Bereitstellen von Domänenbeitrittskonfigurationen für Windows
Der Windows-Domänenbeitritt ermöglicht Ihren Benutzern, mit Active Directory-Anmeldedaten oder lokalen Geräteanmeldedaten eine Remoteverbindung mit einer Arbeitsdomäne herzustellen. Verwenden Sie Workspace ONE UEM, um Ihre Domänenbeitrittskonfigurationen für lokale, Arbeitsgruppen- und hybride Domänenbeitritte für Ihre Windows-Geräte (Windows Desktop) bereitzustellen.
Integration mit Microsoft Autopilot (hybrider Domänenbeitritt)
Wenn Sie Benutzer in der Cloud und lokal verwalten, können Sie Workspace ONE UEM verwenden, um Ihre hybriden Domänenbeitrittskonfigurationen für Windows-Geräte mithilfe von Windows Autopilot + OOBE (Out of Box Experience) zuzuweisen.
Verwenden eines Windows Autopilot-Profils für OOBE-Registrierungen
Mit Windows Autopilot können Sie ein Profil konfigurieren, das den Domänenbeitrittstyp für Geräte angibt, die den OOBE-Prozess durchlaufen. Sie müssen ein Autopilot-Profil mit der hybriden Domänenbeitrittseinstellung in Azure konfigurieren und zuweisen. Die diesem Profil zugewiesenen Geräte durchlaufen den OOBE-Prozess und sind hybrid und in Azure AD eingebunden.
Wichtiger Hinweis: Wenn Sie kein Autopilot-Profil mit der hybriden Beitrittsspezifikation in Azure zuweisen, durchlaufen Ihre Windows-Geräte OOBE und sind in Azure AD eingebunden. Sobald Geräte in Azure AD eingebunden sind, können Sie keinen hybriden Domänenbeitritt initiieren, ohne die Geräte vollständig zurückzusetzen.
Einzelheiten zu Autopilot finden Sie unter Microsoft | Docs im Abschnitt Autopilot-Profile konfigurieren.
- Wenn Ihre Benutzer einen VPN-Client eines Drittanbieters für den Zugriff auf Ressourcen verwenden (z. B. Benutzer, die von zu Hause aus arbeiten), setzen Sie die Autopilot-Profil-Option AD-Konnektivitätsprüfung überspringen (Vorschau) auf Ja.
- Wenn Ihre Benutzer keinen VPN-Client eines Drittanbieters für den Zugriff auf Ressourcen verwenden (z. B. Benutzer, die im Unternehmensnetzwerk arbeiten), setzen Sie die Autopilot-Profil-Option AD-Konnektivitätsprüfung überspringen (Vorschau) auf Nein.
Anforderungen für die Bereitstellung der Domänenbeitrittskonfiguration
Stellen Sie vor der Bereitstellung der Domänenbeitrittskonfiguration sicher, dass die folgenden Anforderungen erfüllt sind:
- Automatische Windows-Registrierung: Konfigurieren Sie die automatische Registrierung in Azure mit Workspace ONE UEM als MDM-System (Mobile Device Management, Mobilgeräteverwaltung). Weitere Informationen finden Sie unter Konfigurieren von Workspace ONE UEM für die Verwendung von Azure AD als Identitätsdienst.
- Workspace ONE UEM: Statusverfolgungsseite für OOBE deaktivieren
- Navigieren Sie in Workspace ONE UEM zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Registrierung.
- Wählen Sie die Registerkarte Optionale Eingabeaufforderung aus.
- Wechseln Sie zum Abschnitt Windows und deaktivieren Sie Statusverfolgungsseite für OOBE aktivieren.
- Microsoft-Abonnement: Verwenden Sie eines der Microsoft-Abonnements, die die Lizenzierung von Windows Autopilot unterstützen. Öffnen Sie in Microsoft | Docs den Artikel mit der Überschrift Windows Autopilot-Lizenzierungsanforderungen.
- Windows Autopilot-Profil: Konfigurieren Sie dieses Profil in Azure, sodass Ihren Windows-Geräten die Einstellung für den hybriden Domänenbeitritt zugewiesen wird. Weitere Informationen erhalten Sie unter Microsoft | Docs im Abschnitt Autopilot-Profile konfigurieren.
