmen. SSO-Zugriff (Single Sign-On, einmaliges Anmelden) auf lokale Ressourcen ist auch für Geräte verfügbar, die in Microsoft Entra eingebunden sind. Weitere Informationen finden Sie unter So funktioniert das einmalige Anmelden bei lokalen Ressourcen auf in Microsoft Entra eingebundenen Geräten.

In diesem Artikel erhalten Sie die Informationen, die Sie zum Planen der Implementierung der Microsoft Entra-Einbindung benötigen.

Voraussetzungen

Dieser Artikel setzt voraus, dass Sie die Einführung in die Geräteverwaltung in Microsoft Entra ID gelesen haben.

Planen Ihrer Implementierung

Um die Implementierung Ihrer Microsoft Entra-Einbindung zu planen, sollten Sie sich mit folgenden Themen vertraut machen:

  • Überprüfen Ihrer Szenarien
  • Überprüfen Ihrer Identitätsinfrastruktur
  • Bewerten Ihrer Geräteverwaltung
  • Verstehen der zu berücksichtigenden Aspekte für Anwendungen und Ressourcen
  • Grundlegendes zu Ihren Bereitstellungsoptionen
  • Konfigurieren von Enterprise State Roaming
  • Konfigurieren des bedingten Zugriffs

Überprüfen Ihrer Szenarien

Die Microsoft Entra-Einbindung ermöglicht es Ihnen, mit Windows zu einem Cloud-First-Modell zu wechseln. Wenn Sie Ihre Geräteverwaltung modernisieren und gerätebezogene IT-Kosten senken möchten, bietet die Microsoft Entra-Einbindung eine hervorragende Grundlage, um diese Ziele zu erreichen.

Ziehen Sie die Microsoft Entra-Einbindung in Betracht, wenn Ihre Ziele den folgenden Kriterien entsprechen:

  • Sie führen Microsoft 365 als Produktivitätssuite für Ihre Benutzer ein.
  • Sie möchten Geräte mit einer cloudspezifischen Geräteverwaltungslösung verwalten.
  • Sie möchten die Gerätebereitstellung für geografisch verteilte Benutzer vereinfachen.
  • Sie haben vor, Ihre Anwendungsinfrastruktur zu modernisieren.

Überprüfen Ihrer Identitätsinfrastruktur

Die Microsoft Entra-Einbindung kann sowohl in verwalteten Umgebungen als auch in Verbundumgebungen eingesetzt werden. Wir gehen davon aus, dass die meisten Organisationen verwaltete Domänen bereitstellen. Szenarien mit verwalteten Domänen erfordern keine Konfiguration und Verwaltung eines Verbundservers wie Active Directory-Verbunddienste (AD FS).

Verwaltete Umgebung

Eine verwaltete Umgebung kann entweder durch Kennworthashsynchronisierung oder Passthrough-Authentifizierung mit dem nahtlosen einmaligen Anmelden (Seamless Single Sign On, Seamless SSO) bereitgestellt werden.

Verbundumgebung

Bei Verbundumgebungen sollte ein Identitätsanbieter verwendet werden, der sowohl das WS-Trust- als auch das WS-Fed-Protokoll unterstützt:

  • WS-Fed: Dieses Protokoll ist erforderlich, um ein Gerät in Microsoft Entra ID einzubinden.
  • WS-Trust: Dieses Protokoll ist für die Anmeldung bei einem in Microsoft Entra eingebundenen Gerät erforderlich.

Bei Verwendung von AD FS müssen Sie die folgenden WS-Trust-Endpunkte aktivieren: /adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed

Wenn Ihr Identitätsanbieter diese Protokolle nicht unterstützt, funktioniert die Microsoft Entra-Einbindung nicht nativ.

