Azure AD Hybrid mit Windows 10, Autopilot und Intune

A close up of a mountain

Hinweis zur Vorschauphase

Die Funktion / das Produkt ist im Moment in einer Vorschauphase, bis zum fertigen Stand kann sich noch einiges ändern. Aus diesem Grund sollte die Funktion nur mit Bedacht zu produktiven Zwecken eingesetzt werden.

Worum geht es bei der Funktion?

Ziel vom Azure AD Hybrid Join ist es ein mit AutoPilot und Intune ausgerolltes Gerät nicht nur im Azure AD, sondern auch im On-Premise Active Directory integriert zu haben. Bisher war das immer sehr kompliziert und hat auch nicht immer Funktioniert.

524e2496bcee4db2a6339578114dfbe5 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 2

Voraussetzungen für Azure AD Hybrid Join

Hinweis zum Deployment

Aktuell muss der Client beim Rollout mit dieser Funktion in einem Netzwerk sein aus dem er ohne VPN Verbindung einen Domänen Kontroller erreichen kann. Dies führt leider den Sinn von AutoPilot meiner Meinung nach in die Irre, ist aber so.

  • Microsoft Azure Active Directory P1 oder P2
  • Microsoft Intune Abonnement (Ob es auch mit anderen Azure AD kompatiblen MDM funktioniert kann ich nicht beantworten)
  • Intune muss mit dem AAD Abonnement verknüpft sein, das bedeutet als MDM eingerichtet sein
  • Windows 10 1809
  • AutoPilot muss konfiguriert sein
  • Ein Server im AD für den Konnektor. Auch wenn es auf DOCS.Microsoft.com anders steht, es funktioniert nur mit einem englischen Server, bei mir hat Windows Server 2016 funktioniert. Ein deutsches System mit nachträglich installierten Sprachpaket funktioniert nicht!

Vorbereitungen im On-Premise AD

Damit das funktioniert, wird eine spezielle Konnektor-Software auf einem Computer innerhalb des AD installiert. Das Computerkonto des Konnektor-Systems braucht ggf. besondere Rechte. Sicherheitshalber sollten die zusätzlich eingerichtet werden, da sonst ggf. Später ein Computerkontenlimit zuschlagen kann.


Dazu muss in der Konsole „Active Directory Users and Computer“ eine passende OU angelegt werden. Bei dieser wird dann eine Delegierung bzw. Objektverwaltung eingerichtet.

123018 1911 AzureADHybr1 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 4

Es startet der „Assistent zum Zuweisen der Objektverwaltung“, hier erst einmal auf „Weiter“ klicken.

123018 1911 AzureADHybr2 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 6

In dem Dialog „Benutzer und Gruppen“ auf Hinzufügen klicken. Und unter „Objekttypen…“ auch die Computer auswählen.

123018 1911 AzureADHybr3 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 8

Wichtig bei der Überlegung auf welchen Server der Intune-Konnektor installiert werden soll:

Den ausgewählten Server selektieren

123018 1911 AzureADHybr4 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 10

Die Auswahl im nächsten Fenster bestätigen

123018 1911 AzureADHybr5 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 12

Im Dialog Zuzuweisende Aufgaben wählen Sie „Benutzerdefinierte Aufgaben zum Zuweisen erstellen“

123018 1911 AzureADHybr6 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 14

Im Dialogfenster „Zuweisen der Verwaltung von“ wählen Sie die Option „Folgende Objekten im Ordner“ mit der Eigenschaft „Computer-Objekte“ und den zusätzlichen Option „Gewählte Objekte in diesem Ordner erstellen“ und „Gewählte Objekte in diesem Ordner löschen“ und klicken Sie auf „Weiter“

123018 1911 AzureADHybr7 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 16

Im Fenster „Berechtigungen“ wählen Sie alle drei Optionen unter „Diese Berechtigungen anzeigen“ und wählen zusätzlich „Vollzugriff“ und klicken dann auf „Weiter“

123018 1911 AzureADHybr8 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 18

Prüfen Sie die Zusammenfassung und klicken Sie auf „Fertig stellen“

123018 1911 AzureADHybr9 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 20

Installation des Intune-Konnektor

Um den Intune-Konnektor zu installieren laden Sie ihn im Intune Portal herunter: Geräteregistrierung > Windows-Registrierung > Intune-Connector für Active Directory (Vorschau) > Connector hinzufügen

123018 1911 AzureADHybr10 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 22

Laden Sie den Konnektor auf das entsprechende System herunter

123018 1911 AzureADHybr11 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 24

Und installieren Ihn. Dazu müssen Sie die Lizenzbedingungen akzeptieren

123018 1911 AzureADHybr12 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 26

Nach der Erfolgreichen Installation erfolgt die Einrichtung

123018 1911 AzureADHybr13 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 28

Zu Konfiguration müssen Sie sich mit einem Globalen Administrator oder einem Intune Service Administrator anmelden.

