Letzte Aktualisierung am 25. Mai 2025

Microsoft Entra Hybrid Join ist eine Identitätslösung, die es Geräten ermöglicht, sich sowohl in einer Windows Server Active Directory-Domäne als auch in Microsoft Entra ID zu authentifizieren. Dies bietet Unternehmen die Flexibilität und Sicherheit, die sie benötigen, um Ressourcen effektiv zu verwalten und gleichzeitig ein hohes Mass an Sicherheit zu gewährleisten.

Microsoft Entra ID ist global hochverfügbar aufgebaut. In Verbindung mit Features wie nahtloses einmaliges Anmelden (SSO) oder bedingter Microsoft Entra-Zugriff bietet Microsoft Entra ID zusätzliche Features an, welche die Sicherheit beträchtlich erhöhen und mit einer reinen Windows Server Active Directory Infrastruktur nur kostenintensiv umgesetzt werden können.

Mit Microsoft Entra Hybrid Join erhält man das Beste aus zwei Welten (Lokal und Cloud) gleichzeitig. Das Gerät hat Zugriff auf Windows Server Active Directory und Microsoft Entra ID.

Dieser Blog Artikel zeigt detailliert die notwendigen Schritte für die Konfiguration von Microsoft Entra Hybrid Join.

Inhaltsverzeichnis verbergen
1 Voraussetzungen und Lizenzierung
1.1 Lizenzen
1.2 Geräte
1.3 Software
1.4 Rollen nach dem Prinzip der geringsten Rechte
2 Windows Server Active Directory
2.1 Microsoft Entra Connect
2.1.1 Geräteoptionen
2.1.2 Synchronisierungsoptionen
2.2 Microsoft Intune Connector für Active Directory
2.3 Windows Server Active Directory Schreibzugriff
2.4 Domänencomputer automatisch registrieren
3 Microsoft Intune
3.1 Automatische Registrierung
3.2 CNAME Validierung
3.3 Bereitstellungsprofile
3.4 Konfigurationsprofile
4 Funktionskontrolle
4.1 Gerät
4.2 Microsoft Entra Admin Center
5 Fehlersuche und Fehlerbehebung

Voraussetzungen und Lizenzierung

Lizenzen

Microsoft Entra Hybrid Join setzt keine kostenpflichtige Lizenz voraus.
Eine Lizenz ab Microsoft Entra ID Free reicht aus. Diese Lizenz ist Bestandteil jedes Microsoft Tenants.

Geräte

Folgende Voraussetzungen gelten für die Geräte:

  • Windows 10 Pro oder Enterprise
  • Windows 11 Pro oder Enterprise

Die Geräte haben Zugriff auf die folgenden URLs:
https://enterpriseregistration.windows.net
https://login.microsoftonline.com
https://device.login.microsoftonline.com
https://autologon.microsoftazuread-sso.com

Software

Für die Synchronisierung der Active Directory Organisationseinheiten mit den Geräte wird Microsoft Entra Connect benötigt.

Rollen nach dem Prinzip der geringsten Rechte

Microsoft Entra Hybrid Join wird mit folgenden Microsoft Entra-Rollen und lokalen Active Directory-Berechtigungen konfiguriert und verwaltet.

RolleBerechtigung
AdministratorenrechteInstallation Microsoft Intune Connector in der Active Directory Umgebung
Intune-AdministratorRegistration und Verwaltung Microsoft Intune Connector for Active Directory
HybrididentitätsadministratorKonfiguration von Microsoft Entra Connect

Windows Server Active Directory

Mit den nachfolgenden Schritten wird das Windows Server Active Directory für Microsoft Entra Hybrid Join vorbereitet.

Microsoft Entra Connect

Geräteoptionen

Microsoft Entra Hybrid Join erfordert im Bereich der Geräteoptionen die folgende Konfiguration in Microsoft Entra Connect Sync.

Welcome screen of Microsoft Entra Connect Sync setup

Configure device options auswählen

Additional configuration tasks in Entra Connect

Next auswählen

Overview of Hybrid Join and device writeback

Mit einem Benutzerkonto anmelden, das über die Rolle Hybrididentitätsadministrator in Microsoft Entra ID verfügt.

Login to Microsoft Entra ID

Option Configure Hybrid Microsoft Entra join auswählen

Select Hybrid Microsoft Entra ID join

Windows 10 or later domain-joined devices auswählen

Select Windows 10 or later domain-joined devices

Für die Konfiguration des Service Connection Point (SCP) ist ein Benutzer erforderlich, der Mitglied der Gruppe Organisations-Admins ist. Nach erfolgreicher Einrichtung können diese Berechtigungen wieder entzogen werden.

Configure SCP for Entra Hybrid Join

Die Konfiguration wird geprüft und mit Configure ausgeführt

Ready to configure Entra Hybrid Join

Die Konfiguration ist erfolgreich abgeschlossen.

Hybrid Join configuration completed

Synchronisierungsoptionen

Sämtliche Active Directory Organisationseinheiten mit Geräten, welche mit Microsoft Entra Hybrid Join registriert werden, müssen mit Microsoft Entra Connect synchronisiert werden.

