Windows 10 einer Domäne beitreten: Arbeitsplatz vs. Hybrid vs. Azure AD

Domänen-verbundene Geräte

Geräte, die auf diese Weise verwaltet werden, sind traditionell lokal in einer Domäne eingebundene Geräte. Diese Maschinen verlassen sich auf die lokale Infrastruktur des Unternehmens, um Anwendungen, Identitäten und Verwaltung bereitzustellen. Eine domänengebundene Umgebung bedeutet:

• Geräte sind über das lokale Active Directory des Unternehmens in der Windows 10-Domäne eingebunden.
• Benutzer können sich standardmäßig auf jedem Gerät im Unternehmen anmelden.
• Ein in die Domäne eingeloggter Benutzer hat Single Sign-On (SSO)-Zugriff auf lokale Anwendungen und Ressourcen.
• Wenn Geräte das Unternehmensnetzwerk verlassen, ist ein VPN erforderlich, um auf lokale Dienste zuzugreifen.

Das klassische Modell der Domänenbindung ist das, was die meisten Organisationen nutzen, und es funktioniert unter den meisten Umständen gut. Natürlich erfordert das Abrufen von Gruppenrichtlinieneinstellungen das Einbinden in die Domäne; aber GPOs werden auch über ein VPN heruntergeladen, wenn sich das Endgerät außerhalb des Netzwerks befindet.

Im Screenshot ist der Befehl „dsregcmd /status“ zu sehen, der folgenden Status anzeigt:

• AzureAdJoined = Nein
• DomainJoined = Ja

Wenn Sie diese genaue Kombination sehen, ist das Gerät rein domänengebunden, ohne Beteiligung von Azure oder anderen Cloud-Diensten.

Einige der Vorteile der traditionellen Domänenumgebung sind:

• Kann sehr kosteneffektiv sein, da Lizenzen in der Regel dauerhaft sind.
• Einfacher Support und viele Fachleute sind mit der traditionellen Domäne sehr vertraut.
• Einfaches Management der Endgeräte ab Werk.

Einige der Nachteile einer traditionellen Domänenumgebung sind jedoch:

• Der Zugriff auf Anwendungen außerhalb der Umgebung erfordert in der Regel ein VPN.
• Ein Hardware-Aktualisierungszyklus für Server muss aufrechterhalten werden.
• Es können hohe Investitionsausgaben erforderlich sein.

Arbeitsplatzgebundene Geräte

Ein arbeitsplatzgebundenes Gerät ermöglicht es Benutzern, auf Unternehmens-Cloud-Ressourcen zuzugreifen, mit oder ohne Mobile Device Management (MDM). Die Grundidee hinter dem Arbeitsplatzbeitritt ist, dass ein Benutzer mit seinem eigenen Laptop ins Büro kommt und von Ihnen, dem IT-Admin, einige Anmeldedaten erhält. Einmal arbeitsplatzgebunden, hat der Benutzer über SSO Zugriff auf die spezifischen Webanwendungen des Unternehmens.

Beispielsweise funktioniert dieses Szenario perfekt, wenn Sie einige saisonale, freiberufliche Vertriebsmitarbeiter einstellen möchten. Sie kommen mit ihren Laptops und Sie übergeben ihnen ihre Anmeldedaten. Sie führen ihren eigenen „Arbeitsplatzbeitritt“ durch. Unmittelbar danach können sie Ihre Vertriebsanwendung mit ihren Anmeldedaten nutzen. Wenn Sie sich von ihnen verabschieden, deaktivieren Sie ihr Konto, und sie verlieren ihren Zugriff.

