В редакциях Windows 10 Pro, Enterprise и Education при установке есть возможность «Присоединение к Azure AD» и «Присоединение к домену». Если с доменом все понятно, то что же за зверь такой Azure AD.
Все это продолжение облачной темы от Microsoft. Ваши пользователи могут добавлять свои устройства в Azure AD, аутентифицируясь через учетные записи вашей on-prem (наземной) Active Directory, если у вас настроена синхронизация учетных записей через Azure Active Directory Sync, либо созданные прямо в Azure AD.
Что дает Azure Active Directory для Windows 10?
- Самостоятельная регистрация корпоративных устройств — как будет видно ниже, пользователь может самостоятельно зарегистрировать устройство, чтобы затем прозрачно получить доступ к ресурсам, при этом вы получаете контроль над устройством, через политики Azure AD и Microsoft Intune;
- Использование существующих аккаунтов организации — один аккаунт для всего. Получается, что у пользователя есть одна связка user@domain.ru и пароль. С ней он входит на устройство в корпоративной сети вашего наземного AD; в сервисы Office 365; на устройство, которое зарегистрировано в Azure AD; получает доступ к корпоративным сервисам через мобильное устройство и т.д. При этом вы получаете доступ ко всем устройствам, с возможностью контролировать политики устройств, приложения и т.д.;
- Автоматическая регистрация MDM (Mobile Device Management) — в Azure AD появилась возможность автоматически добавлять устройства в консоль Microsoft Intune;
- SSO (Single Sign-On) для облачных сервисов — в Windows 10 пользователь будет прозрачно аутенфицироваться в облачных сервисах Office 365 и других приложениях. С приложениями отдельная клевая тема, можно заССОить вход в фейсбук, твиттер, црм систему и еще целую кучу приложений, каталог большой, очень;
- SSO (Single Sign-On) для наземных сервисов — в Azure AD можно настроить прозрачный вход и для наземных сервисов, например на ваш локальный портал Sharepoint через Azure AD Application Proxy;
- Синхронизация настроек системы — настройки рабочего стола, вебсайты, паролей Wi-Fi.
Как же выглядит регистрация устройства в Azure AD?
Пользователь вводит свою облачную учетную запись. Напомню, что это может быть и учетка от локального AD, если вы их синхронизируете через Azure Active Directory Sync, либо у вас настроена федерация AD FS для SSO.
Идет регистрация устройства.
Далее предлагается создать ПИН-код. Тут есть небольшой by design, смотрите ниже.
Если нажать кнопку «Создать ПИН-код», а затем закрыть мастер, то можно будет пропустить создание ПИН-кода и войти в систему.
Но нас интересует весь процесс, поэтому создадим ПИН-код.
Для создания ПИН-кода нам потребуется пройти проверку. Здесь несколько вариантов: SMS-сообщение, звонок по телефону и мобильное приложение. Если с первыми двумя все понятно, то давайте посмотрим, что за мобильное приложение. Кстати, мобильный телефон вы можете задать для этой учетной записи сразу, прямо в панель Azure AD, либо в свойствах пользователя вашей локальной AD.
Для проверки личности необходимо скачать приложение Azure Authenticator (есть для всех 3-х платформ): Windows Phone, Apple iOS, Google Android.
Открываем приложение и сканируем QR код.
Затем появляется код, который мы должны ввести в окне проверки.
Настраиваем ПИН-код.
После входа в систему видно, что учетная запись находится в облаке Azure AD.
В панели управления, в разделе учетная запись видно нашего пользователя.
Что еще интересного?
В настройках можно задать количество устройств, которое пользователь сможет регистрировать на себя, включить многофакторную аутентификацию, разршить пользователям подключаться к «рабочему месту» (это отдельный пост с Microsoft Intune), определить группы пользователей, которые смогут регистрировать устройства.
Отдельная настройка для Azure AD Application Proxy — это для прозрачного доступа (Single Sign-On) к наземным ресурсам, если пользователь заходит с устройства, которое зарегистрировано в Azure AD.
Раздел, где можно указать внешние публичные адрес, с которых будет разрешена регистрация устройств. Такой ACL (Access List) для Azure AD.
И совсем недавно зарелизенная фича, когда при регистрации устройства через Azure AD оно автоматически попадает в консоль Microsoft Intune и системой можно управлять через MDM агент в Windows 10.
В консоли Microsoft Intune все это выглядит примерно вот так. Устройство с автоматической регистрацией в Microsoft Intune имеет свойство AAD Registered.
Спасибо, что досмотрели/дочитали до конца. Я уверен, что у многих после всех этих картинок остались вопросы: «что? какого? для чего? а дальше что? а это что за пепяка и как работает?», поэтому смело задавайте вопросы в комментариях или в группе в Facebook — SCCM User Group Russia.
ЗЫЖ действительно тяжело собрать все в один пост, напринтскринить картинки и подготовить описание, может быть пора уже переходить на видео? М? Что вы на это скажете?
Привет. Спасибо за развернутую статью! А вопрос такой. Локальный каталог AD синхронизирует учетки компьютеров с каталогом Azure AD. Допустим я ноутбук присоединю к Azure AD. Как быть доступом к локальным ресурсам компании? Если этот ноутбук подключить к сети предприятия, он зайдет от компьютерной учетки в локальном AD?
Приветствую.
«Локальный каталог AD синхронизирует учетки компьютеров с каталогом Azure AD.» — здесь уточнение, что не учетки компьтеров, а пользователей.
«Допустим я ноутбук присоединю к Azure AD. Как быть доступом к локальным ресурсам компании?» — смотреть в сторону Azure AD Application Proxy, правда я его еще не разворачивал, про подводные камни не расскажу. ;)
«Если этот ноутбук подключить к сети предприятия, он зайдет от компьютерной учетки в локальном AD?» — нет. Тут надо понимать, что машина в Azure AD находится в рабочей группе, но при этом может аутентифицироваться с помощью учетной записи, которая синхронизирована из локального AD. Я имею в виду, что пользователь взяв ноут, может выбрать «войти с рабочей учетной записью». При этом для Windows 10 это две разные учетки, но можно выйти из ситуаций по другому. Можно включить машину в локальный AD, а в разделе Workplace Join добавить облачную из Azure Ad, тогда SSO для того же office 365 будет работать. В целом много но и нюансов.
Кроме этого, вам ничего не мешает городить инфраструктуру федераций между on-prem сервисами и облачными через AD FS и там уже строить Single Sign-On, это как бы по взрослому уже. ;) Эта схема вся для гибридных вариантов.
Антон, спасибо! Федерация и SSO уже нагорожены )) Просто самостоятельно еще не изучал новые фишки Windows 10 и Azure AD. Думал, может сделали совсем по красоте — интегрировали локальный и облачный AD и будет полный SSO!
Хорошая статья всегда лучше чем видео, но ради попробовать то конечно, почему нет? :)
Спасибо.