Was ist die Microsoft Entra-Einbindung?
Sie verfügen nun über ein besseres Verständnis der Geräteidentität und des bedingten Zugriffs. Sie möchten die Microsoft Entra-Einbindung untersuchen und herausfinden, wie Sie damit die Geräteverwaltung sowohl für Azure als auch für Active Directory-Domänendienste vor Ort verbessern können.
In dieser Lektion lernen Sie die Microsoft Entra-Einbindung kennen und erfahren, wie Sie es für die Verwaltung von Infrastruktur und Geräten einsetzen können.
Grundlagen der Microsoft Entra-Einbindung
Mit der Microsoft Entra-Einbindung können Sie Geräte mit Ihrer Microsoft Entra-Organisation verbinden, ohne mit einer lokalen Active Directory-Instanz synchronisieren zu müssen. Die Microsoft Entra-Einbindung eignet sich am besten für Organisationen, die hauptsächlich in der Cloud arbeiten, obwohl sie auch in einer hybriden Cloud- und lokalen Umgebung eingesetzt werden kann.
Unterstützte Geräte
Die Microsoft Entra-Einbindung funktioniert mit Geräten unter Windows 10, Windows 11 oder Windows Server 2019. Die Server Core-Installation von Windows Server 2019 wird nicht unterstützt. Wenn Sie eine frühere Version des Windows-Betriebssystems verwenden, müssen Sie ein Upgrade auf Windows 10, Windows 11 oder Windows Server 2019 durchführen.
Identitätsinfrastruktur
Entscheiden Sie, welches Identitätsinfrastrukturmodell die Anforderungen Ihrer Organisation am besten unterstützt:
- Verwaltete Umgebung: In dieser Umgebung wird die Passthrough-Authentifizierung oder Kennworthashsynchronisierung verwendet, um einmaliges Anmelden für Ihre Geräte zu ermöglichen.
- Verbundumgebungen: Diese Umgebungen erfordern die Verwendung eines Identitätsanbieters. Dieser Anbieter muss die Protokolle WS-Trust und WS-Fed unterstützen, damit die Microsoft Entra-Einbindung nativ mit Windows-Geräten funktioniert. WS-Fed ist erforderlich, um ein Gerät mit der Microsoft Entra-ID zu verbinden. WS-Trust ist erforderlich, um sich bei einem in Microsoft Entra eingebundenen Gerät anzumelden.
- Smartcards und zertifikatbasierte Authentifizierung: Diese Methoden sind keine gültigen Methoden zum Verbinden von Geräten mit der Microsoft Entra-ID. Wenn Sie jedoch Active Directory-Verbunddienste (AD FS) konfiguriert haben, können Sie Smartcards für die Anmeldung auf in Microsoft Entra eingebundenen Geräten verwenden. Es wird empfohlen, einen Dienst wie Windows Hello for Business zu verwenden, der die kennwortlose Authentifizierung auf Windows 10- und Windows 11-Geräten unterstützt.
- Manuelle Benutzerkonfiguration: Wenn Sie Benutzer in Ihrer lokalen Active Directory-Instanz erstellen, müssen Sie die Konten mithilfe von Microsoft Entra Connect mit Microsoft Entra ID synchronisieren. Wenn Sie Benutzer in Microsoft Entra ID anlegen, ist keine zusätzliche Einrichtung erforderlich.
Geräteverwaltung
Die Microsoft Entra-Einbindung verwendet die Mobile Device Management (MDM)-Plattform zum Verwalten von Geräten, die an die Microsoft Entra ID angefügt sind. MDM bietet die Möglichkeit, von der Organisation erforderte Konfigurationen zu erzwingen, z. B. Speicherverschlüsselung, Kennwortkomplexität, Softwareinstallationen und Softwareupdates.
Die neuesten Versionen von Windows 10 und Windows 11 verfügen über einen integrierten MDM-Client, der mit allen kompatiblen MDM-Systemen funktioniert.
