Azure Active Directory: Windows 10 als Cloud-System im Unternehmen betreiben

Windows 10 ist ein ideales Betriebssystem, wenn es um die Zusammenarbeit mit der Microsoft Cloud geht. Dazu arbeitet Windows 10 optimal mit Microsoft Azure, Office 365 und Microsoft Intune zusammen.

Windows 10 wurde von Microsoft auch für die Anbindung an die verschiedenen Microsoft-Clouddienste optimiert. So kann Windows 10 Enterprise zum Beispiel direkt an Microsoft Azure angebunden werden und Azure Active Directory nutzen. Auch die Verbindung zu Office 365 und Microsoft Intune lässt sich mit Windows 10 optimal umsetzen. Dazu unterstützt Windows 10 sowohl die direkte Anbindung an Microsoft Intune, als auch die Verwendung der MDM-Funktionen in Office 365.

Microsoft Azure AD (Bild: Microsoft)

Windows 10 Enterprise und Azure Active Directory/Office 365

Windows 10 Enterprise bietet die Möglichkeit, direkt im Rahmen der Installation Arbeitsstationen an Azure Active Directory anzubinden. Durch die Anbindung lassen sich zentrale Richtlinien durchsetzen, sodass Anwender auch von unterwegs auf Unternehmensressourcen zugreifen können, ohne dass ein Domänencontroller kontaktiert werden muss. Durch die Anbindung an Azure Active Directory kann ein Anwender Ressourcen aus Microsoft Azure nutzen. Die Verwaltung erfolgt über das Webportal in Microsoft Azure.

Alle Einstellungen und Verbindungen zwischen Windows 10, Cortana, Office 365 und Microsoft Azure werden im Azure-Portal vorgenommen. Hier können Administratoren zentral steuern, welche Rechner und Anwender Mitglied in Azure Active Directory werden dürfen. Anwender können auch mehrere PCs auf einmal an Azure Active Directory anmelden, zum Beispiel beim parallelen Einsatz von Arbeitsstationen, Notebook und Tablets. Für die Anbindung an Microsoft Azure ist nicht zwingend ein Administrator-Konto für Office 365 notwendig, es reicht auch ein Anwender-Konto. Administratoren können wiederum festlegen, welche Benutzer das Recht erhalten sollen PCs in Microsoft Azure aufzunehmen.

Windows 10 an Microsoft Azure anbinden

Bei der Einrichtung von Windows 10 können Administratoren den Rechner an Azure Active Directory oder eine Office 365-Domäne anbinden. Nachdem die Option ausgewählt wurde, startet ein Assistent zur Anbindung. Diese kann auch von Anwendern durchgeführt werden. Die Anbindung wird entweder bei der Installation gestartet, oder nachträglich, wenn Windows 10 gestartet ist.

Windows 10 lässt sich während der Installation direkt mit Azure Active Directory verbinden (Screenshot: Thomas Joos).Windows 10 lässt sich während der Installation direkt mit Azure Active Directory verbinden (Screenshot: Thomas Joos).

Sind in Azure Active Directory oder Office 365 Richtlinien hinterlegt, müssen Anwender deren Umsetzung auf dem Client-PC noch bestätigen, bevor eine Anbindung an Office 365 erfolgt. Erst danach wird der Rechner angebunden, und die Richtlinien automatisch umgesetzt. Das stellt sicher, dass alle Rechner über eine identische Konfiguration verfügen und die Anmeldung an Windows 10 optimal abgesichert wird. Interessant ist das vor allem für Heim-PCs, oder Rechner mit mobilen Anwendern, bei denen die Administratoren sicherstellen wollen, dass die PCs möglichst gut abgesichert sind. Die Richtlinien werden zentral über das Webportal von Microsoft Azure oder Office 365, beziehungsweise Microsoft Intune umgesetzt.

