So synchronisieren Sie lokale Active Directory-Benutzer und -Geräte mit Microsoft Entra ID (Hybrid Join)

📅
🕑 7 Minuten Lesezeit

Das ist zwar ein etwas längerer Prozess, aber wenn Sie eine Hybridverbindung zwischen Ihrem lokalen Active Directory und Microsoft 365 Entra ID einrichten möchten, lohnt es sich, alle Schritte zu kennen. Da Windows und Azure die Einrichtung manchmal unnötig verkomplizieren, kann es etwas frustrierend sein, alle Komponenten korrekt zusammenzuführen – insbesondere, wenn Sie dies zum ersten Mal tun oder mit Besonderheiten zu tun haben. Hauptziel ist es, Ihre lokalen Benutzer und Geräte in der Cloud ordnungsgemäß zu verwalten und zu erkennen, um Anmeldungen zu vereinfachen und die Sicherheit zu verbessern. Sobald alles eingerichtet ist, können sich Benutzer mit denselben Anmeldeinformationen anmelden, und Geräte werden automatisch in Intune integriert. Dies vereinfacht die Verwaltung der Hybridumgebung.

So verbinden Sie Ihr lokales Active Directory hybrid mit Microsoft Entra ID mithilfe von Entra Connect

Voraussetzungen

Bevor Sie beginnen, hier ist, was Sie bereithalten sollten:

  • Eine verifizierte Domain in Ihrem Microsoft 365-Tenant – damit sind Sie Inhaber Ihrer benutzerdefinierten Domain.
  • Ein Windows Server 2016 oder neuer, der vollständig in Ihre Active Directory-Domäne eingebunden ist, um Azure AD Connect (auch bekannt als Entra Connect) auszuführen.
  • Ein globaler Administrator in Microsoft 365, denn man braucht die richtigen Berechtigungen, um das alles zu verbinden.
  • Ein Domänenadministratorkonto in Ihrem Active Directory, damit Sie die notwendigen Änderungen vornehmen können.
  • Die Netzwerkports 80 und 443 müssen für die Kommunikation mit Microsoft 365-Diensten geöffnet sein. Denn natürlich muss Windows es unnötig kompliziert machen.
  • Geräte mit Windows 10 oder 11 – ältere Versionen reichen heutzutage wahrscheinlich nicht mehr aus.

Schritt 1: Überprüfen Sie Ihre benutzerdefinierte Domäne in Microsoft 365

Navigieren Sie zur Seite „Microsoft 365-Domänen“ und überprüfen Sie, ob Ihre Domäne hinzugefügt und verifiziert ist. Falls Sie noch die onmicrosoft.comStandarddomäne verwenden, vergessen Sie es – Sie benötigen Ihre benutzerdefinierte Domäne, damit dies ordnungsgemäß funktioniert.

Klicken Sie einfach auf „Domain hinzufügen“, folgen Sie dem Assistenten und stellen Sie sicher, dass die DNS-Einträge bei Ihrem Domain-Registrar korrekt eingerichtet sind – üblicherweise ein TXT-Eintrag zur Verifizierung. Warum das funktioniert, ist mir nicht ganz klar, aber bei manchen Konfigurationen kann es eine Weile dauern, bis die Verifizierung wirksam wird.

Schritt 2: Fügen Sie Ihre externe Domäne als UPN-Suffix zu Active Directory hinzu

Die meisten lokalen AD-Benutzer melden sich als an john.smith@localdomain. LOCAL. Um ihnen die Anmeldung mit Ihrer verifizierten externen Domäne zu ermöglichen, müssen Sie diese als UPN-Suffix hinzufügen.

Öffnen Sie den Server-Manager, wählen Sie „Tools“ und anschließend „Active Directory-Domänen und -Vertrauensstellungen“. Klicken Sie mit der rechten Maustaste auf „Active Directory-Domänen und -Vertrauensstellungen“ und wählen Sie „Eigenschaften“. Geben Sie Ihre Domäne ein (z. B.IhreDomäne.de ), klicken Sie auf „Hinzufügen“ und anschließend auf „Übernehmen“ und „OK“.

Auf manchen Rechnern funktioniert es beim ersten Mal nicht, dann klappt es manchmal nach einem Neustart oder einer Aktualisierung. Seltsam, aber typisch Windows.