Einige der Hauptmerkmale des Arbeitsplatzbeitritts umfassen:

• Das Gerät ist nicht in die Unternehmensdomäne eingebunden und gehört in der Regel dem Benutzer. Dies könnte ein BYOD-Szenario (Bring Your Own Device), ein Student, der seinen eigenen Laptop auf den Campus bringt, ein temporärer Auftragnehmer oder ein anderer Zeitarbeiter sein.
• Der Zustand des Arbeitsplatzbeitritts ist spezifisch für den aktuell angemeldeten Benutzer.
• Der Benutzer meldet sich mit seinem Microsoft-Konto oder einem lokalen Konto auf dem Gerät an.
• Der Benutzer hat in dieser Anmeldesitzung SSO-Zugriff auf Cloud-Ressourcen; verschiedene Benutzerkonten auf demselben Gerät haben keinen SSO-Zugriff.
• MDM ist optional für den Benutzer. Der Benutzer kann auf einige MDM-Funktionen verzichten, was den Zugriff auf Ressourcen einschränken kann.

Diese Punkte werden im untenstehenden Screenshot veranschaulicht.

Der Arbeitsplatzbeitritt ist eine gute Option für Unternehmen, die Mitarbeiter haben, die von zu Hause aus arbeiten, oder die eine Basis von externen Auftragnehmern haben, denen keine Firmengeräte zur Verfügung gestellt werden. In diesen Fällen können Sie deren Gerät nicht wirklich verwalten (und würden es wahrscheinlich auch nicht wollen), aber Sie können den Zugriff auf Webanwendungen gewähren oder entziehen (denken Sie an Salesforce, Box usw.).

In der Konsole sind die „dsregcmd /status“-Flags zu sehen:

• AzureAdJoined = Nein
• DomainJoined = Nein
• WorkplaceJoined = Ja

Einige der Vorteile des Arbeitsplatzbeitritts:

• Minimale Firmengeräte erforderlich
• Einfacher Zugriff auf Unternehmensanwendungen und -daten
• Wenig Schulung erforderlich

Einige der Nachteile des Arbeitsplatzbeitritts:

• Begrenzte Kontrolle über die Endgeräte der Benutzer
• IT muss sich möglicherweise mit Geräten befassen, die sich nicht in einem gewünschten Zustand befinden
• Beschwerden oder Ablehnung durch Endbenutzer aufgrund des Zugriffs des Unternehmens auf das Gerät

Hybrid-verbundene Geräte (Domänen- und Azure AD-verbunden)

Das hybride Azure AD-Beitrittsmodell ist eine Konfiguration, zu der viele Organisationen übergehen, bei der die Geräte sowohl in die lokale Active Directory-Domäne des Unternehmens als auch in das Azure AD-Mandant eingebunden sind. Hybrid-gebundene Umgebungen haben die folgenden Merkmale:

• Das Gerät ist sowohl mit der lokalen Domäne des Unternehmens als auch mit der Azure AD-Cloud verbunden.
• Standardmäßig kann sich jeder Domänenbenutzer auf jedem Gerät anmelden.
• Der angemeldete Benutzer hat SSO-Zugriff auf Cloud- und lokale Anwendungen.
• Das Gerät kann sowohl über Cloud-Dienste als auch über lokale Domänendienste verwaltet werden.
• Wenn sich ein Gerät außerhalb des Unternehmensnetzwerks befindet, kann es weiterhin auf Cloud-Dienste zugreifen, und der Administrator kann das Gerät weiterhin über Cloud-Dienste verwalten.
• Das Gerät benötigt weiterhin ein VPN, um auf lokal gehostete Dienste zuzugreifen.
• Das VPN kann eine cloudbasierte VPN-Lösung sein.

Viele Organisationen wechseln zum hybriden Modell, unterstützen klassische lokale Anwendungen und übernehmen gleichzeitig mehr Cloud-Anwendungen und -Lösungen. Ein zu schneller Übergang zu diesem Modell könnte jedoch ein Fehler sein, da Sie, sobald Sie ein Gerät hybrid verbinden, dies nicht rückgängig machen können.

