Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können Geräte direkt in Microsoft Entra ID einbinden, ohne dem lokalen Active Directory beitreten zu müssen, während Ihre Benutzer produktiv und geschützt bleiben. Die Microsoft Entra-Einbindung eignet sich für Bereitstellungen im großen Stil und für bereichsbezogene Bereitstellungen. SSO-Zugriff (Single Sign-On, einmaliges Anmelden) auf lokale Ressourcen ist auch für Geräte verfügbar, die in Microsoft Entra eingebunden sind. Weitere Informationen finden Sie unter Wie SSO für lokale Ressourcen auf mit Microsoft Entra verbundenen Geräten funktioniert.
In diesem Artikel erhalten Sie die Informationen, die Sie zum Planen der Implementierung der Microsoft Entra-Einbindung benötigen.
Voraussetzungen
In diesem Artikel wird davon ausgegangen, dass Sie mit der Einführung in die Geräteverwaltung in Microsoft Entra ID vertraut sind.
Planen Ihrer Implementierung
Um die Implementierung Ihrer Microsoft Entra-Einbindung zu planen, sollten Sie sich mit folgenden Themen vertraut machen:
- Überprüfen Ihrer Szenarien
- Überprüfen Ihrer Identitätsinfrastruktur
- Überprüfen Sie Ihre Geräteverwaltung
- Verstehen der zu berücksichtigenden Aspekte für Anwendungen und Ressourcen
- Grundlegendes zu Ihren Bereitstellungsoptionen
- Konfigurieren von Enterprise State Roaming
- Konfigurieren des bedingten Zugriffs
Überprüfen Ihrer Szenarien
Die Microsoft Entra-Einbindung ermöglicht Ihnen, zu einem auf die Cloud ausgerichteten Modell mit Windows zu wechseln. Wenn Sie planen, Ihre Geräteverwaltung zu modernisieren und gerätebezogene IT-Kosten zu reduzieren, bietet Microsoft Entra Join eine großartige Grundlage für die Erreichung dieser Ziele.
Ziehen Sie die Microsoft Entra-Einbindung in Betracht, wenn Ihre Ziele den folgenden Kriterien entsprechen:
- Sie führen Microsoft 365 als Produktivitätssuite für Ihre Benutzer ein.
- Sie möchten Geräte mit einer cloudspezifischen Geräteverwaltungslösung verwalten.
- Sie möchten die Gerätebereitstellung für geografisch verteilte Benutzer vereinfachen.
- Sie haben vor, Ihre Anwendungsinfrastruktur zu modernisieren.
Überprüfen Ihrer Identitätsinfrastruktur
Microsoft Entra Join funktioniert in verwalteten und verbundeten Umgebungen. Die meisten Organisationen stellen verwaltete Domänen bereit. Szenarien mit verwalteten Domänen erfordern keine Konfiguration und Verwaltung eines Verbundservers wie Active Directory-Verbunddienste (AD FS).
Verwaltete Umgebung
Eine verwaltete Umgebung kann entweder durch Kennwort-Hashsynchronisierung oder Passthrough-Authentifizierung mit dem nahtlosen einmaligen Anmelden (Seamless Single Sign On) bereitgestellt werden.
Verbundumgebung
Bei Verbundumgebungen sollte ein Identitätsanbieter verwendet werden, der sowohl das WS-Trust- als auch das WS-Fed-Protokoll unterstützt:
- WS-Fed: Dieses Protokoll ist erforderlich, um ein Gerät mit der Microsoft Entra-ID zu verbinden.
- WS-Trust: Dieses Protokoll ist erforderlich, um sich bei einem in Microsoft Entra eingebundenen Gerät anzumelden.
Bei Verwendung von AD FS müssen Sie die folgenden WS-Trust-Endpunkte aktivieren: /adfs/services/trust/2005/usernamemixed/adfs/services/trust/13/usernamemixed/adfs/services/trust/2005/certificatemixed/adfs/services/trust/13/certificatemixed
Wenn Ihr Identitätsanbieter diese Protokolle nicht unterstützt, funktioniert die Microsoft Entra-Einbindung nicht nativ.
