A close up of a mountain

Azure AD Hybrid mit Windows 10, Autopilot und Intune

524e2496bcee4db2a6339578114dfbe5

Hinweis zur Vorschauphase

Die Funktion / das Produkt ist im Moment in einer Vorschauphase, bis zum fertigen Stand kann sich noch einiges ändern. Aus diesem Grund sollte die Funktion nur mit Bedacht zu produktiven Zwecken eingesetzt werden.


Worum geht es bei der Funktion?

Ziel vom Azure AD Hybrid Join ist es ein mit AutoPilot und Intune ausgerolltes Gerät nicht nur im Azure AD, sondern auch im On-Premise Active Directory integriert zu haben. Bisher war das immer sehr kompliziert und hat auch nicht immer Funktioniert.

Voraussetzungen für Azure AD Hybrid Join

  • Microsoft Azure Active Directory P1 oder P2
  • Microsoft Intune Abonnement (Ob es auch mit anderen Azure AD kompatiblen MDM funktioniert kann ich nicht beantworten)
  • Intune muss mit dem AAD Abonnement verknüpft sein, das bedeutet als MDM eingerichtet sein
  • Windows 10 1809
  • AutoPilot muss konfiguriert sein
  • Ein Server im AD für den Konnektor. Auch wenn es auf DOCS.Microsoft.com anders steht, es funktioniert nur mit einem englischen Server, bei mir hat Windows Server 2016 funktioniert. Ein deutsches System mit nachträglich installierten Sprachpaket funktioniert nicht!

Vorbereitungen im On-Premise AD

Damit das funktioniert, wird eine spezielle Konnektor-Software auf einem Computer innerhalb des AD installiert. Das Computerkonto des Konnektor-Systems braucht ggf. besondere Rechte. Sicherheitshalber sollten die zusätzlich eingerichtet werden, da sonst ggf. Später ein Computerkontenlimit zuschlagen kann.

Dazu muss in der Konsole „Active Directory Users and Computer“ eine passende OU angelegt werden. Bei dieser wird dann eine Delegierung bzw. Objektverwaltung eingerichtet.

123018 1911 AzureADHybr1

Es startet der „Assistent zum Zuweisen der Objektverwaltung“, hier erst einmal auf „Weiter“ klicken.

123018 1911 AzureADHybr2

In dem Dialog „Benutzer und Gruppen“ auf Hinzufügen klicken. Und unter „Objekttypen…“ auch die Computer auswählen.

123018 1911 AzureADHybr3

Wichtig bei der Überlegung auf welchen Server der Intune-Konnektor installiert werden soll:

Den ausgewählten Server selektieren

123018 1911 AzureADHybr4

Die Auswahl im nächsten Fenster bestätigen

123018 1911 AzureADHybr5

Im Dialog Zuzuweisende Aufgaben wählen Sie „Benutzerdefinierte Aufgaben zum Zuweisen erstellen“

Werbung
123018 1911 AzureADHybr6

Im Dialogfenster „Zuweisen der Verwaltung von“ wählen Sie die Option „Folgende Objekten im Ordner“ mit der Eigenschaft „Computer-Objekte“ und den zusätzlichen Option „Gewählte Objekte in diesem Ordner erstellen“ und „Gewählte Objekte in diesem Ordner löschen“ und klicken Sie auf „Weiter“

123018 1911 AzureADHybr7

Im Fenster „Berechtigungen“ wählen Sie alle drei Optionen unter „Diese Berechtigungen anzeigen“ und wählen zusätzlich „Vollzugriff“ und klicken dann auf „Weiter“

123018 1911 AzureADHybr8

Prüfen Sie die Zusammenfassung und klicken Sie auf „Fertig stellen“

123018 1911 AzureADHybr9

Installation des Intune-Konnektor

Um den Intune-Konnektor zu installieren laden Sie ihn im Intune Portal herunter: Geräteregistrierung > Windows-Registrierung > Intune-Connector für Active Directory (Vorschau) > Connector hinzufügen

123018 1911 AzureADHybr10

Laden Sie den Konnektor auf das entsprechende System herunter

123018 1911 AzureADHybr11

Und installieren Ihn. Dazu müssen Sie die Lizenzbedingungen akzeptieren

123018 1911 AzureADHybr12

Nach der Erfolgreichen Installation erfolgt die Einrichtung

123018 1911 AzureADHybr13

Zu Konfiguration müssen Sie sich mit einem Globalen Administrator oder einem Intune Service Administrator anmelden.

Werbung
123018 1911 AzureADHybr14

Die Anmeldung erfolgt direkt in der Anwendung

123018 1911 AzureADHybr15

Nach der Anmeldung ist der Konnektor erfolgreich eingerichtet.

