{"id":6312,"date":"2026-02-27T03:48:48","date_gmt":"2026-02-27T03:48:48","guid":{"rendered":"https:\/\/help.peacedoorball.blog\/de\/?p=6312"},"modified":"2026-02-27T03:48:48","modified_gmt":"2026-02-27T03:48:48","slug":"so-synchronisieren-sie-lokale-active-directory-benutzer-und-geraete-mit-microsoft-entra-id-hybrid-join","status":"publish","type":"post","link":"https:\/\/help.peacedoorball.blog\/de\/so-synchronisieren-sie-lokale-active-directory-benutzer-und-geraete-mit-microsoft-entra-id-hybrid-join\/","title":{"rendered":"So synchronisieren Sie lokale Active Directory-Benutzer und -Ger\u00e4te mit Microsoft Entra ID (Hybrid Join)"},"content":{"rendered":"<p><strong>Das ist zwar ein etwas l\u00e4ngerer Prozess, aber wenn Sie eine Hybridverbindung<\/strong> zwischen Ihrem lokalen Active Directory und Microsoft 365 Entra ID einrichten m\u00f6chten, lohnt es sich, alle Schritte zu kennen. Da Windows und Azure die Einrichtung manchmal unn\u00f6tig verkomplizieren, kann es etwas frustrierend sein, alle Komponenten korrekt zusammenzuf\u00fchren \u2013 insbesondere, wenn Sie dies zum ersten Mal tun oder mit Besonderheiten zu tun haben. Hauptziel ist es, Ihre lokalen Benutzer und Ger\u00e4te in der Cloud ordnungsgem\u00e4\u00df zu verwalten und zu erkennen, um Anmeldungen zu vereinfachen und die Sicherheit zu verbessern. Sobald alles eingerichtet ist, k\u00f6nnen sich Benutzer mit denselben Anmeldeinformationen anmelden, und Ger\u00e4te werden automatisch in Intune integriert. Dies vereinfacht die Verwaltung der Hybridumgebung.<\/p>\n<h2>So verbinden Sie Ihr lokales Active Directory hybrid mit Microsoft Entra ID mithilfe von Entra Connect<\/h2>\n<h3>Voraussetzungen<\/h3>\n<p>Bevor Sie beginnen, hier ist, was Sie bereithalten sollten:<\/p>\n<ul>\n<li>Eine verifizierte Domain in Ihrem Microsoft 365-Tenant \u2013 damit sind Sie Inhaber Ihrer benutzerdefinierten Domain.<\/li>\n<li>Ein Windows Server 2016 oder neuer, der vollst\u00e4ndig in Ihre Active Directory-Dom\u00e4ne eingebunden ist, um <a href=\"https:\/\/docs.microsoft.com\/en-us\/azure\/active-directory\/hybrid\/plan-connect-install\" rel=\"noopener noreferrer\" target=\"_blank\"><strong>Azure AD Connect<\/strong><\/a> (auch bekannt als Entra Connect) auszuf\u00fchren.<\/li>\n<li>Ein globaler Administrator in Microsoft 365, denn man braucht die richtigen Berechtigungen, um das alles zu verbinden.<\/li>\n<li>Ein Dom\u00e4nenadministratorkonto in Ihrem Active Directory, damit Sie die notwendigen \u00c4nderungen vornehmen k\u00f6nnen.<\/li>\n<li>Die Netzwerkports 80 und 443 m\u00fcssen f\u00fcr die Kommunikation mit Microsoft 365-Diensten ge\u00f6ffnet sein. Denn nat\u00fcrlich muss Windows es unn\u00f6tig kompliziert machen.<\/li>\n<li>Ger\u00e4te mit Windows 10 oder 11 \u2013 \u00e4ltere Versionen reichen heutzutage wahrscheinlich nicht mehr aus.