Microsoft Entra Hybrid Join ist eine Identitätslösung, die es Geräten ermöglicht, sich sowohl in einer Windows Server Active Directory-Domäne als auch in Microsoft Entra ID zu authentifizieren. Dies bietet Unternehmen die Flexibilität und Sicherheit, die sie benötigen, um Ressourcen effektiv zu verwalten und gleichzeitig ein hohes Mass an Sicherheit zu gewährleisten.

Microsoft Entra ID ist global hochverfügbar aufgebaut. In Verbindung mit Features wie nahtloses einmaliges Anmelden (SSO) oder bedingter Microsoft Entra-Zugriff bietet Microsoft Entra ID zusätzliche Features an, welche die Sicherheit beträchtlich erhöhen und mit einer reinen Windows Server Active Directory Infrastruktur nur kostenintensiv umgesetzt werden können.

Mit Microsoft Entra Hybrid Join erhält man das Beste aus zwei Welten (Lokal und Cloud) gleichzeitig. Das Gerät hat Zugriff auf Windows Server Active Directory und Microsoft Entra ID.

Dieser Blog Artikel zeigt detailliert die notwendigen Schritte für die Konfiguration von Microsoft Entra Hybrid Join.

Voraussetzungen und Lizenzierung

Lizenzen

Microsoft Entra Hybrid Join setzt keine kostenpflichtige Lizenz voraus.
Eine Lizenz ab Microsoft Entra ID Free reicht aus. Diese Lizenz ist Bestandteil jedes Microsoft Tenants.

Geräte

Folgende Voraussetzungen gelten für die Geräte:

  • Windows 10 Pro oder Enterprise
  • Windows 11 Pro oder Enterprise

Die Geräte haben Zugriff auf die folgenden URLs:
https://enterpriseregistration.windows.net
https://login.microsoftonline.com
https://device.login.microsoftonline.com
https://autologon.microsoftazuread-sso.com

Software

Für die Synchronisierung der Organisationseinheiten mit den Geräte Objekte im Windows Server Active Directory wird Microsoft Entra Connect oder Microsoft Entra Cloud Sync verwendet.

Windows Server Active Directory

Mit den nachfolgenden Schritten wird das Windows Server Active Directory für Microsoft Entra Hybrid Join vorbereitet.

Microsoft Entra Connect

Geräteoptionen

Microsoft Entra Hybrid Join erfordert im Bereich der Geräteoptionen die folgende Konfiguration in Microsoft Entra Connect.

Device Options (Geräteoptionen) auswählen.

Next (Weiter) auswählen.

Verbindung zu Microsoft Entra ID durch einen globalen Administrator herstellen.

Option Configure Hybrid Azure AD Join (Microsoft Entra Hybrid Join) auswählen.

Windows 10 or later domain-joined devices auswählen.

Der hier anzugebende Benutzer für die SCP (Service Connection Point) Konfiguration muss Mitglied der Gruppe Organisations-Administratoren (Enterprise Administrators) sein.
Diese Berechtigungen können nach erfolgreicher SCP Konfiguration wieder entzogen werden.

Die Konfiguration wird geprüft und mit Configure ausgeführt.

Microsoft Entra Connect ist nun für Microsoft Entra Hybrid Join vorbereitet.

Synchronisierungsoptionen

Sämtliche Active Directory Organisationseinheiten mit Geräten, welche mit Microsoft Entra Hybrid Join konfiguriert werden, müssen mit Microsoft Entra Connect synchronisiert werden.

Option Configure device options (Synchronisierungsoptionen) auswählen.

Verbindung zu Microsoft Entra ID durch einen globalen Administrator herstellen.

Verbindung zum Active Directory herstellen.

Alle Active Directory Organisationseinheiten auswählen, welche Geräte für den Microsoft Entra Hybrid Join enthalten.

Next (Weiter) klicken.

Next (Weiter) klicken.

Die Konfiguration wird geprüft und mit Configure ausgeführt.

Die Konfiguration ist erfolgreich abgeschlossen.

