StefanWe 14 Geschrieben 17. März 2019 Melden Teilen Geschrieben 17. März 2019 Hallo, wir haben seit längerem Azure AD und auch die Geräteregistrierung über ADFS (Win 2016) und AD Connect Geräte Synchronisierung aktiv. Ich habe allerdings ein paar Verständnisfragen. Wir möchten unser lokales Active Directory als primäres AD nutzen, allerdings Cloud Dienste wie Hello for Business verwenden, allerdings erstmal nur für unsere mobilen Endgeräte. Dementsprechend möchten wir auch nur, dass diese Geräte Azure AD Joined sind. Wenn ich nun im Azure Portal nach Geräten suche, finde ich dort ALLE! Computer Konten vom lokalen Active Directory. Ich habe dann vor einigen Wochen auf oberster Domänen Ebene die Geräte Registrierung "deaktiviert". Wie in diesem KB Artikel: https://docs.microsoft.com/en-us/azure/active-directory/devices/hybrid-azuread-join-control Allerdings werden auch alle neuen Geräte direkt im Azure Portal angezeigt. Die Geräte sind idr. Aktiv aber die letzte Aktivität ist schon einige Wochen her. "Verknüpfungstyp" ist immer "Hybrid azure ad joined". Da frage ich mich, warum tauchen die Geräte dort auf ? Kommt das durch AD Connect ? Zieht die GPO nicht? Bei den Geräten wo ich Azure AD Join haben möchte, habe ich oben genannte Policy auf "aktiv" gesetzt. Diese sehen im Azure Portal jetzt nicht anders aus. Die letzte Aktivität ist dort auch meist schon einige Wochen her. Auch ist ein Besitzer nirgends hinterlegt. Wenn ich auf einem Computer der augenscheinlich Azure AD joined ist, dsregcmd/status ausführe, sehe ich folgendes: +----------------------------------------------------------------------+ | Device State | +----------------------------------------------------------------------+ AzureAdJoined : YES EnterpriseJoined : NO DomainJoined : YES DomainName : DOM +----------------------------------------------------------------------+ | Device Details | +----------------------------------------------------------------------+ DeviceId : f66dbde4-3bf1-42c1-8795-5b8d395137ad Thumbprint : 078E2FA880AC1A731FB8BCC3FD25F967D2D3C716 DeviceCertificateValidity : [ 2018-12-07 12:13:32.000 UTC -- 2028-12-07 12:43:32.000 UTC ] KeyContainerId : 46485845-91bf-4e63-b076-23418fe1be08 KeyProvider : Microsoft Software Key Storage Provider TpmProtected : NO +----------------------------------------------------------------------+ | User State | +----------------------------------------------------------------------+ NgcSet : YES NgcKeyId : {DD702248-CF28-487D-95F6-C6EC586CC16D} CanReset : DestructiveAndNonDestructive WorkplaceJoined : NO WamDefaultSet : YES WamDefaultAuthority : organizations WamDefaultId : https://login.microsoft.com WamDefaultGUID : {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd) Bei einem System, welches nicht Azure AD Joined sein sollte, sieht es wie folgt aus +----------------------------------------------------------------------+ | Device State | +----------------------------------------------------------------------+ AzureAdJoined : YES EnterpriseJoined : NO DeviceId : e0a67059-1f22-44a9-8448-c29b9b17a737 Thumbprint : 11EE2058C7675796C6A1E0070E4CB775DE3C6659 KeyContainerId : 9031e05f-422a-48c0-8949-3eed8f1c45e5 KeyProvider : Microsoft Software Key Storage Provider TpmProtected : NO KeySignTest: : MUST Run elevated to test. Idp : login.windows.net TenantId : a20f67f5-74f9-470b-af40-111fc5097c7f TenantName : gmbH & Co. KG AuthCodeUrl : https://login.microsoftonline.com/a20f67f5-74f9-470b-af40-111fc5097c7f/oauth2/authorize AccessTokenUrl : https://login.microsoftonline.com/a20f67f5-74f9-470b-af40-111fc5097c7f/oauth2/token MdmUrl : MdmTouUrl : MdmComplianceUrl : SettingsUrl : JoinSrvVersion : 1.0 JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/ JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net KeySrvVersion : 1.0 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/ KeySrvId : urn:ms-drs:enterpriseregistration.windows.net WebAuthNSrvVersion : 1.0 WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/a20f67f5-74f9-470b-af40-111fc5097c7f/ WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/a20f67f5-74f9-470b-af40-111fc5097c7f/ DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net DomainJoined : YES DomainName : DOM +----------------------------------------------------------------------+ | User State | +----------------------------------------------------------------------+ NgcSet : NO WorkplaceJoined : NO WamDefaultSet : YES WamDefaultAuthority : organizations WamDefaultId : https://login.microsoft.com WamDefaultGUID : {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd) AzureAdPrt : YES AzureAdPrtAuthority : https://login.microsoftonline.com/a20f67f5-74f9-470b-af40-111fc5097c7f EnterprisePrt : NO EnterprisePrtAuthority : https://adfs.domain.de:443/adfs Gefühlt müsste es ja anders herum sein. Bei ersterem habe ich aber Hello For Business aktiv und nutze es auch. Letzterer ist eine VDI VM. Jetzt meine Frage: Was davon ist richtig? Fehlt mir eine Policy? Ist es richtig, dass im Azure Portal jedes Device vorhanden ist?(Selbst Server) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.