123018 1911 AzureADHybr14 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 30

Die Anmeldung erfolgt direkt in der Anwendung

123018 1911 AzureADHybr15 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 32

Nach der Anmeldung ist der Konnektor erfolgreich eingerichtet.

123018 1911 AzureADHybr16 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 34

Im Azure Portal erscheint jetzt auch der Konnektor

123018 1911 AzureADHybr17 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 36

Anlegen einer Dynamischen Gruppe für Zuordnungen

Damit das ganze etwas einfacher geht, können Dynamische Gruppen genutzt werden. Dies ist besonders dann sehr praktisch, wenn man dem Hersteller einen Wert für das Attribut „OrderID“ mitgeben kann. Wenn der Hersteller dies direkt mit übermittelt, wenn er die Geräte im AAD des Kunden anlegt, dann kann direkt das richtige Profil greifen. Auch kann dieses Feld in der mit dem PowerShell Skript erzeugten CSV Datei hinzugefügt werden.

Legen Sie dazu im Azure Active Directory eine neue Dynamische Gruppe mit der Abfrage nach dem Attribut OrderID an.

123018 1911 AzureADHybr18 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 38

Konfiguration des Domain-Join Profiles

Gehen Sie dazu im Intune zu den MDM Konfigurationsprofilen: „Gerätekonfiguration“ > „Profile“ und erstellen ein neues Profil. Dieses Profil muss für die Plattform „Windows 10 und höher“ und vom ProfilTyp „Domänenbeitritt (Vorschau)“ sein.

123018 1911 AzureADHybr19 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 40

Passen Sie das Profil ihren Bedürfnissen an

123018 1911 AzureADHybr20 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 42

Erstellen Sie Das Profil und weisen es Ihrer Dynamischen Gruppe zu.

Konfigurieren von AutoPilot zu Hybrit Join

Als nächstes muss ein AutoPilot Profil in Microsoft Intune angelegt werden. Die AutoPilot Profile aus dem Windows Store4Business können nicht genutzt werden. Erstellen Sie ein neues „Windows AutoPilot Deployment-Profile“.

123018 1911 AzureADHybr21 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 44

Füllen Sie das Profil aus und Wählen Sie bei „Azure AD beitreten als“ die Option „In Hybrid-Arzure AD eingebunden (Vorschau)“

123018 1911 AzureADHybr22 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 46

Konfigurieren Sie als nächstes die Windows-Willkommensseite entsprechend Ihren Bedürfnissen

123018 1911 AzureADHybr23 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 48

Erstellen Sie nun das Autopilot Profil

123018 1911 AzureADHybr24 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 50

Das Profil ist nun erstellt aber noch nicht zugewiesen. Die Zuweisung sollte wieder durch Ihre Dynamische Gruppe erfolgen.

Wenn alles funktioniert hat, werden die neuen Geräte mit der Richtigen OrderID automatisch zugewiesen.

Anzeige
Microsoft365 for Business

123018 1911 AzureADHybr25 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 52

Nach gut 1 Stunde war die VM dann fertig eingerichtet inklusive der Software und der Integration in das On-Premise AD.

123018 1911 AzureADHybr26 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 54
123018 1911 AzureADHybr27 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 56
123018 1911 AzureADHybr28 - Azure AD Hybrid mit Windows 10, Autopilot und Intune 58
YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Das Video gibt es hier: Microsoft AutoPilot mit Hybrit ADJoin – Zeitraffer Demo

Autor: Fabian Niesen

Fabian Niesen ist seit Jahren beruflich als IT-Consultant unterwegs. Hier schreibt er privat und unabhängig von seinem Arbeitgeber. Unter anderem ist er Zertifiziert als MCSA Windows Server 2008 / 2012, MCSA Office 365, MCSA Windows 10, MCSE Messaging, MCT und Novell Certified Linux Administrator. Seit 2016 ist er auch MCT Regional Lead für Deutschland. Seine Hobby’s sind Social Media, Bloggen, Mittelaltermärkte, Historische Lieder und der Hausbau. Zu finden ist er auch auf folgenden Plattformen: -

2 Gedanken zu „Azure AD Hybrid mit Windows 10, Autopilot und Intune“

  1. Hi, eine Frage.

    Der AD User Intune der auf die OU Berechtigt wird ist auch der Benutzer der eine intune Lizenz hat und globaler AAD Admin ist richtig?
    Ich habe den Connector auf unserem ad installier allerdings mit dem Azure Admin eingeloggt welcher keine Berechtigung auf das AD hat (da nur Azure Account) und entsprechend fällt mir der ODJ auf die Nase!
    Hattet ihr diesen fall schon mal?

    1. Hallo Semoai,
      Der Benutzer der sich am Client anmeldet braucht eine Intune Lizenz und keine weiteren Rechte im AAD. Das Servicekonto für den Connector muss AAD Admin sein, braucht aber keine Intune Lizenz.
      Sorry für die Verspätung, Urlaub und Dienstreise sind schuld.
      Gruß
      Fabian

Kommentare sind geschlossen.