Windows Serverguide

Entra ID Hybrid Join – On-Premises AD mit Azure verbinden 2025

Geraete gleichzeitig in AD und Entra ID registrieren

S
SeeColors IT11. Juni 20264 Min. Lesezeit144 Aufrufe

Hybrid Join vs. Azure AD Join

On-Premises AD only:
+ Klassisch, bewahrt
- Kein M365 SSO
- Kein Conditional Access

Entra ID Join (vollstaendig Cloud):
+ Moderner, kein DC noetig
+ Bestes fuer neue Geraete
- Kein on-premises Zugang ohne VPN

Hybrid Join (empfohlen fuer bestehende KMU):
+ AD + Entra ID gleichzeitig
+ SSO fuer on-premises und Cloud
+ Conditional Access moeglich
+ Stufenweise Migration

Entra Connect installieren

# Microsoft Entra Connect (aka Azure AD Connect)
# Download: entra.microsoft.com/downloads

# Nach Installation: Konfigurationsassistent

# Express-Einstellungen (empfohlen fuer einzelne Forest):
# Sync: firma.local → Entra ID

# Optionen:
# Password Hash Sync: Ja (empfohlen)
# Seamless SSO: Ja
# Hybrid Join: Ja

Hybrid Join konfigurieren

# Auf Entra Connect Server:
# Azure AD Connect → Configure Hybrid Azure AD Join

# SCP (Service Connection Point) pruefen
# Automatisch von AAD Connect gesetzt:
$scp = New-Object System.DirectoryServices.DirectoryEntry
$scp.Path = "LDAP://CN=62a0ff2e-97b9-4513-943f-0d221bd30080,CN=Device Registration Configuration,CN=Services,CN=Configuration,DC=firma,DC=local"
$scp.Keywords  # Sollte TenantId enthalten!

# GPO fuer Domain Joined Computers:
# Computer Config → Admin Templates → Windows Components →
# Device Registration:
# "Register domain joined computers as devices": Enabled

Geraete-Status pruefen

# Auf Windows 10/11 Client:
dsregcmd /status

# Ausgabe pruefen:
# AzureAdJoined: YES
# DomainJoined: YES  (= Hybrid Join!)
# WorkplaceJoined: NO

# Falls Fehler:
dsregcmd /leave
gpupdate /force
# Neustart
# dsregcmd /join

# Im Entra Admin Center:
# Devices → All Devices → Filter: Join Type = Hybrid Azure AD Joined

Conditional Access fuer Hybrid Join

Entra Admin Center → Security → Conditional Access:

Policy: "Nur konforme Geraete"
  Assignments:
    Users: Alle Benutzer
    Cloud Apps: Microsoft 365
  Conditions:
    Device State: Hybrid Azure AD Joined
  Access Controls:
    Grant: Require hybrid Azure AD joined device

→ NUR Firmengerate koennen auf M365 zugreifen!
Privatgeraete werden geblockt.

FAQ

Kann Hybrid Join ohne AD Connect funktionieren?
Nein. AD Connect (oder Entra Connect-Cloud-Sync) ist erforderlich um Geraete-Objekte zu synchronisieren.

Fazit

Hybrid Join verbindet on-premises Windows-Umgebungen nahtlos mit Microsoft 365 - ein Account fuer alles, SSO und Conditional Access ohne vollstaendige Cloud-Migration.

Entra ID und Hybrid Identity fuer KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Beratung anfragen.

Artikel teilen

LinkedIn X / Twitter Facebook WhatsApp

War dieser Artikel hilfreich?

Dein Feedback hilft uns, bessere Inhalte zu erstellen.

Kommentar hinterlassen

#Azure AD#Entra ID#SSO#Hybrid Join

Verwandte Artikel

Active Directory – Fine-Grained Password Policies 2025

4 Min.

WSUS – Windows Updates zentral verwalten 2025

4 Min.

IIS – Windows Webserver mit ASP.NET konfigurieren 2025

4 Min.