Hinweis

Derzeit funktioniert die Microsoft Entra-Einbindung nicht, wenn AD FS 2019 mit externen Authentifizierungsanbietern als primärer Authentifizierungsmethode konfiguriert ist. Für die Microsoft Entra-Einbindung ist standardmäßig die Kennwortauthentifizierung als primäre Methode festgelegt, was in diesem Szenario zu Authentifizierungsfehlern führt.

Benutzerkonfiguration

Bei der Erstellung von Benutzern in:

  • Ein lokales Active Directory muss mithilfe von Microsoft Entra Connect mit Microsoft Entra ID synchronisiert werden.
  • Für Microsoft Entra ID ist keine zusätzliche Einrichtung erforderlich.

Lokale Benutzerprinzipalnamen (UPNs), die sich von Microsoft Entra-UPNs unterscheiden, werden auf in Microsoft Entra eingebundenen Geräten nicht unterstützt. Wenn Ihre Benutzer einen lokalen UPN verwenden, sollten Sie auf die Verwendung ihres primären UPN in Microsoft Entra ID umstellen.

UPN-Änderungen werden erst ab dem Windows 10-Update 2004 unterstützt. Bei Benutzern, die Geräte mit diesem Update verwenden, kann der UPN problemlos geändert werden. Auf Geräten vor dem Windows 10-Update 2004 haben Benutzer Probleme mit SSO und dem bedingten Zugriff. Sie müssen sich über die Kachel „Anderer Benutzer“ mit ihrem neuen UPN bei Windows anmelden, um dieses Problem zu beheben.

Bewerten Ihrer Geräteverwaltung

Unterstützte Geräte

Microsoft Entra-Einbindung:

  • Unterstützt Windows 10- und Windows 11-Geräte.
  • Wird für vorherige Versionen von Windows oder andere Betriebssysteme nicht unterstützt. Wenn Sie über Windows 7- oder Windows 8.1-Geräte verfügen, müssen Sie ein Upgrade auf mindestens Windows 10 durchführen, um die Microsoft Entra-Einbindung bereitstellen zu können.
  • Wird für FIPS-konformes TPM 2.0 und nicht für TPM 1.2 unterstützt. Wenn Ihre Geräte über FIPS-konformes TPM 1.2 verfügen, müssen Sie es deaktivieren, bevor Sie die mit der Microsoft Entra-Einbindung fortfahren. Microsoft stellt keine Tools zum Deaktivieren des FIPS-Modus für TPMs bereit, da dieser vom TPM-Hersteller abhängt. Wenden Sie sich an Ihren Hardware-OEM, um Unterstützung zu erhalten.

Empfehlung: Verwenden Sie immer die neueste Version von Windows, um die aktualisierten Features nutzen zu können.

Verwaltungsplattform

Die Geräteverwaltung für in Microsoft Entra eingebundene Geräte basiert auf einer MDM-Plattform (Mobile Device Management, Verwaltung mobiler Geräte) wie Intune und MDM-CSPs. Ab Windows 10 ist ein integrierter MDM-Agent verfügbar, der alle kompatiblen MDM-Lösungen unterstützt.

Hinweis

Gruppenrichtlinien werden für in Microsoft Entra eingebundene Geräte nicht unterstützt, weil diese nicht mit der lokalen Active Directory-Instanz verbunden sind. Die Verwaltung von in Microsoft Entra eingebundenen Geräten ist nur über MDM möglich.

Es gibt zwei Ansätze für die Verwaltung von in Microsoft Entra eingebundenen Geräten:

  • Nur MDM: Ein Gerät wird ausschließlich von einem MDM-Anbieter wie Intune verwaltet. Alle Richtlinien werden im Rahmen des MDM-Registrierungsprozesses bereitgestellt. Für Microsoft Entra-ID P1-, P2- oder EMS-Kunden ist die MDM-Registrierung ein automatisierter Schritt, der Bestandteil einer Microsoft Entra-Einbindung ist.
  • Co-Verwaltung: Ein Gerät wird von einem MDM-Anbieter und Microsoft Configuration Manager verwaltet. Bei diesem Ansatz ist der Microsoft Configuration Manager-Agent auf einem vom MDM verwalteten Gerät installiert, um bestimmte Aspekte zu verwalten.

