beschlagfuchs
Goto Top

Azure AD - Verständnisfragen

Hallo Zusammen,

wir haben ein OnPrem AD und synchronisieren für die Office365 Authentifizierung die AD-User über AADC zu Microsoft.
Die User müssen sich dann in einem Office-Programm mit ihrem lizenzierten User authentifizieren um das Programm nutzen zu können.

Jetzt ist mir aufgefallen, dass im Azure AD die ganzen Geräte (PC´s, Notebook´s) doppelt und dreifach vorhanden sind.
Nun meine Fragen:

- Wieso werden die Geräte über die Office-Anmeldung bei Azure AD registriert?
- Kann ich die Geräte löschen und den Sync über AADC (Hybrid Join) laufen lassen?

Schon mal vielen Dank für Eure Rückmeldungen.

Content-ID: 7897668034

Url: https://administrator.de/contentid/7897668034

Ausgedruckt am: 22.11.2024 um 00:11 Uhr

AzureBK
AzureBK 19.07.2023 um 15:05:13 Uhr
Goto Top
Hi,

das ist normal, da die Office 365 Konten als Arbeitskonto auf dem Windows Client hinterlegt werden. Die siehst du auch unter Einstellungen --> Konten --> Arbeitskonto. Damit wurden die Geräte an den AAD registriert.

Ist denn Hybrid Join in AADC konfiguriert? Wenn ja, sollten die selben Geräte auch als Hybrid AzAD Joined auch erscheinen.

Grüße
beschlagfuchs
beschlagfuchs 19.07.2023 um 15:11:22 Uhr
Goto Top
Hi,

derzeit ist der Hybrid Join noch nicht konfiguriert. Das wollen wir aber, da wir zukünftig Intune einsetzen möchten.
Kann ich die AD Joins deaktivieren und die Geräte löschen?

LG
AzureBK
AzureBK 19.07.2023 um 16:29:41 Uhr
Goto Top
derzeit ist der Hybrid Join noch nicht konfiguriert. Das wollen wir aber, da wir zukünftig Intune einsetzen möchten.
Kann ich die AD Joins deaktivieren und die Geräte löschen?

Theoretisch, wenn du die Geräte löscht werden deine User von Ihren 365 Apps abgemeldet und müssen sich neuanmelden. Danach sind die Geräte wieder in AAD, außer du hast die bereits als Hybrid Join vorhanden.

Ich würde erst Hybrid Join konfigurieren und syncen. Danach die Registered rausnehmen. Dann werden manche oder alle User zwar trotzdem kurz ausgeloggt, aber danach wieder als Hybrid erkannt und eingeloggt. So die Theorie in meinem Kopf face-smile

Grüße
dertowa
dertowa 21.07.2023 aktualisiert um 10:02:02 Uhr
Goto Top
Zitat von @beschlagfuchs:
derzeit ist der Hybrid Join noch nicht konfiguriert. Das wollen wir aber, da wir zukünftig Intune einsetzen möchten.

Salut,
kleiner Hinweis an dieser Stelle, vorab zu überlegen ob hybrid-join überhaupt sinnvoll ist.
Ich war auch erst der Meinung es müsste hybrid-join werden, letztlich komme ich sehr gut klar, mit der Trennung:
  • interne Geräte werden über das lokale AD verwaltet
  • mobile Geräte werden AzureAD joined und darüber verwaltet

Ein Zugriff auf interne Ressourcen der Domain via VPN oder im internen Netz ist durch die Synchronisation der Benutzerkonten automatisch möglich.

P.S.: Beim Durcharbeiten der Informationen bei MS wirst du auch auf den Hinweis stoßen, wie du unterbinden kannst, dass Mitarbeiter Geräte im AAD registrieren. face-smile

Grüße
ToWa
AzureBK
AzureBK 21.07.2023 um 12:35:33 Uhr
Goto Top
Ein Zugriff auf interne Ressourcen der Domain via VPN oder im internen Netz ist durch die Synchronisation der Benutzerkonten automatisch möglich.

Vielleicht ist mir etwas entgangen, daher entschuldige die Nachfrage:
- Woher weiß der lokale AD welcher Entra ID User Zugriff auf die lokalen Ressourcen haben darf? Wie verifiziert der lokale User den Cloud User ohne Hybrid Anbindung?
- Ist es dann nicht Hybrid, wenn die User synchronisiert werden, bzw. der lokale AD den Entra ID vertraut?

