Photo by Hal Gatewood on Unsplash
Andrea Delmonte

Device Identity in AAD

La Device Identity in AAD è un oggetto in Azure Active Directory, questo oggetto è simile agli utenti e ai gruppi. Questa Device Identity fornisce agli amministratori informazioni necessarie per la gestione degli accessi e delle configurazioni.

Esistono 3 diversi tipi di Device Identity in AAD:

  • Azure AD Registered
  • Azure AD Join
  • Hybrid Azure AD Join

Azure AD Registered

L’obiettivo dei device Azure AD Registered è quello di fornire all’utente il supporto necessario per accedere alle risorse dell’organizzazione usando un dispositivo personale (BYOD).

Descrizione
DefinitionRegistrazione in Azure AD senza richiedere l’account aziendale per accedere al dispositivo
Destinatari principaliApplicabile a tutti gli utenti:
Bring Your Own Device (BYOD)
Dispositivi mobili
Proprietà del dispositivoUtente o organizzazione
Sistemi operativiWindows 10 o versioni successive, iOS, Android e macOS
ProvisioningWindows 10 o versione successiva, dal tab Impostazioni
iOS/Android – Company Portal o app Microsoft Authenticator
macOS – Company Portal
Opzioni di accesso del dispositivoCredenziali locali dell’utente finale
Password
Windows Hello
PIN
Biometria
Gestione del dispositivoMobile Device Management (esempio: Microsoft Intune)
Mobile Application Management
Funzionalità principaliAccesso Single Sign-On alle risorse cloud
Accesso condizionale quando viene eseguita la registrazione in Intune
Accesso condizionale tramite criteri di protezione delle app
Consente l’accesso tramite telefono con l’app Microsoft Authenticator
  • Registrazione di un device Windows:

Sul nostro dispositivo personale è sufficiente cliccare su Start -> Manage your Account -> Access Work or School e seguire la procedura riportata di seguito, inserendo le credenziali del nostro utente 365.

Questo tipo di registrazione può ritenersi necessaria, quando un utente vuole accedere agli strumenti aziendali dal proprio pc di casa. L’organizzazione richiede che chiunque accede a questo strumento da un dispositivo conforme Intune. L’utente registra il pc domestico con Azure AD e i criteri di Intune necessari vengono applicati dando all’utente l’accesso alle proprie risorse.

Allo stesso tempo un utente vuole accedere alla mail aziendale tramite il proprio dispositivo iOS personale jailbreack. L’azienda richiede un dispositivo conforme e ha creato criteri di conformità con Intune per bloccare tutti i dispositivi jailbreack. Al dipendente non viene consentito l’accesso alle risorse dell’organizzazione in questo dispositivo.

Device Identity in AAD: Azure AD Join

Azure AD Join è il metodo di registrazione destinato in primo luogo alle organizzazioni che puntano ad essere “Cloud-first”, quindi basata interamente sul cloud. Con questo metodo è possibile aggiungere il client direttamente su Azure AD.

Gli amministratori possono proteggere e controllare ulteriormente i dispositivi Azure AD joined usando strumenti di Mobile Device Management (MDM) come Microsoft Intune o usando Microsoft Endpoint Configuration Manager in scenari di co-gestione. Questi strumenti offrono un mezzo per applicare le configurazioni richieste dall’organizzazione.

Descrizione
DefinizioneAggiunto solo a un’istanza di Azure AD che richiede l’account aziendale per accedere al dispositivo
Destinatari principaliAdatto a organizzazioni ibride e basate solo sul cloud.
Applicabile a tutti gli utenti di un’organizzazione
Proprietà del dispositivoOrganization
Sistemi operativiTutti i dispositivi Windows 11 e Windows 10 ad eccezione delle edizioni Home
Windows Server 2019 in esecuzione su Azure (Server Core non è supportato)
ProvisioningSelf-service: Windows Out of Box Experience (OOBE) o Impostazioni
Registrazione in blocco
Windows Autopilot
Opzioni di accesso del dispositivoAccount aziendale che usa:
Password
Windows Hello for Business
Chiavi di sicurezza FIDO2.0 (preview)
Gestione del dispositivoMobile Device Management (esempio: Microsoft Intune)
Configuration Manager autonomo o co-gestione con Microsoft Intune
Funzionalità principaliSSO per le risorse cloud e locali
Conditional Access tramite la registrazione MDM e la valutazione della conformità MDM
Reimpostazione della password self-service e ripristino del PIN di Windows Hello nella schermata di blocco
  • Registrazione Device:

Azure AD join può essere usato in vari scenari, ad esempio:

  • Si vuole passare all’infrastruttura basata su cloud mediante Azure AD e MDM come Intune.
  • Gli utenti hanno soprattutto la necessità di accedere a Microsoft 365 o ad altre app SaaS integrate con Azure AD.
  • Si vuole gestire un gruppo di utenti in Azure AD invece che in Active Directory, ad esempio lavoratori stagionali, terzisti o studenti.
  • Si vogliono fornire funzionalità aggiuntive ai lavoratori che lavorano da casa o si trovano in succursali remote con un’infrastruttura locale limitata.