Hinweis
Derzeit funktioniert die Microsoft Entra-Verknüpfung nicht mit AD FS 2019, die mit externen Authentifizierungsanbietern als primäre Authentifizierungsmethode konfiguriert ist. Für die Microsoft Entra-Einbindung ist standardmäßig die Kennwortauthentifizierung als primäre Methode festgelegt, was in diesem Szenario zu Authentifizierungsfehlern führt.
Benutzerkonfiguration
Bei der Erstellung von Benutzenden in:
- Um Lokales Active Directory mit Microsoft Entra ID zu synchronisieren, müssen Sie Microsoft Entra Connect verwenden.
- Microsoft Entra-ID, es ist kein zusätzliches Setup erforderlich.
Lokale Benutzerprinzipalnamen (UPNs), die sich von Microsoft Entra-UPNs unterscheiden, werden auf in Microsoft Entra eingebundenen Geräten nicht unterstützt. Wenn Ihre Benutzer einen lokalen UPN verwenden, sollten Sie auf die Verwendung ihres primären UPN in Microsoft Entra ID umstellen.
UPN-Änderungen werden erst ab dem Windows 10-Update 2004 unterstützt. Benutzer von Geräten mit diesem Update werden nach der Änderung ihrer UPNs keine Probleme haben. Auf Geräten vor dem Windows 10-Update 2004 haben Benutzer Probleme mit SSO und dem bedingten Zugriff. Sie müssen sich über die Kachel „Anderer Benutzer“ mit ihrem neuen UPN bei Windows anmelden, um dieses Problem zu beheben.
Überprüfen Sie Ihre Geräteverwaltung
Unterstützte Geräte
Microsoft Entra-Einbindung
- Unterstützt Windows 10- und Windows 11-Geräte.
- Wird für vorherige Versionen von Windows oder andere Betriebssysteme nicht unterstützt. Wenn Sie über Windows 7- oder Windows 8.1-Geräte verfügen, müssen Sie ein Upgrade auf mindestens Windows 10 durchführen, um die Microsoft Entra-Einbindung bereitstellen zu können.
- Wird für ein FIPS-konformes (Federal Information Processing Standard) TPM 2.0 (Trusted Platform Module) unterstützt, jedoch nicht für TPM 1.2. Wenn Ihre Geräte über FIPS-konformes TPM 1.2 verfügen, müssen Sie diese deaktivieren, bevor Sie bei der Microsoft Entra-Anbindung fortfahren. Microsoft stellt keine Tools zum Deaktivieren des FIPS-Modus für TPMs bereit, da dieser vom TPM-Hersteller abhängt. Wenden Sie sich an Ihren Hardware-OEM, um Unterstützung zu erhalten.
Empfehlung: Verwenden Sie immer die neueste Windows-Version, um aktualisierte Features zu nutzen.
Verwaltungsplattform
Die Geräteverwaltung für in Microsoft Entra eingebundene Geräte basiert auf einer MDM-Plattform (Mobile Device Management, Verwaltung mobiler Geräte) wie Intune und MDM-CSPs. Ab Windows 10 ist ein integrierter MDM-Agent verfügbar, der alle kompatiblen MDM-Lösungen unterstützt.
Hinweis
Gruppenrichtlinien werden für in Microsoft Entra eingebundene Geräte nicht unterstützt, weil diese nicht mit der lokalen Active Directory-Instanz verbunden sind. Die Verwaltung von in Microsoft Entra eingebundenen Geräten ist nur über MDM möglich.