Sind in Microsoft Azure oder Office 365 Richtlinien hinterlegt, dann wendet Windows 10 die Einstellungen der Richtlinien an, zum Beispiel für die Verwendung von sicheren Kennwörtern (Screenshot: Thomas Joos).Sind in Microsoft Azure oder Office 365 Richtlinien hinterlegt, dann wendet Windows 10 die Einstellungen der Richtlinien an, zum Beispiel für die Verwendung von sicheren Kennwörtern (Screenshot: Thomas Joos).

In der Weboberfläche von Azure Active Directory legen Administratoren fest, ob Benutzer ihre eigenen Rechner in Azure Active Directory aufnehmen dürfen. Das funktioniert auch in einer Azure Active Directory-Domäne, die mit Office 365 verknüpft ist. In diesem Fall erfolgt die Anmeldung mit der E-Mail-Adresse, die der Anwender in Office 365 nutzt. Die Einstellungen dazu sind über Geräteeinstellungen zu finden, die in Azure Active Directory festgelegt worden sind. Hier lässt sich auch festlegen, welche Benutzer Administratorrechte für die angebundenen PCs erhalten sollen. Auch die notwendige mehrstufige Authentifizierung lässt sich hier aktivieren. Zusätzlich kann im Webportal festgelegt werden, wie viele Geräte ein Anwender maximal an Office 365 oder Microsoft Azure anbinden kann.

Im Webportal von Microsoft Azure Active Directory lässt sich festlegen, ob Benutzer eigene Rechner mit Windows 10 Enterprise an Azure Active Directory anbinden dürfen (Screenshot: Thomas Joos).Im Webportal von Microsoft Azure Active Directory lässt sich festlegen, ob Benutzer eigene Rechner mit Windows 10 Enterprise an Azure Active Directory anbinden dürfen (Screenshot: Thomas Joos).

Nachträgliche Anbindung von Windows 10 an Microsoft Azure

Die Anbindung an Azure AD kann auch jederzeit nachträglich über Einstellungen\System\info vorgenommen werden. Hier lassen sich die Verbindungen von Rechnern auch wieder trennen, wenn keine Anbindung an Azure Active Directory mehr zur Verfügung stehen soll.

Mit dem Link „Mit Arbeit oder Schule verbinden“ können Anwender ihren PC bei Azure Active Directory registrieren, auch nach der Installation. Hier steht auch die Schaltfläche zur Verfügung um Rechner an herkömmliche Active Directory-Umgebungen anzubinden. Allerdings muss darauf geachtet werden, dass das neue Benutzerkonten auch ein neues Profil auf dem Windows 10-Rechner erhält. Der Anwender muss also seinen Rechner neu einrichten, wenn die Konfiguration nicht automatisiert vorgenommen wurde.

In den Einstellungen von Windows 10 kann die Verbindung mit Azure AD überprüft oder hergestellt werden. Auch das Entfernen aus Azure Active Directory ist hier möglich (Screenshot: Thomas Joos).In den Einstellungen von Windows 10 kann die Verbindung mit Azure AD überprüft oder hergestellt werden. Auch das Entfernen aus Azure Active Directory ist hier möglich (Screenshot: Thomas Joos).

Die Anbindung an Azure AD muss kein Administrator des Cloud-Kontos durchführen, sondern auch Anwender können die Anbindung vornehmen, auch im laufenden Betrieb. Dazu müssen die Anwender natürlich über ein Anmeldekonto in Azure AD verfügen. Die Einrichtung wird über einen Assistenten vorgenommen. Administratoren steuern wiederum in der Weboberfläche von Microsoft Azure unter welchen Bedingungen Anwender ihre Rechner an Azure AD anbinden können. Da auch Office 365 als Anmeldegrundlage auf Azure AD setzt, können auch hier Rechner aufgenommen werden. Die Anmeldung erfolgt in diesem Fall über die E-Mail-Adresse des Anwenders.