Windows Server Active Directory Schreibzugriff

Microsoft Intune Connector benötigt Schreibzugriff auf sämtliche Windows Server Active Directory Organisationseinheiten, welche Geräte für den Microsoft Entra Hybrid Join enthalten. Nachfolgende Schritte konfigurieren den Schreibzugriff.

Rechte Maustaste auf die Organisationseinheit und Delegate Control klicken.

Einrichtungsassistent mit Next starten.

Alle Server hinzufügen, auf denen Microsoft Intune Connector ausgeführt wird.

Die weitere Konfiguration benötigt ein benutzerdefinierter Aufgabe.
Create a custom task to delegate auswählen.

Die benutzerdefinierte Aufgabe auf Computer Objekte (Computer objects, 1) mit den Berechtigungen zum Erstellen (Create, 2) und Löschen (Delete, 3) anlegen.

Vollzugriff (Full control) auswählen.

Die Konfiguration ist erfolgreich abgeschlossen.

Domänencomputer automatisch registrieren

In die Domäne eingebundene Computer werden über die Gruppenrichtlinie automatisch im Hintergrund bei Microsoft Entra ID registriert.

Gruppenrichtlinie In die Domäne eingebundene Computer als Geräte registrieren unter Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Geräteregistrierung aktivieren.

Microsoft Entra ID

Microsoft Intune

MDM-URLs

Für die Bereitstellung der Geräte mit Microsoft Intune und Autopilot müssen die MDM-URLs im Microsoft Intune admin center (https://intune.microsoft.com) aktiviert sein.

Devices > Enroll devices > Windows enrollment > Automatic Enrollment

MDM User Scope aktivieren. Möglich ist eine Aktivierung für Alle oder eine definierte Benutzergruppe.

Microsoft Intune Connector für Active Directory

Auf einem Windows Server mit Zugriff auf das Windows Server Active Directory benötigt es den Microsoft Intune Connector.
Microsoft Intune Connector aus dem Microsoft Intune admin center (https://intune.microsoft.com) herunterladen.

Devices > Enroll devices > Intune Connector for Active Directory

Add (1) auswählen und Intune Connector für Active Directory (2) herunterladen.

Die heruntergeladene Datei ODJConnectorBootstrapper.exe auf den Server kopieren und Installation starten.

Nach der erfolgreichen Installation Configure Now auswählen.

Anmeldung am Microsoft Intune mit einem lizenzierten globalen Administrator oder Intune Administrator durchführen.
Die Rolle globaler Administrator kann nach erfolgreicher Anmeldung dem Benutzer bei Bedarf wieder entzogen werden.

Die Konfiguration ist nach kurzer Zeit erfolgreich abgeschlossen.

Die Verbindung wurde erfolgreich hergestellt.

Devices > Enroll devices > Intune Connector for Active Directory

Microsoft Intune Configuration Profile

Der Beitritt zur Active Directory Domäne erfolgt über ein Microsoft Intune Configuration Profile.

Microsoft Intune admin center (https://intune.microsoft.com)
Devices > Configuration profiles > Create > New Policy

  1. Plattform: Windows 10 and later
  2. Profile Typ: Templates
  3. Vorlage: Domain join

Profilname eingeben, z.B. Domain Join

Folgende Werte ausfüllen:

  1. Präfix für die Computernamen, z.B. ccl-
  2. Domänenname angeben, z.B. int.cloudcoffee.ch
  3. Organisationseinheit angeben, z.B. OU=Computer,OU=CCL,DC=int,DC=cloudcoffee,DC=ch

Profil an die Geräte zuweisen.

Konfiguration prüfen und mit Create erstellen.

Funktionskontrolle

Windows 10 und Windows 11 haben nun die Eigenschaft, sich selbst im Azure Active Directory einzubinden. Nach rund 10 Minuten kann dies geprüft werden.

oder unter Microsoft Entra ID > Devices > All devices im Azure Portal (https://portal.azure.com)

Fehlersuche und Fehlerbehebung

Wird das Gerät auch nach einem Reboot und Wartezeit von 10 Minuten nicht im Microsoft Entra ID als Microsoft Entra Hybrid Joined angezeigt, kann folgendes weiterhelfen:


Folge mir auf LinkedIn und BlueSky, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.

War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!

Buy me a coffee