In der Konsole sind die „dsregcmd /status“-Flags zu sehen:

• AzureAdJoined = Ja
• DomainJoined = Ja

Einige der Vorteile der Nutzung von Hybrid-Beitritt:

• Geräte und Benutzer können SSO auf On-Premise- und Cloud-Anwendungen haben
• Geräte können sowohl von Cloud-Diensten als auch von traditionellen AD-Management-Tools wie Gruppenrichtlinien profitieren
• Zugriff auf leistungsstarke Protokollierungs- und Berichtstools, die nativ in Azure vorhanden sind, wie Desktop Analytics oder Windows Update Compliance, ohne SCCM

Einige der Nachteile des Hybrid-Beitritts:

• Erhöhte Kosten und Wartung der traditionellen Domänenumgebung sowie der Azure-Cloud-Umgebung
• Der Zugriff auf lokale Ressourcen erfordert weiterhin die Nutzung eines VPNs oder eines Remote-Zugriffstools
• Erhöhter administrativer Aufwand und mehr Komplikationen bei der Bereitstellung und Unterstützung

Azure AD-verbundene Geräte

Im letzten Screenshot unten sollte ein besonderes Stichwort beachtet werden: „North Star“. Dieser Ausdruck ist ein interner Schlachtruf bei Microsoft, der den finalen empfohlenen Zustand für Kunden ausdrückt. Mit anderen Worten: Wenn alle Dinge gleich sind, ist dies die Art und Weise, wie Microsoft möchte, dass Sie Ihre Welt gestalten.

Azure AD-verbundene Windows 10-Geräte verbinden sich direkt mit der Cloud des Unternehmens, ohne lokale Infrastruktur. Die Umgebung hat folgende Merkmale:

• Auflösung der letzten lokalen Domänencontroller.
• Globaler Status des Geräts, das gesamte Gerät ist direkt mit der Cloud verbunden.
• Standardmäßig kann sich jeder Benutzer auf dem Gerät anmelden.
• Ein angemeldeter Cloud-Benutzer hat SSO-Zugriff auf Cloud-Ressourcen auf diesem Gerät.
• Cloud-Dienste verwalten das Gerät.
• Grundsätzlich ist alles in der Cloud: die Management-Plattform, die Geräteanmeldung und die Admin-Konsole.

Wenn Sie die Flexibilität wünschen, in Zukunft eine solche reine Cloud-Umgebung zu haben, sollten Sie dies jetzt planen. Wie ich im vorherigen Abschnitt erwähnt habe, gibt es, sobald Sie ein Gerät hybrid verbunden haben (d. h. es sowohl mit Azure AD als auch mit der lokalen AD verbunden haben), absolut keine Möglichkeit, das Gerät wieder in einen Zustand zu versetzen, in dem es nur mit Azure AD verbunden ist, ohne das Gerät vollständig neu zu formatieren.

Einige der Vorteile der Nutzung von Azure AD-Beitritt:

• Sehr flexible Cloud-Bereitstellung, keine Einschränkungen durch traditionelle On-Premise-Systeme und geringe oder keine Investitionsausgaben
• Zugriff auf Daten und Anwendungen von überall ohne erforderliche VPNs
• Verwaltung der Umgebung von überall mit Cloud-Tools wie Intune

Einige der Nachteile des Azure AD-Beitritts:

• Obwohl keine anfänglichen Serverkosten anfallen, können die monatlichen Cloud-Kosten überraschend sein und sollten genau überwacht werden
• Cutting-Edge-Cloud-Bereitstellungen können eingeschränkten oder spezialisierteren Support erfordern

Fazit

Mit der Weiterentwicklung der Cloud-Technologie haben Administratoren viel mehr Optionen, um ihre Endgeräte zu verwalten. Administratoren haben nun Zugriff auf die traditionellen Verwaltungslösungen, die bei On-Premise-Installationen, Active Directory und Gruppenrichtlinien enthalten sind, können aber auch Geräte verwalten und Anwendungen aus der Cloud auf Geräte an jedem Standort mit Azure AD und Intune bereitstellen sowie sicher Anwendungen und Ressourcenzugriff auf Geräte liefern, die nicht dem Unternehmen gehören. Zusätzlich können Sie PolicyPak in On-Prem, hybride oder rein Cloud-basierte Bereitstellungen einbringen, um Superkräfte zu erhalten, die Sie mit Gruppenrichtlinien, Intune oder einem anderen MDM nicht bekommen können.

‍