Schritt 3: UPN-Suffix und Proxy-Adressen für jeden Benutzer aktualisieren

Öffnen Sie nun „Active Directory-Benutzer und -Computer“, suchen Sie Ihre Benutzer und gehen Sie für jeden einzelnen wie folgt vor:

  • Doppelklicken Sie, um die Eigenschaften zu öffnen.
  • Wechseln Sie zur Registerkarte „Konto“.
  • Ändern Sie den Benutzernamen, sodass er Ihre neue Domäne verwendet (z. B.[email protected]).
  • Wechseln Sie zum Attribut-Editor (möglicherweise müssen Sie die erweiterten Funktionen im Menü „Ansicht“ aktivieren ).Suchen Sie nach „proxyAddresses“ und doppelklicken Sie darauf.
  • Fügen Sie einen neuen Eintrag hinzu: SMTP:[email protected]. Stellen Sie sicher, dass die primäre SMTP-Adresse mit Großbuchstaben SMTP gekennzeichnet ist.
  • Klicken Sie auf OK und Anwenden.

Beachten Sie: Wenn der Benutzer bereits Microsoft 365-Konten mit unterschiedlichen UPNs besitzt, versuchen Sie, die E-Mail-Adressen abzugleichen, um Synchronisierungsprobleme zu vermeiden. Bei einer Konfiguration funktionierte dies, bei einer anderen nicht. Manchmal reicht es, den Server erneut zu synchronisieren oder neu zu starten.

Schritt 4: Erstellen einer spezifischen Organisationseinheit (OU) (Optional, aber empfohlen)

Es empfiehlt sich, für Benutzer oder Geräte, die Sie per Hybrid-Integration synchronisieren möchten, eine separate Organisationseinheit (OU) zu erstellen. So können Sie zunächst testen, ohne Ihr gesamtes Verzeichnis zu beeinträchtigen. Erstellen Sie einfach eine OU, verschieben Sie die gewünschten Benutzer/Geräte dorthin und synchronisieren Sie nur diese OU. Das erleichtert die Fehlersuche, falls etwas schiefgeht, anstatt das gesamte Verzeichnis zu verändern.

Schritt 5: Automatische MDM-Registrierung über Gruppenrichtlinie aktivieren

Um Geräte automatisch in Intune zu registrieren, richten Sie eine Gruppenrichtlinie ein.Öffnen Sie die Gruppenrichtlinienverwaltung, erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO), verknüpfen Sie es mit Ihrer Domäne oder Organisationseinheit (OU) und bearbeiten Sie es:

  • Navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > MDM.
  • Suchen und aktivieren Sie die Option „Automatische MDM-Registrierung mit Standard-Azure-AD-Anmeldeinformationen aktivieren“.
  • Stellen Sie es auf „Aktiviert“ und wählen Sie „Benutzeranmeldeinformationen“.

Führen Sie den Befehl gpupdate /forceauf den Client-Rechnern aus oder warten Sie, bis die Richtlinie aktualisiert wurde. In manchen Netzwerken kann dieser Schritt ohne Fehlermeldung fehlschlagen. Starten Sie daher die Rechner neu und prüfen Sie, ob die Geräte nun in Intune angezeigt werden.

Schritt 6: Automatische Registrierung in Intune aktivieren

Öffnen Sie das Intune Admin Center. Unter „Geräte“ > „Windows“ > „Registrierung“ > „Automatische Registrierung“ legen Sie den MDM-Benutzerbereich auf „ Alle “ fest (oder wählen Sie bei Bedarf bestimmte Benutzer aus).Klicken Sie anschließend auf „Speichern“.

Hinweis: Sollten Sie eine Fehlermeldung wie „Geräteverwaltung konnte nicht aktiviert werden“ erhalten, versuchen Sie, WIP (Windows Information Protection) im selben Abschnitt zu deaktivieren und sich dann erneut anzumelden.

Schritt 7: Synchronisierung im Microsoft 365 Admin Center starten

Gehen Sie nun zum Microsoft 365 Admin Center. Suchen Sie unter „Einrichtung“ die Option „ Benutzer mit Microsoft Entra ID synchronisieren“. Klicken Sie auf „ Los geht’s“.

Wählen Sie „Kontinuierliche Synchronisierung“, wenn Sie fortlaufende Aktualisierungen wünschen, oder „Einmalige Synchronisierung“, wenn Sie die manuelle Steuerung bevorzugen. Laden Sie das Tool IdFix herunter, das häufige Fehler wie doppelte Konten oder fehlerhafte Formatierung erkennt. In manchen Fällen kann die Bereinigung von Active Directory mit IdFix vor der Synchronisierung viel Ärger ersparen.

Schritt 8: Führen Sie IdFix aus, um Ihre AD-Fehler zu bereinigen.

Führen Sie jetzt IdFix aus ; das Programm durchsucht Ihre Domäne nach Problemen. Befolgen Sie die Empfehlungen, um Duplikate, fehlende Attribute oder Formatierungsprobleme zu beheben. Denn Windows und Active Directory funktionieren natürlich nicht sofort einwandfrei. Nach der Bereinigung fahren Sie mit dem nächsten Schritt fort.

