Planen der Implementierung mit Microsoft Entra-Hybrideinbindung

Wenn Sie über eine lokal Active Directory Domain Services (AD DS)-Umgebung verfügen und Ihre AD DS-Domänencomputer mit Microsoft Entra-ID verbinden möchten, können Sie diese Aufgabe ausführen, indem Sie die Hybridverknüpfung von Microsoft Entra durchführen.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie mit der Einführung in die Geräteidentitätsverwaltung in Microsoft Entra ID vertraut sind.

In Microsoft Entra hybrid eingebundene Geräte benötigen regelmäßig eine Netzwerk-Sichtverbindung mit Ihren Domänencontrollern. Ohne diese Verbindung werden Geräte unbrauchbar.

Szenarien, die ohne Sichtverbindung mit Ihren Domänencontrollern nicht funktionieren:

• Änderung des Gerätekennworts
• Änderung des Benutzerkennworts (zwischengespeicherte Anmeldeinformationen)
• Trusted Platform Module (TPM) zurücksetzen

Planen Ihrer Implementierung

Um Ihre Planung für die Hybridimplementierung von Microsoft Entra vorzubereiten, sollten Sie sich mit Folgendem vertraut machen:

Überprüfen unterstützter Geräte

Die Microsoft Entra Hybrideinbindung unterstützt eine Vielzahl von Windows-Geräten.

• Windows 11
• Windows 10
• Windows Server 2016
  • Anmerkung: Azure National Cloud-Kunden benötigen Version 1803
• Windows Server 2019
• Windows Server 2022

Als bewährte Methode empfiehlt Microsoft ein Upgrade auf die neueste Version von Windows.

Überprüfung wichtiger Informationen

Nicht unterstützte Szenarien

• Die Microsoft Entra-Hybrideinbindung wird nicht bei Windows Server mit der Domänencontrollerrolle unterstützt.
• Server Core OS unterstützt keine Geräteregistrierungsart.
• Das Migrationstool für den Benutzerstatus (USMT) funktioniert nicht mit der Geräteregistrierung.

Überlegungen zur Erstellung von Betriebssystemimages

• Wenn Sie sich auf das Systemvorbereitungstool (Sysprep) verlassen und ein vor-Windows 10 1809-Image für die Installation verwenden, stellen Sie sicher, dass das Image nicht von einem Gerät stammt, das bereits bei Microsoft Entra ID als Microsoft Entra hybrid eingebunden registriert ist.

• Wenn Sie zusätzliche VMs mit einer Momentaufnahme einer VM erstellen, stellen Sie sicher, dass diese Momentaufnahme nicht von einer VM stammt, die bereits mit Microsoft Entra-Hybrideinbindung bei Microsoft Entra ID registriert ist.

• Wenn Sie unified Write Filter und ähnliche Technologien verwenden, die Änderungen am Datenträger beim Neustart löschen, müssen sie angewendet werden, nachdem das Gerät mit microsoft Entra hybrid verbunden ist. Die Aktivierung solcher Technologien vor Abschluss der Microsoft Entra-Hybridverknüpfung führt dazu, dass die Verknüpfung des Geräts bei jedem Neustart aufgehoben wird.

Behandeln von Geräten mit Microsoft Entra-Registrierung

Wenn Ihre in die Domäne eingebundenen Geräte mit Windows 10 oder höher für Ihren Mandanten bei Microsoft Entra registriert sind, kann dies zu einem Doppelstatus der Microsoft Entra-Hybrideinbindung und der Registrierung bei Microsoft Entra des Geräts führen. Es wird empfohlen, auf Windows 10 1803 (mit angewendetem KB4489894) oder neuer zu aktualisieren, um dieses Szenario automatisch zu beheben. In Versionen vor 1803 müssen Sie die Registrierung bei Microsoft Entra manuell entfernen, bevor Sie die Microsoft Entra-Hybrideinbindung aktivieren. In Version 1803 und höher wurden die folgenden Änderungen vorgenommen, um diesen dualen Zustand zu vermeiden:

