Microsoft Entra Hybrid Join ist eine Identitätslösung, die es Geräten ermöglicht, sich sowohl in einer Windows Server Active Directory-Domäne als auch in Microsoft Entra ID zu authentifizieren. Dies bietet Unternehmen die Flexibilität und Sicherheit, die sie benötigen, um Ressourcen effektiv zu verwalten und gleichzeitig ein hohes Mass an Sicherheit zu gewährleisten.
Microsoft Entra ID ist global hochverfügbar aufgebaut. In Verbindung mit Features wie nahtloses einmaliges Anmelden (SSO) oder bedingter Microsoft Entra-Zugriff bietet Microsoft Entra ID zusätzliche Features an, welche die Sicherheit beträchtlich erhöhen und mit einer reinen Windows Server Active Directory Infrastruktur nur kostenintensiv umgesetzt werden können.
Mit Microsoft Entra Hybrid Join erhält man das Beste aus zwei Welten (Lokal und Cloud) gleichzeitig. Das Gerät hat Zugriff auf Windows Server Active Directory und Microsoft Entra ID.
Dieser Blog Artikel zeigt detailliert die notwendigen Schritte für die Konfiguration von Microsoft Entra Hybrid Join.
Voraussetzungen und Lizenzierung
Lizenzen
Microsoft Entra Hybrid Join setzt keine kostenpflichtige Lizenz voraus.
Eine Lizenz ab Microsoft Entra ID Free reicht aus. Diese Lizenz ist Bestandteil jedes Microsoft Tenants.
Geräte
Folgende Voraussetzungen gelten für die Geräte:
- Windows 10 Pro oder Enterprise
- Windows 11 Pro oder Enterprise
Die Geräte haben Zugriff auf die folgenden URLs:
https://enterpriseregistration.windows.net
https://login.microsoftonline.com
https://device.login.microsoftonline.com
https://autologon.microsoftazuread-sso.com
Software
Für die Synchronisierung der Organisationseinheiten mit den Geräte Objekte im Windows Server Active Directory wird Microsoft Entra Connect oder Microsoft Entra Cloud Sync verwendet.
Windows Server Active Directory
Mit den nachfolgenden Schritten wird das Windows Server Active Directory für Microsoft Entra Hybrid Join vorbereitet.
Microsoft Entra Connect
Geräteoptionen
Microsoft Entra Hybrid Join erfordert im Bereich der Geräteoptionen die folgende Konfiguration in Microsoft Entra Connect.
Device Options (Geräteoptionen) auswählen.
Next (Weiter) auswählen.
Verbindung zu Microsoft Entra ID durch einen globalen Administrator herstellen.
Option Configure Hybrid Azure AD Join (Microsoft Entra Hybrid Join) auswählen.
Windows 10 or later domain-joined devices auswählen.
Der hier anzugebende Benutzer für die SCP (Service Connection Point) Konfiguration muss Mitglied der Gruppe Organisations-Administratoren (Enterprise Administrators) sein.
Diese Berechtigungen können nach erfolgreicher SCP Konfiguration wieder entzogen werden.
Die Konfiguration wird geprüft und mit Configure ausgeführt.
Microsoft Entra Connect ist nun für Microsoft Entra Hybrid Join vorbereitet.
Synchronisierungsoptionen
Sämtliche Active Directory Organisationseinheiten mit Geräten, welche mit Microsoft Entra Hybrid Join konfiguriert werden, müssen mit Microsoft Entra Connect synchronisiert werden.
Option Configure device options (Synchronisierungsoptionen) auswählen.
Verbindung zu Microsoft Entra ID durch einen globalen Administrator herstellen.
Verbindung zum Active Directory herstellen.
Alle Active Directory Organisationseinheiten auswählen, welche Geräte für den Microsoft Entra Hybrid Join enthalten.
Next (Weiter) klicken.
Next (Weiter) klicken.
Die Konfiguration wird geprüft und mit Configure ausgeführt.
Die Konfiguration ist erfolgreich abgeschlossen.
Windows Server Active Directory Schreibzugriff
Microsoft Intune Connector benötigt Schreibzugriff auf sämtliche Windows Server Active Directory Organisationseinheiten, welche Geräte für den Microsoft Entra Hybrid Join enthalten. Nachfolgende Schritte konfigurieren den Schreibzugriff.
