Devices i Azure AD – varför det är viktigt

Devices i Azure AD – varför är det viktigt? I princip alla organisationer vi arbetar med har ett traditionellt on-premise Active Directory. Många av dessa börjar nu använda Office 365 och Azure, ofta börjar det med Exchange Online för mail och växer sedan till att börja använda Skype, OneDrive, Teams eller någon av de andra tjänsterna Office 365 erbjuder. I botten av allt detta är ett Azure AD, detta är något alla får eftersom så fort du skapar en Office 365 tenant får du också ett Azure AD som är användarkatalogen. Vare sig du sedan editerar användarna i Office 365 admin portalen (https://portal.office.com) eller Azure AD admin portalen (https://portal.azure.com) så är det grund och botten ditt Azure AD du ändrar i.

Där någonstans börjar man inse att man kan Azure AD joina sina datorer. Det innebär en hel del nya utmaningar, till exempel att du då måste använda Intune MDM istället för GPO/SCCM och är ämne för en framtida bloggpost då frågan är relativt komplex.

Det finns dock olika former av devices i Azure AD och denna bloggpost är tänkt förklara skillnaderna eftersom de inte är självklara, delvis för Microsoft varit otydliga tidigare och använt olika benämningar som de försökt förtydliga sedan Ignite 2017 men viss dokumentation har inte hängt med.

Devices i Azure AD – varför det är viktigt

  • AD domain joined = Det traditionella sättet där din Windows 10 dator är on-premise AD joinad
  • Hybrid Azure AD joined = din Windows är joinad till on-premise AD, men sedan genom en konfiguration i ditt AD och Azure AD Connect så datorobjektet synkroniseras datorobjektet så det även dyker upp i Azure AD och din Windows blir på så sätt joinad till båda två.
  • Azure AD joined = din Windows är joinad bara till Azure AD. Du behöver inte nödvändigtvis ha ett on-premise AD alls som vissa nyare organisationer inte har då de är helt molnbaserade.
  • Azure AD registered =  Detta behöver inte nödvändigtvis vara en Windows dator utan även iPhone. Kallades tidigare Workplace joined.

Ur ett tekniskt perspektiv så hittar du dina devices i Azure AD bladet i https://portal.azure.com:

Devices i Azure AD – varför det är viktigt

Under JOIN TYPE ser du hur devicen är kopplad till Azure AD, här med alla tre varianter (AD domain joined syns såklart inte i Azure AD).

Devices i Azure AD – varför det är viktigt

Varför är detta viktigt?

För dig som admin innebär det bland annat följande fördelar:

  • Azure AD device-based conditional access gör det möjligt för dig att styra tillgång till Office 365. Till exempel, du kan styra så att du endast kan komma åt tjänsterna från datorer som är managerade i någon form, antingen med Intune MDM eller med ditt traditionella manageringsverktyg som till exempel SCCM eller 3e part. Du kan även styra att om man inte kommer från en managerad enhet så tvingas användaren att autentisera sig med multifaktor.
  • Device Management gör det möjligt att managera enheter. Antingen kanske du inte har SCCM eller någon 3e part för att managera klienter alls. Inbyggt i Azure är Intune som kan hantera datorer och andra enheter som mobiltelefoner. Microsoft pushar även det som kallas Modern Management som de ser som ett alternativ till GPO/SCCM som är väldigt komplexa produkter och Modern Management är betydligt bättre på att hantera mobila klienter som bara finns ute på Internet. Min kollega Tobias Sandberg har skrivit en artikel om Modern Management.

För användarna innebär det bland annat följande fördelar, lite olika beroende på vilken modell man väljer.

  • Single Sign On även från Internet. Ofta är det lätt att få SSO från interna nätet men när du sitter på Internt med din laptop tvingas du till autentisering manuellt, ofta även med multifaktor, vilket inte ger en bra användarupplevelse, speciellt inte om du måste göra det flera gånger per dag. Om de på något sätt har sin Device i Azure AD så kan de få SSO rakt in i Office 365 portalerna men även 3e parts siter som använder Azure AD för autentisering. Exempelvis, om kunden har en webbapplikation som använder sig av Azure AD för autentisering så kan de få SSO till denna också.
  • Enterprise Roaming av användarinställningar mellan enheter.
  • Login med gestures, alltså möjligheten att säkert logga in med PIN eller biometri som fingeravtryck eller ansiktet beroende på vilkan hårdvara man har.

Vad krävs för att komma igång?

Generellt väldigt lite för att få till den enklaste formen Hybrid Azure AD Join. En uppdaterad infrastruktur, det vill säga Windows 10 klienter (1709 helst), uppdaterad Azure AD Connect och helst uppdaterad AD FS är en fördel. Beroende på vilka funktioner man vill använda så kan det krävas EMS (Enteprise Mobility + Security E3).

Slutsats

Vi tror att ha din device i Azure AD är ett måste framåt om du nyttjar Microsofts molntjänster. Delvis för att få bättre kontroll och säkerhet kring klienterna men också för att användarna ska få en mer osynlig integration mellan on-premise och cloud med single-sign on – bara för dina system ligger i molnet så ska det inte göra det mer komplicerat att logga in och komma åt dem, snarare tvärtom – Microsofts mål är att Cloud First – Mobile First vilket innebär att användarna ska kunna arbeta varifrån de vill men ändå upprätthålla säkerheten. Att skydda sitt lokala nätverk (LAN) med en brandvägg och tro att allt är säkert, bara för att trafiken kommer från ditt interna nätverk, är förbi.

Disclaimer: All information on this blog is offered "as is" with no warranty. It is strongly recommended that you verify all information and validate all scripts in isolated test environments before using them in production environments.