Welcome screen of Microsoft Entra Connect Sync setup wizard

Option Customize synchronitaion options auswählen

Customize synchronization options in Microsoft Entra Connect Sync

Mit einem Benutzerkonto anmelden, das über die Rolle Hybrididentitätsadministrator in Microsoft Entra ID verfügt.

Enter Microsoft Entra administrator credentials

Verbindung zum Active Directory herstellen

Connecting on-premises Active Directory forest to Microsoft Entra

Active Directory Organisationseinheiten auswählen, die Geräte mit Microsoft Entra Hybrid Join enthalten

Select organizational units for synchronization

Next klicken

Enable optional features like password hash sync

Next klicken

Enable single sign-on with domain credentials

Die Konfiguration wird geprüft und mit Configure ausgeführt

Summary before starting synchronization

Die Konfiguration ist erfolgreich abgeschlossen.

Microsoft Entra Connect Sync configuration completed

Microsoft Intune Connector für Active Directory

Der Microsoft Intune Connector muss auf einem Windows Server mit Zugriff auf das Windows Server Active Directory installiert werden. Der Connector kann im Microsoft Intune Admin Center (https://intune.microsoft.com) heruntergeladen werden.

Devices > Device onboarding > Enrollment > Intune Connector for Active Directory

Intune Connector for Active Directory option in Microsoft Intune Enrollment settings

Add (1) auswählen und Intune Connector für Active Directory (2) herunterladen.

Add Intune Connector and download installer link

Die heruntergeladene Datei ODJConnectorBootstrapper.exe auf den Server kopieren und Installation starten.

Intune Connector for AD setup agreement window
Progress bar for Intune Connector installation

Nach der erfolgreichen Installation Configure Now auswählen.

Installation successfully completed screen for Intune Connector

Für die Anmeldung wird ein Benutzerkonto benötigt, dem sowohl die Rolle Intune-Administrator als auch eine gültige Microsoft Intune-Lizenz zugewiesen sind. Nach erfolgreicher Anmeldung kann die Rolle Intune-Administrator wieder entfernt werden. Für die Kommunikation verwendet der Intune Connector ein verwaltetes Dienstkonto, das während der Installation automatisch erstellt wird.

Sign-in prompt for Intune Connector for Active Directory
Microsoft sign-in page for connector registration

Die Konfiguration ist nach kurzer Zeit erfolgreich abgeschlossen.

Confirmation of successful Intune Connector enrollment

Das verwaltete Dienstkonto wurde automatisch erstellt.

Configure Managed Service Account for Intune Connector

Das verwaltete Dienstkonto ist im Active Directory unter Managed Service Accounts sichtbar.

Managed Service Account object in Active Directory

Die Verbindung wurde erfolgreich hergestellt.

Devices > Device onboarding > Enrollment > Intune Connector for Active Directory

Intune Connector for Active Directory status overview in Intune admin center

Windows Server Active Directory Schreibzugriff

Der Microsoft Intune Connector benötigt Schreibzugriff auf alle Organisationseinheiten im Windows Server Active Directory, die Microsoft Entra Hybrid Join registrierte Geräte enthalten. Die folgenden Schritte konfigurieren diesen Schreibzugriff.

Rechte Maustaste auf die Organisationseinheit und Delegate Control klicken.

Delegate control option selected in Active Directory Users and Computers

Einrichtungsassistent mit Next starten

Welcome screen of the Delegation of Control Wizard

Alle Server hinzufügen, auf denen Microsoft Intune Connector ausgeführt wird.

Select users or groups to delegate control

Die weitere Konfiguration benötigt ein benutzerdefinierter Aufgabe.
Create a custom task to delegate auswählen.

Choose to create a custom task to delegate

Die benutzerdefinierte Aufgabe auf Computer objects (1) mit den Berechtigungen Create (2) und Delete (3) anlegen.

Delegate control for Computer objects and related tasks

Full Control auswählen

Grant full control permissions for delegated tasks

Finish klicken um die Konfiguration abzuschliessen.

Summary screen confirming delegated control settings

Domänencomputer automatisch registrieren

In die Domäne eingebundene Computer werden über die Gruppenrichtlinie automatisch im Hintergrund bei Microsoft Entra ID registriert.

Gruppenrichtlinie Register domain joined computers as devices in Computer Configuration > Policies > Administrative Templates > Windows Components > Device Registration aktivieren.

Group Policy Editor with device registration setting not configured
Enabled setting to register domain joined computers as devices

Microsoft Intune

Automatische Registrierung

Die MDM-URLs sind erforderlich, um die automatische Registrierung von Geräten in Microsoft Intune zu ermöglichen. Sie verweisen die Geräte bei der Anmeldung an den richtigen MDM-Dienst. Die MDM-URLs müssen im Microsoft Intune Admin Center aktiviert werden.