Werbung
123018 1911 AzureADHybr16

Im Azure Portal erscheint jetzt auch der Konnektor

123018 1911 AzureADHybr17

Anlegen einer Dynamischen Gruppe für Zuordnungen

Damit das ganze etwas einfacher geht, können Dynamische Gruppen genutzt werden. Dies ist besonders dann sehr praktisch, wenn man dem Hersteller einen Wert für das Attribut „OrderID“ mitgeben kann. Wenn der Hersteller dies direkt mit übermittelt, wenn er die Geräte im AAD des Kunden anlegt, dann kann direkt das richtige Profil greifen. Auch kann dieses Feld in der mit dem PowerShell Skript erzeugten CSV Datei hinzugefügt werden.

Werbung

Legen Sie dazu im Azure Active Directory eine neue Dynamische Gruppe mit der Abfrage nach dem Attribut OrderID an.

123018 1911 AzureADHybr18

Konfiguration des Domain-Join Profiles

Gehen Sie dazu im Intune zu den MDM Konfigurationsprofilen: „Gerätekonfiguration“ > „Profile“ und erstellen ein neues Profil. Dieses Profil muss für die Plattform „Windows 10 und höher“ und vom ProfilTyp „Domänenbeitritt (Vorschau)“ sein.

123018 1911 AzureADHybr19

Passen Sie das Profil ihren Bedürfnissen an

123018 1911 AzureADHybr20

Erstellen Sie Das Profil und weisen es Ihrer Dynamischen Gruppe zu.

Konfigurieren von AutoPilot zu Hybrit Join

Als nächstes muss ein AutoPilot Profil in Microsoft Intune angelegt werden. Die AutoPilot Profile aus dem Windows Store4Business können nicht genutzt werden. Erstellen Sie ein neues „Windows AutoPilot Deployment-Profile“.

123018 1911 AzureADHybr21

Füllen Sie das Profil aus und Wählen Sie bei „Azure AD beitreten als“ die Option „In Hybrid-Arzure AD eingebunden (Vorschau)“

123018 1911 AzureADHybr22

Konfigurieren Sie als nächstes die Windows-Willkommensseite entsprechend Ihren Bedürfnissen

123018 1911 AzureADHybr23

Erstellen Sie nun das Autopilot Profil

123018 1911 AzureADHybr24

Das Profil ist nun erstellt aber noch nicht zugewiesen. Die Zuweisung sollte wieder durch Ihre Dynamische Gruppe erfolgen.

Wenn alles funktioniert hat, werden die neuen Geräte mit der Richtigen OrderID automatisch zugewiesen.

123018 1911 AzureADHybr25

Nach gut 1 Stunde war die VM dann fertig eingerichtet inklusive der Software und der Integration in das On-Premise AD.

123018 1911 AzureADHybr26
123018 1911 AzureADHybr27
123018 1911 AzureADHybr28

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Das Video gibt es hier: Microsoft AutoPilot mit Hybrit ADJoin – Zeitraffer Demo

Kommentare

2 Antworten zu „Azure AD Hybrid mit Windows 10, Autopilot und Intune“

  1. Semoai

    Hi, eine Frage.

    Der AD User Intune der auf die OU Berechtigt wird ist auch der Benutzer der eine intune Lizenz hat und globaler AAD Admin ist richtig?
    Ich habe den Connector auf unserem ad installier allerdings mit dem Azure Admin eingeloggt welcher keine Berechtigung auf das AD hat (da nur Azure Account) und entsprechend fällt mir der ODJ auf die Nase!
    Hattet ihr diesen fall schon mal?

  2. Hallo Semoai,
    Der Benutzer der sich am Client anmeldet braucht eine Intune Lizenz und keine weiteren Rechte im AAD. Das Servicekonto für den Connector muss AAD Admin sein, braucht aber keine Intune Lizenz.
    Sorry für die Verspätung, Urlaub und Dienstreise sind schuld.
    Gruß
    Fabian

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

New articles in english

Werbung

Themen

Active Directory Administrative Vorlagen Anleitung AppV5 Autopilot Azure Azure AD ConfigMgr Deployment GPO Gruppenrichtlinien Guide How-To Linux Microsoft Microsoft Intune Office Office365 PowerShell Public Preview SCCM2012R2 SCSM2012R2 ServiceMgr Sicherheit TechNet Windows Windows 10 Windows10 Windows Server 2012 Windows Server 2012R2

Hinweise zum Affiliate-Marketing

Auf diesen Seiten werden auch Affiliate Marketing Links angezeigt. Diese sind meistens an dem kleinen „€“ oder einem „*“ dahinter zu erkennen. Der Betreiber dieser Seite erhält beim Kauf über diesen Link eine Provision, ohne das es den Verkaufspreis beeinflusst. Diese Einnahmen tragen zur Finanzierung der Seite bei.