- Registrieren von Geräten mit dem Autopilot-Profil: Einzelheiten zur Einrichtung von Autopilot-Geräten finden Sie unter Microsoft | Docs im Abschnitt Manuelles Registrieren von Geräten bei Windows Autopilot.
- AirWatch Cloud Connector (ACC): Verwenden Sie ACC, um den Domänenbeitritt für das lokale Active Directory in Workspace ONE UEM zu aktivieren.
- Active Directory Benutzer und Computer (ADUC): Sie benötigen das als ADUC bezeichnete MMC-Snap-In, um den lokalen Domänenbeitritt über Workspace ONE UEM zu konfigurieren.
- Bestätigen Sie, dass die automatische Windows-Registrierung mit Azure in Workspace ONE UEM konfiguriert ist.
- Bestätigen Sie, dass das Autopilot-Profil in Azure konfiguriert und zugewiesen ist, damit Geräte Azure AD beitreten, wenn hybrid, in Azure AD eingebunden aktiviert ist.
- Bestätigen Sie, dass Sie Ihre Windows-Geräte in Azure registriert und das entsprechende Autopilot-Profil für den hybriden Beitritt zugewiesen haben.
- Bestätigen Sie, dass Domänen und Organisationseinheiten in Active Directory vorhanden sind.
- Bestätigen Sie, dass Sie Verzeichnisdienste in der Workspace ONE UEM Console konfiguriert haben, wenn Sie Active Directory verwenden.
- Bestätigen Sie, dass Sie in Workspace ONE UEM Console eine Domänenbeitrittskonfiguration konfiguriert und zugewiesen haben.
Reihenfolge der Aufgaben
-
Richten Sie in Azure Ihre Autopilot-Geräte gemäß den Angaben in Microsoft | Docs ein. Derzeit umfasst dieser Prozess die folgenden Schritte.
- Registrieren der Autopilot-Geräte.
- Erstellen einer Gerätegruppe.
- Erstellen und Zuweisen eines Autopilot-Bereitstellungsprofils.
- Konfigurieren Sie den lokalen Domänenbeitritt in ADUC, ACC und Workspace ONE UEM.
- Konfigurieren Sie in ADUC ein Benutzerkonto mit Delegierungsberechtigungen für Windows Server, erstellen Sie eine benutzerdefinierte Delegierungsaufgabe und konfigurieren Sie die Berechtigungen.
- Aktualisieren Sie in ACC den AirWatch Cloud Connector-Dienst, um sich mit dem in ADUC erstellten Benutzerkonto anzumelden, und fügen Sie dem ACC-Ordner Schreibberechtigungen hinzu.
- Erstellen Sie in Workspace ONE UEM eine Domänenbeitrittskonfiguration für das lokale Active Directory.
- Geben Sie in Workspace ONE UEM die Informationen zur Organisationseinheit an, indem Sie einzelne oder mehrere Zuweisungen für die Domänenbeitrittskonfiguration erstellen.
Konfigurieren der Autopilot-Geräte
Konfigurieren Sie in Azure Ihre Autopilot-Geräte gemäß der Microsoft-Dokumentation. Derzeit umfasst dieser Prozess die folgenden Schritte.
- Erstellen einer Gerätegruppe.
- Registrieren der Autopilot-Geräte.
- Erstellen und Zuweisen eines Autopilot-Bereitstellungsprofils.
Konfigurieren des lokalen Domänenbeitritts
In den folgenden Schritten wird beschrieben, wie Sie eine Domänenbeitrittskonfiguration in Workspace ONE UEM konfigurieren und zuweisen. Mit diesen Schritten kann ein Gerät bei der Registrierung bei Workspace ONE einer lokalen Domäne beitreten. Wenn Geräte in Verbindung mit dem Autopilot-Profil für einen hybriden Beitritt konfiguriert sind, durchlaufen sie den OOBE-Prozess, um Azure AD als hybrid, in Azure AD eingebunden beizutreten. Wenn Sie alle Anforderungen und Voraussetzungen für den hybriden Domänenbeitritt erfüllt haben, haben Sie damit auch alle Anforderungen für den lokalen Domänenbeitritt erfüllt, sodass Sie mit der Einrichtung des lokalen Domänenbeitritts weitermachen können. Beginnen Sie bei Schritt eins: ADUC konfigurieren im Abschnitt Lokaler Domänenbeitritt.
