Der Windows-Domänenbeitritt ermöglicht Ihren Benutzern, mit Active Directory-Anmeldedaten oder lokalen Geräteanmeldedaten eine Remoteverbindung mit einer Arbeitsdomäne herzustellen. Verwenden Sie Workspace ONE UEM, um Ihre Domänenbeitrittskonfigurationen für lokale, Arbeitsgruppen- und hybride Domänenbeitritte für Ihre Windows-Geräte (Windows Desktop) bereitzustellen.
Wenn Sie Benutzer in der Cloud und lokal verwalten, können Sie Workspace ONE UEM verwenden, um Ihre hybriden Domänenbeitrittskonfigurationen für Windows-Geräte mithilfe von Windows Autopilot + OOBE (Out of Box Experience) zuzuweisen.
Mit Windows Autopilot können Sie ein Profil konfigurieren, das den Domänenbeitrittstyp für Geräte angibt, die den OOBE-Prozess durchlaufen. Sie müssen ein Autopilot-Profil mit der hybriden Domänenbeitrittseinstellung in Azure konfigurieren und zuweisen. Die diesem Profil zugewiesenen Geräte durchlaufen den OOBE-Prozess und sind hybrid und in Azure AD eingebunden.
Wichtiger Hinweis: Wenn Sie kein Autopilot-Profil mit der hybriden Beitrittsspezifikation in Azure zuweisen, durchlaufen Ihre Windows-Geräte OOBE und sind in Azure AD eingebunden. Sobald Geräte in Azure AD eingebunden sind, können Sie keinen hybriden Domänenbeitritt initiieren, ohne die Geräte vollständig zurückzusetzen.
Einzelheiten zu Autopilot finden Sie unter Microsoft | Docs im Abschnitt Autopilot-Profile konfigurieren.
Stellen Sie vor der Bereitstellung der Domänenbeitrittskonfiguration sicher, dass die folgenden Anforderungen erfüllt sind: - Automatische Windows-Registrierung: Konfigurieren Sie die automatische Registrierung in Azure mit Workspace ONE UEM als MDM-System (Mobile Device Management, Mobilgeräteverwaltung). Weitere Informationen finden Sie unter Konfigurieren von Workspace ONE UEM für die Verwendung von Azure AD als Identitätsdienst. - Workspace ONE UEM: Statusverfolgungsseite für OOBE deaktivieren 1. Navigieren Sie in Workspace ONE UEM zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Registrierung. 1. Wählen Sie die Registerkarte Optionale Eingabeaufforderung aus. 1. Wechseln Sie zum Abschnitt Windows und deaktivieren Sie Statusverfolgungsseite für OOBE aktivieren. - Microsoft-Abonnement: Verwenden Sie eines der Microsoft-Abonnements, die die Lizenzierung von Windows Autopilot unterstützen. Öffnen Sie in Microsoft | Docs den Artikel mit der Überschrift Windows Autopilot-Lizenzierungsanforderungen. - Windows Autopilot-Profil: Konfigurieren Sie dieses Profil in Azure, sodass Ihren Windows-Geräten die Einstellung für den hybriden Domänenbeitritt zugewiesen wird. Weitere Informationen erhalten Sie unter Microsoft | Docs im Abschnitt Autopilot-Profile konfigurieren. - Registrieren von Geräten mit dem Autopilot-Profil: Einzelheiten zur Einrichtung von Autopilot-Geräten finden Sie unter Microsoft | Docs im Abschnitt Manuelles Registrieren von Geräten bei Windows Autopilot. - AirWatch Cloud Connector (ACC): Verwenden Sie ACC, um den Domänenbeitritt für das lokale Active Directory in Workspace ONE UEM zu aktivieren. - Active Directory Benutzer und Computer (ADUC): Sie benötigen das als ADUC bezeichnete MMC-Snap-In, um den lokalen Domänenbeitritt über Workspace ONE UEM zu konfigurieren. - Bestätigen Sie, dass die automatische Windows-Registrierung mit Azure in Workspace ONE UEM konfiguriert ist. - Bestätigen Sie, dass das Autopilot-Profil in Azure konfiguriert und zugewiesen ist, damit Geräte Azure AD beitreten, wenn hybrid, in Azure AD eingebunden aktiviert ist. - Bestätigen Sie, dass Sie Ihre Windows-Geräte in Azure registriert und das entsprechende Autopilot-Profil für den hybriden Beitritt zugewiesen haben. - Bestätigen Sie, dass Sie über Domänen und Organisationseinheiten in Active Directory verfügen. - Bestätigen Sie, dass Sie Verzeichnisdienste in der Workspace ONE UEM Console konfiguriert haben, wenn Sie Active Directory verwenden. - Bestätigen Sie, dass Sie in Workspace ONE UEM Console eine Domänenbeitrittskonfiguration konfiguriert und zugewiesen haben.
