MS365 | Intune – Effiziente Integration von Hybrid ENTRA-Geräten in MDM

Hybrid ENTRA ID Join früher Hybrid Azure AD Join

In der heutigen dynamischen IT-Welt ist die effiziente Verwaltung von Endgeräten unerlässlich. Unternehmen stehen vor der Herausforderung, eine Balance zwischen Sicherheit, Benutzerfreundlichkeit und Verwaltungsaufwand zu finden. Hier kommt die Rolle von Hybrid Azure Active Directory (AAD) Joined Devices und Group Policy Objects (GPOs) im Rahmen des Mobile Device Management (MDM) ins Spiel. In diesem Artikel werfen wir einen Blick darauf, wie man Hybrid ENTRA ID Joined Devices mittels GPOs in ein MDM wie Microsoft Endpoint Manager (Intune) integrieren kann. Dabei berücksichtigen wir besonders, dass die Computer zuvor mit AADConnect synchronisiert wurden.

Was sind Hybrid ENTRA ID Joined Devices?

Hybrid ENTRA ID Joined Devices sind Geräte, die sowohl mit einem lokalen Active Directory (AD) als auch mit ENTRA ID verbunden sind. Diese Doppelbindung ermöglicht es, die Vorteile beider Verzeichnisdienste – sowohl im On-Premises- als auch im Cloud-Umfeld – zu nutzen.

Warum ist die Synchronisation mit AADConnect wichtig?

AADConnect ist ein Tool, das die Synchronisation zwischen dem lokalen Active Directory und ENTRA ID ermöglicht. Diese Synchronisation ist entscheidend, um sicherzustellen, dass die Benutzeridentitäten und Geräteinformationen in beiden Verzeichnissen konsistent sind. Ohne diese Synchronisation könnten Probleme bei der Anmeldung, der Geräteverwaltung und der Sicherheitsrichtlinienimplementierung auftreten.

Schritt-für-Schritt-Anleitung

Die Integration von Hybrid ENTRA ID Joined Devices in ein Mobile Device Management (MDM) System wie Microsoft Endpoint Manager (Intune) ist ein mehrstufiger Prozess. Diese Anleitung deckt alle Schritte ab, um sicherzustellen, dass die Geräte effizient verwaltet werden können. Dabei ist zu beachten, dass die Geräte zuvor mit ENTRA ID Connect (AADConnect) synchronisiert wurden.

1. Vorbereitung und Synchronisation mit AADConnect

Bevor Sie mit dem Prozess beginnen, stellen Sie sicher, dass Ihre Geräte mit ENTRA ID Connect synchronisiert sind. Dies gewährleistet, dass die Benutzerkonten und Geräteinformationen zwischen Ihrem lokalen Active Directory (AD) und ENTRA ID konsistent sind.

1. Installieren Sie ENTRA ID Connect auf einem Server in Ihrer Umgebung.
2. Folgen Sie dem Setup-Assistenten, um die Synchronisation zwischen Ihrem lokalen AD und ENTRA ID einzurichten.
3. Überprüfen Sie die Synchronisation, indem Sie sich in Ihrem ENTRA ID-Portal anmelden und sicherstellen, dass die Benutzer- und Gerätedaten korrekt angezeigt werden.

2. Erstellen eines Group Policy Objects (GPO)

Nachdem die Synchronisation eingerichtet ist, erstellen Sie ein Group Policy Object (GPO), um die automatische MDM-Registrierung mit ENTRA ID-Anmeldeinformationen zu ermöglichen.

1. Öffnen Sie die Group Policy Management Konsole auf einem Ihrer Domain Controller oder einem Verwaltungs-PC mit den entsprechenden Tools.
2. Erstellen Sie ein neues GPO: Klicken Sie mit der rechten Maustaste auf Ihr Domain-Objekt und wählen Sie „Create a GPO in this domain, and Link it here…“.
3. Benennen Sie das GPO und klicken Sie auf „OK“.
4. Bearbeiten Sie das GPO: Rechtsklicken Sie auf das neue GPO und wählen Sie „Edit…“.
5. Navigieren Sie zu: Computer Configuration > Policies > Administrative Templates > Windows Components > MDM.
6. Aktivieren Sie die Richtlinie: Doppelklicken Sie auf „Enable automatic MDM enrollment using default Azure AD credentials“. Wählen Sie „Enabled“ und klicken Sie auf „OK“.

3. Autopilot-Gruppen einrichten

Autopilot ist ein Tool, das die Bereitstellung von Windows 10/11-Geräten vereinfacht. Hier richten Sie Gruppen für Ihre Autopilot-Geräte ein.

