Devices i Azure AD – varför det är viktigt

Devices i Azure AD – varför är det viktigt? I princip alla organisationer vi arbetar med har ett traditionellt on-premise Active Directory. Många av dessa börjar nu använda Office 365 och Azure, ofta börjar det med Exchange Online och Skype som sedan växer med OneDrive, Teams, SharePoint etc. I botten av allt detta är ett Azure AD, detta är något alla får eftersom så fort du skapar en Office 365 tenant får du också ett Azure AD som är användarkatalogen. Vare sig du sedan editerar användarna i Office 365 admin portalen (https://portal.office.com) eller Azure AD admin portalen (https://portal.azure.com) så är det grund och botten ditt Azure AD du ändrar i.

Hur påverkar det Devices? Där någonstans börjar man inse att man kan köra Azure AD join på datorer istället för on-premise AD domain join för att minska beroendet till sin on-premise miljö. Det innebär dock en hel del nya utmaningar, till exempel att du bör använda Intune MDM istället för GPO/SCCM – så det är inget som görs lätt eller snabbt. Därför börjar de flesta med en så kallad hybrid.

Det finns olika former av devices i Azure AD och denna bloggpost är tänkt förklara skillnaderna eftersom de inte är självklara, delvis för Microsoft varit otydliga tidigare och använt olika benämningar.

Devices i Azure AD – olika varianter

  • AD domain joined = Det traditionella sättet där din Windows 10 dator är joinad till on-premise AD.
  • Hybrid Azure AD joined = Windows 10 är joinad till on-premise AD samtidigt som Azure AD joined – en hybrid. Det åstadkoms genom en konfiguration i ditt AD och Azure AD Connect så att datorobjektet synkroniseras till Azure AD och Windows 10 automatiskt joinar Azure AD.
  • Azure AD joined = din Windows är joinad bara till Azure AD. Om du är en ny organisation som aldrig haft ett on-premise AD så kör du förmodligen detta från start.
  • Azure AD registered = Framförallt för BYOD (Bring Your Own Device) som är personliga och registreras manuellt. Gäller både Windows 10, iOS och Android. Kallades tidigare Workplace joined.

Ur ett tekniskt perspektiv så hittar du dina devices i Azure AD bladet i https://portal.azure.com:

Devices i Azure AD – var du hittar det i portalen

Under JOIN TYPE ser du hur devicen är kopplad till Azure AD, här med alla tre varianter. On-premise AD domain joined syns såklart inte i Azure AD.

Devices i Azure AD – olika varianter

Varför är detta viktigt?

För dig som admin innebär det bland annat följande fördelar:

  • Azure AD device-based conditional access gör det möjligt för dig att styra tillgång till Office 365. Till exempel, du kan styra så att du endast kan komma åt tjänsterna från datorer som är managerade i någon form, antingen med Intune MDM eller med ditt traditionella manageringsverktyg som till exempel SCCM eller 3e part. Du kan även styra att om man inte kommer från en managerad enhet så tvingas användaren att autentisera sig med MFA (multifaktor).
  • Device Management gör det möjligt att managera enheter. Antingen kanske du inte har SCCM eller någon 3e part för att managera klienter alls. Inbyggt i Azure är Intune som kan hantera Windows 10, iOS och Android. Microsoft pushar även det som kallas Modern Management som de ser som ett alternativ till GPO/SCCM som är väldigt komplexa produkter och Modern Management är betydligt bättre på att hantera mobila klienter som bara finns ute på Internet. Min kollega Tobias Sandberg har skrivit en artikel om Modern Management.

För användarna innebär det bland annat följande fördelar, lite olika beroende på vilken modell man väljer.

  • Single Sign On både från interna nätet och Internet. Det vill säga, om de har sin Device i Azure AD så kan de få SSO rakt in i Office 365 portalerna men även 3e parts siter som använder Azure AD för autentisering även om kontot generellt har krav på MFA (multifaktor). Exempelvis, om kunden har en webbapplikation som använder sig av Azure AD för autentisering så kan de få SSO till denna också.
  • Enterprise Roaming av användarinställningar mellan enheter.
  • Login med gestures, alltså möjligheten att säkert logga in med PIN eller biometri som fingeravtryck eller ansiktet beroende på vilkan hårdvara man har, det vill säga Windows Hello.

Xenits rekommendationer

Självklart finns det olika varianter beroende på kundens behov men detta är oftast var de flesta kunder hamnar i när det är dags att börja nyttja Office 365 och Azure AD:

  • Använd Hybrid Azure AD join om du inte har planer att avveckla on-premise AD i samband med migreringen. Även om det bara handlar om ett par veckor, se till att få detta att fungera från start.
  • Uppdaterad Windows 10, helst senaste uppdateringen eftersom Microsoft släpper mycket funktioner kring detta. I Juni 2019 gäller helst 1809 men absolut minst 1709.
  • Uppdaterad Azure AD Connect.
  • Uppdaterad och korrekt konfigurerad AD FS.
  • Licens för EMS E3 (Enterprise Mobility + Security). Eventuellt, beroende på funktioner man vill använda,
  • Ställ krav, alltid, på MFA, men se till att få till användarvänlig SSO.
  • Använd Azure AD registered främst för BYOD och personliga enheter.

Slutsats

Vi tror att ha din device i Azure AD är ett måste framåt om du nyttjar Microsofts molntjänster. Delvis för att få bättre kontroll och säkerhet kring klienterna men också för att användarna ska få en mer osynlig integration mellan on-premise och cloud med single-sign on – bara för dina system ligger i molnet så ska det inte göra det mer komplicerat att logga in och komma åt dem, snarare tvärtom – Microsofts mål är att Cloud First – Mobile First vilket innebär att användarna ska kunna arbeta varifrån de vill men ändå upprätthålla säkerheten. Att skydda sitt lokala nätverk (LAN) med en brandvägg och tro att allt är säkert, bara för att trafiken kommer från ditt interna nätverk, är förbi.

Disclaimer: All information on this blog is offered "as is" with no warranty. It is strongly recommended that you verify all information and validate all scripts in isolated test environments before using them in production environments.