L’obiettivo dei dispositivi Azure AD Joined è di semplificare:

  • Distribuzioni Windows di dispositivi di proprietà dell’azienda
  • Accesso ad app e risorse aziendali da qualsiasi dispositivo Windows
  • Gestione basata su cloud di dispositivi di proprietà dell’azienda
  • Accesso degli utenti ai dispositivi tramite il proprio account aziendale o dell’istituto di istruzione di Active Directory.

Device Identity in AAD: Azure AD Hybrid Joined:

Le organizzazioni con implementazioni di Active Directory esistenti possono trarre vantaggio da alcune delle funzionalità fornite dai servizi di Azure Active Directory (Azure AD) implementando soluzioni Azure AD Hybrid Join. In questo modo i dispositivi vengono aggiunti all’Active Directory locale e registrati con Azure Active Directory.

I device Azure AD Hybrid Joined richiedono periodicamente una connessione ai controller di dominio locali. Senza questa connessione, i dispositivi diventano inutilizzabili.

Descrizione
DefinitionDispositivo aggiunto all’istanza di AD locale e ad Azure AD che richiede l’account aziendale per l’accesso
Destinatari principaliOpzione adatta per le organizzazioni ibride con infrastruttura di AD locale esistente
Applicabile a tutti gli utenti di un’organizzazione
Proprietà del dispositivoOrganization
Sistemi operativiWindows 10 o versioni successive, 8.1 e 7
Windows Server 2008/R2, 2012/R2, 2016 e 2019
ProvisioningWindows 10 o versione successiva, Windows Server 2016/2019
Aggiunta a un dominio da parte del personale IT e aggiunta automatica tramite Azure AD Connect o la configurazione del file system distribuito di Azure
Aggiunta a un dominio tramite Windows Autopilot e aggiunta automatica tramite Azure AD Connect o la configurazione del file system distribuito di Azure
Windows 8.1, Windows 7, Windows Server 2012 R2, Windows Server 2012 e Windows Server 2008 R2 – Richiede MSI
Opzioni di accesso del dispositivoAccount aziendale che usa:
Password
Windows Hello for Business per Win10 e versioni successive
Gestione del dispositivoGroup Policy
Configuration Manager autonomo o co-gestione con Microsoft Intune
Funzionalità principaliSSO per le risorse cloud e locali
Conditional Access tramite aggiunta a un dominio o Intune in caso di co-gestione
Reimpostazione della password self-service e ripristino del PIN di Windows Hello nella schermata di blocco
  • Registrazione dispositivo:

La registrazione del dispositivo viene gestita da AD Connect. Requisiti:

  • Azure AD Connect versione 1.1.819.0 o successiva.
  • Credenziali Global Admin per il tenant di Azure AD.
  • Credenziali Enterprise Administrator per ognuna delle foreste Active Directory locale Domain Services.
  • (Per i domini federati) Almeno Windows Server 2012 R2 con Active Directory Federation Services installato.

Device Identity in AAD | Concludendo

Con i dispositivi Azure AD registered e quelli Azure AD Join è possibile verificare la conformità del device e utilizzare le funzionalità di Conditional Access se gestiti da Endpoint Manager. Se il dispositivo è di proprietà dell’azienda, occorre valutare l’Hybrid Azure AD join o il join diretto ad Azure AD, secondo le necessità riportate in precedenza. Se si tratta di un dispositivo mobile (iOS/Android) o se il dispositivo è di proprietà dell’utente, utilizzare Azure AD registration.

L’Azure AD registration offre agli utenti un’esperienza cloud migliore e allo stesso tempo consente alle organizzazioni di migliorare il proprio stato di sicurezza convalidando i dispositivi che accedono alle risorse aziendali.

Il Join ad Azure AD (e Hybrid AD) offre agli utenti l’accesso completo al cloud e/o alle risorse locali, questa soluzione può semplificare le distribuzioni di dispositivi Windows, abilitare maggiori funzionalità di SSO e promuovere una cultura self-service per la gestione del ciclo di vita del device.

Continua a leggere articoli sullo stesso tema:

Yooda | Blog | Devices – Yooda

Non fermarti qui, continua a leggere

Andrea Delmonte

Windows Autopatch

Windows Autopatch consentirà di assumere il controllo delle operazioni di quality e security patching, inclusi gli aggiornamenti delle funzionalità del sistema operativo Windows e gli aggiornamenti dei driver, firmware e le app Microsoft 365

Pacho Baratta

Security al Be Connected Day!

Riviviamo la track Security tenutasi al recente Be Connected Day scaricando le slide dei protagonisti e rivedendo i filmati registrati dell’evento

Pacho Baratta

Windows 10 Azure AD Joined Local Admins

Cosa fare se un utente modifica i local admins di un device Windows 10 Azure AD Joined? Cosa fare se questo utente cancella i SID dei ruoli amministrativi predefiniti? Quando si esegue la join ad AAD di un decice Windows 10, il gruppo dei local admins sarà fatto così: il default Administrator (disabilitato) l’utente utilizzato […]