Grüße
dertowa
dertowa 21.07.2023 um 19:22:49 Uhr
Goto Top
Zitat von @AzureBK:
mir etwas entgangen, daher entschuldige die Nachfrage:
- Woher weiß der lokale AD welcher Entra ID User Zugriff auf die lokalen Ressourcen haben darf? Wie verifiziert der lokale User den Cloud User ohne Hybrid Anbindung?

Er schrieb doch, dass sein lokales AD die User in die Cloud synct. Windows forscht bei Netzwerkverbindung nach antwortenden DCs und wenn deine lokalen DCs antworten versucht es ein Kerberosticket mit den am Notebook angemeldeten Credentials zu erlangen.

Damit wird der User am AD autorisiert und den AD Gruppen zugeordnet.
Funktioniert einwandfrei und ist von MS auch so gedacht.

Hybrid braucht es nur wenn man die Geräte mit GPOs aus dem lokalen AD und der Azure Cloud verwalten will.
Für mich, bzw. den Einsatzzweck bei uns, empfand ich das allerdings als total übertrieben und verwirrend.
Daher habe ich mich für die paar mobilen Arbeitsplätze dazu herabgelassen die Geräte nur Azure-joined zu verwalten. face-smile

Wie gesagt, nur als Tipp das zuerst zu überdenken.

Grüße
ToWa
AzureBK
AzureBK 25.07.2023 um 10:44:57 Uhr
Goto Top
Zitat von @dertowa:

Zitat von @AzureBK:
mir etwas entgangen, daher entschuldige die Nachfrage:
- Woher weiß der lokale AD welcher Entra ID User Zugriff auf die lokalen Ressourcen haben darf? Wie verifiziert der lokale User den Cloud User ohne Hybrid Anbindung?

Er schrieb doch, dass sein lokales AD die User in die Cloud synct. Windows forscht bei Netzwerkverbindung nach antwortenden DCs und wenn deine lokalen DCs antworten versucht es ein Kerberosticket mit den am Notebook angemeldeten Credentials zu erlangen.

Damit wird der User am AD autorisiert und den AD Gruppen zugeordnet.
Funktioniert einwandfrei und ist von MS auch so gedacht.

Hybrid braucht es nur wenn man die Geräte mit GPOs aus dem lokalen AD und der Azure Cloud verwalten will.
Für mich, bzw. den Einsatzzweck bei uns, empfand ich das allerdings als total übertrieben und verwirrend.
Daher habe ich mich für die paar mobilen Arbeitsplätze dazu herabgelassen die Geräte nur Azure-joined zu verwalten. face-smile

Wie gesagt, nur als Tipp das zuerst zu überdenken.

Grüße
ToWa

Entschuldige bitte das Missverständnis. Ich meinte damit das Szenario, das du bei dir beschrieben hast. Du hattest geschrieben, dass du keinen AD Sync einsetzt und auch Clients hast, die nur in der Entra AD angebunden sind.

Meine Frage war darauf bezogen, wie diese Cloud User automatisch, mit dem Azure Account, per VPN Zugriff auf die lokalen Ressourcen, die wahrscheinlich an der lokalen AD angebunden sind, erhalten.

Grüße
dertowa
dertowa 25.07.2023 um 20:21:19 Uhr
Goto Top
?? ich habe einen AD Sync, daher geht das ja...

Grüße
AzureBK
AzureBK 27.07.2023 aktualisiert um 11:31:27 Uhr
Goto Top
Hi,

ah ok. Dann habe ich den u.a. Satz bzgl. "komme sehr gut, mit der Trennung" falsch verstanden. Danke dir. Jetzt macht es wieder für mich Sinn.

Zitat von @dertowa:

Ich war auch erst der Meinung es müsste hybrid-join werden, letztlich komme ich sehr gut klar, mit der Trennung:
  • interne Geräte werden über das lokale AD verwaltet
  • mobile Geräte werden AzureAD joined und darüber verwaltet
[...]
Ein Zugriff auf interne Ressourcen der Domain via VPN oder im internen Netz ist durch die Synchronisation der Benutzerkonten automatisch möglich.