Zusätzliche Anforderungen für lokalen Domänenbeitritt
Wenn Sie Active Directory zum Verwalten von Benutzern verwenden, können Sie mit Workspace ONE UEM Ihre lokalen Domänenbeitrittskonfigurationen zuweisen. Bestätigen Sie, dass die folgenden Anforderungen erfüllt wurden, bevor Sie beginnen:
- AirWatch Cloud Connector (ACC): Verwenden Sie ACC, um den Domänenbeitritt für das lokale Active Directory zu konfigurieren.
- Active Directory Benutzer und Computer (ADUC): Sie benötigen das als ADUC bezeichnete MMC-Snap-In, um den lokalen Domänenbeitritt zu konfigurieren. Dieses Snap-In ist Teil der Remoteserver-Verwaltungstools (RSAT). Die aktuelle Dokumentation für Windows Server finden Sie unter Microsoft | Docs.
- Sie haben Domänen und Organisationseinheiten in Ihrer Domäne in Azure festgelegt.
- Sie haben Verzeichnisdienste in der Workspace ONE UEM Console konfiguriert, wenn Sie Active Directory verwenden. Weitere Informationen zum Konfigurieren von Verzeichnisdiensten finden Sie unter Integration von Workspace ONE UEM mit Ihren Verzeichnisdiensten
Reihenfolge der Aufgaben
- Konfigurieren Sie in ADUC ein Benutzerkonto mit Delegierungsberechtigungen für Windows Server, erstellen Sie eine benutzerdefinierte Delegierungsaufgabe und konfigurieren Sie die Berechtigungen.
- Aktualisieren Sie in ACC die Anmeldung mit dem in ADUC erstellten Benutzerkonto und fügen Sie Schreibberechtigungen hinzu. Stellen Sie sicher, dass der Benutzer auch über lokale Administratorberechtigungen auf dem ACC-Server verfügt, um den Dienst erfolgreich starten zu können.
- Erstellen Sie in Workspace ONE UEM eine Domänenbeitrittskonfiguration für das lokale Active Directory.
- Geben Sie in Workspace ONE UEM die Informationen zur Organisationseinheit an, indem Sie einzelne oder mehrere Zuweisungen für die Domänenbeitrittskonfiguration erstellen.
Konfigurieren der Active Directory Users and Computers (ADUC)
Wählen Sie in ADUC den Benutzer mit Delegierungsberechtigungen für Windows Server aus, erstellen Sie eine benutzerdefinierte Delegierungsaufgabe, und konfigurieren Sie die Berechtigungen.
- Klicken Sie mit der rechten Maustaste auf den Container oder Ordner, in dem Sie Geräte hinzufügen möchten, und wählen Sie Objektverwaltung zuweisen. Diese Auswahl zeigt den Assistenten zum Zuweisen der Objektverwaltung an.
- Wählen Sie Weiter im Assistenten zum Zuweisen der Objektverwaltung.
- Wählen Sie im Fenster Benutzer oder Gruppen den Benutzer mit den Delegierungsberechtigungen für Windows Server in der Liste aus, und wählen Sie Hinzufügen und dann Weiter. Wenn dieses Benutzerkonto kein Mitglied der GruppeDomänenadministrator ist, erhöhen Sie den Standardwert für die Erstellung des Computerkontos (ms-ds-machine-account-quota) vom Standardwert 10, um Fehler nach dem Hinzufügen von 10 Geräten zur Domäne zu vermeiden.
-
Wählen Sie im Fenster Zuzuweisende Aufgaben die Option Benutzerdefinierte Aufgaben zum Zuweisen erstellen und dann Weiter.
-
Wählen Sie im Fenster Active Directory-Objekttyp die Optionen Nur die folgenden Objekte im Order:, Computerobjekte und Ausgewählte Objekte in diesem Ordner erstellen aus und wählen Sie dann Weiter.