Die Benutzer für die Anbindung von Windows 10 Enterprise an Azure Active Directory legen Administratoren über das Webportal in Microsoft Azure an oder über Office 365. Allerdings legt Office 365 im Hintergrund die Konten ebenfalls in Azure AD an. Generell unterscheidet sich das Anlegen von Benutzern in Office 365 oder Azure AD für die Aufnahme von PCs mit Windows 10 Enterprise nicht von der normalen Verwendung von Benutzern. Auch vorhandene Benutzer können ihre Rechner an Azure AD anbinden. Die Anmeldung am PC mit Windows 10 an Azure Active Directory erfolgt über die E-Mail-Adresse des Anwenders. Diese lässt sich auch in Office 365 und anderen Azure-Diensten nutzen. Der Vorteil dabei ist, dass sich Anwender nur noch einen Benutzernamen und ein Kennwort merken müssen.

Beim Anlegen von Benutzern erhalten Administratoren in Microsoft Azure ein Einmalkennwort. Dieses kann der Anwender dazu nutzen sich an Azure Active Directory anzumelden. Im Rahmen der Anmeldung muss der Anwender aber sein Kennwort ändern. Der entsprechende Assistent dazu wird von Windows 10 eingeblendet. Administratoren können in der Weboberfläche jederzeit das Kennwort ändern oder zurücksetzen.

Das Anlegen von neuen Benutzerkonten erfolgt im Webportal von Azure AD (Screenshot: Thomas Joos).Das Anlegen von neuen Benutzerkonten erfolgt im Webportal von Azure AD (Screenshot: Thomas Joos).

Die eigentliche Anmeldung an Azure Active Directory muss in Windows 10 durch den Anwender noch bestätigt werden. Windows 10 weist den Anwender auch darauf hin, dass Richtlinien auf den Rechner umgesetzt werden müssen. Durch diesen letzten Schritt wird der Rechner schließlich an Azure AD angemeldet. Will ein Anwender die Richtlinien nicht umsetzen, kann er den Vorgang jederzeit abbrechen. In diesem Fall wird der PC aber kein Mitglied an Azure AD.

Geräte in Azure AD verwalten

Die erfolgreiche Anmeldung zeigt Windows 10 im Assistenten an. Im Gegensatz zur Anmeldung an einer Active Directory-Domäne ist nach der Anbindung kein Neustart notwendig, allerdings eine erneute Anmeldung an Windows. Bei diesem Vorgang wird auch ein neues Benutzer-Profil angelegt. Im Azure-Portal sind die registrierten PCs in den Einstellungen des Benutzers zu sehen. Über den Menüpunkt Geräte sind alle angebundenen Windows 10-Rechner und deren Version zu erkennen. Hier können Administratoren einzelne Geräte auch sperren und wieder freischalten, wenn der PC nicht mehr Bestandteil von Azure AD sein soll.

Im Webportal sind die einzelnen PCs zu sehen, die Anwender an Microsoft Azure angebunden haben (Screenshot: Thomas Joos).Im Webportal sind die einzelnen PCs zu sehen, die Anwender an Microsoft Azure angebunden haben (Screenshot: Thomas Joos).

In den Einstellungen der Benutzer im Webportal kann jederzeit auch die mehrstufige Authentifizierung aktiviert werden. Das stellt sicher, dass die Anmeldung der Benutzer an Windows 10 und Azure Active Directory sicherer erfolgt, was vor allem bei mobilen Anwendern sinnvoll ist. Sobald die Authentifizierung aktiviert ist, wird diese per Richtlinie auch an die angebundenen Windows 10-Rechner umgesetzt.

Die Anwender können an ihren Heimarbeitsplätzen aber auch weiterhin mit ihrem herkömmlichen lokalen Konto oder Microsoft-Konto arbeiten. Die Anmeldung an Azure Active Directory ist als Zusatzoption möglich. Dazu kann der Anwender beim Anmelden festlegen mit welchem Benutzerkonto die Anmeldung erfolgen soll. Jedes Benutzerkonto verfügt über ein eigenes Benutzerprofil auf dem Windows 10-PC.