Es gibt zwei Ansätze für die Verwaltung von in Microsoft Entra eingebundenen Geräten:
- Nur MDM – Ein Gerät wird ausschließlich von einem MDM-Anbieter wie Intune verwaltet. Alle Richtlinien werden im Rahmen des MDM-Registrierungsprozesses bereitgestellt. Für Microsoft Entra-ID P1-, P2- oder EMS-Kunden ist die MDM-Registrierung ein automatisierter Schritt, der Bestandteil einer Microsoft Entra-Einbindung ist.
- Co-Management – Ein Gerät wird von einem MDM-Anbieter und Microsoft Configuration Manager verwaltet. Bei diesem Ansatz ist der Microsoft Configuration Manager-Agent auf einem vom MDM verwalteten Gerät installiert, um bestimmte Aspekte zu verwalten.
Wenn Sie Gruppenrichtlinien verwenden, bewerten Sie ihre Gruppenrichtlinienobjekt (Group Policy Object, GPO) und die MDM-Richtlinienparität mithilfe von Gruppenrichtlinienanalysen in Microsoft Intune.
Überprüfen Sie die unterstützten und nicht unterstützten Richtlinien, um zu bestimmen, ob Sie statt Gruppenrichtlinien eine MDM-Lösung verwenden können. In Bezug auf nicht unterstützte Richtlinien sind folgende Fragen zu berücksichtigen:
- Sind die nicht unterstützten Richtlinien für in Microsoft Entra eingebundene Geräte oder für Benutzer erforderlich?
- Sind die nicht unterstützten Richtlinien in einer cloudbasierten Bereitstellung anwendbar?
Wenn Ihre MDM-Lösung nicht über den Microsoft Entra-App-Katalog verfügbar ist, können Sie sie nach dem in der Microsoft Entra-Integration mit MDM beschriebenen Prozess hinzufügen.
Durch die Co-Verwaltung können Sie Microsoft Configuration Manager verwenden, um bestimmte Aspekte Ihrer Geräte zu verwalten, während die Richtlinien über Ihre MDM-Plattform bereitgestellt werden. Microsoft Intune ermöglicht die Co-Verwaltung mit Microsoft Configuration Manager. Weitere Informationen zur Co-Verwaltung für Windows 10- oder neuere Geräte finden Sie unter "Was ist co-management?" Wenn Sie ein anderes MDM-Produkt als Intune verwenden, wenden Sie sich an Ihren MDM-Anbieter, um Informationen zu entsprechenden Szenarien für die Co-Verwaltung zu erhalten.
Empfehlung: Erwägen Sie die MDM-Verwaltung nur für in Microsoft Entra eingebundene Geräte.
Verstehen der zu berücksichtigenden Aspekte für Anwendungen und Ressourcen
Wir empfehlen die Migration von lokalen Anwendungen zu Cloudanwendungen, um die Benutzerfreundlichkeit und die Zugriffssteuerung zu verbessern. Mit Microsoft Entra verbundene Geräte können nahtlos Zugriff auf lokale und Cloudanwendungen bieten. Weitere Informationen finden Sie unter Wie SSO für lokale Ressourcen auf mit Microsoft Entra verbundenen Geräten funktioniert.
In den folgenden Abschnitten werden Aspekte für verschiedene Arten von Anwendungen und Ressourcen aufgeführt.
Cloudbasierte Anwendungen
Wenn eine Anwendung zum Microsoft Entra-App-Katalog hinzugefügt wird, können Benutzende einmaliges Anmelden über die in Microsoft Entra eingebundenen Geräte nutzen. Es ist keine weitere Konfiguration erforderlich. Benutzer erhalten SSO in Microsoft Edge- und Chrome-Browsern. Für Chrome müssen Sie die Erweiterung "Windows 10-Konten" bereitstellen.
Alle Win32-Anwendungen, die:
- Alle Win32-Anwendungen, die Web Account Manager (WAM) für Tokenanforderungen verwenden, erhalten ebenfalls einmaliges Anmelden auf in Microsoft Entra eingebundenen Geräten.