Rechte Maustaste auf die Organisationseinheit und Delegate Control klicken.
Einrichtungsassistent mit Next starten.
Alle Server hinzufügen, auf denen Microsoft Intune Connector ausgeführt wird.
Die weitere Konfiguration benötigt ein benutzerdefinierter Aufgabe.
Create a custom task to delegate auswählen.
Die benutzerdefinierte Aufgabe auf Computer Objekte (Computer objects, 1) mit den Berechtigungen zum Erstellen (Create, 2) und Löschen (Delete, 3) anlegen.
Vollzugriff (Full control) auswählen.
Die Konfiguration ist erfolgreich abgeschlossen.
Domänencomputer automatisch registrieren
In die Domäne eingebundene Computer werden über die Gruppenrichtlinie automatisch im Hintergrund bei Microsoft Entra ID registriert.
Gruppenrichtlinie In die Domäne eingebundene Computer als Geräte registrieren unter Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Geräteregistrierung aktivieren.
Microsoft Entra ID
Microsoft Intune
MDM-URLs
Für die Bereitstellung der Geräte mit Microsoft Intune und Autopilot müssen die MDM-URLs im Microsoft Intune admin center (https://intune.microsoft.com) aktiviert sein.
Devices > Enroll devices > Windows enrollment > Automatic Enrollment
MDM User Scope aktivieren. Möglich ist eine Aktivierung für Alle oder eine definierte Benutzergruppe.
Microsoft Intune Connector für Active Directory
Auf einem Windows Server mit Zugriff auf das Windows Server Active Directory benötigt es den Microsoft Intune Connector.
Microsoft Intune Connector aus dem Microsoft Intune admin center (https://intune.microsoft.com) herunterladen.
Devices > Enroll devices > Intune Connector for Active Directory
Add (1) auswählen und Intune Connector für Active Directory (2) herunterladen.
Die heruntergeladene Datei ODJConnectorBootstrapper.exe auf den Server kopieren und Installation starten.
Nach der erfolgreichen Installation Configure Now auswählen.
Anmeldung am Microsoft Intune mit einem lizenzierten globalen Administrator oder Intune Administrator durchführen.
Die Rolle globaler Administrator kann nach erfolgreicher Anmeldung dem Benutzer bei Bedarf wieder entzogen werden.
Die Konfiguration ist nach kurzer Zeit erfolgreich abgeschlossen.
Die Verbindung wurde erfolgreich hergestellt.
Devices > Enroll devices > Intune Connector for Active Directory
Microsoft Intune Configuration Profile
Der Beitritt zur Active Directory Domäne erfolgt über ein Microsoft Intune Configuration Profile.
Microsoft Intune admin center (https://intune.microsoft.com)
Devices > Configuration profiles > Create > New Policy
- Plattform: Windows 10 and later
- Profile Typ: Templates
- Vorlage: Domain join
Profilname eingeben, z.B. Domain Join
Folgende Werte ausfüllen:
- Präfix für die Computernamen, z.B. ccl-
- Domänenname angeben, z.B. int.cloudcoffee.ch
- Organisationseinheit angeben, z.B. OU=Computer,OU=CCL,DC=int,DC=cloudcoffee,DC=ch
Profil an die Geräte zuweisen.
Konfiguration prüfen und mit Create erstellen.
Funktionskontrolle
Windows 10 und Windows 11 haben nun die Eigenschaft, sich selbst im Azure Active Directory einzubinden. Nach rund 10 Minuten kann dies geprüft werden.
1 | dsregcmd /status |
oder unter Microsoft Entra ID > Devices > All devices im Azure Portal (https://portal.azure.com)
Fehlersuche und Fehlerbehebung
Wird das Gerät auch nach einem Reboot und Wartezeit von 10 Minuten nicht im Microsoft Entra ID als Microsoft Entra Hybrid Joined angezeigt, kann folgendes weiterhelfen:
- Ereignisanzeige nach entsprechenden Meldungen analysieren. Microsoft Entra Hybrid Joined Einträge sind unter Anwendungen und Dienstprogramme > Microsoft > Windows > User Device Registration zu finden
- Problembehandlung für in Microsoft Entra eingebundene Hybridgeräte – Microsoft Entra ID | Microsoft Learn
Folge mir auf LinkedIn und BlueSky, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.
War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!