<\/li>\n<\/ul>\n<h3>Schritt 1: \u00dcberpr\u00fcfen Sie Ihre benutzerdefinierte Dom\u00e4ne in Microsoft 365<\/h3>\n<p>Navigieren Sie zur Seite <a href=\"https:\/\/admin.microsoft.com\/#\/domains\" rel=\"noopener noreferrer\" target=\"_blank\"><strong>\u201eMicrosoft 365-Dom\u00e4nen\u201c<\/strong><\/a> und \u00fcberpr\u00fcfen Sie, ob Ihre Dom\u00e4ne hinzugef\u00fcgt und verifiziert ist. Falls Sie noch die <code>onmicrosoft.com<\/code>Standarddom\u00e4ne verwenden, vergessen Sie es \u2013 Sie ben\u00f6tigen Ihre benutzerdefinierte Dom\u00e4ne, damit dies ordnungsgem\u00e4\u00df funktioniert.<\/p>\n<p>Klicken Sie einfach auf <strong>\u201eDomain hinzuf\u00fcgen\u201c<\/strong>, folgen Sie dem Assistenten und stellen Sie sicher, dass die DNS-Eintr\u00e4ge bei Ihrem Domain-Registrar korrekt eingerichtet sind \u2013 \u00fcblicherweise ein TXT-Eintrag zur Verifizierung. Warum das funktioniert, ist mir nicht ganz klar, aber bei manchen Konfigurationen kann es eine Weile dauern, bis die Verifizierung wirksam wird.<\/p>\n<h3>Schritt 2: F\u00fcgen Sie Ihre externe Dom\u00e4ne als UPN-Suffix zu Active Directory hinzu<\/h3>\n<p>Die meisten lokalen AD-Benutzer melden sich als an <code>john.smith@localdomain. LOCAL<\/code>. Um ihnen die Anmeldung mit Ihrer verifizierten externen Dom\u00e4ne zu erm\u00f6glichen, m\u00fcssen Sie diese als UPN-Suffix hinzuf\u00fcgen.<\/p>\n<p>\u00d6ffnen Sie <strong>den Server-Manager<\/strong>, w\u00e4hlen Sie <strong>\u201eTools\u201c<\/strong> und anschlie\u00dfend <strong>\u201eActive Directory-Dom\u00e4nen und -Vertrauensstellungen\u201c<\/strong>. Klicken Sie mit der rechten Maustaste auf <strong>\u201eActive Directory-Dom\u00e4nen und -Vertrauensstellungen\u201c<\/strong> und w\u00e4hlen Sie <strong>\u201eEigenschaften\u201c<\/strong>. Geben Sie Ihre Dom\u00e4ne ein (z. B.<a href=\"https:\/\/yourdomain.com\" rel=\"noopener noreferrer\" target=\"_blank\">IhreDom\u00e4ne.de<\/a> ), klicken Sie auf <strong>\u201eHinzuf\u00fcgen\u201c<\/strong> und anschlie\u00dfend <strong>auf \u201e\u00dcbernehmen\u201c und \u201eOK\u201c<\/strong>.<\/p>\n<p>Auf manchen Rechnern funktioniert es beim ersten Mal nicht, dann klappt es manchmal nach einem Neustart oder einer Aktualisierung. Seltsam, aber typisch Windows.<\/p>\n<h3>Schritt 3: UPN-Suffix und Proxy-Adressen f\u00fcr jeden Benutzer aktualisieren<\/h3>\n<p>\u00d6ffnen Sie nun <strong>\u201eActive Directory-Benutzer und -Computer\u201c<\/strong>, suchen Sie Ihre Benutzer und gehen Sie f\u00fcr jeden einzelnen wie folgt vor:<\/p>\n<ul>\n<li>Doppelklicken Sie, um die Eigenschaften zu \u00f6ffnen.<\/li>\n<li>Wechseln Sie zur Registerkarte <strong>\u201eKonto\u201c<\/strong>.<\/li>\n<li>\u00c4ndern Sie den <strong>Benutzernamen<\/strong>, sodass er Ihre neue Dom\u00e4ne verwendet (z. B.<code>john.smith@yourdomain.com<\/code>).