Device Identität and Verwaltungs Architektur
Wenn Du planst Deine Geräte in Zukunft über EntraID in der cloud zu verwalten sind einige Architektur Entscheidungen im Bereich Device-Identity, der Geräte Verwaltung und der Art und Weise der Synchronisierungs-tools und Methoden zu treffen.
Ich versuche hier die wesentlichen Entscheidungswege möglichst kurz zusammenzufassen, um Dir eine Idee bzw. eine Empfehlung für diese Planung and die Hand zu geben.
Wähle die richtige EntraID Geräte Identität
Unter dem Gesichtspunkt, dass bei der Cloud-Migration sichergestellt werden soll, dass Geräte von überall aus installiert und verwaltet werden können, empfiehlt es sich, gleich auf diesen Zug aufzuspringen und möglichst eine EntraID (Only) Identität einer hybriden Identität vorzuziehen und alte Zöpfe wie AD und Configuration Manager abzuschneiden.
TIPP: In den meisten Fällen würde ich empfehlen, eine hybride On-Prem-Infrastruktur in EntrID zu integrieren. Und neue Geräte (nach einem POC) können nur (nur) mit AutoPilot in EntraID integriert werden.
Excellenter Beitrag dazu: Zu AAD Join oder nicht … Das ist die Frage | Microsoft Community Hub
| Scenario | Microsoft Entra join or Hybrid Microsoft Entra join |
|---|---|
| neue Windows Geräte | ✔️ Microsoft Entra join Obwohl Sie Hybrid Microsoft Entra Join für neue Endpunkte verwenden können, wird dies in der Regel nicht empfohlen. Bei Verwendung von Hybrid Microsoft Entra Join könnten einige moderne Funktionen von Windows 10/11 möglicherweise nicht genutzt werden. |
| ❌ Hybrid Microsoft Entra join Die Verwendung von Hybrid Microsoft Entra Join für neue Endpunkte ist möglich, aber generell nicht ratsam. Dies könnte die Nutzung moderner Funktionen in Windows 10/11 einschränken. | |
| Bereits exisiterende | ✔️ Hybrid Microsoft Entra join Für bestehende Endpunkte, die mit einer lokalen AD-Domäne verbunden sind (einschließlich Hybrid Microsoft Entra Join), ist es ratsam, Hybrid Microsoft Entra Join beizubehalten. Dadurch erhalten Geräte eine Cloud-Identität und können Cloud-Dienste nutzen, die eine solche Identität erfordern. Diese Option hat minimale Auswirkungen auf Benutzer mit bestehenden Endpunkten. |
| ❌ Microsoft Entra join Vorhandene Geräte, die mit einer lokalen AD-Domäne verbunden sind (einschließlich Hybrid Microsoft Entra Join), müssten zurückgesetzt werden, um Microsoft Entra Join zu verwenden. Wenn ein Zurücksetzen nicht möglich ist, gibt es keinen unterstützten Microsoft-Weg, um sie auf Microsoft Entra Join umzustellen. |
Dies setzt jedoch voraus, dass alle erforderlichen Gruppenrichtlinienobjekte zuvor als Gerätekonfigurationsrichtlinien einschließlich SecurityBaselines an Intune übertragen wurden und dass diese Richtlinien auf die Geräte angewendet werden. Darüber hinaus muss die Anwendungsauslieferung und das OS-Deployment über Intune mit Autopilot sichergestellt werden. Wenn dies nicht gewährleistet werden kann, sind Sie mit einem HybridJoin auch bei neuen Geräten besser bedient. Darüber hinaus kann der Konfigurations-Manager eine Verbindung mit Intune herstellen und einzelne Workloads für Intune freigeben (Cloudanfügung mit Co-Verwaltung). In jedem Fall sollten Sie die Richtlinien-, OSD- und App-Migrationen zu Intune so schnell wie möglich durchführen. Schließlich sollte es das Ziel sein, mit möglichst wenig On-Prem-Ressourcen auszukommen und einen Client überall verwalten und installieren zu können (und das ohne direkte On-Prem-Verbindung: LAN / VPN).