Konfigurieren Sie in Azure Ihre Autopilot-Geräte gemäß der Microsoft-Dokumentation. Derzeit umfasst dieser Prozess die folgenden Schritte.
In den folgenden Schritten wird beschrieben, wie Sie eine Domänenbeitrittskonfiguration in Workspace ONE UEM konfigurieren und zuweisen. Mit diesen Schritten kann ein Gerät bei der Registrierung bei Workspace ONE einer lokalen Domäne beitreten. Wenn Geräte in Verbindung mit dem Autopilot-Profil für einen hybriden Beitritt konfiguriert sind, durchlaufen sie den OOBE-Prozess, um Azure AD als hybrid, in Azure AD eingebunden beizutreten. Wenn Sie alle Anforderungen und Voraussetzungen für den hybriden Domänenbeitritt erfüllt haben, haben Sie damit auch alle Anforderungen für den lokalen Domänenbeitritt erfüllt, sodass Sie mit der Einrichtung des lokalen Domänenbeitritts weitermachen können. Beginnen Sie bei Schritt eins: ADUC konfigurieren im Abschnitt Lokaler Domänenbeitritt.
Wenn Sie Active Directory zum Verwalten von Benutzern verwenden, können Sie mit Workspace ONE UEM Ihre lokalen Domänenbeitrittskonfigurationen zuweisen. Bestätigen Sie, dass die folgenden Anforderungen erfüllt wurden, bevor Sie beginnen: - AirWatch Cloud Connector (ACC): Verwenden Sie ACC, um den Domänenbeitritt für das lokale Active Directory zu konfigurieren. - Active Directory Benutzer und Computer (ADUC): Sie benötigen das als ADUC bezeichnete MMC-Snap-In, um den lokalen Domänenbeitritt zu konfigurieren. Dieses Snap-In ist Teil der Remoteserver-Verwaltungstools (RSAT). Die aktuelle Dokumentation für Windows Server finden Sie unter Microsoft | Docs. - Sie haben Domänen und Organisationseinheiten in Ihrer Domäne in Azure festgelegt. - Sie haben Verzeichnisdienste in der Workspace ONE UEM Console konfiguriert, wenn Sie Active Directory verwenden. Weitere Informationen zum Konfigurieren von Verzeichnisdiensten finden Sie unter Integration von Workspace ONE UEM mit Ihren Verzeichnisdiensten
Wählen Sie in ADUC den Benutzer mit Delegierungsberechtigungen für Windows Server aus, erstellen Sie eine benutzerdefinierte Delegierungsaufgabe, und konfigurieren Sie die Berechtigungen.
Wählen Sie im Fenster Zuzuweisende Aufgaben die Option Benutzerdefinierte Aufgaben zum Zuweisen erstellen und dann Weiter.
Wählen Sie im Fenster Active Directory-Objekttyp die Optionen Nur die folgenden Objekte im Order:, Computerobjekte und Ausgewählte Objekte in diesem Ordner erstellen aus und wählen Sie dann Weiter.
Wählen Sie im Fenster Berechtigungen die Optionen Allgemein, Erstellen/Löschen spezieller untergeordneter Objekte, Schreiben und Alle untergeordneten Objekte erstellen aus und gehen Sie dann auf Weiter.
Aktualisieren Sie die Anmeldung und fügen Sie dem Benutzer, der in ADUC bearbeitet wurde, Schreibberechtigungen für ACC hinzu, um eine benutzerdefinierte Aufgabe zu delegieren.
<Drive>:\VMware\AirWatch\CloudConnector
.Stellen Sie eine Domänenbeitrittskonfiguration in Workspace ONE UEM für registrierte Windows-Geräte bereit, die Active Directory-Anmeldedaten für den Zugriff auf Ressourcen verwenden.