Schritt 9: Azure AD Connect herunterladen und installieren

Klicken Sie auf der Seite für die Synchronisierungseinrichtung, um das Azure AD Connect -Installationsprogramm herunterzuladen. Führen Sie das Installationsprogramm aus, akzeptieren Sie die Lizenzbedingungen, wählen Sie „Anpassen“, wenn Sie die Optionen selbst festlegen möchten, oder verwenden Sie die Standardeinstellungen. Folgen Sie den Anweisungen, geben Sie ein dediziertes Konto für die Synchronisierung an (vorzugsweise ein verwaltetes Dienstkonto), wählen Sie Ihre Synchronisierungsoptionen und verbinden Sie es bei Aufforderung sowohl mit Active Directory als auch mit Entra ID.

Schritt 10: Synchronisierungseinstellungen konfigurieren und überprüfen

Nach der Installation starten Sie Azure AD Connect, akzeptieren die Lizenz, wählen die gewünschten Synchronisierungsfunktionen (Kennworthash, Passthrough oder Verbundauthentifizierung) und melden sich mit einem globalen Administratorkonto an. Wählen Sie die zu synchronisierenden Organisationseinheiten (OUs) aus – idealerweise zunächst nur Ihre Test-OU. Schließen Sie anschließend den Assistenten ab. Die Synchronisierung sollte nun starten.Überprüfen Sie den Synchronisierungsstatus und eventuelle Fehler im Azure AD Connect-Integritäts-Dashboard.

Schritt 11: Erfolgreiche Synchronisierung und Hybrid-Beitritt bestätigen

Im Microsoft Entra Admin Center gehen Sie zu „Benutzer“ > „Alle Benutzer“ und suchen Sie nach Ihren synchronisierten Benutzern.Überprüfen Sie außerdem unter „Geräte“ > „Alle Geräte“, ob Ihre Windows-Workstations mit dem Status „Microsoft Entra Hybrid-verbunden“ angezeigt werden. Wenn dies der Fall ist, ist alles in Ordnung.

Um von einem Windows-Rechner aus zu überprüfen, ob die Hybrid-Einbindung korrekt ist, öffnen Sie eine Eingabeaufforderung mit Administratorrechten und führen Sie den Befehl aus dsregcmd /status. Wenn Sie „AzureAdJoined :YES“ und „DomainJoined:YES“ mit „AzureAdPrt“ sehen, ist alles korrekt konfiguriert. Warum, weiß ich nicht genau, aber dieser Befehl ist erstaunlich zuverlässig für schnelle Überprüfungen.

Zusätzliche Hilfe & Fehlerbehebung

Falls etwas nicht übereinstimmt oder Geräte nicht als hybridverbunden angezeigt werden, überprüfen Sie die Dokumentation zum Hybridverbund. Manchmal hilft ein Neustart, oder Sie müssen die Synchronisierung erneut ausführen oder die DNS-Einstellungen korrigieren. Wichtig ist Geduld und die sorgfältige Überprüfung jedes Schrittes.

Und das war’s im Prinzip schon – sobald das alles erledigt ist, ist Ihr lokales Active Directory mit Entra ID integriert und die Verwaltung Ihrer Geräte/Benutzer in beiden Welten deutlich einfacher. Windows macht es einem natürlich unnötig schwer, aber es ist durchaus machbar.

Zusammenfassung

  • Domäne in Microsoft 365 überprüfen
  • Fügen Sie Ihre externe Domäne als UPN-Suffix in AD hinzu.
  • UPNs und Proxyadressen für Benutzer aktualisieren
  • Erstellen Sie eine Organisationseinheit (OU) zum Testen (falls gewünscht).
  • Gruppenrichtlinie für die automatische MDM-Registrierung einrichten
  • Automatische Registrierung in Intune aktivieren
  • Starten Sie den Synchronisierungsprozess und beheben Sie Fehler mit IdFix.
  • Azure AD Connect installieren und konfigurieren
  • Benutzer und Geräte in Entra ID verifizieren

Zusammenfassung

Das ist zwar nicht ganz einfach, aber sobald alles konfiguriert ist, wird die Identitätsverwaltung in On-Premise- und Cloud-Umgebungen deutlich einfacher. Wichtig: Überprüfen Sie Ihre Domänenkonfiguration, UPNs und Synchronisierungsprotokolle sorgfältig. Wenn etwas nicht synchronisiert oder korrekt angezeigt wird, liegt es meist an einem übersehenen Detail. Ich hoffe, das hilft Ihnen weiter, und wünsche Ihnen viel Erfolg mit Ihrer Hybridumgebung!