• Alle vorhandenen registrierten Microsoft Entra-Status für einen Benutzer werden automatisch entfernt, nachdem das Gerät mit Microsoft Entra hybrid verbunden ist und sich derselbe Benutzer anmeldet. Wenn Benutzer A beispielsweise einen Microsoft Entra-Registrierungsstatus auf dem Gerät hat, wird der Doppelstatus für Benutzer A nur dann bereinigt, wenn sich Benutzer A beim Gerät anmeldet. Wenn mehrere Benutzer auf demselben Gerät vorhanden sind, wird der duale Zustand einzeln bereinigt, wenn sich diese Benutzer anmelden. Nachdem ein Administrator den registrierten Status von Microsoft Entra entfernt hat, hebt Windows 10 die Registrierung des Geräts von Intune oder einer anderen mobilen Geräteverwaltung (Mobile Device Management, MDM) auf, wenn die Registrierung im Rahmen der Microsoft Entra-Registrierung über die automatische Registrierung erfolgt ist.
• Der registrierte Status von Microsoft Entra auf allen lokalen Konten auf dem Gerät ist von dieser Änderung nicht betroffen. Gilt nur für Domänenkonten. Der registrierte Status von Microsoft Entra für lokale Konten wird auch nach der Benutzeranmeldung nicht automatisch entfernt, da der Benutzer kein Domänenbenutzer ist.
• Sie können verhindern, dass Ihr in die Domäne eingebundenes Gerät Microsoft Entra registriert wird, indem Sie den folgenden Registrierungswert zu HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin hinzufügen: "BlockAADWorkplaceJoin"=dword:00000001.
• Wenn in Windows 10 1803 jedoch Windows Hello for Business konfiguriert ist, muss der Benutzer Windows Hello for Business nach der Bereinigung des Doppelstatus erneut einrichten. Dieses Problem wird mit KB4512509 behoben.

Microsoft Entra-Hybrideinbindung für einzelne Gesamtstrukturen, mehrere Microsoft Entra-Mandanten

Um Geräte mit Microsoft Entra-Hybrideinbindung bei den jeweiligen Mandanten zu registrieren, müssen Organisationen sicherstellen, dass die Konfiguration des Dienstverbindungspunkts (Service Connection Point, SCP) auf den Geräten und nicht in Microsoft Windows Server Active Directory vorgenommen wird. Weitere Informationen zu dieser Aufgabe finden Sie im Artikel Gezielte Bereitstellung der Microsoft Entra-Hybrideinbindung. Darüber hinaus ist es für Organisationen wichtig zu verstehen, dass bestimmte Microsoft Entra-Funktionen nicht in einer einzelnen Gesamtstruktur mit mehreren Microsoft Entra-Mandantenkonfigurationen funktionieren.

• Das Zurückschreiben von Geräten funktioniert nicht. Diese Konfiguration wirkt sich auf den gerätebasierten bedingten Zugriff für lokale Apps aus, die mit AD FS verbunden sind. Diese Konfiguration wirkt sich auch auf die Windows Hello for Business-Bereitstellung aus, wenn Sie das Hybridzertifikat-Vertrauensstellungsmodell verwenden.
• Gruppenrückschreiben funktioniert nicht. Diese Konfiguration wirkt sich auf das Rückschreiben von Office 365-Gruppen in eine Gesamtstruktur aus, in der Exchange installiert ist.
• Nahtloses SSO funktioniert nicht. Diese Konfiguration wirkt sich auf SSO-Szenarien in Organisationen aus, die Browserplattformen wie iOS oder Linux mit Firefox, Safari oder Chrome ohne die Windows 10-Erweiterung verwenden.
• Der lokale Microsoft Entra-Kennwortschutz funktioniert nicht. Diese Konfiguration wirkt sich auf die Möglichkeit aus, Kennwortänderungen und Kennwortzurücksetzungsereignisse für lokale Active Directory Domain Services (AD DS)-Domänencontroller mithilfe derselben globalen und benutzerdefinierten gesperrten Kennwortlisten auszuführen, die in Microsoft Entra ID gespeichert sind.

Weitere Überlegungen

• Wenn Ihre Umgebung virtuelle Desktopinfrastruktur (VDI) verwendet, lesen Sie die Geräteidentität und Desktopvirtualisierung.

• Die Microsoft Entra-Hybrideinbindung wird für FIPS-konformes (Federal Information Processing Standard) TPM 2.0 unterstützt, aber nicht für TPM 1.2. Wenn Ihre Geräte über FIPS-kompatibles TPM 1.2 verfügen, müssen Sie sie deaktivieren, bevor Sie mit der Hybridverknüpfung von Microsoft Entra fortfahren. Microsoft stellt keine Tools zum Deaktivieren des FIPS-Modus für TPMs bereit, da dieser vom TPM-Hersteller abhängt. Wenden Sie sich an Ihren Hardware-OEM, um Unterstützung zu erhalten.

• Ab der Windows 10 1903-Version wird TPM Version 1.2 nicht mit Microsoft Entra Hybrid Join und Geräten mit diesen TPMs verwendet, als ob sie kein TPM haben.