Geräteverwaltung
Der Begriff Geräteverwaltung bezieht sich sowohl auf die Richtlinien (GPOs), die zur Steuerung und zum Schutz des Geräts verwendet werden, als auch auf ein Systemverwaltungstool, das für OSD, Inventarisierung und App-Depoymet verantwortlich ist. In der On-Prem-Welt werden zu diesem Zweck die AD (GPOs) in Verbindung mit einem Systemverwaltungstool wie dem MS Configuration Manager verwendet. Das Pendant in der Cloud ist EntraID und Intune.
Geräteidentität
Die Identität wird in EntraID unterschieden:
- Registriert:
| Microsoft Entra-registriert | Beschreibung |
|---|---|
| Definition | Registrierung bei Microsoft Entra ID, ohne dass ein Organisationskonto für die Anmeldung am Gerät verwendet werden muss |
| Hauptzielgruppe | Gilt für alle Benutzer mit den folgenden Kriterien:Bring Your Own DeviceMobile Geräte |
| Gerätebesitz | Benutzer oder Organisation |
| Betriebssysteme | Windows 10 oder höhermacOS 10.15 oder neueriOS 15 oder höherAndroidLinux-Editionen:Ubuntu 20.04/22.04 LTSRed Hat Enterprise Linux 8/9 LTS |
| Bereitstellung | Windows 10 oder höher – EinstellungeniOS/Android: Unternehmensportal oder Microsoft Authenticator-AppmacOS: UnternehmensportalLinux: Intune-Agent |
| Anmeldeoptionen für Gerät | Lokale Anmeldeinformationen von EndbenutzernKennwortWindows HelloPINBiometrische Daten oder Muster für andere Geräte |
| Geräteverwaltung | Mobile Geräteverwaltung (z. B. Microsoft Intune)Verwaltung mobiler Anwendungen |
| Wichtige Funktionen | Einmaliges Anmelden (SSO) bei CloudressourcenBedingter Zugriff bei der Registrierung in IntuneBedingter Zugriff über App-SchutzrichtlinieErmöglichung der telefonischen Anmeldung per Microsoft Authenticator-App |
- EntraID Join:
| Microsoft Entra-Beitritt | Beschreibung |
|---|---|
| Definition | Nur eingebunden in Microsoft Entra ID und ein Organisationskonto muss für die Anmeldung am Gerät verwendet werden |
| Hauptzielgruppe | Geeignet für Cloud-Only- sowie Hybridorganisationen |
| Anwendbar für alle Benutzer einer Organisation. | |
| Gerätebesitz | Organization |
| Betriebssysteme | Alle Windows 11- und Windows 10-Geräte mit Ausnahme von Home-Editionen |
| Virtuelle Computer unter Windows Server 2019 oder höher, die in Azure ausgeführt werden (Server Core wird nicht unterstützt) | |
| (Öffentliche Vorschau) Apple-Geräte mit macOS 13 oder höher | |
| Provisioning | Self-Service: Out of Box Experience (OOBE) von Windows oder Einstellungen |
| Massenregistrierung | |
| Windows Autopilot | |
| (Öffentliche Vorschau) Apple Automated Device Enrollment (gilt nur für Apple-Geräte) | |
| Anmeldeoptionen für Gerät | Organisationskonten mit: |
| Kennwort | |
| Kennwortlose Optionen wie Windows Hello for Business, Plattformanmeldeinformationen für macOS (öffentliche Vorschau) und FIDO2.0-Sicherheitsschlüssel. | |
| Geräteverwaltung | Mobile Geräteverwaltung (z. B. Microsoft Intune) |
| Eigenständige Configuration Manager-Version oder kombinierte Verwaltung mit Microsoft Intune | |
| Wichtige Funktionen | Einmaliges Anmelden (Single Sign-On, SSO) für Cloud- und lokale Ressourcen |
| Bedingter Zugriff über die MDM-Registrierung (Mobile Device Management, Verwaltung mobiler Geräte) und Compliancebewertung | |
| Self-Service-Kennwortzurücksetzung und Windows Hello-PIN-Zurücksetzung auf dem Sperrbildschirm |
- Bei einem EntraIDJoin müssen die folgenden Überlegungen bezüglich des On-Prem-Zugriffs angestellt werden:
- Lokale Webanwendungen: Damit SSO und Windows-Authentifizierung funktionieren, müssen Sie die URLs zu den vertrauenswürdigen Websites hinzufügen
- Lokale Anwendungen: Verwenden von Legacyprotokollen: Benutzer erhalten einmaliges Anmelden von in Microsoft Entra eingebundenen Geräten, wenn das Gerät Zugriff auf einen Domänencontroller hat: Funktionsweise des einmaligen Anmeldens bei lokalen Ressourcen auf in Microsoft Entra eingebundenen Geräten – Microsoft Entra ID | Microsoft Learn.
