So planen Sie Ihre Implementierung für Microsoft Entra-Einbindungen
Sie können Geräte direkt in Microsoft Entra ID einbinden, ohne dem lokalen Active Directory beitreten zu müssen, während Ihre Benutzer produktiv und geschützt bleiben. Die Microsoft Entra-Einbindung eignet sich in Unternehmen für bereichsbezogene Bereitstellung wie für Bereitstellung im großen Stil. SSO-Zugriff (Single Sign-On, einmaliges Anmelden) auf lokale Ressourcen ist auch für Geräte verfügbar, die in Microsoft Entra eingebunden sind. Weitere Informationen finden Sie unter So funktioniert das einmalige Anmelden bei lokalen Ressourcen auf in Microsoft Entra eingebundenen Geräten.
In diesem Artikel erhalten Sie die Informationen, die Sie zum Planen der Implementierung der Microsoft Entra-Einbindung benötigen.
Voraussetzungen
Dieser Artikel setzt voraus, dass Sie die Einführung in die Geräteverwaltung in Microsoft Entra ID gelesen haben.
Planen Ihrer Implementierung
Um die Implementierung Ihrer Microsoft Entra-Einbindung zu planen, sollten Sie sich mit folgenden Themen vertraut machen:
- Überprüfen Ihrer Szenarien
- Überprüfen Ihrer Identitätsinfrastruktur
- Bewerten Ihrer Geräteverwaltung
- Verstehen der zu berücksichtigenden Aspekte für Anwendungen und Ressourcen
- Grundlegendes zu Ihren Bereitstellungsoptionen
- Konfigurieren von Enterprise State Roaming
- Konfigurieren des bedingten Zugriffs
Überprüfen Ihrer Szenarien
Die Microsoft Entra-Einbindung ermöglicht Ihnen, zu einem auf die Cloud ausgerichteten Modell mit Windows zu wechseln. Wenn Sie Ihre Geräteverwaltung modernisieren und Ihre gerätebezogenen IT-Kosten senken möchten, bietet die Microsoft Entra-Einbindung eine hervorragende Grundlage, um diese Ziele zu erreichen.
Ziehen Sie die Microsoft Entra-Einbindung in Betracht, wenn Ihre Ziele den folgenden Kriterien entsprechen:
- Sie führen Microsoft 365 als Produktivitätssuite für Ihre Benutzer ein.
- Sie möchten Geräte mit einer cloudspezifischen Geräteverwaltungslösung verwalten.
- Sie möchten die Gerätebereitstellung für geografisch verteilte Benutzer vereinfachen.
- Sie haben vor, Ihre Anwendungsinfrastruktur zu modernisieren.
Überprüfen Ihrer Identitätsinfrastruktur
Die Microsoft Entra-Einbindung kann sowohl in verwalteten Umgebungen als auch in Verbundumgebungen eingesetzt werden. Die meisten Organisationen stellen verwaltete Domänen bereit. Szenarien mit verwalteten Domänen erfordern keine Konfiguration und Verwaltung eines Verbundservers wie Active Directory-Verbunddienste (AD FS).
Verwaltete Umgebung
Eine verwaltete Umgebung kann entweder durch Kennwort-Hashsynchronisierung oder Passthrough-Authentifizierung mit dem nahtlosen einmaligen Anmelden (Seamless Single Sign On) bereitgestellt werden.
Verbundumgebung
Bei Verbundumgebungen sollte ein Identitätsanbieter verwendet werden, der sowohl das WS-Trust- als auch das WS-Fed-Protokoll unterstützt:
- WS-Fed: Dieses Protokoll ist erforderlich, um ein Gerät in Microsoft Entra ID einzubinden.
- WS-Trust: Dieses Protokoll ist für die Anmeldung bei einem in Microsoft Entra eingebundenen Gerät erforderlich.