Überprüfen Sie bei der Verwendung von Gruppenrichtlinien mithilfe der Analyse von Gruppenrichtlinien in Microsoft Intune die Parität von GPO- und MDM-Richtlinien.

Überprüfen Sie die unterstützten und nicht unterstützten Richtlinien, um zu bestimmen, ob Sie statt Gruppenrichtlinien eine MDM-Lösung verwenden können. In Bezug auf nicht unterstützte Richtlinien sind folgende Fragen zu berücksichtigen:

  • Sind die nicht unterstützten Richtlinien für in Microsoft Entra eingebundene Geräte oder für Benutzer erforderlich?
  • Sind die nicht unterstützten Richtlinien in einer cloudbasierten Bereitstellung anwendbar?

Wenn Ihre MDM-Lösung nicht über den Microsoft Entra-App-Katalog verfügbar ist, können Sie die Lösung gemäß der unter Microsoft Entra-Integration von MDM beschriebenen Vorgehensweise hinzufügen.

Durch die Co-Verwaltung können Sie Microsoft Configuration Manager verwenden, um bestimmte Aspekte Ihrer Geräte zu verwalten, während die Richtlinien über Ihre MDM-Plattform bereitgestellt werden. Microsoft Intune ermöglicht die Co-Verwaltung mit Microsoft Configuration Manager. Weitere Informationen zur Co-Verwaltung für Geräte mit Windows 10 oder höher finden Sie unter Was ist Co-Verwaltung?. Wenn Sie ein anderes MDM-Produkt als Intune verwenden, wenden Sie sich an Ihren MDM-Anbieter, um Informationen zu entsprechenden Szenarien für die Co-Verwaltung zu erhalten.

Empfehlung: Ziehen Sie für in Microsoft Entra eingebundene Geräte nur die mobile Geräteverwaltung (MDM) in Betracht.

Verstehen der zu berücksichtigenden Aspekte für Anwendungen und Ressourcen

Wir empfehlen die Migration von lokalen Anwendungen zu Cloudanwendungen, um die Benutzerfreundlichkeit und die Zugriffssteuerung zu verbessern. Mit Microsoft Entra verbundene Geräte können nahtlos sowohl auf lokale als auch auf Cloud-Anwendungen zugreifen. Weitere Informationen finden Sie unter So funktioniert das einmalige Anmelden bei lokalen Ressourcen auf in Microsoft Entra eingebundenen Geräten.

In den folgenden Abschnitten werden Aspekte für verschiedene Arten von Anwendungen und Ressourcen aufgeführt.

Cloudbasierte Anwendungen

Wenn eine Anwendung zum Microsoft Entra-App-Katalog hinzugefügt wird, erhalten Benutzer einmaliges Anmelden über die in Microsoft Entra eingebundenen Geräte. Es ist keine weitere Konfiguration erforderlich. Benutzer erhalten SSO in den Browsern Microsoft Edge und Chrome. Wenn Sie Chrome verwenden, müssen Sie die Erweiterung „Windows 10 Accounts“ bereitstellen.

Für Win32-Anwendungen gilt Folgendes:

  • Alle Win32-Anwendungen, die Web Account Manager (WAM) für Tokenanforderungen verwenden, erhalten ebenfalls einmaliges Anmelden auf in Microsoft Entra eingebundenen Geräten.
  • Alle Win32-Anwendungen, die WAM nicht verwenden, fordern Benutzer möglicherweise zur Authentifizierung auf.

Lokale Webanwendungen

Wenn Ihre Apps benutzerdefiniert sind und/oder lokal gehostet werden, müssen Sie die Apps aus folgenden Gründen zu den vertrauenswürdigen Sites Ihres Browsers hinzufügen:

  • Damit die integrierte Windows-Authentifizierung funktioniert
  • Um den Benutzern ein SSO-Erlebnis ohne Eingabeaufforderung zu bieten.