1. Erstellen Sie eine dynamische Gruppe in ENTRA ID:
   • Melden Sie sich im Azure-Portal an und gehen Sie zu ENTRA ID Active Directory > Gruppen > Neue Gruppe.
   • Wählen Sie als Gruppentyp „Sicherheit“ und geben Sie der Gruppe einen Namen.
   • Unter „Mitgliedschaftstyp“ wählen Sie „Dynamisch“ und klicken Sie auf „Hinzufügen einer dynamischen Regel“.
2. Konfigurieren Sie Regeln für Autopilot-Geräte:
   • Für alle Autopilot-Geräte: Geben Sie die Regel (device.devicePhysicalIDs -any _ -contains "[ZTDId]") ein.
   • Für Geräte mit einem bestimmten Gruppentag: Verwenden Sie (device.devicePhysicalIds -any _ -eq "[OrderID]:179887111881").
   • Für Geräte mit einer spezifischen Bestellungs-ID: Verwenden Sie (device.devicePhysicalIds -any _ -eq "[PurchaseOrderId]:76222342342").

4. Autopilot Hybrid AAD Join konfigurieren

Der Autopilot Hybrid ENTRA ID Join ermöglicht es, Geräte, die per Autopilot eingerichtet werden, automatisch im lokalen AD und in ENTRA ID zu registrieren.

1. Installieren Sie den Intune Connector für Active Directory auf einem Server in Ihrer Domäne.
2. Konfigurieren Sie die erforderlichen Berechtigungen:
   • Öffnen Sie Active Directory-Benutzer und -Computer.
   • Klicken Sie mit der rechten Maustaste auf die Organisationseinheit (OU), in der die Hybrid ENTRA ID-Computer erstellt werden sollen, und wählen Sie „Delegate Control…“ (Objektverwaltung zuweisen…).
   • Wählen Sie den Computer aus, auf dem der Connector installiert ist, und delegieren Sie die erforderlichen Berechtigungen, um Computerobjekte zu erstellen und zu löschen.

5. Seamless Single Sign-On (SSON) konfigurieren

Seamless SSON verbessert die Benutzererfahrung, indem es den Benutzern ermöglicht, sich ohne wiederholte Anmeldungen automatisch bei ihren Cloud-Diensten anzumelden.

1. Erstellen Sie ein weiteres GPO für SSON:
   • Gehen Sie zu Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Internet Explorer > Internetsystemsteuerung > Sicherheitsseite.
   • Aktivieren Sie „Site to Zone Assignment List“.
   • Fügen Sie die folgenden ENTRA ID-URLs mit dem Wert „1“ hinzu, um sie der Intranetzone zuzuordnen.
     • https://enterpriseregistration.windows.net
     • https://login.microsoftonline.com
     • https://device.login.microsoftonline.com
     • https://autologon.microsoftazuread-sso.com

6. Überprüfung und Troubleshooting

Nachdem Sie alle Schritte durchgeführt haben, ist es wichtig, die Konfiguration zu überprüfen und sicherzustellen, dass alles wie erwartet funktioniert.

1. Testen Sie die MDM-Registrierung auf einem neu aufgesetzten Gerät.
2. Überprüfen Sie die Gruppenmitgliedschaften in ENTRA ID.
3. Stellen Sie sicher, dass Seamless Single Sign-On funktioniert, indem Sie sich bei einem ENTRA ID-Dienst wie Office 365 anmelden, ohne nach Anmeldedaten gefragt zu werden.

Fazit

Die Integration von Hybrid ENTRA ID Joined Devices in ein MDM-System wie Intune bietet eine flexible und sichere Lösung für die Geräteverwaltung. Durch die Einrichtung von GPOs und die Nutzung von Autopilot und dynamischen Gruppen lässt sich ein effizienter Workflow etablieren, der sowohl die Bedürfnisse der IT-Verwaltung als auch die der Endbenutzer berücksichtigt. Es ist jedoch wichtig, die Synchronisation mit AADConnect nicht zu vernachlässigen, um eine reibungslose Funktionalität und Sicherheit zu gewährleisten. Mit diesen Schritten sind Sie gut aufgestellt, um die Vorteile der modernen Geräteverwaltung in Ihrer Organisation voll auszuschöpfen.

LINKS

• MS Learn | Konfigurieren von Microsoft Entra Hybrid Join
• MS Learn | In Microsoft Entra eingebundene Hybridgeräte
• MS Learn | Planen Ihrer Microsoft Entra-Hybridbeitritt-Implementierung
• Microsoft Youtube Video | Configuring Hybrid Entra ID Join Devices in a Managed Domain

• Azure Hybrid Cloud: Das IT-Zukunftsmodell
• Vergleich: MS Azure EntraID vs. On-Premise AD
• MS365 | ENTRA ID – Hybridverwaltung
• Vorteile und Herausforderungen des Hybriden Arbeiten
• MS365 | ENTRA ID – Authentifizierung – Kennwortschutz