-
Wählen Sie im Fenster Berechtigungen die Optionen Allgemein, Erstellen/Löschen spezieller untergeordneter Objekte, Schreiben und Alle untergeordneten Objekte erstellen aus und gehen Sie dann auf Weiter.
Konfigurieren von AirWatch Cloud Connector (ACC)
Aktualisieren Sie die Anmeldung und fügen Sie dem Benutzer, der in ADUC bearbeitet wurde, Schreibberechtigungen für ACC hinzu, um eine benutzerdefinierte Aufgabe zu delegieren.
- Ändern Sie die Einstellung unter Anmelden als für den ACC auf den Benutzer, dem die Delegierungsberechtigungen für Windows Server zugewiesen wurden.
Hinweis: Stellen Sie sicher, dass der Benutzer auch über lokale Administratorberechtigungen auf dem ACC-Server verfügt, um den Dienst erfolgreich starten zu können.
- In dem Bereich Erweiterte Sicherheitseinstellungen der ACC, weisen Sie dem Benutzer für den ACC-Ordner SCHREIB-Berechtigungen unter
<Drive>:\VMware\AirWatch\CloudConnector
.
Erstellen eines lokalen Domänenbeitritts
Stellen Sie eine Domänenbeitrittskonfiguration in Workspace ONE UEM für registrierte Windows-Geräte bereit, die Active Directory-Anmeldedaten für den Zugriff auf Ressourcen verwenden.
- Navigieren Sie in der Workspace ONE UEM Console zu Gruppen und Einstellungen > Konfigurationen und wählen Sie Domänenbeitritt aus der Liste aus.
- Wählen Sie Hinzufügen.
- Geben Sie einen aussagekräftigen Eintrag in das Feld Name ein, damit Sie den Domänenbeitritt erkennen können. Beispiel: Folgen die Benutzer und Computers in Ihrem Active Directory einer geographischen Regelmäßigkeit, können Sie
Acme - South America
eingeben. Dieser Eintrag muss nicht mit Einstellungen in Active Directory übereinstimmen, aber die Verwendung ähnlicher Muster auf beiden Systemen kann bei der Organisation Ihrer Geräte in Ihrer Domäne hilfreich sein.
- Wählen Sie Lokales Active Directory für den Domänenbeitrittstyp aus.
- Sehen Sie sich den Domänennamen an. Die Konfigurationsseite für den Domänenbeitritt gibt den Namen des Servers an, der auf der Seite Verzeichnisdienste konfiguriert ist. Die Konfiguration der Workspace ONE UEM-Verzeichnisdienste lässt einen Server für Verzeichnisdienste zu, sodass dieses Feld automatisch ausgefüllt wird. Navigieren Sie zu den Einstellungen für Verzeichnisdienste in Gruppen und Einstellungen > Alle Einstellungen > System > Enterprise Integration > Verzeichnisdienste.
Hinweis: Wenn Sie den Eintrag Server auf der Seite Verzeichnisdienste ändern möchten, müssen Sie das Menüelement DNS SRV zu Deaktivieren ändern.
- Wählen Sie den domänenfreundlichen Namen. Die Konfigurationsseite für den Domänenbeitritt bietet Ihnen eine Liste der verfügbaren freundlichen Namen, die der Domänenliste für Ihren Verzeichnisdienstserver auf der Seite Verzeichnisdienste hinzugefügt werden. Navigieren Sie zu den Verzeichnisdiensten in Gruppen und Einstellungen > Alle Einstellungen > System > Enterprise Integration > Verzeichnisdienste.
- Geben Sie das bevorzugte Format für den Maschinennamens in das Feld Format des Maschinennamens ein. Verwenden Sie ein unterstütztes Format für Ihren Maschinennamen. Der Tooltip gibt die akzeptierten Formate an. Workspace ONE UEM verwendet bis zu 15 Zeichen des Formats
%SERIAL%
oder %RAND:[#]%
.
- Speichern Sie die Konfiguration des Domänenbeitritts, um sie später zuzuweisen, oder wählen Sie jetzt Speichern und zuweisen.