Bei Verwendung von AD FS müssen Sie die folgenden WS-Trust-Endpunkte aktivieren: /adfs/services/trust/2005/usernamemixed
/adfs/services/trust/13/usernamemixed
/adfs/services/trust/2005/certificatemixed
/adfs/services/trust/13/certificatemixed
Wenn Ihr Identitätsanbieter diese Protokolle nicht unterstützt, funktioniert die Microsoft Entra-Einbindung nicht nativ.
Hinweis
Derzeit funktioniert die Microsoft Entra-Einbindung nicht, wenn AD FS 2019 mit externen Authentifizierungsanbietern als primärer Authentifizierungsmethode konfiguriert ist. Für die Microsoft Entra-Einbindung ist standardmäßig die Kennwortauthentifizierung als primäre Methode festgelegt, was in diesem Szenario zu Authentifizierungsfehlern führt
Benutzerkonfiguration
Bei der Erstellung von Benutzern in:
- Ein lokales Active Directory muss mithilfe von Microsoft Entra Connect mit Microsoft Entra ID synchronisiert werden.
- Für Microsoft Entra ID ist keine zusätzliche Einrichtung erforderlich.
Lokale Benutzerprinzipalnamen (UPNs), die sich von Microsoft Entra-UPNs unterscheiden, werden auf in Microsoft Entra eingebundenen Geräten nicht unterstützt. Wenn Ihre Benutzer einen lokalen UPN verwenden, sollten Sie auf die Verwendung ihres primären UPN in Microsoft Entra ID umstellen.
UPN-Änderungen werden erst ab dem Windows 10-Update 2004 unterstützt. Bei Benutzern, die Geräte mit diesem Update verwenden, kann der UPN problemlos geändert werden. Auf Geräten vor dem Windows 10-Update 2004 haben Benutzer Probleme mit SSO und dem bedingten Zugriff. Sie müssen sich über die Kachel „Anderer Benutzer“ mit ihrem neuen UPN bei Windows anmelden, um dieses Problem zu beheben.
Bewerten Ihrer Geräteverwaltung
Unterstützte Geräte
Microsoft Entra-Einbindung:
- Unterstützt Windows 10- und Windows 11-Geräte.
- Wird für vorherige Versionen von Windows oder andere Betriebssysteme nicht unterstützt. Wenn Sie über Windows 7- oder Windows 8.1-Geräte verfügen, müssen Sie ein Upgrade auf mindestens Windows 10 durchführen, um die Microsoft Entra-Einbindung bereitstellen zu können.
- Wird für ein FIPS-kompatibles (Federal Information Processing Standard) Trusted Platform Module mit TPM 2.0 unterstützt, jedoch nicht für TPM 1.2. Wenn Ihre Geräte über FIPS-konformes TPM 1.2 verfügen, müssen Sie es deaktivieren, bevor Sie die mit der Microsoft Entra-Einbindung fortfahren. Microsoft stellt keine Tools zum Deaktivieren des FIPS-Modus für TPMs bereit, da dieser vom TPM-Hersteller abhängt. Wenden Sie sich an Ihren Hardware-OEM, um Unterstützung zu erhalten.
Empfehlung: Verwenden Sie immer die neueste Version von Windows, um die aktualisierten Features nutzen zu können.
Verwaltungsplattform
Die Geräteverwaltung für in Microsoft Entra eingebundene Geräte basiert auf einer MDM-Plattform (Mobile Device Management, Verwaltung mobiler Geräte) wie Intune und MDM-CSPs. Ab Windows 10 ist ein integrierter MDM-Agent verfügbar, der alle kompatiblen MDM-Lösungen unterstützt.
Hinweis
Gruppenrichtlinien werden für in Microsoft Entra eingebundene Geräte nicht unterstützt, weil diese nicht mit der lokalen Active Directory-Instanz verbunden sind. Die Verwaltung von in Microsoft Entra eingebundenen Geräten ist nur über MDM möglich
Es gibt zwei Ansätze für die Verwaltung von in Microsoft Entra eingebundenen Geräten:
- Nur MDM: Ein Gerät wird ausschließlich von einem MDM-Anbieter wie Intune verwaltet. Alle Richtlinien werden im Rahmen des MDM-Registrierungsprozesses bereitgestellt. Für Microsoft Entra-ID P1-, P2- oder EMS-Kunden ist die MDM-Registrierung ein automatisierter Schritt, der Bestandteil einer Microsoft Entra-Einbindung ist.