Wenn Sie AD FS verwenden, lesen Sie Überprüfen und Verwalten von einmaligem Anmelden mit AD FS.

Empfehlung: Ziehen Sie ein Hosting in der Cloud (z. B. Azure) und die Integration von Microsoft Entra ID in Betracht, um die Benutzerfreundlichkeit zu verbessern.

Lokale Anwendungen, die ältere Protokolle verwenden

Benutzer erhalten einmaliges Anmelden über in Microsoft Entra eingebundene Geräte, wenn das jeweilige Gerät Zugriff auf einen Domänencontroller hat.

Hinweis

Mit Microsoft Entra verbundene Geräte können nahtlos sowohl auf lokale als auch auf Cloud-Anwendungen zugreifen. Weitere Informationen finden Sie unter So funktioniert das einmalige Anmelden bei lokalen Ressourcen auf in Microsoft Entra eingebundenen Geräten.

Empfehlung: Stellen Sie den Microsoft Entra-Anwendungsproxy bereit, um den sicheren Zugriff für diese Anwendungen zu ermöglichen.

Lokale Netzwerkfreigaben

Ihre Benutzer erhalten einmaliges Anmelden über in Microsoft Entra eingebundene Geräte, wenn das jeweilige Gerät Zugriff auf einen lokalen Domänencontroller hat. Erfahren Sie, wie dies funktioniert.

Drucker

Sie sollten Universal Print bereitstellen, um eine cloudbasierte Druckverwaltungslösung ohne lokale Abhängigkeiten zu besitzen.

Lokale Anwendungen, die Computerauthentifizierung verwenden

In Microsoft Entra eingebundene Geräte unterstützen keine lokalen Anwendungen, die Computerauthentifizierung verwenden.

Empfehlung: Setzen Sie diese Anwendungen außer Kraft, und stellen Sie auf modernere Alternativen um.

Remotedesktopdienste

Eine Remotedesktopverbindung mit einem mit Microsoft Entra eingebundenen Geräten erfordert, dass der Hostcomputer entweder in Microsoft Entra eingebunden oder hybrid eingebunden ist. Eine Remotedesktopverbindung über ein nicht verbundenes oder Nicht-Windows-Gerät wird nicht unterstützt. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit einem in Microsoft Entra eingebundenen Remote-PC.

Ab dem Windows 10-Update 2004 können Benutzer auch eine Remotedesktopverbindung auf einem bei Microsoft Entra registrierten Gerät mit Windows 10 oder höher mit einem weiteren in Microsoft Entra eingebundenen Gerät verwenden.

RADIUS- und WLAN-Authentifizierung

Derzeit unterstützen in Microsoft Entra eingebundene Geräte die RADIUS-Authentifizierung nicht mithilfe eines lokalen Computerobjekts und eines Zertifikats für die Verbindung mit WLAN-Zugriffspunkten, da RADIUS auf das Vorhandensein eines lokalen Computerobjekts in diesem Szenario angewiesen ist. Alternativ können Sie über Intune gepushte Zertifikate oder Benutzeranmeldeinformationen verwenden, um sich beim WLAN zu authentifizieren.

Grundlegendes zu Ihren Bereitstellungsoptionen

Hinweis: In Microsoft Entra eingebundene Geräte können nicht mit einem Tool für die Systemvorbereitung (Sysprep) oder mit ähnlichen Imagingtools bereitgestellt werden.