- Verlassen Sie sich nicht darauf, dass WAM Benutzer und Benutzerinnen möglicherweise zur Authentifizierung auffordert.
Lokale Webanwendungen
Wenn Ihre Apps benutzerdefiniert sind oder lokal gehostet werden, müssen Sie die Apps aus folgenden Gründen den vertrauenswürdigen Sites Ihres Browsers hinzufügen:
- Integrierte Windows-Authentifizierung aktivieren, um sie funktionsfähig zu machen
- Um den Benutzern ein SSO-Erlebnis ohne Eingabeaufforderung zu bieten.
Wenn Sie AD FS verwenden, lesen Sie "Überprüfen und Verwalten des einmaligen Anmeldens mit AD FS".
Empfehlung: Erwägen Sie das Hosting in der Cloud (z. B. Azure) und die Integration mit Microsoft Entra-ID, um eine bessere Erfahrung zu erzielen.
Lokale Anwendungen, die ältere Protokolle verwenden
Benutzer erhalten SSO auf mit Microsoft Entra verbundenen Geräten, wenn das Gerät Zugriff auf einen Domänencontroller hat.
Hinweis
Mit Microsoft Entra verbundene Geräte können nahtlos Zugriff auf lokale und Cloudanwendungen bieten. Weitere Informationen finden Sie unter Wie SSO für lokale Ressourcen auf mit Microsoft Entra verbundenen Geräten funktioniert.
Empfehlung: Stellen Sie den Microsoft Entra-Anwendungsproxy bereit, um den sicheren Zugriff für diese Anwendungen zu ermöglichen.
Lokale Netzwerkfreigaben
Ihre Benutzenden erhalten einmaliges Anmelden über in Microsoft Entra eingebundene Geräte, wenn das jeweilige Gerät Zugriff auf einen lokalen Domänencontroller hat. Erfahren Sie, wie dies funktioniert
Drucker
Wir empfehlen die Bereitstellung von Universal Print , um eine cloudbasierte Druckverwaltungslösung ohne lokale Abhängigkeiten zu haben.
Lokale Anwendungen, die Computerauthentifizierung verwenden
In Microsoft Entra eingebundene Geräte unterstützen keine lokalen Anwendungen, die Computerauthentifizierung verwenden.
Empfehlung: Erwägen Sie, diese Anwendungen zurückzuziehen und zu ihren modernen Alternativen zu wechseln.
Remotedesktopdienste
Eine Remotedesktopverbindung mit in Microsoft Entra eingebundenen Geräten erfordert, dass der Hostcomputer entweder in Microsoft Entra eingebunden oder hybrid in Microsoft Entra eingebunden ist. Eine Remotedesktopverbindung über ein nicht verbundenes oder Nicht-Windows-Gerät wird nicht unterstützt. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit einem in Microsoft Entra eingebundenen Remotecomputer.
Nach dem Windows 10-Update 2004 können Benutzer eine Remotedesktopverbindung auf einem bei Microsoft Entra registrierten Gerät mit Windows 10 oder höher mit einem weiteren in Microsoft Entra eingebundenen Gerät verwenden.
RADIUS- und WLAN-Authentifizierung
Derzeit unterstützen in Microsoft Entra eingebundene Geräte die RADIUS-Authentifizierung nicht mithilfe eines lokalen Computerobjekts und eines Zertifikats für die Verbindung mit WLAN-Zugriffspunkten, da RADIUS auf das Vorhandensein eines lokalen Computerobjekts in diesem Szenario angewiesen ist. Alternativ können Sie über Intune gepushte Zertifikate oder Benutzeranmeldeinformationen verwenden, um sich beim WLAN zu authentifizieren.
Grundlegendes zu Ihren Bereitstellungsoptionen
Hinweis
In Microsoft Entra eingebundene Geräte können nicht mit dem Tool für die Systemvorbereitung (Sysprep) oder mit ähnlichen Imagingtools bereitgestellt werden.
