Windows 10 Anmeldung mit Azure AD

Apr 25
Windows 10 Anmeldung mit Azure AD

Wie Sie wahrscheinlich auch schon gehört haben, wird diesen Sommer die nächste Windows Version auf den Markt kommen. Alle interessierten Tester haben jetzt schon die Möglichkeit Windows 10 über das Windows Insider Programm zu testen. Es sei hier jedoch vermerkt, dass die Testversion auf eigene Gefahr installiert wird und man es noch nicht auf einem produktiven System nutzen sollte. Mittlerweile werden wöchentlich Neuerungen und Korrekturen per Windows Update nachgereicht, wenn man in den Einstellungen beim Build Update den Wert "Fast" gewählt hat.

Im Build 10041, der vor einigen Wochen veröffentlicht wurde, ist eine neue Anmeldefunktion dazugekommen, die für Schulen interessant ist, die Windows Tablets und Office 365 einsetzen. Ab sofort kann man sich auch mit einem Azure AD Account – sprich mit einem Office 365 Benutzer – an Windows 10 anmelden.

Öffnen Sie dazu über das "Notification Center" die Einstellungen von Windows 10. Diese Einstellungs Apps, welche bereits in Windows 8 eingeführt wurde, ersetzt nun die bisherige Systemsteuerung vollständig.

In der App wählen Sie die Schaltfläche "System" an und darin anschliessend rechts in der Navigation den Punkt "About". Es werden diverse Informationen über das Gerät angezeigt und darunter befindet sich der eher unscheinbare Link "Connect to cloud", über den wir das Gerät im Azure AD registrieren.

Es wird ein neues Fenster geöffnet, in welchem Sie die erste Anzeige mit diversen Informationen überspringen können. Danach tragen Sie Ihren persönlichen Office 365 Benutzer ein und melden sich an. Das Gerät wird nun im Azure AD bei Ihrem Benutzer registriert.

Der Benutzer wird automatisch als Administrator auf dem Gerät registriert. Sie müssen den PC neu starten, damit die Änderungen aktiv werden und können sich danach sogleich mit dem Office 365 Benutzer am Gerät anmelden. Windows 10 wird Ihnen anschliessend noch den Vorschlag machen, dass Sie einen PIN für das Gerät definieren können. Dies wurde ebenfalls neu eingeführt, da die Eingabe eines PINs einfacher ist als Benutzername und Passwort.

Wie bereits erwähnt, wird das Gerät im Azure AD beim jeweiligen Benutzer registriert. Wenn Sie dort einen Benutzer öffnen, finden Sie ein neues Register "Geräte" vor. In dieser Liste werden alle registrierten Geräte angezeigt und Sie haben auch die Möglichkeit Geräte zu sperren oder gar zu löschen.

Die Benutzer können das Gerät auch selber wieder aus dem Azure AD lösen, indem sie in den Einstellungen den neuen Link "Leave the organization" wählen. Dieser ist jedoch erst ab dem Build 10049 verfügbar.

Damit die Registration funktioniert, müssen Sie diese in den Einstellungen des Azure ADs zuerst freigeben. Es gibt dort einen neuen Bereich "Geräte". Aktivieren Sie die Geräteregistration und definieren Sie, wie viele Geräte ein Benutzer verknüpfen darf.

Wieso sollen die Tablets am Azure AD registriert werden und nicht gleich im Active Directory selber?

Das Tablet für einen Lernenden gehört grundsätzlich nicht ins interne Active Directory, vor allem wenn die Benutzer Administratorrechte auf dem Gerät haben und selber Programme installieren können. Diese Geräte sind eigentlich eine Gefahr für das interne Netzwerk. Microsoft bietet da also eine angenehme Möglichkeit, wie das Gerät nun trotzdem in der Organisation registriert werden kann, jedoch behält man die interne IT trotzdem sicher, indem man alternativ das AD in der Cloud verwendet. Wir gehen hier einmal davon aus, dass Sie Ihr AD in die Cloud synchronisieren und Office 365 verwenden.

Welche Vorteile bietet mir diese Registration am Azure AD?

Wir haben letzten Sommer bei einem Kunden Test-Tabletklassen eingeführt. Die Wahl fiel damals seitens der Schule auf Windows Tablets. Die Lernenden haben ein persönliches Tablet von der Schule erhalten. Ein Diskussionspunkt, der aus unserer Sicht noch nicht optimal abgeschlossen ist, war die Anmeldung am Gerät. Soll man ein lokales Konto erstellen oder einen Microsoft Account verwenden. Um alle Funktionen von Windows 8 verwenden zu können, zwingt sich leider ein Microsoft Konto auf. Wir haben uns damals jedoch trotzdem für das lokale Konto entschieden, weil das Microsoft Konto datenschutzrechtlich eher problematisch ist und weil wir nicht für jeden Lernenden ein eigenes Konto verwalten können. Wir gaben jedoch den Lernenden die Möglichkeit, nachträglich selber auf eigene Verantwortung den Kontotyp zu wechseln. Hätten wir uns für das Microsoft Konto entschieden, wäre es nahe gewesen, dass wir dann gleich die persönliche Schul-E-Mail Adresse der Lernenden verwendet hätten.

Da es damals den Office 365 ProPlus Benefit für die Lernenden bereits gab – bekannt als Student Advantage – haben wir zusammen mit den Lernenden auf den Tablets diese Version installiert und registriert. Sie können sich vorstellen, dass das zu Problemen geführt hätte. Einmal ein Office 365 Konto mit der E-Mail Adresse der Schule und dann noch ein Microsoft Konto mit der gleichen Adresse, aber allenfalls mit einem anderen Passwort. Der normale Benutzer kann das nicht auseinanderhalten und versteht es auch nicht.

Wir haben uns damals schon gewünscht, dass man sich mit dem Office 365 Konto an Windows anmelden könnte. Mittlerweile sind wir jetzt bereits einen grossen Schritt weiter und werden das bei der nächsten Tabletklasse nach Möglichkeit nun auch anwenden.

Die Vorteile sind demnach, dass die Lernenden die bereits bekannten Anmeldedaten der Schule nun auch auf den Tablets nutzen können. Das heisst ein Login für alle Services. Das Gerät muss weiterhin nicht im lokalen Netzwerk registriert werden, sondern nur am Azure AD und kann von dort aus verwaltet werden – auch über Intune.

Was fehlt noch?

Wir haben die Registration eines Tablets am Azure AD durchgeführt. Dies funktioniert einwandfrei. Die Möglichkeiten danach gehen uns aber noch viel zu wenig weit und wir hoffen, dass Microsoft da noch nachbessern wird. Sobald man über den Windows Store eine App beziehen möchte, verlangt der Store trotzdem wieder nach einem Microsoft Konto. Auch können die Windows Einstellungen noch nicht über das Azure AD Konto synchronisiert und auf einem anderen Gerät einfach wiederverwendet werden.

Weiter würden wir eigentlich erwarten, dass man bei einem Office 365 Dienst im Browser automatisch angemeldet wird, wenn man sich schon an Windows mit dem entsprechenden Benutzer anmeldet. So funktioniert es auch beim Microsoft Konto. Jedoch weit gefehlt. Die Anmeldedaten müssen nochmals eingetragen werden und werden dann auch nicht gespeichert. Sollte Microsoft da nicht nachbessern, sind wir leider wieder gleich weit wie vor einem Jahr beim lokalen Konto und werden die neue Windows Anmeldung nicht einsetzen können. Warten wir also ab, was die nächsten Builds bringen werden. Es bleibt ja noch ein wenig Zeit.