<\/li>\n<li>Wechseln Sie zum <strong>Attribut-Editor<\/strong> (m\u00f6glicherweise m\u00fcssen Sie die erweiterten Funktionen im Men\u00fc <strong>\u201eAnsicht\u201c<\/strong> aktivieren ).Suchen Sie nach <strong>\u201eproxyAddresses\u201c<\/strong> und doppelklicken Sie darauf.<\/li>\n<li>F\u00fcgen Sie einen neuen Eintrag hinzu: <strong>SMTP:john.smith@yourdomain.com<\/strong>. Stellen Sie sicher, dass die prim\u00e4re SMTP-Adresse mit Gro\u00dfbuchstaben SMTP gekennzeichnet ist.<\/li>\n<li>Klicken Sie auf <strong>OK<\/strong> und <strong>Anwenden<\/strong>.<\/li>\n<\/ul>\n<p>Beachten Sie: Wenn der Benutzer bereits Microsoft 365-Konten mit unterschiedlichen UPNs besitzt, versuchen Sie, die E-Mail-Adressen abzugleichen, um Synchronisierungsprobleme zu vermeiden. Bei einer Konfiguration funktionierte dies, bei einer anderen nicht. Manchmal reicht es, den Server erneut zu synchronisieren oder neu zu starten.<\/p>\n<h3>Schritt 4: Erstellen einer spezifischen Organisationseinheit (OU) (Optional, aber empfohlen)<\/h3>\n<p>Es empfiehlt sich, f\u00fcr Benutzer oder Ger\u00e4te, die Sie per Hybrid-Integration synchronisieren m\u00f6chten, eine separate Organisationseinheit (OU) zu erstellen. So k\u00f6nnen Sie zun\u00e4chst testen, ohne Ihr gesamtes Verzeichnis zu beeintr\u00e4chtigen. Erstellen Sie einfach eine OU, verschieben Sie die gew\u00fcnschten Benutzer\/Ger\u00e4te dorthin und synchronisieren Sie nur diese OU. Das erleichtert die Fehlersuche, falls etwas schiefgeht, anstatt das gesamte Verzeichnis zu ver\u00e4ndern.<\/p>\n<h3>Schritt 5: Automatische MDM-Registrierung \u00fcber Gruppenrichtlinie aktivieren<\/h3>\n<p>Um Ger\u00e4te automatisch in Intune zu registrieren, richten Sie eine Gruppenrichtlinie ein.\u00d6ffnen Sie <strong>die Gruppenrichtlinienverwaltung<\/strong>, erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO), verkn\u00fcpfen Sie es mit Ihrer Dom\u00e4ne oder Organisationseinheit (OU) und bearbeiten Sie es:<\/p>\n<ul>\n<li>Navigieren Sie zu <strong>Computerkonfiguration &gt; Administrative Vorlagen &gt; Windows-Komponenten &gt; MDM<\/strong>.<\/li>\n<li>Suchen und aktivieren Sie <strong>die Option \u201eAutomatische MDM-Registrierung mit Standard-Azure-AD-Anmeldeinformationen aktivieren\u201c<\/strong>.<\/li>\n<li>Stellen Sie es auf <strong>\u201eAktiviert\u201c<\/strong> und w\u00e4hlen Sie <strong>\u201eBenutzeranmeldeinformationen\u201c<\/strong>.<\/li>\n<\/ul>\n<p>F\u00fchren Sie den Befehl <kbd>gpupdate \/force<\/kbd>auf den Client-Rechnern aus oder warten Sie, bis die Richtlinie aktualisiert wurde. In manchen Netzwerken kann dieser Schritt ohne Fehlermeldung fehlschlagen. Starten Sie daher die Rechner neu und pr\u00fcfen Sie, ob die Ger\u00e4te nun in Intune angezeigt werden.