Freigeben über


Gezielte Bereitstellung des Microsoft Entra-Hybridbeitritts

Sie können die Planung und Voraussetzungen für in Microsoft Entra hybridbeitretende Geräte mithilfe einer gezielten Bereitstellung überprüfen, bevor Sie sie in der gesamten Organisation aktivieren. In diesem Artikel wird beschrieben, wie Sie eine gezielte Bereitstellung des Microsoft Entra-Hybridbeitritts durchführen.

Vorsicht

Seien Sie vorsichtig, wenn Sie Werte in Active Directory ändern. Änderungen in einer bestehenden Umgebung können unbeabsichtigte Folgen haben.

Gezielte Bereitstellung von Microsoft Entra Hybrid Join auf Windows-Geräten

Für Geräte unter Windows 10 ist die unterstützte Mindestversion Windows 10 (Version 1607) für die Hybrideinbindung. Es wird empfohlen, ein Upgrade auf die aktuelle Version von Windows 10 oder Windows 11 durchzuführen.

Um eine gezielte Bereitstellung von Microsoft Entra Hybrid Join auf Windows-Geräten durchzuführen, müssen Sie folgende Schritte ausführen:

  1. Löschen Sie den SCP-Eintrag (Service Connection Point) aus Windows Server Active Directory, falls vorhanden.
  2. Konfigurieren Sie die clientseitige Registrierungseinstellung für SCP auf Ihren Computern, die in die Domäne eingebunden sind, mithilfe eines Gruppenrichtlinienobjekts (Group Policy Object, GPO).
  3. Wenn Sie Active Directory-Verbunddienste (Active Directory-Verbunddienste, AD FS) verwenden, müssen Sie auch die clientseitige Registrierungseinstellung für SCP auf Ihrem AD FS-Server mithilfe eines Gruppenrichtlinienobjekts konfigurieren.
  4. Möglicherweise müssen Sie die Synchronisierungsoptionen in Microsoft Entra Connect anpassen, um die Gerätesynchronisierung zu aktivieren.

Tipp

Der SCP kann in bestimmten Situationen lokal in der Registrierung des Geräts konfiguriert werden. Wenn das Gerät einen Wert in der Registrierung findet, verwendet es diese Konfiguration, andernfalls fragt es das Verzeichnis nach dem SCP ab und versucht, eine Hybridverbindung herzustellen.

Löschen des SCP aus dem Active Directory von Microsoft Windows Server

Verwenden Sie den Editor für Active Directory-Dienstschnittstellen (ADSI Edit), um die SCP-Objekte in Microsoft Windows Server Active Directory zu ändern.

  1. Starten Sie die Desktopanwendung ADSI Edit als Unternehmensadministrator auf einer Verwaltungsarbeitsstation oder auf einem Domänencontroller.
  2. Stellen Sie eine Verbindung mit dem Konfigurationsnamenskontext Ihrer Domäne her.
  3. Navigieren Sie zu CN=Configuration,DC=contoso,DC=com>CN=Services>CN=Device Registration Configuration.
  4. Klicken Sie mit der rechten Maustaste auf das Blattobjekt CN=62a0ff2e-97b9-4513-943f-0d221bd30080, und wählen Sie Eigenschaften aus.
    1. Wählen Sie im Fenster Attribut-Editor die Option Schlüsselwörter und anschließend Bearbeiten aus.
    2. Wählen Sie nacheinander die Werte azureADId und azureADName und dann Entfernen aus.
  5. Schließen Sie ADSI Edit.

Konfigurieren der clientseitigen Registrierungseinstellung für SCP

Verwenden Sie das folgende Beispiel, um ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) für die Bereitstellung einer Registrierungseinstellung zu erstellen, die in der Registrierung Ihrer Geräte einen SCP-Eintrag konfiguriert.

