Azure AD - Verständnisfragen
Hallo Zusammen,
wir haben ein OnPrem AD und synchronisieren für die Office365 Authentifizierung die AD-User über AADC zu Microsoft.
Die User müssen sich dann in einem Office-Programm mit ihrem lizenzierten User authentifizieren um das Programm nutzen zu können.
Jetzt ist mir aufgefallen, dass im Azure AD die ganzen Geräte (PC´s, Notebook´s) doppelt und dreifach vorhanden sind.
Nun meine Fragen:
- Wieso werden die Geräte über die Office-Anmeldung bei Azure AD registriert?
- Kann ich die Geräte löschen und den Sync über AADC (Hybrid Join) laufen lassen?
Schon mal vielen Dank für Eure Rückmeldungen.
wir haben ein OnPrem AD und synchronisieren für die Office365 Authentifizierung die AD-User über AADC zu Microsoft.
Die User müssen sich dann in einem Office-Programm mit ihrem lizenzierten User authentifizieren um das Programm nutzen zu können.
Jetzt ist mir aufgefallen, dass im Azure AD die ganzen Geräte (PC´s, Notebook´s) doppelt und dreifach vorhanden sind.
Nun meine Fragen:
- Wieso werden die Geräte über die Office-Anmeldung bei Azure AD registriert?
- Kann ich die Geräte löschen und den Sync über AADC (Hybrid Join) laufen lassen?
Schon mal vielen Dank für Eure Rückmeldungen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7897668034
Url: https://administrator.de/contentid/7897668034
Ausgedruckt am: 22.11.2024 um 00:11 Uhr
9 Kommentare
Neuester Kommentar
Hi,
das ist normal, da die Office 365 Konten als Arbeitskonto auf dem Windows Client hinterlegt werden. Die siehst du auch unter Einstellungen --> Konten --> Arbeitskonto. Damit wurden die Geräte an den AAD registriert.
Ist denn Hybrid Join in AADC konfiguriert? Wenn ja, sollten die selben Geräte auch als Hybrid AzAD Joined auch erscheinen.
Grüße
das ist normal, da die Office 365 Konten als Arbeitskonto auf dem Windows Client hinterlegt werden. Die siehst du auch unter Einstellungen --> Konten --> Arbeitskonto. Damit wurden die Geräte an den AAD registriert.
Ist denn Hybrid Join in AADC konfiguriert? Wenn ja, sollten die selben Geräte auch als Hybrid AzAD Joined auch erscheinen.
Grüße
derzeit ist der Hybrid Join noch nicht konfiguriert. Das wollen wir aber, da wir zukünftig Intune einsetzen möchten.
Kann ich die AD Joins deaktivieren und die Geräte löschen?
Kann ich die AD Joins deaktivieren und die Geräte löschen?
Theoretisch, wenn du die Geräte löscht werden deine User von Ihren 365 Apps abgemeldet und müssen sich neuanmelden. Danach sind die Geräte wieder in AAD, außer du hast die bereits als Hybrid Join vorhanden.
Ich würde erst Hybrid Join konfigurieren und syncen. Danach die Registered rausnehmen. Dann werden manche oder alle User zwar trotzdem kurz ausgeloggt, aber danach wieder als Hybrid erkannt und eingeloggt. So die Theorie in meinem Kopf
Grüße
Zitat von @beschlagfuchs:
derzeit ist der Hybrid Join noch nicht konfiguriert. Das wollen wir aber, da wir zukünftig Intune einsetzen möchten.
derzeit ist der Hybrid Join noch nicht konfiguriert. Das wollen wir aber, da wir zukünftig Intune einsetzen möchten.
Salut,
kleiner Hinweis an dieser Stelle, vorab zu überlegen ob hybrid-join überhaupt sinnvoll ist.
Ich war auch erst der Meinung es müsste hybrid-join werden, letztlich komme ich sehr gut klar, mit der Trennung:
- interne Geräte werden über das lokale AD verwaltet
- mobile Geräte werden AzureAD joined und darüber verwaltet
Ein Zugriff auf interne Ressourcen der Domain via VPN oder im internen Netz ist durch die Synchronisation der Benutzerkonten automatisch möglich.
P.S.: Beim Durcharbeiten der Informationen bei MS wirst du auch auf den Hinweis stoßen, wie du unterbinden kannst, dass Mitarbeiter Geräte im AAD registrieren.
Grüße
ToWa
Ein Zugriff auf interne Ressourcen der Domain via VPN oder im internen Netz ist durch die Synchronisation der Benutzerkonten automatisch möglich.
Vielleicht ist mir etwas entgangen, daher entschuldige die Nachfrage:
- Woher weiß der lokale AD welcher Entra ID User Zugriff auf die lokalen Ressourcen haben darf? Wie verifiziert der lokale User den Cloud User ohne Hybrid Anbindung?
- Ist es dann nicht Hybrid, wenn die User synchronisiert werden, bzw. der lokale AD den Entra ID vertraut?