Es gibt zwei Ansätze zum Verwalten Ihrer in Microsoft Entra eingebundenen Geräte:
Nur MDM: Alle eingebundenen Geräte werden exklusiv über einen MDM-Anbieter wie Intune verwaltet. Wenn Ihre Organisation Gruppenrichtlinien verwendet, müssen Sie die Unterstützung durch Ihre MDM-Richtlinie überprüfen.
Co-Verwaltung: Alle eingebundenen Geräte nutzen eine Kombination aus einem lokal installierten System Center Configuration Manager-Agent und Ihrem MDM-Anbieter. Microsoft Intune stellt Co-Verwaltungsfunktionen über Configuration Manager bereit. Sie verwenden Configuration Manager, um das Gerät zu verwalten, während MDM Benutzerverwaltungsrichtlinien bereitstellt.
Es wird empfohlen, den reinen MDM-Ansatz zum Verwalten aller in Microsoft Entra eingebundenen Geräte zu verwenden.
Überlegungen zu Ressourcen und Anwendungszugriff
Für die optimale Benutzererfahrung und zur Verbesserung des Zugriffs auf Ihre Anwendung können Sie überlegen, ob Sie alle Anwendungen und Ressourcen zu Azure migrieren. Dies ist in manchen Fällen zwar möglich, aber nicht immer die praktischste Vorgehensweise. In diesem Abschnitt werden Zugriffsoptionen für Ihre Anwendungen und Ressourcen vorgestellt:
Cloudbasierte Anwendungen: Alle migrierten und neuen Anwendungen werden dem Microsoft Entra App-Katalog hinzugefügt. Benutzer der Microsoft Entra-Einbindung können über die einmalige Anmeldung auf diese Anwendungen zugreifen. Die meisten Browser unterstützen die einmalige Anmeldung. Die Microsoft Entra-Einbindung bietet Unterstützung für einmaliges Anmelden für Anwendungen, die noch Win32 verwenden.
Lokale Webanwendungen: Sie können weiterhin auf jede maßgeschneiderte oder benutzerdefinierte Software zugreifen, die lokal über die Microsoft Entra-Einbindung gehostet wird. Je nachdem, wo sich eine solche App befindet, müssen alle Benutzer diese zu ihren vertrauenswürdigen Sites oder der Intranetzone hinzufügen, um auf sie zugreifen zu können. Dadurch kann die Anwendung die in Windows integrierte Authentifizierung nutzen, ohne den Benutzer zur Authentifizierung aufzufordern.
Andere Geräte: Diese Option umfasst vorhandene Anwendungen über frühere Protokolle und lokale Netzwerkfreigaben. Beide sind für in Microsoft Entra eingebundene Geräte über einmalige Anmeldung verfügbar, sofern das Gerät mit Ihrem Domänencontroller verbunden ist.
Druckerressourcen: Diese Ressourcen stehen nicht automatisch über die Microsoft Entra-Einbindung zur Verfügung. Benutzer*innen können mithilfe des UNC-Pfads weiterhin direkt eine Verbindung mit einem Drucker herstellen.
Bereitstellungsoptionen
Wenn Sie die Microsoft Entra-Einbindung bereitstellen, haben Sie drei Möglichkeiten, wie Geräte bereitgestellt und mit der Microsoft Entra ID verbunden sind:
Self-Service: Hierbei müssen Benutzer das Gerät während der Windows-Willkommensseite für neue Geräte oder über die Windows-Einstellungen (bei älteren Geräten) manuell konfigurieren. Die Self-Service-Bereitstellung eignet sich besser für Benutzer mit technischen Hintergründen.
Windows Autopilot: Hierbei können Sie Windows-Geräte vorkonfigurieren, einschließlich der automatischen Einbindung des Geräts in die Active Directory-Instanz Ihrer Organisation, die automatische MDM-Registrierung und die Erstellung von Willkommensseiten für Kunden. Dieser Ansatz vereinfacht die Verwaltung und Bereitstellung von Geräten in Ihrer Organisation. Sie können Ihre Windows-Geräte bereitstellen. Der Benutzer durchläuft die Willkommensseite, als wäre er ein neuer Benutzer.