Office 365 Mobile Device Management

Unternehmen, die auf Office 365 setzen, können auch Mobile Device Management-Funktionen nutzen, um die Endgeräte der Anwender abzusichern und zu verwalten.  Das ist neben Smartphones und Tablets vor allem für Windows 10-PCs interessant, die an Microsoft Azure angebunden wurden. Neben Funktionen der mobilen Betriebssysteme lassen sich auch Anwendungen wie Unternehmens-Apps oder Microsoft Office-Apps verwalten. Auch Verschlüsselungsfunktionen lassen sich aktivieren. Das alles erledigen Administratoren schnell und einfach über Sicherheitsrichtlinien, die in der Weboberfläche des Office 365 Admin Centers über einen Assistenten aktiviert werden. Hier besteht auch die Möglichkeit mehrere Richtlinien zu erstellen und verschiedenen Anwendern zuzuweisen. Auch Outlook oder andere Anwendungen, die auf Office 365-Ressourcen zugreifen, lassen sich mit Office 365 MDM steuern. Dadurch lassen sich auch Windows 10-Rechner sicherer betreiben.  Auf diesem Weg können Administratoren Bedingungen festlegen, mit welchen Apps Anwender auf Office 365 zugreifen dürfen, zum Beispiel um Daten in OneDrive for Business auf einem Endgerät zu nutzen und Daten mit einem Windows 10-Rechner zu synchronisieren.

Office 365 nutzt für die Verwendung von MDM vor allem Funktionen aus Azure Active Directory und Microsoft Intune. Unternehmen müssen diese Dienste aber weder lizenzieren, noch konfigurieren. Die Lizenzierung erfolgt über das Office 365-Abonnement.

Alles was für Office 365 MDM benötigt wird, steuern Administratoren im Office 365 Admin Center. Dazu werden weder zusätzliche Konfigurationswerkzeuge, noch weitere Lizenzen benötigt. Nutzen Sie den Zugriff auf Office 365-Ressourcen mit Microsoft-Anwendungen, können diese die Richtlinie von Office 365 auslesen und ebenfalls umsetzen.

Einrichten von MDM in Office 365

Die Einrichtung von MDM in Office 365 findet über Assistenten im Office 365 Admin Center statt. In mehreren Schritten konfigurieren Sie zuerst die Cloudumgebung, und erstellen die Richtlinien. Binden Anwender ihre Endgeräte an Office 365 an, werden die Richtlinien automatisiert übertragen, der Anwender muss sein Gerät dazu aber registrieren und der Verwendung der Richtlinien zustimmen, wenn es sich um sein privates Gerät handelt. Verweigern Anwender die Umsetzung der Richtlinie auf einzelnen Geräten, erhalten diese auch keine Anbindung an Office 365.

MDM muss im entsprechenden Abonnement erst aktiviert werden. Standardmäßig sind die Funktionen nicht aktiv. Die Aktivierung erfolgt im  Office 365 Admin Center im Administratorbereich zur Verwaltung der mobilen Geräte. Sobald MDM einsatzbereit ist, lassen sich Geräterichtlinien erstellen, die wiederum den Anwendern zugewiesen werden. Die Richtlinie und deren Einstellungen werden umgesetzt, wenn die Richtlinie einer Benutzergruppe zugewiesen ist, die Benutzergruppen Mitglieder enthält, und sich Anwender an Office 365 MDM mit ihrem Endgerät anmelden.