Microsoft Intune Admin Center (https://intune.microsoft.com) > Devices > Device onboarding > Enrollment > Automatic Enrollment

Automatic Enrollment option in Microsoft Intune admin center

MDM User Scope aktivieren. Möglich ist eine Aktivierung für Alle oder eine definierte Benutzergruppe.

Microsoft Intune MDM user scope and WIP configuration settings

CNAME Validierung

Die CNAME-Validierung stellt sicher, dass die automatische Gerätebereitstellung über Microsoft Intune reibungslos funktioniert. Dabei wird überprüft, ob die öffentliche Domäne korrekt konfiguriert ist: Der CNAME-Eintrag enterpriseenrollment muss auf enterpriseenrollment-s.manage.microsoft.com und enterpriseregistration auf enterpriseregistration.windows.net verweisen. Fehlen diese DNS-Einträge, kann die automatische Registrierung der Geräte in Microsoft Intune nicht durchgeführt werden.

Microsoft Intune Admin Center (https://intune.microsoft.com) > Devices > Device onboarding > Enrollment > CNAME Validation

CNAME validation check for Windows MDM enrollment in Intune

Bereitstellungsprofile

Bereitstellungsprofile in Microsoft Intune legen fest, wie Windows-Geräte im Rahmen von Windows Autopilot konfiguriert werden. Sie bestimmen beispielsweise, ob ein Gerät als Entra Joined oder Entra Hybrid Joined registriert wird. Durch diese Profile wird eine einheitliche und automatisierte Bereitstellung gewährleistet. Voraussetzung ist, dass die Geräte zuvor in Windows Autopilot registriert wurden.

Microsoft Intune Admin Center (https://intune.microsoft.com) > Devices > Device onboarding > Enrollment > Deployment profiles

Microsoft Intune deployment profiles configuration

Create profile > Windows PC auswählen

Create Windows Autopilot profile

Profilname eingeben, z.B. WDP_Entra_Hybrid_Joined

Autopilot profile name for hybrid join

OOBE nach eigenen Richtlinien konfigurieren. Dabei ist darauf zu achten, dass die Einstellung Join to Microsoft Entra ID as auf Microsoft Entra hybrid joined festgelegt ist.

Configure hybrid join settings in Autopilot profile

Eine Gerätegruppe zuweisen, die alle Geräte enthält, die per Microsoft Entra Hybrid Join registriert werden sollen.

Assign Autopilot profile to device group

Konfiguration prüfen und mit Create erstellen.

Review Windows Autopilot profile settings

Das Bereitstellungsprofil ist erfolgreich erstellt.

Deployed Autopilot profile overview

Konfigurationsprofile

Der Beitritt zur Active Directory-Domäne wird mithilfe eines Microsoft Intune-Konfigurationsprofils automatisiert.

Microsoft Intune Admin Center (https://intune.microsoft.com) >
Devices > Manage devices > Configuration > Create > New Policy

  1. Plattform: Windows 10 and later
  2. Profile Typ: Templates
  3. Vorlage: Domain join
Create domain join policy using template in Intune admin center

Profilname eingeben, z.B. WCP-Domain-Join

Define name for new domain join policy in Intune

Folgende Werte ausfüllen:

  1. Präfix für die Computernamen, z.B. ccl-
  2. Domänenname angeben, z.B. int.cloudcoffee.ch
  3. Organisationseinheit angeben, z.B. OU=Computer,OU=CCL,DC=int,DC=cloudcoffee,DC=ch
Configure domain name and organizational unit for Intune policy

Profil an die Geräte zuweisen

Assign device group to domain join policy in Intune

Anwendbarkeitsregeln nach eigenen Vorgaben ausfüllen

Configure applicability rules for domain join policy in Intune

Konfiguration prüfen und mit Create erstellen.

Review and create summary screen of domain join policy in Intune

Das Konfigurationsprofil ist erfolgreich erstellt.

Domain join policy visible in the Intune policy list

Funktionskontrolle

Gerät

Windows-Geräte registrieren sich nun sowohl in Microsoft Entra als auch im Active Directory. Etwa 10 Minuten nach der Registrierung lässt sich der Status mit folgendem PowerShell-Befehl am Gerät überprüfen.

Der Gerätestatus muss die folgenden Werte aufweisen:

  •  AzureADJoined: Yes
  •   DomainJoined: Yes
Command Prompt output of dsregcmd showing hybrid joined status

Microsoft Entra Admin Center

Das Gerät erscheint im Microsoft Entra Admin Center mit dem Registrierungsstatus Microsoft Entra hybrid joined.

Microsoft Entra Admin Center (https://entra.microsoft.com) > Identity > Devices > All devices

Microsoft Entra admin center showing a hybrid joined device

Fehlersuche und Fehlerbehebung

Wird das Gerät auch nach einem Neustart und einer Wartezeit von etwa 10 Minuten nicht mit dem Status Microsoft Entra hybrid joined im Microsoft Entra Admin Center angezeigt, können folgende Schritte zur Fehleranalyse beitragen:

Folge mir auf LinkedIn und Bluesky, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.

War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!

Buy me a coffee