- Co-Verwaltung: Ein Gerät wird von einem MDM-Anbieter und Microsoft Configuration Manager verwaltet. Bei diesem Ansatz ist der Microsoft Configuration Manager-Agent auf einem vom MDM verwalteten Gerät installiert, um bestimmte Aspekte zu verwalten.
Überprüfen Sie bei der Verwendung von Gruppenrichtlinien mithilfe der Analyse von Gruppenrichtlinien in Microsoft Intune die Parität von GPO- (Gruppenrichtlinienobjekt) und MDM-Richtlinien.
Überprüfen Sie die unterstützten und nicht unterstützten Richtlinien, um zu bestimmen, ob Sie statt Gruppenrichtlinien eine MDM-Lösung verwenden können. In Bezug auf nicht unterstützte Richtlinien sind folgende Fragen zu berücksichtigen:
- Sind die nicht unterstützten Richtlinien für in Microsoft Entra eingebundene Geräte oder für Benutzer erforderlich?
- Sind die nicht unterstützten Richtlinien in einer cloudbasierten Bereitstellung anwendbar?
Wenn Ihre MDM-Lösung nicht über den Microsoft Entra-App-Katalog verfügbar ist, können Sie die Lösung gemäß der unter Microsoft Entra-Integration von MDM beschriebenen Vorgehensweise hinzufügen.
Durch die Co-Verwaltung können Sie Microsoft Configuration Manager verwenden, um bestimmte Aspekte Ihrer Geräte zu verwalten, während die Richtlinien über Ihre MDM-Plattform bereitgestellt werden. Microsoft Intune ermöglicht die Co-Verwaltung mit Microsoft Configuration Manager. Weitere Informationen zur Co-Verwaltung für Geräte mit Windows 10 oder höher finden Sie unter Was ist Co-Verwaltung?. Wenn Sie ein anderes MDM-Produkt als Intune verwenden, wenden Sie sich an Ihren MDM-Anbieter, um Informationen zu entsprechenden Szenarien für die Co-Verwaltung zu erhalten.
Empfehlung: Ziehen Sie für in Microsoft Entra eingebundene Geräte nur die mobile Geräteverwaltung (MDM) in Betracht.
Verstehen der zu berücksichtigenden Aspekte für Anwendungen und Ressourcen
Wir empfehlen die Migration von lokalen Anwendungen zu Cloud-Anwendungen, um die Benutzerfreundlichkeit und die Zugriffssteuerung zu verbessern. In Microsoft Entra eingebundene Geräte können nahtlos sowohl auf lokale als auch auf Cloud-Anwendungen zugreifen. Weitere Informationen finden Sie unter So funktioniert das einmalige Anmelden bei lokalen Ressourcen auf in Microsoft Entra eingebundenen Geräten.
In den folgenden Abschnitten werden Aspekte für verschiedene Arten von Anwendungen und Ressourcen aufgeführt.
Cloudbasierte Anwendungen
Wenn eine Anwendung zum Microsoft Entra-App-Katalog hinzugefügt wird, erhalten Benutzer einmaliges Anmelden über die in Microsoft Entra eingebundenen Geräte. Es ist keine weitere Konfiguration erforderlich. Benutzer erhalten SSO in den Browsern Microsoft Edge und Chrome. Wenn Sie Chrome verwenden, müssen Sie die Erweiterung „Windows 10 Accounts“ bereitstellen.
Für Win32-Anwendungen gilt Folgendes:
- Alle Win32-Anwendungen, die Web Account Manager (WAM) für Token-Anforderungen verwenden, erhalten ebenfalls einmaliges Anmelden auf in Microsoft Entra eingebundenen Geräten.