<\/p>\n<h3>Schritt 6: Automatische Registrierung in Intune aktivieren<\/h3>\n<p>\u00d6ffnen Sie das <a href=\"https:\/\/endpoint.microsoft.com\/#blade\/Microsoft_Intune_Device_Management\/DevicesOverview\" rel=\"noopener noreferrer\" target=\"_blank\"><strong>Intune Admin Center<\/strong><\/a>. Unter <strong>\u201eGer\u00e4te\u201c<\/strong> &gt; <strong>\u201eWindows\u201c<\/strong> &gt; <strong>\u201eRegistrierung\u201c<\/strong> &gt; <strong>\u201eAutomatische Registrierung\u201c<\/strong> legen Sie <strong>den MDM-Benutzerbereich<\/strong> auf \u201e <strong>Alle<\/strong> \u201c fest (oder w\u00e4hlen Sie bei Bedarf bestimmte Benutzer aus).Klicken Sie anschlie\u00dfend auf <strong>\u201eSpeichern\u201c<\/strong>.<\/p>\n<p>Hinweis: Sollten Sie eine Fehlermeldung wie \u201eGer\u00e4teverwaltung konnte nicht aktiviert werden\u201c erhalten, versuchen Sie, WIP (Windows Information Protection) im selben Abschnitt zu deaktivieren und sich dann erneut anzumelden.<\/p>\n<h3>Schritt 7: Synchronisierung im Microsoft 365 Admin Center starten<\/h3>\n<p>Gehen Sie nun zum <a href=\"https:\/\/admin.microsoft.com\" rel=\"noopener noreferrer\" target=\"_blank\"><strong>Microsoft 365 Admin Center<\/strong><\/a>. Suchen Sie unter <strong>\u201eEinrichtung\u201c<\/strong> die Option \u201e <strong>Benutzer mit Microsoft Entra ID synchronisieren\u201c<\/strong>. Klicken Sie auf \u201e <strong>Los geht\u2019s\u201c<\/strong>.<\/p>\n<p>W\u00e4hlen Sie <strong>\u201eKontinuierliche Synchronisierung\u201c<\/strong>, wenn Sie fortlaufende Aktualisierungen w\u00fcnschen, oder \u201eEinmalige Synchronisierung\u201c, wenn Sie die manuelle Steuerung bevorzugen. Laden Sie das Tool <a href=\"https:\/\/github.com\/microsoft\/idfix\" rel=\"noopener noreferrer\" target=\"_blank\">IdFix<\/a> herunter, das h\u00e4ufige Fehler wie doppelte Konten oder fehlerhafte Formatierung erkennt. In manchen F\u00e4llen kann die Bereinigung von Active Directory mit IdFix vor der Synchronisierung viel \u00c4rger ersparen.<\/p>\n<h3>Schritt 8: F\u00fchren Sie IdFix aus, um Ihre AD-Fehler zu bereinigen.<\/h3>\n<p>F\u00fchren Sie jetzt <strong>IdFix<\/strong> aus ; das Programm durchsucht Ihre Dom\u00e4ne nach Problemen. Befolgen Sie die Empfehlungen, um Duplikate, fehlende Attribute oder Formatierungsprobleme zu beheben. Denn Windows und Active Directory funktionieren nat\u00fcrlich nicht sofort einwandfrei. Nach der Bereinigung fahren Sie mit dem n\u00e4chsten Schritt fort.<\/p>\n<h3>Schritt 9: Azure AD Connect herunterladen und installieren<\/h3>\n<p>Klicken Sie auf der Seite f\u00fcr die Synchronisierungseinrichtung, um das <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/active-directory\/hybrid\/how-to-connect-install\" rel=\"noopener noreferrer\" target=\"_blank\"><strong>Azure AD Connect<\/strong><\/a> -Installationsprogramm herunterzuladen. F\u00fchren Sie das Installationsprogramm aus, akzeptieren Sie die Lizenzbedingungen, w\u00e4hlen Sie <strong>\u201eAnpassen\u201c<\/strong>, wenn Sie die Optionen selbst festlegen m\u00f6chten, oder verwenden Sie die Standardeinstellungen. Folgen Sie den Anweisungen, geben Sie ein dediziertes Konto f\u00fcr die Synchronisierung an (vorzugsweise ein verwaltetes Dienstkonto), w\u00e4hlen Sie Ihre Synchronisierungsoptionen und verbinden Sie es bei Aufforderung sowohl mit Active Directory als auch mit Entra ID.