AzureAD für Einsteiger

[Grafideutscher]

Guten Morgen,

Ihr habt mir hier bereits einmal erfolgreich geholfen, jetzt haben sich wieder einige Fragen angehäuft.
Kurze Info zu mir, ich arbeite mittlerweile seit einigen Jahren ehrenamtlich bei einem sozialen Verein der stark gewachsen ist und auch die IT-Prozesse werden aufwändiger.

Ist-Zustand:

• ca. 20 Mitarbeiter mit mittlerweile mindestens einem eigenen Windows 10/11 Gerät.
• zwei NAS im Haupthaus für einen Teil der Mitarbeiter
• aktuell Microsoft 365 als reine Office Nutzung für jeden MA

Was soll verändert werden:

• Umzug IONOS Mail auf Microsoft Exchange ( Da habt Ihr mir bereits geholfen )
• Einbindung aller Windows-Geräte in die Azure AD zur zentralen Verwaltung
• gemeisamer Share via OneDrive + Synchronisierung jedes MA's via OneDrive

Nun ist der zweite Punkt mein Anliegen, ich bin Azure Jungfrau und will mich da selbst reinfizzeln, allerdings hab ich einige Fragen die Ihr mir hoffentlich beantworten könnt.

Zentrale Verwaltung und Richtlinien scheinen offenbar nur mit AzureAD Join und Intune zu funktioneren, zum Beispiel sollen alle MA nach der Anmeldung auch automatisch an OneDrive angemeldet werden.

1. Die meisten Geräte haben eine Windows Home Version, diese Version kann kein Azure AD Join, geht ein Upgrade von Home auf Pro ohne Neuinstallation oder kann es zu Problemen kommen? Die meisten Geräte sind Fertigbauten mit vorinstalliertem Windows. Eine Prolizenz zu versorgen ist dank Non-Profit Status kein Problem.
2. Bei meiner ersten Testeinrichtung musste ich beim Verbinden zur AAD eine MFA einrichten obwohl die MFA im Azure Portal noch überall deaktivert ist. Greift da eine andere Richtlinie oder wo sitzt die Einstellung dafür?
3. https://learn.microsoft.com/de-de/mem/intune/enrollment/windows-bulk-enroll
   Das direkt ein Upgrade Key verwendet werden kann funktioniert hier leider sicherlich nur mit einem MAK-Key und nicht mit 15 einzelnen oder?
4. Sonstige Hinweise oder Tipps bezgl. Richtlinien die eurer Meinung unbedingt gesetzt sein sollten (Telemetrie, Defender etc.)?
   

Danke wer bis hierher gelesen hat, ich habe sicherlich noch mehr Fragen aber das muss erstmal reichen

Vielen Dank!

 

[Drewkev]

geht ein Upgrade von Home auf Pro ohne Neuinstallation

Jup, einfach den Key eingeben:
https://support.microsoft.com/de-de...dows-pro-ef34d520-e73f-3198-c525-d1a218cc2818

 

[Grafideutscher]

Und da gibt es mit OEM-Keys keine Probleme? Ich weiß nicht welche Art Keys da von Microsoft für die Non-Profit Partner kommen, auf jedenfall sind es Windows 11 Pro N.

 

[Drewkev]

Das eine hat mit dem anderen nicht viel zu tun, das "N" heißt nur dass der eigene Mediaplayer nicht mitgeliefert wird.

 

[Conqi]

Greift da eine andere Richtlinie oder wo sitzt die Einstellung dafür?

Da gibt es mehr als eine Ecke wo man das erzwingen kann. Schau mal hier, ob du da was siehst zu deinem Nutzer:
https://account.activedirectory.windowsazure.com/usermanagement/multifactorverification.aspx

Und hier ob ganz unten bei "Manage security defaults" (oder wie auch immer das auf Deutsch heißt), die Option aktiviert ist. Das erzwingt auch MFA.
https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties

 

[Grafideutscher]

@Conqi Danke
Genau die beiden Seiten habe ich bereits überprüft und es sind die jeweiligen Einstellungen deaktivert.

 

[Conqi]

Hmm, als Erstes vermutlich mal einen Blick in die Sign-In-Logs werfen. Da finden sich ggf. Informationen:
https://portal.azure.com/#view/Microsoft_AAD_IAM/SignInEventsV3Blade

Falls es was mit Conditional Access Regeln zu tun hat, die finden sich hier:
https://portal.azure.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies

Welche Azure Lizenz ist eigentlich vorhanden?

 

[Grafideutscher]

Also in den Logs taucht das erste mal bei "Microsoft Device Registration Client" die MFA auf, vorher war es einstufig. Ich kann mich via Web Outlook z.b. auch ohne MFA einloggen, also scheint es was mit dem AD Join zutun zu haben.

Lizenz ist bei meinem Testnutzer ein 365 Business Premium

 

[Conqi]

Also in den Logs taucht das erste mal bei "Microsoft Device Registration Client" die MFA auf, vorher war es einstufig.

Steht denn was unter Conditional Access, wenn du auf den Login draufklickst?

Lizenz ist bei meinem Testnutzer ein 365 Business Premium

Dann müsste es Azure AD Premium P1 sein, was die meisten Einstellungen und Optionen erlaubt.

Ich werd später nochmal im Intune nachsehen, ob ich was Passendes finde, aber muss jetzt erstmal unser eigenes AD beackern.

 

[Grafideutscher]

Könnte es evtl. an der Identity Protection GPO liegen? Die ist bei nicht konfigurierten Zustand automatisch auf Windows Hello for Business eingestellt:

Und bei der Anmeldung musste ich auch das mit einem PIN einrichten...


Obene noch Frage 3 & 4 ergänzt.

 

[Grafideutscher]

Moin, es hat sich noch eine weitere Frage ergeben. Ich habe unter Intune ein Bereitstellungsprofil für den Autopilot. Dieser scheint jedoch nicht zu greifen, da es keine zugewiesenen Geräte gibt. Die Einrichtung und Registrierung der Geräte bzw. Nutzerkonten klappt aber und es ist auch alles korrekt zugewiesen und eingebunden.

Ich habe nämlich das Problem das meine User immer Administratoren auf den eingrichteten Geräten sind, obwohl ich im Deployment auf Standarduser gestellt habe.

LG