- Verlassen Sie sich nicht auf WAM, das Benutzer und Benutzerinnen möglicherweise zur Authentifizierung auffordert.
Lokale Webanwendungen
Wenn Ihre Apps benutzerdefiniert sind oder lokal gehostet werden, müssen Sie die Apps aus folgenden Gründen den vertrauenswürdigen Sites Ihres Browsers hinzufügen:
- Damit die integrierte Windows-Authentifizierung funktioniert
- Um den Benutzern ein SSO-Erlebnis ohne Prompt zu bieten.
Wenn Sie AD FS verwenden, lesen Sie Überprüfen und Verwalten von einmaligem Anmelden mit AD FS.
Empfehlung: Ziehen Sie ein Hosting in der Cloud (z. B. Azure) und die Integration von Microsoft Entra ID in Betracht, um die Benutzerfreundlichkeit zu verbessern.
Lokale Anwendungen, die ältere Protokolle verwenden
Benutzer erhalten einmaliges Anmelden über in Microsoft Entra eingebundene Geräte, wenn das jeweilige Gerät Zugriff auf einen Domänencontroller hat.
Hinweis
In Microsoft Entra eingebundene Geräte können nahtlos sowohl auf lokale als auch auf Cloud-Anwendungen zugreifen. Weitere Informationen finden Sie unter So funktioniert das einmalige Anmelden bei lokalen Ressourcen auf in Microsoft Entra eingebundenen Geräten.
Empfehlung: Stellen Sie den Microsoft Entra-Anwendungsproxy bereit, um den sicheren Zugriff für diese Anwendungen zu ermöglichen.
Lokale Netzwerkfreigaben
Ihre Benutzer erhalten einmaliges Anmelden über in Microsoft Entra eingebundene Geräte, wenn das jeweilige Gerät Zugriff auf einen lokalen Domänencontroller hat. Erfahren Sie, wie dies funktioniert
Drucker
Sie sollten UUniverselles Drucken bereitstellen, um eine cloudbasierte Druckverwaltungslösung ohne lokale Abhängigkeiten zu besitzen.
Lokale Anwendungen, die Computerauthentifizierung verwenden
In Microsoft Entra eingebundene Geräte unterstützen keine lokalen Anwendungen, die Computerauthentifizierung verwenden.
Empfehlung: Setzen Sie diese Anwendungen außer Kraft, und stellen Sie auf modernere Alternativen um.
Remotedesktopdienste
Eine Remotedesktopverbindung mit einem mit Microsoft Entra eingebundenen Geräten erfordert, dass der Hostcomputer entweder in Microsoft Entra eingebunden oder mit Microsoft Entra Hybrid eingebunden ist. Eine Remotedesktopverbindung über ein nicht verbundenes oder Nicht-Windows-Gerät wird nicht unterstützt. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit einem in Microsoft Entra eingebundenen Remotecomputer
Nach dem Windows 10-Update 2004 können Benutzer eine Remotedesktopverbindung auf einem bei Microsoft Entra registrierten Gerät mit Windows 10 oder höher mit einem weiteren in Microsoft Entra eingebundenen Gerät verwenden.
RADIUS- und WLAN-Authentifizierung
Derzeit unterstützen in Microsoft Entra eingebundene Geräte die RADIUS-Authentifizierung nicht mithilfe eines lokalen Computerobjekts und eines Zertifikats für die Verbindung mit WLAN-Zugriffspunkten, da RADIUS auf das Vorhandensein eines lokalen Computerobjekts in diesem Szenario angewiesen ist. Alternativ können Sie über Intune gepushte Zertifikate oder Benutzeranmeldedaten verwenden, um sich beim WLAN zu authentifizieren.
Grundlegendes zu Ihren Bereitstellungsoptionen
Hinweis
In Microsoft Entra eingebundene Geräte können nicht mit einem Tool für die Systemvorbereitung (Sysprep) oder mit ähnlichen Imaging-Tools bereitgestellt werden.