Secure Productive Enterprise – Cloud und Windows im Paket erwerben

Zusammen mit dem Anniversary Update hat Microsoft auch die Lizenzierungsform „Secure Productive Enterprise“ eingeführt. Diese ersetzt die „Enterprise Cloud Suite“. Unternehmen sollen dadurch in die Lage versetzt werden Windows 10, Office 365 und die Enterprise Mobility + Security Suite gemeinsam zu lizenzieren. Die Enterprise Mobility + Security Suite ist die neue Version der Enterprise Mobility Suite. Mehr zur neuen Suite ist in einem Blogbeitrag der Entwickler in der TechNet zu lesen. Bei dieser Sicherheitslösung können sich Windows 10 Enterprise-Rechner direkt an Azure Active Directory anmelden. Die Überwachung und zentrale Steuerung der Arbeitsstationen werden mit Microsoft Intune vorgenommen. Beide Dienste gehören zur Enterprise Mobility + Security Suite.

Hier wird zwischen der herkömmlichen Version Windows 10 Enterprise E3 und der erweiterten Version Windows 10 Enterprise E5 unterschieden. Das sind auch die neuen Namen von Windows 10 Enterprise mit Anniversary Update für Abonnenten. Das Lizenzpaket “Secure Productive Enterprise E5” enthält Office 365 E5, Enterprise Mobility + Security Suite E5 und Windows 10 Enterprise E5. Die E5-Version von Windows 10 Enterprise verfügt zum Beispiel auch über die Anbindung an Windows Defender Advanced Threat Protection (ATP). Diese Anbindung fehlt der E3-Variante, kann aber dazu gebucht werden.

Azure testen und buchen

Um die Anbindung an Microsoft Azure und andere Dienste in Microsoft Azure zu verwenden, müssen sich Administratoren für ein Microsoft Azure-Konto registrieren. Hier besteht die Möglichkeit Microsoft Azure 30 Tage lang nahezu uneingeschränkt kostenlos nutzen. Außerdem erhalten Unternehmen eine Gutschrift in Höhe von 170 Euro für den Start. Beim Anlegen einer Testumgebung es am sinnvollsten, wenn zuvor noch ein kostenloses Microsoft-Konto angelegt wird. Wenn der Test-Zeitraum in Microsoft Azure abgelaufen ist, kann ein ein weiteres kostenloses Test-Konto verwendet werden und so Azure erneut getestet werden. Einen kleinen Überblick gibt Microsoft auf der Webseite von Microsoft Azure.

Fazit

Unternehmen, die parallel zu lokalen Servern auch auf Clouddienste von Microsoft setzen, vor allem Microsoft Azure und Office 365, profitieren von den Möglichkeiten, die Windows 10 bezüglich der Anbindung an Microsoft Azure, Office 365 und Microsoft Intune bietet. Mit Clouddiensten lässt sich das Betriebssystem umfassend mit Ressourcen versorgen.

Themenseiten: Microsoft, Microsoft Azure, Windows Server 2016

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Azure Active Directory: Windows 10 als Cloud-System im Unternehmen betreiben

Kommentar hinzufügen
  • Am 3. April 2019 um 11:36 von Eric

    Hallo Thomas,

    vielen Dank für deinen tollen Artikel.
    Er ist ja nun schon ein paar Tage alt, trotzdem eine Frage hierzu:

    Du schreibst: „Office 365 nutzt für die Verwendung von MDM vor allem Funktionen aus Azure Active Directory und Microsoft Intune. Unternehmen müssen diese Dienste aber weder lizenzieren, noch konfigurieren. Die Lizenzierung erfolgt über das Office 365-Abonnement.“

    Wenn ich jetzt „nur“ O365 Business habe, kann ich trotzdem auf MDM- bzw- Intune-Funktionalitäten zugreifen? Wo genau befindet sich der Punkt zur Aktivierung im O365 Admin? Oder wurde das mittlerweile von Microsoft geändert und diese Dienste stehen erst mit „Microsoft 365 Business“ zur Verfügung?

    Viele Grüße
    Eric

  • Am 4. April 2019 um 8:46 von Thomas Joos

    Hallo Eric,

    Microsoft ändert ständig seine Produkt und Lizenzierungs-Politik.
    In diesem Beitrag werden weitgehend alle Fragen beantwortet:
    https://bit.ly/2uMsByy
    Gruss
    Thomas Joos

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *