4
AD bzw. AAD: Login User erstmalig ohne Verbindung zu AD
Hallo zusammen,
gegeben ist AD mit AAD Connector und Hybrid Azure AD joined Devices. Das heißt, dass alle Geräte im lokalen AD beigetreten sind. Über den Azure AD Connector gelangen Domänenbenutzer wie auch Computerkonten dann an Azure AD (demnächst Entra ID). Die Geräte melden sich danach dann auch noch direkt bei Azure AD und registrieren sich dort auch sauber. User wie auch Computer sind also sauber in AAD verfügbar.
Problemstellung:
Wir müssen oft neue Windows-Geräte an Firmenangehörige irgendwo in Deutschland bzw. weltweit versenden. Die Geräte werden vorab bei uns in die Domäne aufgenommen, mit einem zentralen User angemeldet und vorbereitet. Die Geräte sind dann auch sauber in AAD registriert.
Wenn das Gerät dann jedoch an eine Person geht, deren User noch nie an diesem Gerät angemeldet war, dann kann die Person sich dort nicht anmelden -> Keine Verbindung zur Domäne, User kann nicht validiert werden.
Die Geräte haben zu diesem Zeitpunkt Internetverbindung. Die Geräte sind zu diesem Zeitpunkt jedoch nicht an einem Firmenstandort der einen DC vorhält oder per Tunnel mit einem DC verbunden ist.
Unser Ziel/Wunsch:
Ist es nicht möglich, dass sich die Geräte zur Anmeldung eines ihnen (noch) unbekannten Users bei AAD melden um die Anmeldung zu verifizieren? So könnte wenigstens das Windows Profil sauber erstellt werden und die User könnten dann den VPN Client starten und sich mit dem Unternehmen verbinden.
Ich hoffe ihr versteht die Problematik. Hat jemand eine Idee? Alternativ: Wie geht ihr mit dem Problem um?
Gruß Philipp
gegeben ist AD mit AAD Connector und Hybrid Azure AD joined Devices. Das heißt, dass alle Geräte im lokalen AD beigetreten sind. Über den Azure AD Connector gelangen Domänenbenutzer wie auch Computerkonten dann an Azure AD (demnächst Entra ID). Die Geräte melden sich danach dann auch noch direkt bei Azure AD und registrieren sich dort auch sauber. User wie auch Computer sind also sauber in AAD verfügbar.
Problemstellung:
Wir müssen oft neue Windows-Geräte an Firmenangehörige irgendwo in Deutschland bzw. weltweit versenden. Die Geräte werden vorab bei uns in die Domäne aufgenommen, mit einem zentralen User angemeldet und vorbereitet. Die Geräte sind dann auch sauber in AAD registriert.
Wenn das Gerät dann jedoch an eine Person geht, deren User noch nie an diesem Gerät angemeldet war, dann kann die Person sich dort nicht anmelden -> Keine Verbindung zur Domäne, User kann nicht validiert werden.
Die Geräte haben zu diesem Zeitpunkt Internetverbindung. Die Geräte sind zu diesem Zeitpunkt jedoch nicht an einem Firmenstandort der einen DC vorhält oder per Tunnel mit einem DC verbunden ist.
Unser Ziel/Wunsch:
Ist es nicht möglich, dass sich die Geräte zur Anmeldung eines ihnen (noch) unbekannten Users bei AAD melden um die Anmeldung zu verifizieren? So könnte wenigstens das Windows Profil sauber erstellt werden und die User könnten dann den VPN Client starten und sich mit dem Unternehmen verbinden.
Ich hoffe ihr versteht die Problematik. Hat jemand eine Idee? Alternativ: Wie geht ihr mit dem Problem um?
Gruß Philipp
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8165877104
Url: https://administrator.de/contentid/8165877104
Printed on: April 29, 2024 at 08:04 o'clock
4 Comments
Latest comment
es wäre denkbar das man beim Rollout der Clients einen lokalen dummyuser ohne Rechte einbaut welcher sich automatisch per autologon anmeldet und damit zugriff auf den VPN Client/User Profil hat, dann Benutzer wechseln während vpn läuft.. der rest ist klar
Zitat von @user217:
es wäre denkbar das man beim Rollout der Clients einen lokalen dummyuser ohne Rechte einbaut welcher sich automatisch per autologon anmeldet und damit zugriff auf den VPN Client/User Profil hat, dann Benutzer wechseln während vpn läuft..
es wäre denkbar das man beim Rollout der Clients einen lokalen dummyuser ohne Rechte einbaut welcher sich automatisch per autologon anmeldet und damit zugriff auf den VPN Client/User Profil hat, dann Benutzer wechseln während vpn läuft..
Danke für den Vorschlag. Wäre zumindest ein Workaround.
ich weis, es ist nicht viel aber was soll man da sonst machen. Bin gespannt ob da noch was kommt
Servus,
also wenn man "richtig" machen möchte, arbeitet man mit dem Intune Device Connector (https://learn.microsoft.com/en-us/autopilot/windows-autopilot-hybrid#ins ..)
Dieser Connector wird von Intune genutzt, um einen offline-domainjoin Blob zu generieren, welcher erlaubt, dass ein Windows-Gerät der jeweiligen Domain joinen kann, ohne diese während der Einrichtung erreichen zu können.
Das ganze setzt natürlich vorraus, dass man Intune nutzt und sich dann mit seinem AAD-Account, welcher via AD Connect sychronisiert wird, anmeldet.
also wenn man "richtig" machen möchte, arbeitet man mit dem Intune Device Connector (https://learn.microsoft.com/en-us/autopilot/windows-autopilot-hybrid#ins ..)
Dieser Connector wird von Intune genutzt, um einen offline-domainjoin Blob zu generieren, welcher erlaubt, dass ein Windows-Gerät der jeweiligen Domain joinen kann, ohne diese während der Einrichtung erreichen zu können.
Das ganze setzt natürlich vorraus, dass man Intune nutzt und sich dann mit seinem AAD-Account, welcher via AD Connect sychronisiert wird, anmeldet.
1