Grüße
Zitat von @AzureBK:
mir etwas entgangen, daher entschuldige die Nachfrage:
- Woher weiß der lokale AD welcher Entra ID User Zugriff auf die lokalen Ressourcen haben darf? Wie verifiziert der lokale User den Cloud User ohne Hybrid Anbindung?
mir etwas entgangen, daher entschuldige die Nachfrage:
- Woher weiß der lokale AD welcher Entra ID User Zugriff auf die lokalen Ressourcen haben darf? Wie verifiziert der lokale User den Cloud User ohne Hybrid Anbindung?
Er schrieb doch, dass sein lokales AD die User in die Cloud synct. Windows forscht bei Netzwerkverbindung nach antwortenden DCs und wenn deine lokalen DCs antworten versucht es ein Kerberosticket mit den am Notebook angemeldeten Credentials zu erlangen.
Damit wird der User am AD autorisiert und den AD Gruppen zugeordnet.
Funktioniert einwandfrei und ist von MS auch so gedacht.
Hybrid braucht es nur wenn man die Geräte mit GPOs aus dem lokalen AD und der Azure Cloud verwalten will.
Für mich, bzw. den Einsatzzweck bei uns, empfand ich das allerdings als total übertrieben und verwirrend.
Daher habe ich mich für die paar mobilen Arbeitsplätze dazu herabgelassen die Geräte nur Azure-joined zu verwalten.
Wie gesagt, nur als Tipp das zuerst zu überdenken.
Grüße
ToWa
Zitat von @dertowa:
Er schrieb doch, dass sein lokales AD die User in die Cloud synct. Windows forscht bei Netzwerkverbindung nach antwortenden DCs und wenn deine lokalen DCs antworten versucht es ein Kerberosticket mit den am Notebook angemeldeten Credentials zu erlangen.
Damit wird der User am AD autorisiert und den AD Gruppen zugeordnet.
Funktioniert einwandfrei und ist von MS auch so gedacht.
Hybrid braucht es nur wenn man die Geräte mit GPOs aus dem lokalen AD und der Azure Cloud verwalten will.
Für mich, bzw. den Einsatzzweck bei uns, empfand ich das allerdings als total übertrieben und verwirrend.
Daher habe ich mich für die paar mobilen Arbeitsplätze dazu herabgelassen die Geräte nur Azure-joined zu verwalten.
Wie gesagt, nur als Tipp das zuerst zu überdenken.
Grüße
ToWa
Zitat von @AzureBK:
mir etwas entgangen, daher entschuldige die Nachfrage:
- Woher weiß der lokale AD welcher Entra ID User Zugriff auf die lokalen Ressourcen haben darf? Wie verifiziert der lokale User den Cloud User ohne Hybrid Anbindung?
mir etwas entgangen, daher entschuldige die Nachfrage:
- Woher weiß der lokale AD welcher Entra ID User Zugriff auf die lokalen Ressourcen haben darf? Wie verifiziert der lokale User den Cloud User ohne Hybrid Anbindung?
Er schrieb doch, dass sein lokales AD die User in die Cloud synct. Windows forscht bei Netzwerkverbindung nach antwortenden DCs und wenn deine lokalen DCs antworten versucht es ein Kerberosticket mit den am Notebook angemeldeten Credentials zu erlangen.
Damit wird der User am AD autorisiert und den AD Gruppen zugeordnet.
Funktioniert einwandfrei und ist von MS auch so gedacht.
Hybrid braucht es nur wenn man die Geräte mit GPOs aus dem lokalen AD und der Azure Cloud verwalten will.
Für mich, bzw. den Einsatzzweck bei uns, empfand ich das allerdings als total übertrieben und verwirrend.
Daher habe ich mich für die paar mobilen Arbeitsplätze dazu herabgelassen die Geräte nur Azure-joined zu verwalten.
Wie gesagt, nur als Tipp das zuerst zu überdenken.
Grüße
ToWa
Entschuldige bitte das Missverständnis. Ich meinte damit das Szenario, das du bei dir beschrieben hast. Du hattest geschrieben, dass du keinen AD Sync einsetzt und auch Clients hast, die nur in der Entra AD angebunden sind.
Meine Frage war darauf bezogen, wie diese Cloud User automatisch, mit dem Azure Account, per VPN Zugriff auf die lokalen Ressourcen, die wahrscheinlich an der lokalen AD angebunden sind, erhalten.
Grüße
Hi,
ah ok. Dann habe ich den u.a. Satz bzgl. "komme sehr gut, mit der Trennung" falsch verstanden. Danke dir. Jetzt macht es wieder für mich Sinn.
ah ok. Dann habe ich den u.a. Satz bzgl. "komme sehr gut, mit der Trennung" falsch verstanden. Danke dir. Jetzt macht es wieder für mich Sinn.
Zitat von @dertowa:
Ich war auch erst der Meinung es müsste hybrid-join werden, letztlich komme ich sehr gut klar, mit der Trennung:
Ein Zugriff auf interne Ressourcen der Domain via VPN oder im internen Netz ist durch die Synchronisation der Benutzerkonten automatisch möglich.
Ich war auch erst der Meinung es müsste hybrid-join werden, letztlich komme ich sehr gut klar, mit der Trennung:
- interne Geräte werden über das lokale AD verwaltet
- mobile Geräte werden AzureAD joined und darüber verwaltet
Ein Zugriff auf interne Ressourcen der Domain via VPN oder im internen Netz ist durch die Synchronisation der Benutzerkonten automatisch möglich.