Post on 17-Feb-2017
transcript
Azure Active Directory Join
in Windows 10Sander Berkouwer, INOVATIV
IntroductieSander BerkouwerMCSA, MCSE, MCITP, MCT
Microsoft MVP sinds 2009
Bloggerdirteam.com
servercore.net
Identity consultantINOVATIV
AUTHENTICATIE IN DE CLOUD
Accounttypes in de cloud
Local accountPersonal use
NTLM-based authentication
Available since Windows 1.0
Microsoft accountFormer Windows Live IdsClaims-based authenticationPersonal use
Domain accountActive Directory on-premKerberos-based authenticationBusiness Use
AzureAD accountClaims-based authenticationBusiness UseOnline-only, synced, federated
Waarom is dit belangrijk?Microsoft Accounts zijn niet de oplossingMicrosoft Accounts zijn persoonlijke accounts voor privégebruik
Microsoft Accounts op basis van organisatie e-mailadressen
Wat gebeurt er wanneer mensen de organisatie verlaten?
Sommige organisaties zijn reeds cloud-onlySommige organisaties hebben geen serverruimte nodig
Sommige organisaties hebben genoeg aan cloudapplicaties
Moeten deze organisaties bouwen op Microsoft accounts?
WORKPLACE JOIN(AZURE AD JOIN V1)
Workplace JoinDevice RegistrationMedewerkers definiëren apparaten als veilige apparaten
Device Registration Service (DRS)Feature van Active Directory Federation Service (AD FS) 3.0
Feature van Azure Active Directory sinds mid-2015
Onder de motorkapHet profiel op een veilig apparaat krijgt een certificaat en cookie
Het apparaat krijgt een Registered Device in AD DS
Workplace Join Benodigdheden (1)UPN SuffixesDRS Discovery vindt plaats via DNS op basis van de UPN Suffix
userPrincipalName = mail = msRTCSIP-PrimaryUserAddress
DNS RecordsEnterpriseregistration.domain.tld voor AutoDiscovery
DNS records benodigd per publiek routeerbare UPN Suffix
Public Key InfrastructureCertificaat voor WorkPlace Join is van MS-Organization-Access
Workplace Join benodigdheden (2)Windows 7, Windows 8.1, iOS, AndroidWorkPlace Join met GUI in Windows 8.1
WorkPlace Join via GPO in Windows 7*
Active Directory Domain ServicesWindows Server 2012 R2 schema (69) benodigd.
Registered DevicesPer account slechts 10 apparaten registreerbaar*
Na 90 dagen inactiviteit worden Registered Devices verwijderd*
AZURE ACTIVE DIRECTORY JOIN
Azure Active Directory accounts (1)Account object in de cloudAzure Active Directory
Tenant-gebaseerd
Single Sign-onMicrosoft Office 365,
Microsoft Intune
Microsoft Azure *
Azure Active Directory accounts (2)Azure AD als Identity Provider (IdP)Online-only accounts
Accounts met gesynchroniseerde wachtwoorden
Windows Server AD als Identity Provider (IdP)Gesynchroniseerde accounts
• Azure AD Connect , Azure AD Sync
• Forefront Identity Manager 2010 R2 met Windows Azure Sync Services
• Microsoft Identity Manager 2016
Active Directory Federation Services (AD FS)
AD FS en de toekomst van authenticatieSAML en Oauth zijn web-readyTransport van pakketten vindt plaats over HTTPS
Transport is beveiligd* met SSL/TLS
Tokens zijn optioneel versleuteld
Relying Party Trusts (RPTs) zijn flexibelToken contents per RPT gedefinieerd
Meer RPTs mogelijk dan Active Directory trusts
Multi-Factor Authentication
Azure AD JoinDevice RegistrationMedewerkers definiëren veilige apparaten voor tenantgebruik
Claims vanuit Azure AD in legacy mode.
Onder de motorkapHet veilige apparaat krijgt een certificaat en cookie
Het apparaat krijgt een apparaatobject in Azure Active Directory
ReportingRapportages per gebruikersaccount en per apparaat beschikbaar
Azure AD Join configurerenDevice Registration aanzetten in de tenantGlobal administrators kunnen deze feature aanzetten in de portal
DNS records aanmakenEnterpriseregistration.domain.tld voor AutoDiscovery
DNS records benodigd per publiek routeerbare UPN Suffix
(Optioneel) Configureer Intune enrollmentAzure AD-joined apparaten komen automatisch in Intune
Beheer van Azure AD-joined apparaten op basis van MDM
Demo
Azure AD Join, de nadelenApparaten hernoemenAzure DRS update niet de apparaatnaam in Azure AD
Bij MDM-enrollment worden hernoemde apparaten ‘persoonlijk’
CortanaCortana werkt momenteel niet op Azure AD-joined apparaten*
Lokaal AdministratorDe medewerker die Azure AD-joint, is altijd lokaal administrator
Het apparaat kan niet meer worden domain-joined
AfrondendDomain JoinEen geheel apparaat wordt lid van Active Directory
Authenticatieprotocollen gebruikt voor veilige netwerken
Workplace JoinEen profiel op een veilig apparaat wordt gedefinieerd
Azure AD JoinEen geheel apparaat wordt lid van Azure Active Directory
Authenticatieprotocollen van de toekomst