• UPN-Änderungen werden nur ab dem Windows 10 2004-Update unterstützt. Für Geräte vor dem Windows 10 2004-Update können Benutzer SSO- und Conditional Access-Probleme auf ihren Geräten haben. Zum Beheben des Problems müssen Sie das Gerät von Microsoft Entra ID trennen (indem Sie „dsregcmd /leave“ mit erhöhten Rechten ausführen) und sich wieder anmelden (was automatisch geschieht). Benutzer, die sich mit Windows Hello for Business anmelden, haben dieses Problem jedoch nicht.

Überprüfen der gezielten Microsoft Entra-Hybrideinbindung

Organisationen möchten möglicherweise einen gezielten Rollout von Microsoft Entra Hybrid Join durchführen, bevor sie für die gesamte Organisation aktiviert wird. Lesen Sie den Artikel Gezielte Bereitstellung der Microsoft Entra-Hybrideinbindung, um zu verstehen, wie Sie dies erreichen.

Wählen Sie Ihr Szenario basierend auf Ihrer Identitätsinfrastruktur aus.

Microsoft Entra Hybrid-Join funktioniert sowohl in verwalteten als auch in Verbundumgebungen, je nachdem, ob der UPN routingfähig oder nicht routingfähig ist. Unten auf der Seite finden Sie eine Tabelle zu unterstützten Szenarien.

Verwaltete Umgebung

Eine verwaltete Umgebung kann entweder durch Kennwort-Hashsynchronisierung (Password Hash Sync, PHS) oder Passthrough-Authentifizierung (Pass Through Authentication, PTA) mit nahtlosem einmaligem Anmelden bereitgestellt werden.

In diesen Szenarien müssen Sie keinen Verbundserver für die Authentifizierung (AuthN) konfigurieren.

Verbundumgebung

Bei Verbundumgebungen sollte ein Identitätsanbieter verwendet werden, der die folgenden Anforderungen erfüllt. Wenn Sie eine Verbundumgebung besitzen, die Active Directory-Verbunddienste (AD FS) verwendet, werden die nachfolgend genannten Anforderungen bereits unterstützt.

WS-Trust Protokoll: Dieses Protokoll ist erforderlich, um Microsoft Entra hybrid verbundene Windows-Geräte mit Microsoft Entra-ID zu authentifizieren. Bei Verwendung von AD FS müssen Sie die folgenden WS-Trust-Endpunkte aktivieren:

/adfs/services/trust/2005/windowstransport /adfs/services/trust/13/windowstransport /adfs/services/trust/2005/usernamemixed /adfs/services/trust/13/usernamemixed /adfs/services/trust/2005/certificatemixed /adfs/services/trust/13/certificatemixed

Ab Version 1.1.819.0 stellt Ihnen Microsoft Entra Connect einen Assistenten zum Konfigurieren der Microsoft Entra Hybridverbindung zur Verfügung. Mit dem Assistenten können Sie den Konfigurationsprozess erheblich vereinfachen. Wenn die installation der erforderlichen Version von Microsoft Entra Connect keine Option für Sie ist, erfahren Sie, wie Sie die Geräteregistrierung manuell konfigurieren. Wenn contoso.com als bestätigte benutzerdefinierte Domäne registriert ist, können Benutzer eine PRT erhalten, auch wenn sich ihr synchronisiertes lokales AD DS UPN-Suffix in einer Unterdomäne wie test.contoso.com befindet.

Überprüfen des UPN-Supports für lokale Microsoft Windows Server Active Directory-Benutzer für die Microsoft Entra-Hybridverknüpfung

• UPN für routingfähige Benutzer: Ein routingfähiger UPN verfügt über eine gültige überprüfte Domäne, die bei einer Domänenregistrierungsstelle registriert ist. Wenn contoso.com z. B. die primäre Domäne in der Microsoft Entra-ID ist, ist contoso.org die primäre Domäne im lokalen AD von Contoso und in der Microsoft Entra-ID überprüft.
• Nicht routingfähige Benutzer-UPN: Ein nicht routingfähiger UPN verfügt nicht über eine überprüfte Domäne und gilt nur innerhalb des privaten Netzwerks Ihrer Organisation. Wenn contoso.com beispielsweise die primäre Domäne in der Microsoft Entra-ID und "contoso.local" die primäre Domäne in lokalem AD ist, aber keine überprüfbare Domäne im Internet ist und nur innerhalb des Contoso-Netzwerks verwendet wird.

Die folgende Tabelle enthält Details zur Unterstützung dieser lokalen Microsoft Windows Server Active Directory-UPNs in der Microsoft Entra-Hybrideinbindung unter Windows 10:

Nächste Schritte

• Konfigurieren des Microsoft Entra-Hybridbeitritts