Sie können in Microsoft Entra eingebundene Geräte mithilfe der folgenden Methoden bereitstellen:

  • Self-Service auf der Windows-Willkommensseite/in den Windows-Einstellungen: Im Self-Service-Modus durchlaufen die Benutzer den Microsoft Entra-Einbindungsprozess entweder auf der Windows-Willkommensseite (Windows Out-of-Box-Experience, OOBE) oder in den Windows-Einstellungen. Weitere Informationen finden Sie unter Einbinden von geschäftlichen Geräten in das Netzwerk der Organisation.
  • Windows Autopilot: Windows Autopilot ermöglicht die Vorkonfiguration von Geräten, um auf der Windows-Willkommensseite für ein reibungsloses Benutzererlebnis bei der Microsoft Entra-Einbindung zu sorgen. Weitere Informationen finden Sie in der Übersicht über Windows Autopilot.
  • Massenregistrierung: Die Massenregistrierung ermöglicht eine vom Administrator gesteuerte Microsoft Entra-Einbindung mithilfe eines Massenbereitstellungstools zum Konfigurieren von Geräten. Weitere Informationen finden Sie unter Massenregistrierung für Windows-Geräte.

Hier finden Sie einen Vergleich dieser drei Methoden:

Element Self-Service-Einrichtung Windows Autopilot Massenregistrierung
Benutzerinteraktion zum Einrichten erforderlich Ja Ja Nein
IT-Maßnahmen erforderlich Nein Ja Ja
Umsetzbare Abläufe Windows-Willkommensseite & Einstellungen Nur Willkommensseite Nur Willkommensseite
Lokale Administratorrechte für primären Benutzer Ja, standardmäßig Konfigurierbar Nein
OEM-Support erforderlich Nein Ja Nein
Unterstützte Versionen 1511+ 1709+ 1703+

Wählen Sie Ihre Bereitstellungsmethode, indem Sie die obige Tabelle durchgehen und die folgenden Aspekte für die Anwendung der jeweiligen Methode berücksichtigen:

  • Sind Ihre Benutzer technisch versiert, sodass sie die Einrichtung selbst vornehmen können?
    • Self-Service kann für diese Benutzer am besten geeignet sein. Ziehen Sie Windows Autopilot in Betracht, um die Benutzerfreundlichkeit zu verbessern.
  • Arbeiten Ihre Benutzer remote oder in den Räumlichkeiten des Unternehmens?
    • Self-Service oder Autopilot sind für Remotebenutzer hinsichtlich einer problemlosen Einrichtung am besten geeignet.
  • Bevorzugen Sie eine benutzergesteuerte oder eine vom Administrator verwaltete Konfiguration?
    • Eine Massenregistrierung ist für die administratorgesteuerte Bereitstellung besser geeignet, um Geräte vor der Übergabe an die Benutzer einzurichten.
  • Erwerben Sie Geräte von 1 bis 2 OEMs, oder gibt es in Ihrem Unternehmen eine breite Verteilung von OEM-Geräten?
    • Wenn Sie Geräte von einer begrenzten Anzahl von OEMs erwerben, die auch Autopilot unterstützen, können Sie von einer engeren Integration von Autopilot profitieren.

Konfigurieren Ihrer Geräteeinstellungen

Im Microsoft Entra Admin Center können Sie die Bereitstellung von in Microsoft Entra eingebundenen Geräten in Ihrer Organisation steuern. Navigieren Sie zum Konfigurieren der zugehörigen Einstellungen zu Identität>Geräte>Alle Geräte>Geräteeinstellungen. Weitere Informationen

Benutzer können Geräte in Microsoft Entra ID einbinden.

Legen Sie diese Option basierend auf dem Umfang Ihrer Bereitstellung und den Benutzern, die ein in Microsoft Entra eingebundenes Gerät einrichten sollen, auf Alle oder Ausgewählte fest.

Users may join devices to Microsoft Entra ID

Zusätzliche lokale Administratoren auf in Microsoft Entra ID eingebundenen Geräten

Wählen Sie Ausgewählte und dann die Benutzer aus, die Sie zur lokalen Administratorgruppe für alle in Microsoft Entra eingebundenen Geräte hinzufügen möchten.

