Januar 3

0 comments

Azure Active Directory Hybrid Join

Autor: Aaron Siller

Letzte Änderung: 2021-05-22


Unternehmen setzen bei der Verwaltung Ihrer Windows Clients in der Regel auf eine lokale Infrastruktur, die durch die Nutzung von Group Policy Objects (kurz: GPOs) Anpassungen und Richtlinien für Benutzer und Endgeräte festlegt. Azure Active Directory Hybrid Join:

Im Zuge einer Cloud Integration ist natürlich auch eine Verwaltung durch das Azure Active Directory oder auch Microsoft Intune möglich. Aber wie verbindet man beide Welten miteinander? Welche Vorteile kann dies mit sich bringen? In diesem Beitrag zeige ich Dir, wie Du Deine OnPremises-Welt an die Cloud anbindest!

Hybrid Join Azure-Active-Directory-Logo
Fragezeichen

Wozu eine Anbindung an das Azure Active Directory?

Den klassischen Weg der Administration von Clients und Usern mithilfe eines lokalen Active Directory, GPOs und co. ist den Unternehmen bekannt und in den meisten Fällen auch seit Jahren im Einsatz und historisch gewachsen.

Wird eine Cloud Lösung, wie z.B.: Microsoft 365 eingeführt, so entsteht sehr schnell die Notwendigkeit eine Kopplung der lokalen Infrastruktur an die Cloud durchzuführen. Oftmals wächst dies auch mit den steigenden Anforderungen im Unternehmen.

Gerade wenn eine Verwaltung der Windows Clients nicht nur lokal, sondern auch durch die Cloud oder im Rahmen eines Mobile Devices Management mit Intune durchgeführt werden soll, lohnt sich der Aufbau eines sogenannten Hybrid Joins, somit die Anbindung an das Azure Active Directory.


Wozu der Hybrid Join?

Der Hybrid Join mit dem Azure Active Directory ermöglicht die Verbindung zweier Welten:

  • Richtliniensätze und Verwaltung mit lokalen GPOs
  • Anpassungen durch Parameter (Bedingter Zugriff) aus der Cloud

Ergänzt - aber nicht zwingend erforderlich - wird dies dann durch eine automatische Integration ins Microsoft Intune. Dadurch erweitern wir den Radius der Administration nochmal ungemein und wir können perspektivisch bestehende MDM-Lösungen ablösen und auch in eine Cloud-Only Welt gehen.


Systemanforderungen für den Hybrid Join

Damit wir den Hybrid Join einrichten können, müssen folgende technische Anforderungen erfüllt sein:

  • Windows Server 2016
    • Rolle des Domain Controllers muss konfiguriert sein
    • In der Synchronisation zum Azure AD (mit dem Azure AD Connect)
  • Windows 10 Pro oder höher
    • Das Gerät muss Mitglied der lokalen Domäne sein
  • Zugriff zum lokalen Administrator-Account und zum globalen Azure AD Administrator
  • Falls Intune genutzt wird: eine aktive Microsoft Intune Lizenz

Hybrid Join - Bilderserie zur Einrichtung

Cloud-Konfiguration



Haben wir alle Vorrausetzungen erfüllt, können wir im nächsten Schritt mit der Einrichtung des Hybrid Join starten. Den ersten Schritt führen wir beim Azure AD Connect aus.


1. Konfiguration des Azure AD Connects - Hybrid Join

Als erstes starten wir das Azure AD Connect und wählen den Menüpunkt "Configure" aus:

Hybrid Join Azure AD Connect

Im nächsten Menüpunkt wählen wir dann die Option "Configure device options" aus:

Hybrid Join Gerateeinstellungen-Konfigurieren

Daraufhin erhalten wir eine Übersicht, wozu der Hybrid Azure AD Join dient und auch zusätzliche Informationen zum Device writebrack:

Hybrid Join Uebersicht

Haben wir dies für uns verinnerlicht und sind wir mit einem Klick auf "Next" beim nächsten Fenster, so geben wir hier nun einen globalen Administrator an:

Hybrid Join Verbindung-zum-Azure-AD

Nach erfolgreicher Anmeldung müssen wir die zu konfigurierende Option auswählen. Hier nehmen wir den Menüpunkt "Configure Hybrid Azure AD Join":

Hybrid Join Konfiguration-Hybrid-Join

Obligatorisch bestätigen wir auch das Windows-Betriebssystem, auf dem sich unsere Konfiguration auswirken soll:

Hybrid Join Auswahl-Betriebssystem

Als nächstes ist die SCP-Konfiguration erforderlich. Der Service Connection Point stellt eine Verbindung zum lokalen Active Directory her und verhilft den Windows Clients dabei, die Informationen und den Zugriff zum Azure Active Directory zu er möglichen. 

