Nachträgliches Konfigurieren des AD-Connect Hybrid Azure-AD Join SCP
Mit Hilfe des AD-Connect lässt sich ein Service Connection Point (SCP) konfigurieren, mit dem man die, in das lokale Active Directory eingebundene Geräte auch Hybrid Azure-AD Joinen kann.
So können Sich die Geräte beispielsweise auch in Microsoft Intune integrieren lassen.
Wie dieser Service Connection Point nun konfiguriert werden kann zeige ich im folgenden.
Konfiguration des SCP
Um den SCP konfigurieren zu können muss zunächst der AD-Connect gestartet werden. Danach erhält man hier die Option zum Anpassen der Geräteoptionen. Diese muss ausgewählt werden und anschließend mit „Weiter“ aufgerufen werden.
Anschließend erhält man eine Übersicht, in der die Konfigurationsmöglichkeiten aufgezeigt werden. Diese kann mit einem Klick auf „Weiter“ zur Kenntniss genommen werden.
Anschließend (immer um etwas an den Sync Einstellugen im AD-Connect anzupassen) muss sich mit dem verwendeten Hybrididentitätsadministrators oder einem globalen Administrators der Microsoft 365 Umgebung authentifiziert werden.
Danach muss die Option zum Konfigurieren der „Hybrid-Azure AD-Einbindung“ ausgewählt werden.
Folgend muss ausgewählt werden ob nur Geräte mit Windows 10 oder höher eingebunden werden sollen oder auch ältere Geräte.
Man muss beachten, dass ein Seamless SSO nicht mit älteren Geräten als Windows 10 funktionieren wird.
Im nächsten Step wird definiert in welcher Gesamtstruktur der SCP konfiguriert werden soll. Sollten Geräte sich in mehreren Gesamtstrukturen befinden, die alle mit AD-Connect synchronisiert werden dann muss (sofern auch hier ein SCP für die Hybrideinbindung gewünscht ist) jede dieser Gesamtstrukturen im folgenden Schritt „hinzugefügt“ werden.
Für jeden Forest der hinzugefügt werden soll muss eine authentifizierung durchgeführt werden. Dazu wird ein lokaler Unternehmensadministrator-Account benötigt!
Wenn alle benötigten Forests hinzugefügt wurden kann der Schritt mit „Weiter“ bestätigt werden.
Fast zum Schluss wird dann einmal angezeigt was an der Konfiguration geändert wurde. In unserem Falle ist das die Konfiguration des Service Connection Points für die Hybrid-Einbindung der >Windows 10 Geräte. Mit einem Klick auf „Konfigurieren“ wird diese Einstellung umgesetzt. Sobald der Screen „Die Konfiguration ist abgeschlossen“ angezeigt wird kann der AD-Conenct beedet werden.
Da nun der SCP konfiguriert ist können die gewünschten Geräte nun Hybrid Azure-AD gejoint werden.
Dabei muss beachtet werden, dass nur Clients, die im gewöhnlichen AD-Connect Sync. inkludiert sind auch Hybrid Azure-AD Joined werden.
Wenn also eine Pilotbereitstellung besteht müssen die Computerobjekte im lokalen Active Directory auch in die Filter-Gruppe aufgenommen werden.
Das gleiche gillt für ein Filter auf OU-Ebene!
Um den Join vom Client aus zu beschleunigen kann folgender Befehl verwendet werden:
dsregcmd.exe /join
Außerdem kann ein Neustart des Clients, kurz nach dem Ausführen des o.g. Befehls den Join Vorgang beschleunigen.
Sobald ein Gerät Hybrid Azure-AD joined ist sieht diese in Azure-AD in der Spalte „Jointyp“ als „Hybrid Azure AD joined“ angezeigt: