Freigeben über


Gezielte Bereitstellung des Microsoft Entra-Hybridbeitritts

Sie können die Planung und Voraussetzungen für in Microsoft Entra hybridbeitretende Geräte mithilfe einer gezielten Bereitstellung überprüfen, bevor Sie sie in der gesamten Organisation aktivieren. In diesem Artikel wird beschrieben, wie Sie eine gezielte Bereitstellung des Microsoft Entra-Hybridbeitritts durchführen.

Achtung

Gehen Sie beim Ändern von Werten in Active Directory vorsichtig vor. Das Vornehmen von Änderungen in einer etablierten Umgebung kann unbeabsichtigte Folgen haben.

Gezielte Bereitstellung des Microsoft Entra-Hybridbeitritts für aktuelle Windows-Geräte

Für Geräte unter Windows 10 ist die unterstützte Mindestversion Windows 10 (Version 1607) für die Hybrideinbindung. Es wird empfohlen, ein Upgrade auf die aktuelle Version von Windows 10 oder Windows 11 durchzuführen. Wenn Sie frühere Betriebssysteme unterstützen müssen, finden Sie weitere Informationen im Abschnitt Unterstützen von kompatiblen Geräten.

Für eine gezielte Bereitstellung des Microsoft Entra-Hybridbeitritts für aktuelle Windows-Geräte müssen Sie folgende Schritte ausführen:

  1. Entfernen Sie den Eintrag des Dienstverbindungspunkts (Service Connection Point, SCP) aus Windows Server Active Directory, sofern vorhanden.
  2. Konfigurieren Sie mithilfe eines Gruppenrichtlinienobjekts (Group Policy Object, GPO) die clientseitige Registrierungseinstellung für SCP auf Ihren in die Domäne eingebundenen Computern.
  3. Bei Verwendung von Active Directory-Verbunddienste (AD FS) müssen Sie mithilfe eines Gruppenrichtlinienobjekts auch die clientseitige Registrierungseinstellung für SCP auf Ihrem AD FS-Server konfigurieren.
  4. Möglicherweise müssen Sie auch in Microsoft Entra Connect die Synchronisierungsoptionen anpassen, um die Gerätesynchronisierung zu aktivieren.

Tipp

Der SCP kann in bestimmten Situationen lokal in der Registrierung des Geräts konfiguriert werden. Wenn das Gerät einen Wert in der Registrierung findet, der diese Konfiguration verwendet, fragt es andernfalls das Verzeichnis für den SCP ab und versucht, eine Hybrid-Verknüpfung zu erstellen.

Löschen des SCP aus Microsoft Windows Server Active Directory

Verwenden Sie den Active Directory Services Interfaces Editor (ADSI Edit), um die SCP-Objekte in Microsoft Windows Server Active Directory zu ändern.

  1. Starten Sie die Desktopanwendung ADSI Edit als Unternehmensadministrator auf einer Verwaltungsarbeitsstation oder auf einem Domänencontroller.
  2. Stellen Sie eine Verbindung mit dem Konfigurationsnamenskontext Ihrer Domäne her.
  3. Navigieren Sie zu CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
  4. Klicken Sie mit der rechten Maustaste auf das Blattobjekt CN=62a0ff2e-97b9-4513-943f-0d221bd30080, und wählen Sie Eigenschaften aus.
    1. Wählen Sie im Fenster Attribut-Editor die Option Schlüsselwörter und anschließend Bearbeiten aus.
    2. Wählen Sie nacheinander die Werte azureADId und azureADName und dann Entfernen aus.
  5. Schließen Sie ADSI Edit.

Konfigurieren der clientseitigen Registrierungseinstellung für SCP

Verwenden Sie das folgende Beispiel, um ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) für die Bereitstellung einer Registrierungseinstellung zu erstellen, die in der Registrierung Ihrer Geräte einen SCP-Eintrag konfiguriert.

  1. Öffnen Sie eine Gruppenrichtlinien-Verwaltungskonsole, und erstellen Sie ein neues Gruppenrichtlinienobjekt in Ihrer Domäne.
    1. Geben Sie Ihrem neu erstellten Gruppenrichtlinienobjekt einen Namen (beispielsweise „ClientSideSCP“).
  2. Bearbeiten Sie das Gruppenrichtlinienobjekt, und suchen Sie den folgenden Pfad: Computerkonfiguration>Einstellungen>Windows-Einstellungen>Registrierung.
  3. Klicken Sie mit der rechten Maustaste auf die Registrierung, und wählen Sie Neu>Registrierungselement aus.
    1. Konfigurieren Sie auf der Registerkarte Allgemein die folgenden Einstellungen:
      1. Aktion: Aktualisieren
      2. Struktur: HKEY_LOCAL_MACHINE
      3. Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD
      4. Wertname: TenantId
      5. Werttyp: REG_SZ
      6. Wertdaten: Die GUID (global eindeutiger Bezeichner) oder Mandanten-ID Ihres Microsoft Entra-Mandanten, die Sie unter Identität>Übersicht>Eigenschaften>Mandanten-ID finden.
    2. Wählen Sie OK aus.
  4. Klicken Sie mit der rechten Maustaste auf die Registrierung, und wählen Sie Neu>Registrierungselement aus.
    1. Konfigurieren Sie auf der Registerkarte Allgemein die folgenden Einstellungen:
      1. Aktion: Aktualisieren
      2. Struktur: HKEY_LOCAL_MACHINE
      3. Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD
      4. Wertname: TenantName
      5. Werttyp: REG_SZ
      6. Wertdaten: Der überprüfte Domänenname, wenn Sie eine Verbundumgebung wie Active Directory-Verbunddienste (AD FS) verwenden. Der überprüfte Domänenname oder beispielsweise Ihr Domänenname auf „onmicrosoft.com“ (etwa contoso.onmicrosoft.com), wenn Sie eine verwaltete Umgebung verwenden.
    2. Klicken Sie auf OK.
  5. Schließen Sie den Editor für das neu erstellte Gruppenrichtlinienobjekt.
  6. Verknüpfen Sie das neu erstellte Gruppenrichtlinienobjekt mit der richtigen Organisationseinheit (OE), die die in die Domäne eingebundenen Computer Ihrer kontrollierten Rolloutelemente enthält.

