Hinweis zur Vorschauphase
Die Funktion / das Produkt ist im Moment in einer Vorschauphase, bis zum fertigen Stand kann sich noch einiges ändern. Aus diesem Grund sollte die Funktion nur mit Bedacht zu produktiven Zwecken eingesetzt werden.
Worum geht es bei der Funktion?
Ziel vom Azure AD Hybrid Join ist es ein mit AutoPilot und Intune ausgerolltes Gerät nicht nur im Azure AD, sondern auch im On-Premise Active Directory integriert zu haben. Bisher war das immer sehr kompliziert und hat auch nicht immer Funktioniert.
Voraussetzungen für Azure AD Hybrid Join
- Microsoft Azure Active Directory P1 oder P2
- Microsoft Intune Abonnement (Ob es auch mit anderen Azure AD kompatiblen MDM funktioniert kann ich nicht beantworten)
- Intune muss mit dem AAD Abonnement verknüpft sein, das bedeutet als MDM eingerichtet sein
- Windows 10 1809
- AutoPilot muss konfiguriert sein
- Ein Server im AD für den Konnektor. Auch wenn es auf DOCS.Microsoft.com anders steht, es funktioniert nur mit einem englischen Server, bei mir hat Windows Server 2016 funktioniert. Ein deutsches System mit nachträglich installierten Sprachpaket funktioniert nicht!
Vorbereitungen im On-Premise AD
Damit das funktioniert, wird eine spezielle Konnektor-Software auf einem Computer innerhalb des AD installiert. Das Computerkonto des Konnektor-Systems braucht ggf. besondere Rechte. Sicherheitshalber sollten die zusätzlich eingerichtet werden, da sonst ggf. Später ein Computerkontenlimit zuschlagen kann.
Dazu muss in der Konsole „Active Directory Users and Computer“ eine passende OU angelegt werden. Bei dieser wird dann eine Delegierung bzw. Objektverwaltung eingerichtet.
Es startet der „Assistent zum Zuweisen der Objektverwaltung“, hier erst einmal auf „Weiter“ klicken.
In dem Dialog „Benutzer und Gruppen“ auf Hinzufügen klicken. Und unter „Objekttypen…“ auch die Computer auswählen.
Wichtig bei der Überlegung auf welchen Server der Intune-Konnektor installiert werden soll:
- Es gibt im Moment Anforderungen an die Installierten Sprachpakete, siehe Intune Connector (Vorschau) Sprache Anforderungen
- Da es eine Vorabversion ist, sollte der Konnektor nicht mit anderen Diensten gemeinsam auf einem Server installiert werden
Den ausgewählten Server selektieren
Die Auswahl im nächsten Fenster bestätigen
Im Dialog Zuzuweisende Aufgaben wählen Sie „Benutzerdefinierte Aufgaben zum Zuweisen erstellen“
Im Dialogfenster „Zuweisen der Verwaltung von“ wählen Sie die Option „Folgende Objekten im Ordner“ mit der Eigenschaft „Computer-Objekte“ und den zusätzlichen Option „Gewählte Objekte in diesem Ordner erstellen“ und „Gewählte Objekte in diesem Ordner löschen“ und klicken Sie auf „Weiter“
Im Fenster „Berechtigungen“ wählen Sie alle drei Optionen unter „Diese Berechtigungen anzeigen“ und wählen zusätzlich „Vollzugriff“ und klicken dann auf „Weiter“
Prüfen Sie die Zusammenfassung und klicken Sie auf „Fertig stellen“
Installation des Intune-Konnektor
Um den Intune-Konnektor zu installieren laden Sie ihn im Intune Portal herunter: Geräteregistrierung > Windows-Registrierung > Intune-Connector für Active Directory (Vorschau) > Connector hinzufügen
Laden Sie den Konnektor auf das entsprechende System herunter
Und installieren Ihn. Dazu müssen Sie die Lizenzbedingungen akzeptieren
Nach der Erfolgreichen Installation erfolgt die Einrichtung
Zu Konfiguration müssen Sie sich mit einem Globalen Administrator oder einem Intune Service Administrator anmelden.
Die Anmeldung erfolgt direkt in der Anwendung
Nach der Anmeldung ist der Konnektor erfolgreich eingerichtet.
Im Azure Portal erscheint jetzt auch der Konnektor
Anlegen einer Dynamischen Gruppe für Zuordnungen
Damit das ganze etwas einfacher geht, können Dynamische Gruppen genutzt werden. Dies ist besonders dann sehr praktisch, wenn man dem Hersteller einen Wert für das Attribut „OrderID“ mitgeben kann. Wenn der Hersteller dies direkt mit übermittelt, wenn er die Geräte im AAD des Kunden anlegt, dann kann direkt das richtige Profil greifen. Auch kann dieses Feld in der mit dem PowerShell Skript erzeugten CSV Datei hinzugefügt werden.
Legen Sie dazu im Azure Active Directory eine neue Dynamische Gruppe mit der Abfrage nach dem Attribut OrderID an.
Konfiguration des Domain-Join Profiles
Gehen Sie dazu im Intune zu den MDM Konfigurationsprofilen: „Gerätekonfiguration“ > „Profile“ und erstellen ein neues Profil. Dieses Profil muss für die Plattform „Windows 10 und höher“ und vom ProfilTyp „Domänenbeitritt (Vorschau)“ sein.
Passen Sie das Profil ihren Bedürfnissen an
Erstellen Sie Das Profil und weisen es Ihrer Dynamischen Gruppe zu.
Konfigurieren von AutoPilot zu Hybrit Join
Als nächstes muss ein AutoPilot Profil in Microsoft Intune angelegt werden. Die AutoPilot Profile aus dem Windows Store4Business können nicht genutzt werden. Erstellen Sie ein neues „Windows AutoPilot Deployment-Profile“.
Füllen Sie das Profil aus und Wählen Sie bei „Azure AD beitreten als“ die Option „In Hybrid-Arzure AD eingebunden (Vorschau)“
Konfigurieren Sie als nächstes die Windows-Willkommensseite entsprechend Ihren Bedürfnissen
Erstellen Sie nun das Autopilot Profil
Das Profil ist nun erstellt aber noch nicht zugewiesen. Die Zuweisung sollte wieder durch Ihre Dynamische Gruppe erfolgen.
Wenn alles funktioniert hat, werden die neuen Geräte mit der Richtigen OrderID automatisch zugewiesen.
Nach gut 1 Stunde war die VM dann fertig eingerichtet inklusive der Software und der Integration in das On-Premise AD.
Schreibe einen Kommentar