Massenregistrierung: Hierbei können Sie ein Bereitstellungspaket einrichten, das auf eine Vielzahl neuer Windows-Geräte gleichzeitig angewendet wird.
In der folgenden Tabelle werden die wichtigsten Merkmale der einzelnen Ansätze veranschaulicht:
| Merkmal | Self-Service | Windows Autopilot | Massenregistrierung |
|---|---|---|---|
| Benutzerinteraktion bei Einrichtung | Ja | Ja | Nein |
| IT-Beteiligung | Nein | Ja | Ja |
| Umsetzbare Abläufe | Willkommensseite und Einstellungen | Nur Willkommensseite | Nur Willkommensseite |
| Lokale Administratorrechte für primären Benutzer | Ja | Konfigurierbar | Nein |
| Erforderliche OEM-Unterstützung | Nein | Ja | Nein |
Geräteeinstellungen
Im Azure-Portal können Sie steuern, wie neue Geräte in Ihre Organisation eingebunden werden. Gehen Sie zu Microsoft Entra ID>Geräte>Geräteeinstellungen. Dort können Sie die folgenden Funktionen konfigurieren und die Microsoft Entra-Einbindung aktivieren.
| Feld | Beschreibung |
|---|---|
| Benutzer können Geräte in Microsoft Entra ID einbinden. | Alle erlaubt allen Benutzern die Einbindung ihres Geräts. Ausgewählte ermöglicht Ihnen, spezifische Benutzer hinzuzufügen, die Geräte einbinden dürfen. Keine hindert alle Benutzer daran, ihre Geräte einzubinden. |
| Zusätzliche lokale Administratoren auf in Microsoft Entra ID eingebundenen Geräten | Mit dieser Einstellung können Sie andere Benutzer als lokale Administratoren auf allen eingebundenen Geräten festlegen. Diese Option ist standardmäßig aktiviert. Microsoft Entra ID fügt die globale Administratorrolle und die Geräteadministratorrolle als lokale Administratoren auf Geräten hinzu. |
| Benutzer können ihre Geräte mit der Microsoft Entra ID registrieren | Ermöglicht Benutzern die Registrierung ihrer Geräte bei der Microsoft Entra-Einbindung. Wenn Sie Microsoft Intune oder die mobile Geräteverwaltung für Microsoft 365 verwenden, ist die Geräteregistrierung erforderlich. Wenn einer dieser Dienste in Ihrer Microsoft Entra-Organisation konfiguriert ist, wird die Option Alle ausgewählt, und diese Option wird deaktiviert. |
| Forner Sie eine mehrstufige Authentifizierung an, um Geräte zu verbinden | Hiermit können Sie die mehrstufige Microsoft Entra-Authentifizierung erzwingen, wenn das Gerät der Microsoft Entra ID beitritt. Für Benutzer, die Geräte mit Microsoft Entra ID verbinden, indem sie die Multifaktor-Authentifizierung verwenden, wird das Gerät selbst zu einem zweiten Faktor. |
| Maximale Anzahl von Geräten pro Benutzer | Mit dieser Einstellung können Sie die maximale Anzahl der Geräte angeben, über die ein Benutzer in Microsoft Entra ID verfügen kann. Wenn ein Benutzer diesen Maximalwert erreicht, müsste er ein Gerät entfernen, um ein neues hinzufügen zu können. |
In diesem Szenario können Sie eine Pilotgruppe von Benutzern hinzufügen, um die Azure AD-Einbindung zu testen. Wählen Sie in diesem Fall die Option Benutzer dürfen Geräte in Microsoft Entra ID einbinden>Ausgewählte aus, und fügen Sie dann der Pilotgruppe Mitglieder hinzu. Wenn Sie bereit sind, Microsoft Entra für Ihre gesamte Microsoft Entra-Organisation bereitzustellen, wählen Sie Alle aus.
