В редакциях Windows 10 Pro, Enterprise и Education при установке есть возможность «Присоединение к Azure AD» и «Присоединение к домену». Если с доменом все понятно, то что же за зверь такой Azure AD.

azuread_windows10_intune_2

Все это продолжение облачной темы от Microsoft. Ваши пользователи могут добавлять свои устройства в Azure AD, аутентифицируясь через учетные записи вашей on-prem (наземной) Active Directory, если у вас настроена синхронизация учетных записей через Azure Active Directory Sync, либо созданные прямо в Azure AD.

azuread_windows10_intune_3

Что дает Azure Active Directory для Windows 10?

  • Самостоятельная регистрация корпоративных устройств — как будет видно ниже, пользователь может самостоятельно зарегистрировать устройство, чтобы затем прозрачно получить доступ к ресурсам, при этом вы получаете контроль над устройством, через политики Azure AD и Microsoft Intune;
  • Использование существующих аккаунтов организации — один аккаунт для всего. Получается, что у пользователя есть одна связка user@domain.ru и пароль. С ней он входит на устройство в корпоративной сети вашего наземного AD; в сервисы Office 365; на устройство, которое зарегистрировано в Azure AD; получает доступ к корпоративным сервисам через мобильное устройство и т.д. При этом вы получаете доступ ко всем устройствам, с возможностью контролировать политики устройств, приложения и т.д.;
  • Автоматическая регистрация MDM (Mobile Device Management) — в Azure AD появилась возможность автоматически добавлять устройства в консоль Microsoft Intune;
  • SSO (Single Sign-On) для облачных сервисов — в Windows 10 пользователь будет прозрачно аутенфицироваться в облачных сервисах Office 365 и других приложениях. С приложениями отдельная клевая тема, можно заССОить вход в фейсбук, твиттер, црм систему и еще целую кучу приложений, каталог большой, очень;
  • SSO (Single Sign-On) для наземных сервисов — в Azure AD можно настроить прозрачный вход и для наземных сервисов, например на ваш локальный портал Sharepoint через Azure AD Application Proxy;
  • Синхронизация настроек системы — настройки рабочего стола, вебсайты, паролей Wi-Fi.

Как же выглядит регистрация устройства в Azure AD?

Пользователь вводит свою облачную учетную запись. Напомню, что это может быть и учетка от локального AD, если вы их синхронизируете через Azure Active Directory Sync, либо у вас настроена федерация AD FS для SSO.

azuread_windows10_intune_4

Идет регистрация устройства.

azuread_windows10_intune_5

Далее предлагается создать ПИН-код. Тут есть небольшой by design, смотрите ниже.

azuread_windows10_intune_6

Если нажать кнопку «Создать ПИН-код», а затем закрыть мастер, то можно будет пропустить создание ПИН-кода и войти в систему.

azuread_windows10_intune_7

Но нас интересует весь процесс, поэтому создадим ПИН-код.

azuread_windows10_intune_8

Для создания ПИН-кода нам потребуется пройти проверку. Здесь несколько вариантов: SMS-сообщение, звонок по телефону и мобильное приложение. Если с первыми двумя все понятно, то давайте посмотрим, что за мобильное приложение. Кстати, мобильный телефон вы можете задать для этой учетной записи сразу, прямо в панель Azure AD, либо в свойствах пользователя вашей локальной AD.

azuread_windows10_intune_9

Для проверки личности необходимо скачать приложение Azure Authenticator (есть для всех 3-х платформ): Windows Phone, Apple iOS, Google Android.

azuread_windows10_intune_10

Открываем приложение и сканируем QR код.

azuread_windows10_intune_11

Затем появляется код, который мы должны ввести в окне проверки.

azuread_windows10_intune_12 azuread_windows10_intune_13

Настраиваем ПИН-код.

azuread_windows10_intune_14

После входа в систему видно, что учетная запись находится в облаке Azure AD.

azuread_windows10_intune_15

В панели управления, в разделе учетная запись видно нашего пользователя.

azuread_windows10_intune_16

azuread_windows10_intune_17

Что еще интересного?

В настройках можно задать количество устройств, которое пользователь сможет регистрировать на себя, включить многофакторную аутентификацию, разршить пользователям подключаться к «рабочему месту» (это отдельный пост с Microsoft Intune), определить группы пользователей, которые смогут регистрировать устройства.

azuread_windows10_intune_18

Отдельная настройка для Azure AD Application Proxy — это для прозрачного доступа (Single Sign-On) к наземным ресурсам, если пользователь заходит с устройства, которое зарегистрировано в Azure AD.

azuread_windows10_intune_19

Раздел, где можно указать внешние публичные адрес, с которых будет разрешена регистрация устройств. Такой ACL (Access List) для Azure AD.

azuread_windows10_intune_20

И совсем недавно зарелизенная фича, когда при регистрации устройства через Azure AD оно автоматически попадает в консоль Microsoft Intune и системой можно управлять через MDM агент в Windows 10.

azuread_windows10_intune_21

В консоли Microsoft Intune все это выглядит примерно вот так. Устройство с автоматической регистрацией в Microsoft Intune имеет свойство AAD Registered.

azuread_windows10_intune_22

Спасибо, что досмотрели/дочитали до конца. Я уверен, что у многих после всех этих картинок остались вопросы: «что? какого? для чего? а дальше что? а это что за пепяка и как работает?», поэтому смело задавайте вопросы в комментариях или в группе в Facebook — SCCM User Group Russia.

ЗЫЖ действительно тяжело собрать все в один пост, напринтскринить картинки и подготовить описание, может быть пора уже переходить на видео? М? Что вы на это скажете? 

4 КОММЕНТАРИИ

  1. Привет. Спасибо за развернутую статью! А вопрос такой. Локальный каталог AD синхронизирует учетки компьютеров с каталогом Azure AD. Допустим я ноутбук присоединю к Azure AD. Как быть доступом к локальным ресурсам компании? Если этот ноутбук подключить к сети предприятия, он зайдет от компьютерной учетки в локальном AD?

    • Приветствую.
      «Локальный каталог AD синхронизирует учетки компьютеров с каталогом Azure AD.» — здесь уточнение, что не учетки компьтеров, а пользователей.
      «Допустим я ноутбук присоединю к Azure AD. Как быть доступом к локальным ресурсам компании?» — смотреть в сторону Azure AD Application Proxy, правда я его еще не разворачивал, про подводные камни не расскажу. ;)
      «Если этот ноутбук подключить к сети предприятия, он зайдет от компьютерной учетки в локальном AD?» — нет. Тут надо понимать, что машина в Azure AD находится в рабочей группе, но при этом может аутентифицироваться с помощью учетной записи, которая синхронизирована из локального AD. Я имею в виду, что пользователь взяв ноут, может выбрать «войти с рабочей учетной записью». При этом для Windows 10 это две разные учетки, но можно выйти из ситуаций по другому. Можно включить машину в локальный AD, а в разделе Workplace Join добавить облачную из Azure Ad, тогда SSO для того же office 365 будет работать. В целом много но и нюансов.
      Кроме этого, вам ничего не мешает городить инфраструктуру федераций между on-prem сервисами и облачными через AD FS и там уже строить Single Sign-On, это как бы по взрослому уже. ;) Эта схема вся для гибридных вариантов.

  2. Антон, спасибо! Федерация и SSO уже нагорожены )) Просто самостоятельно еще не изучал новые фишки Windows 10 и Azure AD. Думал, может сделали совсем по красоте — интегрировали локальный и облачный AD и будет полный SSO!

Добавить комментарий