Jump to content
StefanWe

Azure Hybrid AD Join verstehen

Empfohlene Beiträge

Hallo,

 

wir haben seit längerem Azure AD und auch die Geräteregistrierung über ADFS (Win 2016) und AD Connect Geräte Synchronisierung aktiv.

 

Ich habe allerdings ein paar Verständnisfragen.

 

Wir möchten unser lokales Active Directory als primäres AD nutzen, allerdings Cloud Dienste wie Hello for Business verwenden, allerdings erstmal nur für unsere mobilen Endgeräte.

 

Dementsprechend möchten wir auch nur, dass diese Geräte Azure AD Joined sind.

 

Wenn ich nun im Azure Portal nach Geräten suche, finde ich dort ALLE! Computer Konten vom lokalen Active Directory.

 

Ich habe dann vor einigen Wochen auf oberster Domänen Ebene die Geräte Registrierung "deaktiviert". Wie in diesem KB Artikel:   https://docs.microsoft.com/en-us/azure/active-directory/devices/hybrid-azuread-join-control

 

Allerdings werden auch alle neuen Geräte direkt im Azure Portal angezeigt. Die Geräte sind idr. Aktiv aber die letzte Aktivität ist schon einige Wochen her. "Verknüpfungstyp" ist immer "Hybrid azure ad joined".

 

Da frage ich mich, warum tauchen die Geräte dort auf ? Kommt das durch AD Connect ? Zieht die GPO nicht?

Bei den Geräten wo ich Azure AD Join haben möchte, habe ich oben genannte Policy auf "aktiv" gesetzt. Diese sehen im Azure Portal jetzt nicht anders aus. Die letzte Aktivität ist dort auch meist schon einige Wochen her.

Auch ist ein Besitzer nirgends hinterlegt.

 

Wenn ich auf einem Computer der augenscheinlich Azure AD joined ist, dsregcmd/status ausführe, sehe ich folgendes:

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : DOM

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : f66dbde4-3bf1-42c1-8795-5b8d395137ad
                Thumbprint : 078E2FA880AC1A731FB8BCC3FD25F967D2D3C716
 DeviceCertificateValidity : [ 2018-12-07 12:13:32.000 UTC -- 2028-12-07 12:43:32.000 UTC ]
            KeyContainerId : 46485845-91bf-4e63-b076-23418fe1be08
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO



+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {DD702248-CF28-487D-95F6-C6EC586CC16D}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)

Bei einem System, welches nicht Azure AD Joined sein sollte, sieht es wie folgt aus

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

          AzureAdJoined : YES
       EnterpriseJoined : NO
               DeviceId : e0a67059-1f22-44a9-8448-c29b9b17a737
             Thumbprint : 11EE2058C7675796C6A1E0070E4CB775DE3C6659
         KeyContainerId : 9031e05f-422a-48c0-8949-3eed8f1c45e5
            KeyProvider : Microsoft Software Key Storage Provider
           TpmProtected : NO
           KeySignTest: : MUST Run elevated to test.
                    Idp : login.windows.net
               TenantId : a20f67f5-74f9-470b-af40-111fc5097c7f
             TenantName : gmbH & Co. KG
            AuthCodeUrl : https://login.microsoftonline.com/a20f67f5-74f9-470b-af40-111fc5097c7f/oauth2/authorize
         AccessTokenUrl : https://login.microsoftonline.com/a20f67f5-74f9-470b-af40-111fc5097c7f/oauth2/token
                 MdmUrl :
              MdmTouUrl :
       MdmComplianceUrl :
            SettingsUrl :
         JoinSrvVersion : 1.0
             JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
              JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
          KeySrvVersion : 1.0
              KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
               KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
     WebAuthNSrvVersion : 1.0
         WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/a20f67f5-74f9-470b-af40-111fc5097c7f/
          WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
 DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/a20f67f5-74f9-470b-af40-111fc5097c7f/
  DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
           DomainJoined : YES
             DomainName : DOM

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                 NgcSet : NO
        WorkplaceJoined : NO
          WamDefaultSet : YES
    WamDefaultAuthority : organizations
           WamDefaultId : https://login.microsoft.com
         WamDefaultGUID : {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
             AzureAdPrt : YES
    AzureAdPrtAuthority : https://login.microsoftonline.com/a20f67f5-74f9-470b-af40-111fc5097c7f
          EnterprisePrt : NO
 EnterprisePrtAuthority : https://adfs.domain.de:443/adfs

Gefühlt müsste es ja anders herum sein. Bei ersterem habe ich aber Hello For Business aktiv und nutze es auch.

Letzterer ist eine VDI VM.

 

Jetzt meine Frage: Was davon ist richtig?

Fehlt mir eine Policy? 

 

Ist es richtig, dass im Azure Portal jedes Device vorhanden ist?(Selbst Server)

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

Werbepartner:



×