<\/p>\n<h3>Schritt 10: Synchronisierungseinstellungen konfigurieren und \u00fcberpr\u00fcfen<\/h3>\n<p>Nach der Installation starten Sie <strong>Azure AD Connect<\/strong>, akzeptieren die Lizenz, w\u00e4hlen die gew\u00fcnschten Synchronisierungsfunktionen (Kennworthash, Passthrough oder Verbundauthentifizierung) und melden sich mit einem globalen Administratorkonto an. W\u00e4hlen Sie die zu synchronisierenden Organisationseinheiten (OUs) aus \u2013 idealerweise zun\u00e4chst nur Ihre Test-OU. Schlie\u00dfen Sie anschlie\u00dfend den Assistenten ab. Die Synchronisierung sollte nun starten.\u00dcberpr\u00fcfen Sie den Synchronisierungsstatus und eventuelle Fehler im <a href=\"https:\/\/portal.azure.com\/#blade\/Microsoft_AAD_Connect\/SyncStatusMenuBlade\" rel=\"noopener noreferrer\" target=\"_blank\">Azure AD Connect-Integrit\u00e4ts-Dashboard<\/a>.<\/p>\n<h3>Schritt 11: Erfolgreiche Synchronisierung und Hybrid-Beitritt best\u00e4tigen<\/h3>\n<p>Im <a href=\"https:\/\/entra.microsoft.com\" rel=\"noopener noreferrer\" target=\"_blank\"><strong>Microsoft Entra Admin Center<\/strong><\/a> gehen Sie zu <strong>\u201eBenutzer\u201c<\/strong> &gt; <strong>\u201eAlle Benutzer\u201c<\/strong> und suchen Sie nach Ihren synchronisierten Benutzern.\u00dcberpr\u00fcfen Sie au\u00dferdem unter <strong>\u201eGer\u00e4te\u201c<\/strong> &gt; <strong>\u201eAlle Ger\u00e4te\u201c, ob Ihre Windows-Workstations mit dem Status <\/strong><strong>\u201eMicrosoft Entra Hybrid-verbunden\u201c<\/strong> angezeigt werden. Wenn dies der Fall ist, ist alles in Ordnung.<\/p>\n<p>Um von einem Windows-Rechner aus zu \u00fcberpr\u00fcfen, ob die Hybrid-Einbindung korrekt ist, \u00f6ffnen Sie eine Eingabeaufforderung mit Administratorrechten und f\u00fchren Sie den Befehl aus <code>dsregcmd \/status<\/code>. Wenn Sie \u201eAzureAdJoined :YES\u201c und \u201eDomainJoined:YES\u201c mit \u201eAzureAdPrt\u201c sehen, ist alles korrekt konfiguriert. Warum, wei\u00df ich nicht genau, aber dieser Befehl ist erstaunlich zuverl\u00e4ssig f\u00fcr schnelle \u00dcberpr\u00fcfungen.<\/p>\n<h3>Zus\u00e4tzliche Hilfe &amp; Fehlerbehebung<\/h3>\n<p>Falls etwas nicht \u00fcbereinstimmt oder Ger\u00e4te nicht als hybridverbunden angezeigt werden, \u00fcberpr\u00fcfen Sie die <a href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/active-directory\/devices\/hybrid-join\" rel=\"noopener noreferrer\" target=\"_blank\">Dokumentation zum Hybridverbund<\/a>. Manchmal hilft ein Neustart, oder Sie m\u00fcssen die Synchronisierung erneut ausf\u00fchren oder die DNS-Einstellungen korrigieren. Wichtig ist Geduld und die sorgf\u00e4ltige \u00dcberpr\u00fcfung jedes Schrittes.