Azure Active Directory Join

in Windows 10Sander Berkouwer, INOVATIV

IntroductieSander BerkouwerMCSA, MCSE, MCITP, MCT

Microsoft MVP sinds 2009

Bloggerdirteam.com

servercore.net

Identity consultantINOVATIV

AUTHENTICATIE IN DE CLOUD

Accounttypes in de cloud

Local accountPersonal use

NTLM-based authentication

Available since Windows 1.0

Microsoft accountFormer Windows Live IdsClaims-based authenticationPersonal use

Domain accountActive Directory on-premKerberos-based authenticationBusiness Use

AzureAD accountClaims-based authenticationBusiness UseOnline-only, synced, federated

Waarom is dit belangrijk?Microsoft Accounts zijn niet de oplossingMicrosoft Accounts zijn persoonlijke accounts voor privégebruik

Microsoft Accounts op basis van organisatie e-mailadressen

Wat gebeurt er wanneer mensen de organisatie verlaten?

Sommige organisaties zijn reeds cloud-onlySommige organisaties hebben geen serverruimte nodig

Sommige organisaties hebben genoeg aan cloudapplicaties

Moeten deze organisaties bouwen op Microsoft accounts?

WORKPLACE JOIN(AZURE AD JOIN V1)

Workplace JoinDevice RegistrationMedewerkers definiëren apparaten als veilige apparaten

Device Registration Service (DRS)Feature van Active Directory Federation Service (AD FS) 3.0

Feature van Azure Active Directory sinds mid-2015

Onder de motorkapHet profiel op een veilig apparaat krijgt een certificaat en cookie

Het apparaat krijgt een Registered Device in AD DS

Workplace Join Benodigdheden (1)UPN SuffixesDRS Discovery vindt plaats via DNS op basis van de UPN Suffix

userPrincipalName = mail = msRTCSIP-PrimaryUserAddress

DNS RecordsEnterpriseregistration.domain.tld voor AutoDiscovery

DNS records benodigd per publiek routeerbare UPN Suffix

Public Key InfrastructureCertificaat voor WorkPlace Join is van MS-Organization-Access

Workplace Join benodigdheden (2)Windows 7, Windows 8.1, iOS, AndroidWorkPlace Join met GUI in Windows 8.1

WorkPlace Join via GPO in Windows 7*

Active Directory Domain ServicesWindows Server 2012 R2 schema (69) benodigd.

Registered DevicesPer account slechts 10 apparaten registreerbaar*

Na 90 dagen inactiviteit worden Registered Devices verwijderd*

AZURE ACTIVE DIRECTORY JOIN

Azure Active Directory accounts (1)Account object in de cloudAzure Active Directory

Tenant-gebaseerd

Single Sign-onMicrosoft Office 365,

Microsoft Intune

Microsoft Azure *

Azure Active Directory accounts (2)Azure AD als Identity Provider (IdP)Online-only accounts

Accounts met gesynchroniseerde wachtwoorden

Windows Server AD als Identity Provider (IdP)Gesynchroniseerde accounts

• Azure AD Connect , Azure AD Sync

• Forefront Identity Manager 2010 R2 met Windows Azure Sync Services

• Microsoft Identity Manager 2016

Active Directory Federation Services (AD FS)

AD FS en de toekomst van authenticatieSAML en Oauth zijn web-readyTransport van pakketten vindt plaats over HTTPS

Transport is beveiligd* met SSL/TLS

Tokens zijn optioneel versleuteld

Relying Party Trusts (RPTs) zijn flexibelToken contents per RPT gedefinieerd

Meer RPTs mogelijk dan Active Directory trusts

Multi-Factor Authentication

Azure AD JoinDevice RegistrationMedewerkers definiëren veilige apparaten voor tenantgebruik

Claims vanuit Azure AD in legacy mode.

Onder de motorkapHet veilige apparaat krijgt een certificaat en cookie

Het apparaat krijgt een apparaatobject in Azure Active Directory

ReportingRapportages per gebruikersaccount en per apparaat beschikbaar

Azure AD Join configurerenDevice Registration aanzetten in de tenantGlobal administrators kunnen deze feature aanzetten in de portal

DNS records aanmakenEnterpriseregistration.domain.tld voor AutoDiscovery

DNS records benodigd per publiek routeerbare UPN Suffix

(Optioneel) Configureer Intune enrollmentAzure AD-joined apparaten komen automatisch in Intune

Beheer van Azure AD-joined apparaten op basis van MDM

Demo

Azure AD Join, de nadelenApparaten hernoemenAzure DRS update niet de apparaatnaam in Azure AD

Bij MDM-enrollment worden hernoemde apparaten ‘persoonlijk’

CortanaCortana werkt momenteel niet op Azure AD-joined apparaten*

Lokaal AdministratorDe medewerker die Azure AD-joint, is altijd lokaal administrator

Het apparaat kan niet meer worden domain-joined

AfrondendDomain JoinEen geheel apparaat wordt lid van Active Directory

Authenticatieprotocollen gebruikt voor veilige netwerken

Workplace JoinEen profiel op een veilig apparaat wordt gedefinieerd

Azure AD JoinEen geheel apparaat wordt lid van Azure Active Directory

Authenticatieprotocollen van de toekomst