Sie können in Microsoft Entra eingebundene Geräte mithilfe der folgenden Methoden bereitstellen:
- Self-Service auf der Windows-Willkommensseite/in den Windows-Einstellungen: Im Self-Service-Modus durchlaufen die Benutzer den Microsoft Entra-Einbindungsprozess entweder auf der Windows-Willkommensseite (Windows Out-of-Box-Experience, OOBE) oder in den Windows-Einstellungen. Weitere Informationen finden Sie unter Einbinden von geschäftlichen Geräten in das Netzwerk der Organisation.
- Windows Autopilot: Windows Autopilot ermöglicht die Vorkonfiguration von Geräten, um auf der Windows-Willkommensseite für ein reibungsloses Benutzererlebnis bei der Microsoft Entra-Einbindung zu sorgen. Weitere Informationen finden Sie in der Übersicht über Windows Autopilot.
- Massenregistrierung: Die Massenregistrierung ermöglicht eine vom Administrator gesteuerte Microsoft Entra-Einbindung mithilfe eines Massenbereitstellungstools zum Konfigurieren von Geräten. Weitere Informationen finden Sie unter Massenregistrierung für Windows-Geräte.
Hier finden Sie einen Vergleich dieser drei Methoden:
Element | Self-Service-Einrichtung | Windows Autopilot | Massenregistrierung |
---|---|---|---|
Benutzerinteraktion zum Einrichten erforderlich | Ja | Ja | Nein |
IT-Maßnahmen erforderlich | Nein | Ja | Ja |
Umsetzbare Abläufe | Windows-Willkommensseite & Einstellungen | Nur Windows-Willkommensseite | Nur Windows-Willkommensseite |
Lokale Administratorrechte für primären Benutzer | Ja, standardmäßig | Konfigurierbar | Nein |
OEM-Support erforderlich | Nein | Ja | Nein |
Unterstützte Versionen | 1511+ | 1709+ | 1703+ |
Wählen Sie Ihre Bereitstellungsmethode, indem Sie die obige Tabelle durchgehen und die folgenden Aspekte für die Anwendung der jeweiligen Methode berücksichtigen:
- Sind Ihre Benutzer technisch versiert, sodass sie die Einrichtung selbst vornehmen können?
- Self-Service kann für diese Benutzer am besten geeignet sein. Ziehen Sie Windows Autopilot in Betracht, um die Benutzerfreundlichkeit zu verbessern.
- Arbeiten Ihre Benutzer remote oder in den Räumlichkeiten des Unternehmens?
- Self-Service oder Autopilot sind für Remotebenutzer hinsichtlich einer problemlosen Einrichtung am besten geeignet.
- Bevorzugen Sie eine benutzergesteuerte oder eine vom Administrator verwaltete Konfiguration?
- Eine Massenregistrierung ist für die administratorgesteuerte Bereitstellung besser geeignet, um Geräte vor der Übergabe an die Benutzer einzurichten.
- Erwerben Sie Geräte von 1 bis 2 OEMs, oder gibt es in Ihrem Unternehmen eine breite Verteilung von OEM-Geräten?
- Wenn Sie Geräte von einer begrenzten Anzahl von OEMs erwerben, die auch Autopilot unterstützen, können Sie von einer engeren Integration von Autopilot profitieren.
Konfigurieren Ihrer Geräteeinstellungen
Im Microsoft Entra Admin Center können Sie die Bereitstellung von in Microsoft Entra eingebundenen Geräten in Ihrer Organisation steuern. Navigieren Sie zum Konfigurieren der zugehörigen Einstellungen zu Identität>Geräte>Alle Geräte>Geräteeinstellungen. Weitere Informationen
Benutzer/Benutzerinnen können Geräte in Microsoft Entra ID einbinden
Legen Sie diese Option basierend auf dem Umfang Ihrer Bereitstellung und den Benutzern, die ein in Microsoft Entra eingebundenes Gerät einrichten sollen, auf Alle oder Ausgewählte fest.