Zuweisen einer Konfiguration für den Domänenbeitritt
Nachfolgend finden Sie die Schritte zum Zuweisen Ihrer Domänenbeitrittskonfiguration:
- Navigieren Sie in Workspace ONE UEM Console zu einer Zuweisungsseite, indem Sie unter Gruppen und Einstellungen > Konfigurationen aus der Listenansicht für den Domänenbeitritt Zuweisen auswählen und dann Domänenbeitritt wählen. Dieses Konfigurationsfenster wird angezeigt, wenn Sie Speichern und zuweisen für die Konfiguration des Domänenbeitritts auswählen.
- Wählen Sie die Domänenbeitrittskonfiguration aus, wenn sie nicht bereits ausgefüllt ist.
-
Fügen Sie einen Zuweisungsname hinzu, der für Sie einen Sinn hat und Ihnen bei der Identifizierung der Zuweisung hilft. Der Eintrag muss nicht mit einer Einstellung in Active Directory übereinstimmen.
-
Suchen Sie nach Organisationseinheiten, die in ihren Geräteeinstellungen konfiguriert sind, und wählen Sie nur eine Organisationseinheit aus.
-
Suchen und wählen Sie Smartgroups aus, die in Workspace ONE UEM konfiguriert sind. Sie können eine Smartgroup lediglich einer Organisationseinheit zuweisen. Wenn Sie versuchen, eine Smartgroup auszuwählen, der bereits einer Organisationseinheit zugewiesen ist, zeigt die Konsole eine Fehlermeldung mit Informationen an, sodass Sie eine Fehlerbehebung durchführen und entscheiden können, welche Smartgroups mit Ihrem aktuellen Bereitstellungsszenario verwendet werden sollen.
- Erstellen und speichern Sie Ihre Zuweisung.
Hinweis: Die Konfiguration des Domänenbeitritts für ein Gerät wird während des Registrierungsprozesses ausgewertet und angewendet. Sobald ein Gerät eine Konfiguration für den Domänenbeitritt erhalten hat, können Sie es nicht mehr aktualisieren, indem Sie die zugewiesenen Smartgroups in Workspace ONE UEM ändern. Workspace ONE UEM stellt dem Gerät nur einmal während der Registrierung die Domänenbeitrittskonfiguration bereit.
Konflikt zwischen Computern in Active Directory (AD) und OU/Smartgroups
Sie können Konfigurationen für den Domänenbeitritt mehrere Zuweisungen hinzufügen, müssen jedoch die Flexibilität von Smartgroups berücksichtigen. Da Smartgroups flexibel sind, ist es möglich, dass Sie ein Gerät in mehreren Zuweisungen für eine Domänenbeitrittskonfiguration verwenden können. Dieses Szenario bedeutet, dass das Gerät auch mehreren Organisationseinheiten zugewiesen ist, was nicht zulässig ist. Wenn die Konsole feststellt, dass sich ein Gerät in mehreren Zuweisungen für eine Domänenbeitrittskonfiguration befindet, versetzt es dieses Gerät in den Container des Computers in Active Directory. Sie können zu ADUC navigieren und das Gerät in die gewünschte Organisationseinheit verschieben. Das Gerät erhält die Domänenbeitrittskonfiguration, die der Zuweisung für die Organisationseinheit entspricht.
Konfigurieren eines Arbeitsgruppenbeitritts in Workspace ONE UEM.
Wenn Sie Benutzer haben, die ein lokales Konto für den Zugriff auf ihre Windows-Geräte und -Ressourcen verwenden, müssen Sie einen Arbeitsgruppenbeitritt in Workspace ONE UEM konfigurieren. Erstellen Sie zuerst in Workspace ONE UEM eine Domänenbeitrittskonfiguration für den Arbeitsgruppenbeitritt. Geben Sie dann in Workspace ONE UEM den Namen der Arbeitsgruppe, das Format des Maschinennamens und die lokalen Benutzereinstellungen an und weisen Sie die Konfiguration dann einer Smartgroup zu.