  1. Öffnen Sie eine Gruppenrichtlinien-Verwaltungskonsole, und erstellen Sie ein neues Gruppenrichtlinienobjekt in Ihrer Domäne.
    1. Geben Sie Ihrem neu erstellten Gruppenrichtlinienobjekt einen Namen (beispielsweise „ClientSideSCP“).
  2. Bearbeiten Sie das Gruppenrichtlinienobjekt, und suchen Sie den folgenden Pfad: Computerkonfiguration>Einstellungen>Windows-Einstellungen>Registrierung.
  3. Klicken Sie mit der rechten Maustaste auf die Registrierung, und wählen Sie Neu>Registrierungselement aus.
    1. Konfigurieren Sie auf der Registerkarte Allgemein die folgenden Einstellungen:
      1. Aktion: Aktualisieren
      2. Struktur: HKEY_LOCAL_MACHINE
      3. Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD
      4. Wertname: TenantId
      5. Werttyp: REG_SZ
      6. Wertdaten: Die GUID (Globally Unique Identifier) oder Mandanten-ID Ihres Microsoft Entra Mandanten, die Sie in der Entra ID>Übersicht>Eigenschaften>Mandanten-ID finden.
    2. Wählen Sie OK aus.
  4. Klicken Sie mit der rechten Maustaste auf die Registrierung, und wählen Sie Neu>Registrierungselement aus.
    1. Konfigurieren Sie auf der Registerkarte Allgemein die folgenden Einstellungen:
      1. Aktion: Aktualisieren
      2. Struktur: HKEY_LOCAL_MACHINE
      3. Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\CDJ\AAD
      4. Wertname: TenantName
      5. Werttyp: REG_SZ
      6. Wertdaten: Der überprüfte Domänenname, wenn Sie eine Verbundumgebung wie Active Directory-Verbunddienste (AD FS) verwenden. Der überprüfte Domänenname oder beispielsweise Ihr Domänenname auf „onmicrosoft.com“ (etwa contoso.onmicrosoft.com), wenn Sie eine verwaltete Umgebung verwenden.
    2. Wählen Sie OK aus.
  5. Schließen Sie den Editor für das neu erstellte Gruppenrichtlinienobjekt.
  6. Verknüpfen Sie das neu erstellte Gruppenrichtlinienobjekt mit der richtigen Organisationseinheit (Organizational Unit, OU), die in die Domäne eingebundene Computer enthält, die zu Ihrer kontrollierten Rolloutpopulation gehören.

Konfigurieren von AD FS-Einstellungen

Bei einem Verbund von Microsoft Entra ID mit AD FS müssen Sie gemäß der weiter oben angegebenen Anleitung zunächst den clientseitigen SCP konfigurieren. Dazu muss das Gruppenrichtlinienobjekt mit Ihren AD FS-Servern verknüpft werden. Das SCP-Objekt definiert die Autoritätsquelle für Geräteobjekte. Dies kann lokal oder über Microsoft Entra ID erfolgen. Wenn der clientseitige SCP für AD FS konfiguriert ist, wird die Quelle für Geräteobjekte als Microsoft Entra ID eingerichtet.

Hinweis

Wenn Sie den clientseitigen SCP nicht auf Ihren AD FS-Servern konfigurieren konnten, wird die Quelle für Geräteidentitäten als lokal betrachtet. AD FS beginnt dann nach Ablauf des im Attribut „MaximumInactiveDays“ der AD FS-Geräteregistrierung festgelegten Zeitraums mit dem Löschen von Geräteobjekten aus dem lokalen Verzeichnis. AD FS-Geräteregistrierungsobjekte können Sie mithilfe des Cmdlets Get-AdfsDeviceRegistration ermitteln.

Ursache für den Status „Ausstehend“ eines Geräts

Wenn Sie in der Microsoft Entra Connect-Synchronisierung eine Aufgabe für den Microsoft Entra-Hybridbeitritt für Ihre lokalen Geräte konfigurieren, werden die Geräteobjekte mit Azure AD synchronisiert, und der Registrierungsstatus der Geräte wird vorübergehend auf „Ausstehend“ festgelegt, bis die Geräteregistrierung abgeschlossen ist. Dieser Status („Ausstehend“) ist darauf zurückzuführen, dass das Gerät zuerst dem Microsoft Entra-Verzeichnis hinzugefügt werden muss, bevor es registriert werden kann. Weitere Informationen zum Geräteregistrierungsprozess finden Sie unter Funktionsweise: Geräteregistrierung.

Nach der Überprüfung

Nachdem Sie überprüft haben, dass alles wie erwartet funktioniert, können Sie den Rest Ihrer Windows-Geräte automatisch bei Microsoft Entra ID registrieren. Automatisieren Sie den Microsoft Entra-Hybridbeitritt, indem Sie den SCP mithilfe von Microsoft Entra Connect konfigurieren.