Damit die Verbindung an dieser Stelle hergestellt werden kann, ist es erforderlich einen lokalen Enterprise Admin anzugeben:

SCP-Konfiguration
Administrator-Zugangsdaten-SCP

Danach sind wir mit der Konfiguration so gut wie fertig und müssen nur noch den Wizard des Azure AD Connects durchlaufen lassen:

Start-SCP-Konfiguration
Abschluss-SCP-Konfiguration

2. Prüfen der Einrichtung - Hybrid Join

Sobald die Konfiguration im Azure AD Connect abgeschlossen ist haben wir als weiteres Mittel zunächst unsere Geduld. Die Windows-Clients werden automatisch in den Azure AD Hybrid Join versetzt. 

Mitunter kann dies auch mehrere Minuten bis Stunden dauern - so hatte es in einem meiner Fälle rund zwei Stunden gebraucht, bevor das Gerät im Azure AD angezeigt wurde. Ein Reboot das Geräts kann dies auch nochmal zusätzlich triggern.

Der aktuelle Status des Geräts kann über die CMD und dem Befehl dsregcmd /status eingesehen werden:

Erst wenn der Wert beim AzureADJoined und DomainJoined auf YES steht, befindet sich das Gerät im Hybrid Join. Zusätzlich kann der Hybrid Join auch nochmal über den Befehl dsregcmd /join forciert werden.

Sobald das Gerät dann im Hybrid Join ist, finden wir es auch in der Geräteübersicht im Azure AD wieder:

Windows-Geraete-im-Azure-AD
Kostenloses Beratungsgespräch

Unser Gespräch ist für Sie kostenlos und unverbindlich.

Aaron Siller, Geschäftsführer von siller.consulting

3. Auto-Enrollment ins Microsoft Intune

Neben der reinen Integration in das Azure Active Directory, können wir beim Hybrid Join auch ein automatisches Enrollment ins Microsoft Intune durchführen.

Dazu erstellen wir eine lokale GPO. Der Pfad zur GPO lautet: 

Computer Configuration > Policies > Administrative Templates > Windows Components > MDM

Dort finden wir eine Richtlinie namens "Enable automatic MDM enrollment using default Azure AD Credentials":

Automatischer-MDM-Enrollment

Diese Richtlinie aktivieren wir entsprechend und weißen diese auf eine OU mit unseren Windows Clients zu. Es lohnt sich an dieser Stelle auch zunächst nur ein einzelnes Gerät auszuwählen (indem man z.B.: die GPO lokal auf einem einzelnen Gerät aktiviert), um das erfolgreiche Enrollment zu testen.

Hybrid Join Aktivierung-MDM-Enrollment-GPO
Verknuepfung-GPO

4. Prüfung des Intune-Enrollments

Als nächstes gilt es auch hier etwas Geduld mitzubringen. Wenn wir die Konfiguration aber richtig durchgeführt haben, so erscheinen uns die Geräte mit dem primären Benutzer einmal im Azure AD mit dem Status Azure AD Hybrid Join und zeitgleich im Device Management Portal vom Intune.

Ansicht im Azure Active Directory

WIndows-10-Geraete-Azure-AD


Ansicht im Microsoft Intune Portal:

Windows-Geraete-Intune

Aaron Siller

Über den Autor

Aaron Siller hat seit 2014 umfangreiche Erfahrung in der Migration zu Microsoft Office 365, Exchange Online, Intune und Azure aufgebaut. Gerne stellt er Ihrem Unternehmen sein Können und das seines qualifizierten Teams zur Verfügung. Seit der Einführung dieses leistungsfähigen Tools gehören Microsoft Teams Schulungen als wichtiger Bestandteil aller Digitalisierungsmaßnahmen mit zum Programm.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>