- Empfehlung: Stellen Sie den Microsoft Entra Application Proxy bereit, um den sicheren Zugriff für diese Anwendungen zu ermöglichen.
-
- Lokale Netzwerkfreigaben: Benutzer erhalten einmaliges Anmelden über in Microsoft Entra eingebundene Geräte, wenn das Gerät Zugriff auf einen lokalen Domänencontroller hat. Erfahren Sie, wie es funktioniert.
- Drucker: Sie sollten Universal Print bereitstellen , um eine cloudbasierte Druckverwaltungslösung ohne lokale Abhängigkeiten zu erhalten.
- Lokale Anwendungen: Verwenden der Computerauthentifizierung: Geräte, die mit Microsoft Entra verbunden sind, unterstützen keine lokalen Anwendungen, die die Computerauthentifizierung verwenden.
- Empfehlung: Stellen Sie diese Anwendungen ein, und wechseln Sie zu moderneren Alternativen.
- Remotedesktopdienste: Nach dem Update für Windows 10 2004 können Benutzer eine Remotedesktopverbindung auf einem bei Microsoft Entra registrierten Gerät unter Windows 10 oder höher mit einem anderen in Microsoft Entra eingebundenen Gerät verwenden.
- RADIUS- und WLAN-Authentifizierung: Derzeit unterstützen in Microsoft Entra eingebundene Geräte die RADIUS-Authentifizierung mit einem lokalen Computerobjekt und einem Zertifikat zum Herstellen einer Verbindung mit WLAN-Zugriffspunkten nicht, da RADIUS in diesem Szenario auf das Vorhandensein eines lokalen Computerobjekts angewiesen ist. Alternativ können Sie von Intune gepushte Zertifikate oder Benutzeranmeldeinformationen verwenden, um sich beim WLAN zu authentifizieren.
- EntraID Hybrid Join:
| Microsoft Entra Hybrid Join | Beschreibung |
|---|---|
| Definition | Eingebunden in das lokale Microsoft Windows Server Active Directory und in Microsoft Entra ID, und es ist eine Anmeldung bei dem Gerät mit einem Organisationskonto erforderlich |
| Hauptzielgruppe | Geeignet für Hybridorganisationen mit vorhandener lokaler Microsoft Windows Server Active Directory-Infrastruktur |
| Anwendbar für alle Benutzer einer Organisation. | |
| Gerätebesitz | Organization |
| Betriebssysteme | Windows 11 oder Windows 10 mit Ausnahme von Home-Editionen |
| Windows Server 2016, 2019 und 2022 | |
| Bereitstellung | Windows 11, Windows 10, Windows Server 2016/2019/2022 |
| Domänenbeitritt über IT und automatischer Beitritt per Microsoft Entra Connect- oder AD FS-Konfiguration | |
| Domänenbeitritt per Windows Autopilot und automatischer Beitritt per Microsoft Entra Connect- oder AD FS-Konfiguration | |
| Anmeldeoptionen für Gerät | Organisationskonten mit: |
| Kennwort | |
| Kennwortlose Optionen wie Windows Hello for Business und FIDO2.0-Sicherheitsschlüssel. | |
| Geräteverwaltung | Gruppenrichtlinie |
| Eigenständige Configuration Manager-Version oder kombinierte Verwaltung mit Microsoft Intune | |
| Wichtige Funktionen | Einmaliges Anmelden (Single Sign-On, SSO) für Cloud- und lokale Ressourcen |
| Bedingter Zugriff per Domänenbeitritt oder mit Intune bei kombinierter Verwaltung | |
| Self-Service-Kennwortzurücksetzung und Windows Hello-PIN-Zurücksetzung auf dem Sperrbildschirm |
Planen der Bereitstellung Ihrer Microsoft Entra-Einbindung – Microsoft Entra ID | Microsoft Learn