Azure AD Hybrid mit Windows 10, Autopilot und Intune

A close up of a mountain

Hinweis zur Vorschauphase

Die Funktion / das Produkt ist im Moment in einer Vorschauphase, bis zum fertigen Stand kann sich noch einiges ändern. Aus diesem Grund sollte die Funktion nur mit Bedacht zu produktiven Zwecken eingesetzt werden.

Worum geht es bei der Funktion?

Ziel vom Azure AD Hybrid Join ist es ein mit AutoPilot und Intune ausgerolltes Gerät nicht nur im Azure AD, sondern auch im On-Premise Active Directory integriert zu haben. Bisher war das immer sehr kompliziert und hat auch nicht immer Funktioniert.

Voraussetzungen für Azure AD Hybrid Join

Hinweis zum Deployment

Aktuell muss der Client beim Rollout mit dieser Funktion in einem Netzwerk sein aus dem er ohne VPN Verbindung einen Domänen Kontroller erreichen kann. Dies führt leider den Sinn von AutoPilot meiner Meinung nach in die Irre, ist aber so.

  • Microsoft Azure Active Directory P1 oder P2
  • Microsoft Intune Abonnement (Ob es auch mit anderen Azure AD kompatiblen MDM funktioniert kann ich nicht beantworten)
  • Intune muss mit dem AAD Abonnement verknüpft sein, das bedeutet als MDM eingerichtet sein
  • Windows 10 1809
  • AutoPilot muss konfiguriert sein
  • Ein Server im AD für den Konnektor. Auch wenn es auf DOCS.Microsoft.com anders steht, es funktioniert nur mit einem englischen Server, bei mir hat Windows Server 2016 funktioniert. Ein deutsches System mit nachträglich installierten Sprachpaket funktioniert nicht!

Vorbereitungen im On-Premise AD

Damit das funktioniert, wird eine spezielle Konnektor-Software auf einem Computer innerhalb des AD installiert. Das Computerkonto des Konnektor-Systems braucht ggf. besondere Rechte. Sicherheitshalber sollten die zusätzlich eingerichtet werden, da sonst ggf. Später ein Computerkontenlimit zuschlagen kann.

Dazu muss in der Konsole „Active Directory Users and Computer“ eine passende OU angelegt werden. Bei dieser wird dann eine Delegierung bzw. Objektverwaltung eingerichtet.

Es startet der „Assistent zum Zuweisen der Objektverwaltung“, hier erst einmal auf „Weiter“ klicken.

In dem Dialog „Benutzer und Gruppen“ auf Hinzufügen klicken. Und unter „Objekttypen…“ auch die Computer auswählen.

Wichtig bei der Überlegung auf welchen Server der Intune-Konnektor installiert werden soll:

Den ausgewählten Server selektieren

Die Auswahl im nächsten Fenster bestätigen

Im Dialog Zuzuweisende Aufgaben wählen Sie „Benutzerdefinierte Aufgaben zum Zuweisen erstellen“

Im Dialogfenster „Zuweisen der Verwaltung von“ wählen Sie die Option „Folgende Objekten im Ordner“ mit der Eigenschaft „Computer-Objekte“ und den zusätzlichen Option „Gewählte Objekte in diesem Ordner erstellen“ und „Gewählte Objekte in diesem Ordner löschen“ und klicken Sie auf „Weiter“

Im Fenster „Berechtigungen“ wählen Sie alle drei Optionen unter „Diese Berechtigungen anzeigen“ und wählen zusätzlich „Vollzugriff“ und klicken dann auf „Weiter“

Prüfen Sie die Zusammenfassung und klicken Sie auf „Fertig stellen“

Installation des Intune-Konnektor

Um den Intune-Konnektor zu installieren laden Sie ihn im Intune Portal herunter: Geräteregistrierung > Windows-Registrierung > Intune-Connector für Active Directory (Vorschau) > Connector hinzufügen

Laden Sie den Konnektor auf das entsprechende System herunter

Und installieren Ihn. Dazu müssen Sie die Lizenzbedingungen akzeptieren

Nach der Erfolgreichen Installation erfolgt die Einrichtung

Zu Konfiguration müssen Sie sich mit einem Globalen Administrator oder einem Intune Service Administrator anmelden.