Erstellen eines Domänenbeitritts für Arbeitsgruppen in Workspace ONE UEM
Stellen Sie anhand der folgenden Schritte eine Domänenbeitrittskonfiguration in Workspace ONE UEM für registrierte Windows Desktop-Geräte bereit, die lokale Konten für den Zugriff auf Ressourcen verwenden:
- Navigieren Sie über die Workspace ONE UEM Console zu Gruppen und Einstellungen > Konfigurationen und wählen Sie Domänenbeitritt aus der Liste aus.
- Wählen Sie Hinzufügen.
- Geben Sie einen aussagekräftigen Eintrag in das Feld Name ein, damit Sie den Domänenbeitritt erkennen können. Beispiel: Folgen die Benutzer und Computers in Ihrem Active Directory einer geographischen Regelmäßigkeit, können Sie
Acme - South America
eingeben. Dieser Eintrag muss nicht mit Einstellungen in Active Directory übereinstimmen, aber die Verwendung ähnlicher Muster auf beiden Systemen kann bei der Organisation Ihrer Geräte in Ihrer Domäne hilfreich sein.
- Wählen Sie Arbeitsgruppe für den Domänenbeitritt.
- Geben Sie einen Namen für die Arbeitsgruppe ein. Der Eintrag hilft Ihnen bei der Organisation und Bestimmung der Arbeitsgruppe in Workspace ONE UEM Console.
- Geben Sie das Format für den Maschinennamen in das Feld Format des Maschinennamens ein. Verwenden Sie ein unterstütztes Format für Ihren Maschinennamen. Die Tooltip bestimmt die unterstützten Formate in der Benutzeroberfläche. Verwenden Sie genau 15 Zeichen im Format
%SERIAL%
oder %RAND:[#]%
.
- Wenn Sie den lokalen Benutzer für den Domänenbeitritt jetzt erstellen möchten, aktivieren Sie Lokalen Benutzer erstellen.
- Wenn Sie dem lokalen Benutzer Administratorrechte geben möchten, aktivieren Sie Zum Administrator machen. Administratoren verfügen über Berechtigungen wie die Möglichkeit zur Deregistrierung von Geräten oder Deinstallation von Systemanwendungen.
- Geben Sie einen lokalen Benutzernamen und ein lokales Benutzerkennwort ein, über die der Gerätebenutzer mit dieser Konfiguration für den Domänenzugriff auf das Gerät zugreifen kann. Teilen Sie Ihren Benutzern den Benutzernamen und das Kennwort mit.
- Speichern Sie die Konfiguration des Domänenbeitritts, um sie später zuzuweisen, oder wählen Sie jetzt Speichern und zuweisen aus.
Zuweisen einer Konfiguration für den Domänenbeitritt
- Gehen Sie in Workspace ONE UEM Console zu einer Zuweisungsseite, indem Sie unter Gruppen und Einstellungen > Konfigurationen aus der Listenansicht für den Domänenbeitritt Zuweisen auswählen und dann Domänenbeitritt wählen. Dieses Konfigurationsfenster wird angezeigt, wenn Sie Speichern und zuweisen für die Konfiguration des Domänenbeitritts auswählen.
- Wählen Sie die Domänenbeitrittskonfiguration aus, wenn sie nicht bereits ausgefüllt ist.
- Fügen Sie einen Zuweisungsname hinzu, der für Sie einen Sinn hat und Ihnen bei der Identifizierung der Zuweisung hilft. Der Eintrag muss nicht mit einer Einstellung in Active Directory übereinstimmen.
- Suchen und wählen Sie Smartgroups aus, die in Workspace ONE UEM konfiguriert sind. Sie können eine Smartgroup nur einer Arbeitsgruppenkonfiguration zuweisen. Wenn Sie versuchen, eine Smartgroup auszuwählen, der bereits einer Arbeitsgruppenkonfiguration zugewiesen ist, zeigt die Console eine Fehlermeldung mit Informationen an, sodass Sie eine Fehlerbehebung durchführen und entscheiden können, welche Smartgroups mit Ihrem aktuellen Bereitstellungsszenario verwendet werden sollen.
- Erstellen und speichern Sie Ihre Zuweisung.