<\/p>\n<p>Und das war&#8217;s im Prinzip schon \u2013 sobald das alles erledigt ist, ist Ihr lokales Active Directory mit Entra ID integriert und die Verwaltung Ihrer Ger\u00e4te\/Benutzer in beiden Welten deutlich einfacher. Windows macht es einem nat\u00fcrlich unn\u00f6tig schwer, aber es ist durchaus machbar.<\/p>\n<h2>Zusammenfassung<\/h2>\n<ul>\n<li>Dom\u00e4ne in Microsoft 365 \u00fcberpr\u00fcfen<\/li>\n<li>F\u00fcgen Sie Ihre externe Dom\u00e4ne als UPN-Suffix in AD hinzu.<\/li>\n<li>UPNs und Proxyadressen f\u00fcr Benutzer aktualisieren<\/li>\n<li>Erstellen Sie eine Organisationseinheit (OU) zum Testen (falls gew\u00fcnscht).<\/li>\n<li>Gruppenrichtlinie f\u00fcr die automatische MDM-Registrierung einrichten<\/li>\n<li>Automatische Registrierung in Intune aktivieren<\/li>\n<li>Starten Sie den Synchronisierungsprozess und beheben Sie Fehler mit IdFix.<\/li>\n<li>Azure AD Connect installieren und konfigurieren<\/li>\n<li>Benutzer und Ger\u00e4te in Entra ID verifizieren<\/li>\n<\/ul>\n<h2>Zusammenfassung<\/h2>\n<p>Das ist zwar nicht ganz einfach, aber sobald alles konfiguriert ist, wird die Identit\u00e4tsverwaltung in On-Premise- und Cloud-Umgebungen deutlich einfacher. Wichtig: \u00dcberpr\u00fcfen Sie Ihre Dom\u00e4nenkonfiguration, UPNs und Synchronisierungsprotokolle sorgf\u00e4ltig. Wenn etwas nicht synchronisiert oder korrekt angezeigt wird, liegt es meist an einem \u00fcbersehenen Detail. Ich hoffe, das hilft Ihnen weiter, und w\u00fcnsche Ihnen viel Erfolg mit Ihrer Hybridumgebung!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das ist zwar ein etwas l\u00e4ngerer Prozess, aber wenn Sie eine Hybridverbindung zwischen Ihrem lokalen Active Directory und Microsoft 365 Entra ID einrichten m\u00f6chten, lohnt<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-6312","post","type-post","status-publish","format-standard","hentry","category-hilfe"],"_links":{"self":[{"href":"https:\/\/help.peacedoorball.blog\/de\/wp-json\/wp\/v2\/posts\/6312","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/help.peacedoorball.blog\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/help.peacedoorball.blog\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/help.peacedoorball.blog\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/help.peacedoorball.blog\/de\/wp-json\/wp\/v2\/comments?post=6312"}],"version-history":[{"count":0,"href":"https:\/\/help.peacedoorball.blog\/de\/wp-json\/wp\/v2\/posts\/6312\/revisions"}],"wp:attachment":[{"href":"https:\/\/help.peacedoorball.blog\/de\/wp-json\/wp\/v2\/media?parent=6312"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/help.peacedoorball.blog\/de\/wp-json\/wp\/v2\/categories?post=6312"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/help.peacedoorball.blog\/de\/wp-json\/wp\/v2\/tags?post=6312"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}