Additional local administrators on Microsoft Entra joined devices

Mehrstufige Authentifizierung zum Hinzufügen von Geräten erforderlich

Wählen Sie Ja aus, wenn Benutzer beim Einbinden von Geräten in Microsoft Entra ID die Multi-Faktor-Authentifizierung (MFA) ausführen müssen.

Require multifactor Auth to join devices

Empfehlung: Erzwingen Sie mit der Benutzeraktion Geräte registrieren oder einbinden in bedingtem Zugriff die Verwendung von MFA für das Einbinden von Geräten.

Konfigurieren Ihrer Mobilitätseinstellungen

Bevor Sie Ihre Mobilitätseinstellungen konfigurieren können, müssen Sie möglicherweise zuerst einen MDM-Anbieter hinzufügen.

Gehen Sie wie folgt vor, um einen MDM-Anbieter hinzuzufügen:

  1. Wählen Sie auf derMicrosoft Entra ID-Seite im Abschnitt Verwalten die Option Mobility (MDM and MAM) aus.

  2. Wählen Sie Anwendung hinzufügenaus.

  3. Wählen Sie Ihren MDM-Anbieter aus der Liste aus.

    Screenshot of the Microsoft Entra ID Add an application page. Several M D M providers are listed.

Wählen Sie Ihren MDM-Anbieter aus, um die entsprechenden Einstellungen zu konfigurieren.

MDM-Benutzerbereich

Wählen Sie basierend auf dem Benutzerbereich Ihrer Bereitstellung entweder Einige oder Alle aus.

MDM user scope

Basierend auf Ihrem Benutzerbereich ergibt sich eine der folgenden Situationen:

  • Benutzer befindet sich im MDM-Bereich: Wenn Sie über ein Microsoft Entra-ID P1- oder P2-Abonnement verfügen, wird die MDM-Registrierung zusammen mit der Microsoft Entra-Einbindung automatisiert. Alle bereichsbezogenen Benutzer müssen eine entsprechende Lizenz für die MDM verfügen. Wenn die MDM-Registrierung in diesem Szenario fehlschlägt, wird auch für die Microsoft Entra-Einbindung ein Rollback ausgeführt.
  • Der Benutzer befindet sich nicht im MDM-Bereich: Wenn Benutzer nicht im MDM-Bereich enthalten sind, wird die Microsoft Entra-Einbindung ohne MDM-Registrierung abgeschlossen. Dieser Bereich führt zu einem nicht verwalteten Gerät.

MDM-URLs

Es gibt drei URLs, die sich auf die MDM-Konfiguration beziehen:

  • URL für MDM-Nutzungsbedingungen
  • URL für MDM-Ermittlung
  • MDM Compliance-URL

Screenshot of part of the Microsoft Entra M D M configuration section, with U R L fields for M D M terms of use, discovery, and compliance.

Jede URL besitzt einen vordefinierten Standardwert. Wenn diese Felder leer sind, wenden Sie sich für weitere Informationen an Ihren MDM-Anbieter.

MAM-Einstellungen

MAM gilt nicht für eine Microsoft Entra-Einbindung.

Konfigurieren von Enterprise State Roaming

Wenn Sie Enterprise State Roaming in Microsoft Entra ID aktivieren möchten, damit Benutzer ihre Einstellungen geräteübergreifend synchronisieren können, lesen Sie Aktivieren von Enterprise State Roaming in Microsoft Entra ID.

Empfehlung: Aktivieren Sie diese Einstellung auch für hybrid in Microsoft Entra eingebundene Geräte.

Konfigurieren des bedingten Zugriffs

Wenn für Ihre in Microsoft Entra eingebundenen Geräte ein MDM-Anbieter konfiguriert ist, kennzeichnet der Anbieter das Gerät als konform, sobald das Gerät verwaltet wird.

Compliant device

Sie können diese Implementierung nutzen, um die Verwendung verwalteter Geräte für den Zugriff auf Cloud-Apps mithilfe des bedingten Zugriffs vorzuschreiben.

Nächste Schritte