Konfigurieren von AD FS-Einstellungen

Bei einem Verbund von Microsoft Entra ID mit AD FS müssen Sie gemäß der weiter oben angegebenen Anleitung zunächst den clientseitigen SCP konfigurieren. Dazu muss das Gruppenrichtlinienobjekt mit Ihren AD FS-Servern verknüpft werden. Das SCP-Objekt definiert die Autoritätsquelle für Geräteobjekte. Dies kann lokal oder über Microsoft Entra ID erfolgen. Wenn der clientseitige SCP für AD FS konfiguriert ist, wird die Quelle für Geräteobjekte als Microsoft Entra ID eingerichtet.

Hinweis

Wenn Sie den clientseitigen SCP nicht auf Ihren AD FS-Servern konfigurieren konnten, wird die Quelle für Geräteidentitäten als lokal betrachtet. AD FS beginnt dann nach Ablauf des im Attribut „MaximumInactiveDays“ der AD FS-Geräteregistrierung festgelegten Zeitraums mit dem Löschen von Geräteobjekten aus dem lokalen Verzeichnis. AD FS-Geräteregistrierungsobjekte können Sie mithilfe des Cmdlets Get-AdfsDeviceRegistration ermitteln.

Unterstützen von kompatiblen Geräten

Zur Registrierung von kompatiblen Windows-Geräten müssen Organisationen Microsoft Workplace Join für Computer installieren, auf denen nicht Windows 10 ausgeführt wird (verfügbar im Microsoft Download Center).

Sie können das Paket mithilfe eines Softwareverteilungssystems wie Microsoft Configuration Manager bereitstellen. Das Paket unterstützt die Standardoptionen für die Installation im Hintergrund unter Verwendung des quiet-Parameters. Configuration Manager Current Branch bietet zusätzliche Vorteile gegenüber früheren Versionen, z.B. die Möglichkeit zur Nachverfolgung abgeschlossener Registrierungen.

Das Installationsprogramm erstellt einen geplanten Task für das System, der im Kontext des Benutzers ausgeführt wird. Der Task wird ausgelöst, wenn sich der Benutzer bei Windows anmeldet. Die Aufgabe verbindet das Gerät nach der Authentifizierung mit Microsoft Entra ID stillschweigend mit den Benutzeranmeldedaten.

Zur Kontrolle der Registrierung dürfen Sie das Windows Installer-Paket nur für Ihre spezifische Gruppe kompatibler Windows-Geräte bereitstellen.

Hinweis

Ist in Microsoft Windows Server Active Directory kein SCP konfiguriert, müssen Sie gemäß dem Leitfaden zum Konfigurieren der clientseitigen Registrierungseinstellung für SCP vorgehen, um die Konfiguration auf Ihren in die Domäne eingebundenen Computern mithilfe eines Gruppenrichtlinienobjekts (Group Policy Object, GPO) vorzunehmen.

Ursache für den Status „Ausstehend“ eines Geräts

Wenn Sie in der Microsoft Entra Connect-Synchronisierung eine Aufgabe für den Microsoft Entra-Hybridbeitritt für Ihre lokalen Geräte konfigurieren, werden die Geräteobjekte mit Azure AD synchronisiert, und der Registrierungsstatus der Geräte wird vorübergehend auf „Ausstehend“ festgelegt, bis die Geräteregistrierung abgeschlossen ist. Dieser Status („Ausstehend“) ist darauf zurückzuführen, dass das Gerät zuerst dem Microsoft Entra-Verzeichnis hinzugefügt werden muss, bevor es registriert werden kann. Weitere Informationen zum Geräteregistrierungsprozess finden Sie unter Funktionsweise: Geräteregistrierung.

Nach der Überprüfung

Nachdem Sie sich vergewissert haben, dass alles wie erwartet funktioniert, können Sie Ihre restlichen aktuellen und kompatiblen Windows-Geräte automatisch bei Microsoft Entra ID registrieren. Automatisieren Sie den Microsoft Entra-Hybridbeitritt, indem Sie den SCP mithilfe von Microsoft Entra Connect konfigurieren.