Neulich stellte ein Teilnehmer in meinem Azure-Hybrid-Kurs die nicht uninteressante Frage, worin der Unterschied besteht zischen einem mit „Gerätezurückschreiben“ konfigurierten Entra-Joined-Device und einem Hybrid-Joined Device?
Natürlich handelt es sich hierbei um zwei technisch völlig unterschiedliche Themen und das war auch dem Teilnehmer klar. Diese zwei Themen in Zusammenhang zu bringen, liegt aber insofern nicht ganz fern, da ein Gerät in beiden Fällen je eine eine Identität im ADDS und im Entra ID hat, was mir die Gelegenheit bietet, kurz das Gerätezurückschreiben zu erklären:
Das „Gerätezurückschreiben“ (Device Writeback) ist eine Funktion in „Microsoft Entra ID Connect“, mit der Geräteinformationen aus der Cloud (Microsoft Entra ID) zurück in das lokale Active Directory (AD) geschrieben werden können.
Wenn ein Gerät (z. B. ein Windows-PC) in Microsoft Entra ID eingebunden (Entra-Joined) ist, kann diese Registrierung durch das Gerätezurückschreiben auch im lokalen AD (Active Directory Domain Services) als Gerät sichtbar gemacht werden. Das ist besonders nützlich in hybriden Umgebungen, in denen sowohl lokale als auch cloudbasierte Ressourcen genutzt werden.
Wofür braucht man das und wie wird die Funktion aktiviert?
Das Gerätezurückschreiben bietet sich in folgenden Szenarien an:
- Windows Hello for Business: Ermöglicht Ihnen die Nutzung von Zertifikatvertrauensstellungen in hybriden Bereitstellungen.
- Bedingter Zugriff auf lokale Anwendungen: Wenn Sie z. B. ADFS (Active Directory Federation Services) verwenden, können Sie den Zugriff auf Anwendungen auf solche Geräte beschränken.
- Die Funktion ist auch nützlich, wenn Sie cloud-native Geräte (z. B. via Autopilot bereitgestellt) haben, aber lokale Dienste benötigen, die ein AD-Computerobjekt erfordern.
Außerdem bietet das Feature Sicherheitsvorteile, weil dann nur vertrauenswürdige Geräte Zugriff auf bestimmte Ressourcen erhalten können.
Für die Funktion brauchen Sie eine Microsoft Entra ID P1 oder P2 Lizenz. Außerdem müssen sich die Geräte in der gleichen Gesamtstruktur wie Ihre Benutzer befinden. Zudem verträgt sich die Funktion ist nicht mit Multi-Forest-Topologien, bei denen mehrere AD-Gesamtstrukturen mit Entra ID synchronisiert werden.
Die Aktivierung erfolgt über den Microsoft Entra Connect-Assistenten, indem Sie die Option „Geräterückschreiben konfigurieren“ im Abschnitt „Geräteoptionen konfigurieren“ auswählen.
Sobald Sie das Gerätezurückschreiben aktiviert haben, passiert Folgendes:
- Ein Computerobjekt wird im lokalen AD erstellt.
- Dieses Objekt entspricht dem Entra ID Joined Gerät.
- Es wird in einer vordefinierten OU (Organizational Unit) abgelegt.
- Damit kann das Gerät z. B. für Zertifikatbasierte Authentifizierung oder Windows Hello for Business (WHfB) mit Zertifikatvertrauensstellung verwendet werden.
Folgende Tabelle illustriert noch mal den Unterschied. Wichtig ist hierbei vor allem die Zeile „Ursprung des Gerätes“. Beim Hybrid-Join liegt dieser im lokalen AD, beim Device-Writeback in der Cloud (Entra ID). Außerdem unterscheidet sich die „Synchronisationsrichtung“.
| Merkmal | Hybrid Azure AD Join | Entra ID Join + Gerätezurückschreiben |
|---|---|---|
| Ursprung des Geräts | Lokales AD | Cloud (Entra ID) |
| Synchronisation | Vom lokalen AD in die Cloud | Von der Cloud ins lokale AD |
| Computerobjekt im AD | Bereits vorhanden | Wird durch Writeback erstellt |
| Typische Nutzung | Klassische Domänen-PCs | Cloud-native Geräte, z. B. Autopilot |