Zusätzliche lokale Administratoren auf in Microsoft Entra ID eingebundenen Geräten
Wählen Sie Ausgewählte und dann die Benutzer und Benutzerinnen aus, die Sie der lokalen Administratorgruppe für alle in Microsoft Entra eingebundenen Geräte hinzufügen möchten.
Mehrstufige Authentifizierung zum Hinzufügen von Geräten erforderlich
Wählen Sie Ja aus, wenn Benutzer und Benutzerinnen beim Einbinden von Geräten in Microsoft Entra ID die Multi-Faktor-Authentifizierung (MFA) ausführen müssen.
Empfehlung: Erzwingen Sie mit der Benutzeraktion Geräte registrieren oder einbinden in bedingtem Zugriff die Verwendung von MFA für das Einbinden von Geräten.
Konfigurieren Ihrer Mobilitätseinstellungen
Bevor Sie Ihre Mobilitätseinstellungen konfigurieren können, müssen Sie möglicherweise zuerst einen MDM-Anbieter hinzufügen.
Gehen Sie wie folgt vor, um einen MDM-Anbieter hinzuzufügen:
Wählen Sie auf der Microsoft Entra ID-Seite im Abschnitt Verwalten die Option
Mobility (MDM and MAM)
aus.Wählen Sie Anwendung hinzufügen aus.
Wählen Sie Ihren MDM-Anbieter aus der Liste aus.
Wählen Sie Ihren MDM-Anbieter aus, um die entsprechenden Einstellungen zu konfigurieren.
MDM-Benutzerbereich
Wählen Sie basierend auf dem Benutzerbereich Ihrer Bereitstellung entweder Einige oder Alle aus.
Basierend auf Ihrem Benutzerbereich ergibt sich eine der folgenden Situationen:
- Benutzer befindet sich im MDM-Bereich: Wenn Sie über ein Microsoft Entra-ID P1- oder P2-Abonnement verfügen, wird die MDM-Registrierung zusammen mit der Microsoft Entra-Einbindung automatisiert. Alle bereichsbezogenen Benutzer müssen über eine entsprechende Lizenz für die MDM verfügen. Wenn die MDM-Registrierung in diesem Szenario fehlschlägt, wird auch für die Microsoft Entra-Einbindung ein Rollback ausgeführt.
- Der Benutzer befindet sich nicht im MDM-Bereich: Wenn Benutzer nicht im MDM-Bereich enthalten sind, wird die Microsoft Entra-Einbindung ohne MDM-Registrierung abgeschlossen. Dieser Bereich führt zu einem nicht verwalteten Gerät.
MDM-URLs
Es gibt drei URLs, die sich auf die MDM-Konfiguration beziehen:
- URL für MDM-Nutzungsbedingungen
- URL für MDM-Ermittlung
- MDM Compliance-URL
Jede URL besitzt einen vordefinierten Standardwert. Wenn diese Felder leer sind, wenden Sie sich für weitere Informationen an Ihren MDM-Anbieter.
MAM-Einstellungen
Die Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) gilt nicht für die Einbindung in Microsoft Entra.
Konfigurieren von Enterprise State Roaming
Wenn Sie Enterprise State Roaming in Microsoft Entra ID aktivieren möchten, damit Benutzer ihre Einstellungen geräteübergreifend synchronisieren können, lesen Sie Aktivieren von Enterprise State Roaming in Microsoft Entra ID.
Empfehlung: Aktivieren Sie diese Einstellung auch für Geräte mit in Microsoft Entra eingebundenes Hybrid.
Konfigurieren des bedingten Zugriffs
Wenn für Ihre in Microsoft Entra eingebundenen Geräte ein MDM-Anbieter konfiguriert ist, kennzeichnet der Anbieter das Gerät als konform, sobald das Gerät verwaltet wird.
Sie können diese Implementierung nutzen, um die Verwendung verwalteter Geräte für den Zugriff auf Cloud-Apps mithilfe des bedingten Zugriffs vorzuschreiben.