Mobilitätseinstellungen
Möglicherweise müssen Sie einen MDM-Anbieter hinzufügen, bevor Sie Mobilitätseinstellungen konfigurieren können. Um Ihren MDM-Anbieter hinzuzufügen, wechseln Sie zu Microsoft Entra ID>Mobility (MDM und MAM)>Anwendung hinzufügen.
Nachdem Sie Ihren MDM-Anbieter hinzugefügt haben, können Sie die folgenden Mobilitätseinstellungen konfigurieren:
| Mobilitätseinstellung | Beschreibung |
|---|---|
| MDM-Benutzerbereich | Wählen Sie Keine, Einige oder Alle aus. Wenn sich der Benutzer im MDM-Bereich befindet und Sie über ein Microsoft Entra ID P1- oder P2-Abonnement verfügen, wird die MDM-Registrierung zusammen mit der Microsoft Entra-Einbindung automatisiert. Alle Benutzer im Geltungsbereich müssen über eine Lizenz für Ihr MDM verfügen. Andernfalls schlägt die MDM-Registrierung fehl, und die Microsoft Entra-Einbindung wird zurückgesetzt. Wenn der Benutzer sich nicht im MDM-Bereich befindet, wird die Microsoft Entra-Einbindung ohne MDM-Registrierung beendet. Das Gerät ist ein nicht verwaltetes Gerät. |
| MDM-URLs | Die folgenden drei URLs stehen im Zusammenhang mit Ihrer MDM-Konfiguration: URL zu den MDM-Nutzungsbedingungen, URL für MDM-Ermittlung und MDM Compliance-URL. Jede URL besitzt einen vordefinierten Standardwert. Wenn diese Felder leer sind, wenden Sie sich für weitere Informationen an Ihren MDM-Anbieter. |
| MAM-Einstellungen | Die Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) gilt nicht für die Microsoft Entra-Einbindung. |
Zur Erinnerung: Sie möchten den Zugriff auf die Ressourcen der Organisation ausschließlich auf Geräte beschränken, die von Ihrer Organisation verwaltet werden und in Ihrem MDM-System als konform gelten. Fügen Sie in diesem Szenario den MDM-Anbieter der Organisation hinzu, und legen Sie MDM-Benutzerbereich>Alle fest.
Benutzeroberfläche zum Einbinden eines Windows 10- oder Windows 11-Geräts
Angenommen, Sie haben einem technisch versierten Mitarbeiter ein neues Gerät gegeben. Sie verwenden den Selbstbedienungsansatz, um das Gerät mit Ihrer Active Directory-Organisation zu verbinden, die eine Multifaktor-Authentifizierung verwendet. In den folgenden Schritten wird dieser Workflow veranschaulicht:
Nachdem er das Gerät gestartet hat, führt der Mitarbeiter die Anweisungen zum Einrichten durch, einschließlich Anpassung der Region und Auswahl einer Sprache.
Der Mitarbeiter stimmt den Microsoft-Software-Lizenzbedingungen zu.
Der Mitarbeiter wählt die Netzwerkverbindung zum Verbinden mit der Cloud aus.
Als Antwort auf die Frage Wem gehört dieser PC? wählt der Mitarbeiter die Option Dieses Gerät gehört meiner Organisation aus.
Der Mitarbeiter meldet sich mit den Anmeldeinformationen an, die Ihre Organisation bereitgestellt hat.
Der Mitarbeiter wird zur mehrstufigen Authentifizierung aufgefordert.
Microsoft Entra ID überprüft die Konfigurationseinstellungen, um festzustellen, ob das Gerät in MDM registriert werden sollte.
Nach erfolgreicher Überprüfung der Konfiguration wird das Gerät bei der Microsoft Entra-Instanz der Organisation registriert. Bei Verwendung von MDM wird das Gerät registriert und verwaltet.