Die Anmeldung erfolgt direkt in der Anwendung

Nach der Anmeldung ist der Konnektor erfolgreich eingerichtet.

Im Azure Portal erscheint jetzt auch der Konnektor

Anlegen einer Dynamischen Gruppe für Zuordnungen

Damit das ganze etwas einfacher geht, können Dynamische Gruppen genutzt werden. Dies ist besonders dann sehr praktisch, wenn man dem Hersteller einen Wert für das Attribut „OrderID“ mitgeben kann. Wenn der Hersteller dies direkt mit übermittelt, wenn er die Geräte im AAD des Kunden anlegt, dann kann direkt das richtige Profil greifen. Auch kann dieses Feld in der mit dem PowerShell Skript erzeugten CSV Datei hinzugefügt werden.

Legen Sie dazu im Azure Active Directory eine neue Dynamische Gruppe mit der Abfrage nach dem Attribut OrderID an.

Konfiguration des Domain-Join Profiles

Gehen Sie dazu im Intune zu den MDM Konfigurationsprofilen: „Gerätekonfiguration“ > „Profile“ und erstellen ein neues Profil. Dieses Profil muss für die Plattform „Windows 10 und höher“ und vom ProfilTyp „Domänenbeitritt (Vorschau)“ sein.

Passen Sie das Profil ihren Bedürfnissen an

Erstellen Sie Das Profil und weisen es Ihrer Dynamischen Gruppe zu.

Konfigurieren von AutoPilot zu Hybrit Join

Als nächstes muss ein AutoPilot Profil in Microsoft Intune angelegt werden. Die AutoPilot Profile aus dem Windows Store4Business können nicht genutzt werden. Erstellen Sie ein neues „Windows AutoPilot Deployment-Profile“.

Füllen Sie das Profil aus und Wählen Sie bei „Azure AD beitreten als“ die Option „In Hybrid-Arzure AD eingebunden (Vorschau)“

Konfigurieren Sie als nächstes die Windows-Willkommensseite entsprechend Ihren Bedürfnissen

Erstellen Sie nun das Autopilot Profil

Das Profil ist nun erstellt aber noch nicht zugewiesen. Die Zuweisung sollte wieder durch Ihre Dynamische Gruppe erfolgen.

Wenn alles funktioniert hat, werden die neuen Geräte mit der Richtigen OrderID automatisch zugewiesen.

Nach gut 1 Stunde war die VM dann fertig eingerichtet inklusive der Software und der Integration in das On-Premise AD.

Das Video gibt es hier: Microsoft AutoPilot mit Hybrit ADJoin – Zeitraffer Demo

Autor: Fabian Niesen

Fabian Niesen ist seit Jahren beruflich als IT-Consultant unterwegs. Hier schreibt er privat und unabhängig von seinem Arbeitgeber. Unter anderem ist er Zertifiziert als MCSA Windows Server 2008 / 2012, MCSA Office 365, MCSA Windows 10, MCSE Messaging, MCT und Novell Certified Linux Administrator. Seit 2016 ist er auch MCT Regional Lead für Deutschland. Seine Hobby’s sind Social Media, Bloggen, Mittelaltermärkte, Historische Lieder und der Hausbau. Zu finden ist er auch auf folgenden Plattformen: -

2 Gedanken zu „Azure AD Hybrid mit Windows 10, Autopilot und Intune“

  1. Hi, eine Frage.

    Der AD User Intune der auf die OU Berechtigt wird ist auch der Benutzer der eine intune Lizenz hat und globaler AAD Admin ist richtig?
    Ich habe den Connector auf unserem ad installier allerdings mit dem Azure Admin eingeloggt welcher keine Berechtigung auf das AD hat (da nur Azure Account) und entsprechend fällt mir der ODJ auf die Nase!
    Hattet ihr diesen fall schon mal?

    1. Hallo Semoai,
      Der Benutzer der sich am Client anmeldet braucht eine Intune Lizenz und keine weiteren Rechte im AAD. Das Servicekonto für den Connector muss AAD Admin sein, braucht aber keine Intune Lizenz.
      Sorry für die Verspätung, Urlaub und Dienstreise sind schuld.
      Gruß
      Fabian

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.