Sie können in Microsoft Entra eingebundene Geräte mithilfe der folgenden Methoden bereitstellen:
- Self-Service in OOBE/Settings – Im Self-Service-Modus durchlaufen Benutzer den Microsoft Entra-Beitrittsprozess entweder während der Windows Out of Box Experience (OOBE) oder über Windows-Einstellungen. Weitere Informationen finden Sie unter "Verbinden Ihres Arbeitsgeräts mit dem Netzwerk Ihrer Organisation".
- Windows Autopilot: Windows Autopilot ermöglicht die Vorkonfiguration von Geräten, um in OOBE für ein reibungsloses Benutzererlebnis bei der Microsoft Entra-Einbindung zu sorgen. Weitere Informationen finden Sie in der Übersicht über Windows Autopilot.
- Massenregistrierung – Die Massenregistrierung ermöglicht einen administratorgesteuerten Beitritt zu Microsoft Entra mithilfe eines Massenbereitstellungstools, um Geräte zu konfigurieren. Weitere Informationen finden Sie unter Massenregistrierung für Windows-Geräte.
Hier ist ein Vergleich dieser drei Ansätze.
| Element | Self-Service-Einrichtung | Windows Autopilot | Massenregistrierung |
|---|---|---|---|
| Benutzerinteraktion zum Einrichten erforderlich | Ja | Ja | Nein |
| IT-Maßnahmen erforderlich | Nein | Ja | Ja |
| Anwendbare Abläufe | Windows-Willkommensseite und Einstellungen | Nur Windows-Willkommensseite | Nur Windows-Willkommensseite |
| Lokale Administratorrechte für primären Benutzer | Ja, standardmäßig | Konfigurierbar | Nein |
| Gerätehersteller-Support erforderlich | Nein | Ja | Nein |
| Unterstützte Versionen | 1511+ | 1709+ | 1703+ |
Wählen Sie Ihre Bereitstellungsmethode, indem Sie die obige Tabelle durchgehen und die folgenden Aspekte für die Anwendung der jeweiligen Methode berücksichtigen:
- Sind Ihre Benutzer technisch versiert, sodass sie die Einrichtung selbst vornehmen können?
- Self-Service kann für diese Benutzer am besten geeignet sein. Ziehen Sie Windows Autopilot in Betracht, um die Benutzerfreundlichkeit zu verbessern.
- Arbeiten Ihre Benutzer remote oder in den Räumlichkeiten des Unternehmens?
- Self-Service oder Autopilot sind für Remotebenutzer hinsichtlich einer problemlosen Einrichtung am besten geeignet.
- Bevorzugen Sie eine benutzergesteuerte oder eine vom Administrator verwaltete Konfiguration?
- Die Sammelregistrierung ist besser für eine administratorgesteuerte Bereitstellung geeignet, um Geräte vor der Übergabe an Benutzer einzurichten.
- Erwerben Sie Geräte von 1 bis 2 OEMs, oder gibt es in Ihrem Unternehmen eine breite Verteilung von OEM-Geräten?
- Wenn Sie Geräte von einer begrenzten Anzahl von OEMs erwerben, die auch Autopilot unterstützen, können Sie von einer engeren Integration von Autopilot profitieren.
Konfigurieren Ihrer Geräteeinstellungen
Mit dem Microsoft Entra Admin Center können Sie die Bereitstellung von in Microsoft Entra eingebundenen Geräten in Ihrer Organisation steuern. Um die zugehörigen Einstellungen zu konfigurieren, navigieren Sie zu Entra ID>Geräte>Alle Geräte>Geräteeinstellungen. Weitere Informationen
Benutzer/Benutzerinnen können Geräte in Microsoft Entra ID einbinden.
Legen Sie diese Option auf „Alle“ oder „Ausgewählt“ fest, basierend auf dem Umfang Ihrer Bereitstellung und darauf, wer ein Microsoft Entra verbundenes Gerät einrichten soll.