Acme - South America
eingeben. Dieser Eintrag muss nicht mit Einstellungen in Active Directory übereinstimmen, aber die Verwendung ähnlicher Muster auf beiden Systemen kann bei der Organisation Ihrer Geräte in Ihrer Domäne hilfreich sein.%SERIAL%
oder %RAND:[#]%
.Nachfolgend finden Sie die Schritte zum Zuweisen Ihrer Domänenbeitrittskonfiguration:
1. Navigieren Sie in Workspace ONE UEM Console zu einer Zuweisungsseite, indem Sie unter Gruppen und Einstellungen > Konfigurationen aus der Listenansicht für den Domänenbeitritt Zuweisen auswählen und dann Domänenbeitritt wählen. Dieses Konfigurationsfenster wird angezeigt, wenn Sie Speichern und zuweisen für die Konfiguration des Domänenbeitritts auswählen. 1. Wählen Sie die Domänenbeitrittskonfiguration aus, wenn sie nicht bereits ausgefüllt ist. 1. Fügen Sie einen Zuweisungsname hinzu, der für Sie einen Sinn hat und Ihnen bei der Identifizierung der Zuweisung hilft. Der Eintrag muss nicht mit einer Einstellung in Active Directory übereinstimmen. 1. Suchen Sie nach Organisationseinheiten, die in ihren Geräteeinstellungen konfiguriert sind, und wählen Sie nur eine Organisationseinheit aus. 1. Suchen und wählen Sie Smartgroups aus, die in Workspace ONE UEM konfiguriert sind. Sie können eine Smartgroup lediglich einer Organisationseinheit zuweisen. Wenn Sie versuchen, eine Smartgroup auszuwählen, der bereits einer Organisationseinheit zugewiesen ist, zeigt die Konsole eine Fehlermeldung mit Informationen an, sodass Sie eine Fehlerbehebung durchführen und entscheiden können, welche Smartgroups mit Ihrem aktuellen Bereitstellungsszenario verwendet werden sollen. 1. Erstellen und speichern Sie Ihre Zuweisung.
Hinweis: Die Konfiguration des Domänenbeitritts für ein Gerät wird während des Registrierungsprozesses ausgewertet und angewendet. Sobald ein Gerät eine Konfiguration für den Domänenbeitritt erhalten hat, können Sie es nicht mehr aktualisieren, indem Sie die zugewiesenen Smartgroups in Workspace ONE UEM ändern. Workspace ONE UEM stellt dem Gerät nur einmal während der Registrierung die Domänenbeitrittskonfiguration bereit.
Sie können Konfigurationen für den Domänenbeitritt mehrere Zuweisungen hinzufügen, müssen jedoch die Flexibilität von Smartgroups berücksichtigen. Da Smartgroups flexibel sind, ist es möglich, dass Sie ein Gerät in mehreren Zuweisungen für eine Domänenbeitrittskonfiguration verwenden können. Dieses Szenario bedeutet, dass das Gerät auch mehreren Organisationseinheiten zugewiesen ist, was nicht zulässig ist. Wenn die Konsole feststellt, dass sich ein Gerät in mehreren Zuweisungen für eine Domänenbeitrittskonfiguration befindet, versetzt es dieses Gerät in den Container des Computers in Active Directory. Sie können zu ADUC navigieren und das Gerät in die gewünschte Organisationseinheit verschieben. Das Gerät erhält die Domänenbeitrittskonfiguration, die der Zuweisung für die Organisationseinheit entspricht.
Wenn Sie Benutzer haben, die ein lokales Konto für den Zugriff auf ihre Windows-Geräte und -Ressourcen verwenden, müssen Sie einen Arbeitsgruppenbeitritt in Workspace ONE UEM konfigurieren. Erstellen Sie zuerst in Workspace ONE UEM eine Domänenbeitrittskonfiguration für den Arbeitsgruppenbeitritt. Geben Sie dann in Workspace ONE UEM den Namen der Arbeitsgruppe, das Format des Maschinennamens und die lokalen Benutzereinstellungen an und weisen Sie die Konfiguration dann einer Smartgroup zu.
Stellen Sie anhand der folgenden Schritte eine Domänenbeitrittskonfiguration in Workspace ONE UEM für registrierte Windows Desktop-Geräte bereit, die lokale Konten für den Zugriff auf Ressourcen verwenden:
Acme - South America
eingeben. Dieser Eintrag muss nicht mit Einstellungen in Active Directory übereinstimmen, aber die Verwendung ähnlicher Muster auf beiden Systemen kann bei der Organisation Ihrer Geräte in Ihrer Domäne hilfreich sein.%SERIAL%
oder %RAND:[#]%
.