none
Wie kann man das erreichen

    Frage

  • Guten Tag,

    wir sind gerade dabei unsere IT Landschaft auf Windows 10 Enterprise CSP umzustellen. Dazu haben wir unsere AD mit Azure AD synchronisiert. Das funktioniert soweit auch schon alles recht gut.

    Nun würden wir gerne Notebook die zu 90 % außerhalb unsere IT-Infrastruktur befinden besser an unsere AD anbinden. Bei meiner Idee bin ich mir nicht sicher ob sich das überhaupt umsetzten lässt, wenn ja welche Produkte oder Tools man benötigt um dieses Ziel zu erreichen.

    Idee:

    Ein Notebook wir ganz normal von der IT bereitgestellt, ist verbunden mit der AD und ist sync. in Azure AD und verhält sich fast wie als wäre im Firmennetzwerk. Daraus ergeben sich für mich folgende Fragen:

    - Können Gruppenrichtlinien Änderungen auf das Notebook gelangen ohne VPN?
    - Wie verhält sich das Notebook bei falschem Passworte eingaben, werden die ans AD synchronisiert?  
    - Wenn ein Benutzer in der AD gesperrt ist kann er sich dann noch anmelden am Notebook?


    Braucht man in der eigenen Infrastruktur eine AD FS und sollte man die Notebooks mit Intune verwalten?

    Wie setzt Ihr solches Szenario um?

    Schon mal vielen Dank für euer Idee / Hinweise

    Gruß
    Stephan

    Freitag, 12. Oktober 2018 07:09

Antworten

  • Hallöchen

    - Können Gruppenrichtlinien Änderungen auf das Notebook gelangen ohne VPN?

    Nein, GPOs kommen vom DC. Und die Kommunikation mit DCs funktioniert nur über LAN/VPN. Um sowas umzusetzen solltest Du Dir Intune anschauen.

    - Wie verhält sich das Notebook bei falschem Passworte eingaben, werden die ans AD synchronisiert?  

    Nur bei aktivem VPN. Außer das Device ist Azure AD joined.


    - Wenn ein Benutzer in der AD gesperrt ist kann er sich dann noch anmelden am Notebook?

    Auch hier wieder: Nur bei aktivem VPN oder Azure AD Join.

    Wenn Du einen User gesperrt hast und mit Passworthashsync arbeitest, dann dauert es bis zu 30 Minuten bis der "gesperrt" Status von AAD Connect synchronisiert wurde. Danach kann der Nutzer zwar das Notebook benutzen aber keine O365 Dienste mehr.

    Bei ADFS und PTA funktioniert das "instant".


    Braucht man in der eigenen Infrastruktur eine AD FS und sollte man die Notebooks mit Intune verwalten?

    ADFS ist nicht zwingend notwendig, das kommt ganz auf Eure Anforderungen an. Hybrid Azure AD Join ist bspw. auch mit PTA möglich. Ich lege Dir eine Geräteverwaltung nahe, also entweder GPO oder Intune - wobei Intune aus meiner Sicht die Zukunft ist und Du darauf setzen solltest.


    Freundliche Grüße

    Sandro Reiter
    Cloud Solutions Consultant


    Samstag, 13. Oktober 2018 12:54