Zusätzliche lokale Administratoren auf mit Microsoft Entra verbundenen Geräten
Wählen Sie "Ausgewählt" aus, und wählen Sie die Benutzer aus, die Sie der lokalen Administratorgruppe auf allen in Microsoft Entra eingebundenen Geräten hinzufügen möchten.
Mehrstufige Authentifizierung zum Hinzufügen von Geräten erforderlich
Wählen Sie "Ja " aus, wenn Benutzer MFA ausführen müssen, während Sie Geräte mit der Microsoft Entra-ID verknüpfen.
Empfehlung: Verwenden Sie die Benutzeraktion "Registrieren oder Verknüpfen von Geräten im bedingten Zugriff", um MFA für das Verknüpfen von Geräten zu erzwingen.
Konfigurieren Ihrer Mobilitätseinstellungen
Bevor Sie Ihre Mobilitätseinstellungen konfigurieren können, müssen Sie möglicherweise zuerst einen MDM-Anbieter hinzufügen.
So fügen Sie einen MDM-Anbieter hinzu:
Wählen Sie auf der Seite "Microsoft Entra-ID" im Abschnitt "Verwalten" die Option
Mobility (MDM and MAM)aus.Wählen Sie "Anwendung hinzufügen" aus.
Wählen Sie Ihren MDM-Anbieter aus der Liste aus.
Wählen Sie Ihren MDM-Anbieter aus, um die entsprechenden Einstellungen zu konfigurieren.
MDM-Benutzerbereich
Wählen Sie "Einige " oder "Alle " basierend auf dem Umfang Ihrer Bereitstellung aus.
Basierend auf Ihrem Bereich ergibt sich eine der folgenden Situationen:
- Der Benutzer befindet sich im MDM-Bereich: Wenn Sie über ein Microsoft Entra ID P1- oder P2-Abonnement verfügen, wird die MDM-Registrierung zusammen mit der Microsoft Entra-Teilnahme automatisiert. Alle bereichsbezogenen Benutzer müssen über eine entsprechende Lizenz für Ihr MDM verfügen. Wenn bei der MDM-Registrierung in diesem Szenario ein Fehler auftritt, wird auch für die Microsoft Entra-Einbindung ein Rollback ausgeführt.
- Der Benutzer befindet sich nicht im MDM-Bereich: Wenn sich Benutzer nicht im MDM-Bereich befinden, schließt Microsoft Entra die Verknüpfung ohne MDM-Registrierung ab. Dieser Umfang führt dazu, dass ein nicht verwaltetes Gerät entsteht.
MDM-URLs
Es gibt drei URLs, die sich auf die MDM-Konfiguration beziehen:
- URL für MDM-Nutzungsbedingungen
- URL für MDM-Ermittlung
- URL für MDM-Konformität
Jede URL besitzt einen vordefinierten Standardwert. Wenn diese Felder leer sind, wenden Sie sich für weitere Informationen an Ihren MDM-Anbieter.
MAM-Einstellungen
Die Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) gilt nicht für die Einbindung in Microsoft Entra.
Konfigurieren von Enterprise State Roaming
Wenn Sie das Statusroaming für Microsoft Entra-ID aktivieren möchten, damit Benutzer ihre Einstellungen geräteübergreifend synchronisieren können, lesen Sie "Aktivieren von Enterprise State Roaming in Microsoft Entra ID".
Empfehlung: Aktivieren Sie diese Einstellung auch für hybrid verbundene Microsoft Entra-Geräte.
Konfigurieren des bedingten Zugriffs
Wenn für Ihre in Microsoft Entra eingebundenen Geräte ein MDM-Anbieter konfiguriert ist, kennzeichnet der Anbieter das Gerät als konform, sobald das Gerät verwaltet wird.
Sie können diese Implementierung verwenden, um verwaltete Geräte für den Zugriff auf Cloud-Apps mit bedingtem Zugriff zu erfordern.