將PC加入Azure AD域的一些實踐
在移動優先����、云優先的世界中�����,使用 Azure Active Directory (Azure AD) 可以實現從任意位置單一登錄到設備���、應用和服務�。 隨著自帶設備 (BYOD) 等設備的普及�����,IT 專業人員面臨著兩個對立的目標:
1����、使最終用戶能夠隨時隨地保持高效的工作
2��、隨時保持企業資產
用戶可通過設備訪問企業資產���。為了保護企業資產���,IT管理員需要控制這些設備���。這可確保用戶使用滿足安全性和符合性標準的設備訪問資源�。
設備管理也是基于設備的條件性訪問的基礎����。通過基于設備的條件訪問����,可確保只有受管理設備才能訪問環境中的資源����。
Azure AD和Windows Server AD對比如下:
https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-comparison
所以在Office365中將設備加入Azure AD域�����,可以實現更多的基于條件的應用訪問已經各種炫酷功能����。
下面來看一下怎么將一臺設備加入Azure AD域吧�����。
首先登錄Office365 Admin Center然后點擊管理員進入Azure AD��,選擇設備
選擇所有設備�,然后在右側點擊選擇的用戶可以將設備加入Azure AD域���,如果選擇全部那么整個組織中的用戶都可以將設備加入Azure AD域中���,這里我使用的我賬號來做演示�����。下面的要使用MFA驗證才能加入Azure AD域選擇否(也可以選擇是���,只是在加入Azure AD域時會對Office365用戶身份進行二次驗證)
選擇添加成員�����,添加完成后記得點擊左下角的確定
點擊確定后還要記得點擊策略上方的保存
然后���,我打開之前的舊筆記本打開任意一個Office應用就會彈出以下提示信息�����,當然是要選擇允許組織管理我的設備
然后輸入我的郵箱賬號密碼完成后就會重新準備Office
繼續點擊接受并啟動
現在我的電腦屬性還是一個workgroup工作組模式
再回到Azure AD中查看所有設備�,就能看到我的筆記本已經注冊到Azure AD中了(其實任意一臺電腦上只要安裝了Office365客戶端并進行登錄激活都會限制注冊到Azure AD)�,如下圖
然后打開我的筆記本��,查看系統屬性���,并選擇連接到工作單位或者學校��,然后輸入Office365賬號
由于沒有真正購買Azure AD���,只是用了Office365附帶的Azure AD���,所以沒有MDM的URL(Azure AD中MDM的設置都是灰色的�����,蛋疼)��,這里我們就手動點擊加入Azure AD域
然后再一次輸入用戶名密碼
然后會有提示用戶是否確認加入組織
點擊加入后��,就可以使用已經輸入的賬號和密碼進行登錄
然后最終將筆記本加入公司Office365的Azure AD域
這時候再打開系統屬性��,就能看到這臺筆記本已經加入公司組織了
此時我的筆記本還是使用的一個本地賬戶登錄的�����,接下來我們切換下使用域賬號(Office365賬戶)登錄看下效果
下面的圖片都是手機拍照的��,可能不是太清楚
輸入Office365賬戶密碼��,下方也提示登錄到工作賬戶或者學校賬戶
已經檢索出我的DisplayName了哦
因為筆記本有指紋識別模塊��,所以會提示設置指紋解鎖設備��,這里可以設置也可以跳過
接下來就是Azure AD組織的策略了��,必須設置Windows hello
開始設置賬戶
選擇賬戶驗證的方式
選擇電話呼叫(這里默認的電話信息是來自于Azure AD用戶身份驗證預留信息���,可以參考我之前的博客Office365啟用SSPR(用戶自助重置密碼)�����,里面會有介紹如何去配置這些信息)
然后微軟系統對我的手機號碼進行呼叫
如果我接通這里就完成了�����,如果我掛斷��,這里就通不過����,But在切換賬號過程中��,���,��,整個系統是沒有網絡的�����,這也就直接導致接下來所有的驗證失敗
然后系統會提示跳過這個策略部分�,但是后面要記得來設置這個Windows hello
接下來登錄到系統后�,我再進行Windows hello的設置
開始設置
繼續設置PIN
對當前賬號進行額外驗證
選擇短信方式
手機收到短信
填寫驗證碼
完成以上所有賬號驗證后設置PIN碼
設置完成
然后登錄到Azure AD管理中心��,查看用戶的設備也顯示為Azure AD Joined狀態��,這個才是真正的將設備加入Azure AD域�。
接下來就可以啟用一些自定義的高級功能�,比如啟動已經加入Azure AD計算機的BitLocker
將恢復密鑰存儲到Azure AD中�,是不是很吊
進入Azure AD管理中心�����,查看已經加入Azure AD的設備已經將BitLocker恢復密鑰存儲上來了
文章開頭說了��,將設備加入Azure AD最主要的目的是通過配置基于條件的訪問策略來控制用戶到底能在哪里訪問什么東西��,如果沒有將設備加入Azure AD����,將不能很好的限制用戶去訪問整個Azure中的服務(不僅限于Office365的SaaS服務)
在移動優先�、云優先的世界���,用戶可以從任意位置使用各種設備和應用訪問組織的資源����。 因此�����,僅關注誰可以訪問資源不再能滿足需求�。為了掌握安全與效率之間的平衡���,還需將資源的訪問方式作為訪問控制決策的考慮因素���。使用Azure Active Directory (Azure AD) 條件訪問便可處理該需求��。條件訪問是Azure Active Directory的一項功能���。使用條件訪問時�����,可以根據條件就云應用的訪問實施自動化的訪問控制決策���。
完成第一因素身份驗證后將強制執行條件訪問策略�。因此��,條件訪問不是針對拒絕服務 (DoS) ***等場景的第一道防線��,而是可以利用來自這些事件的信號(例如��,登錄風險級別�����、請求的位置等)來確定訪問權限����。
下面的圖可以很好的理解這個問題����,當然也可以參考微軟官方是對條件訪問的描述
https://docs.microsoft.com/zh-cn/azure/active-directory/conditional-access/overview
But?��。����?��!基于條件訪問的策略是要有Azure AD Premium許可的�����,而我們公司的Azure AD只是Office365上附帶的一個很基礎的版本�����,沒有專門去購買Azure AD�����,所以并沒有這個許可�����,于是我又天真的去點擊免費試用���,并激活
然而��,在分配許可里面�,�,��,�����,鬼都沒有一個
2019/1/9晚九點�,加入Azure AD設備基于條件訪問的策略建立以及驗證測試卒~~~
所以基本沒法開展有意義的測試�!但是我卻發現了另外一個很有意思的功能:
我在那臺加入Azure AD筆記本上編輯的文檔直接保存在桌面的����,這是一個很常規的動作����,但是我在新的PC上打開Word(使用同一個Office365賬號登錄Office)發現我在其他電腦上的所有文檔�,都可以在這里很輕松的打開
然后打開查看里面的內容跟我在那臺設備上編輯的一模一樣�����,
不得不佩服?。���?�!微軟×××牛?����。���?!真正的實現了資料隨賬號走?����。���?���!
最后��,提個問題:如果我的賬號在Office365中啟用了MFA功能���,那么我登錄計算機的時候會不會進行多重身份驗證�?
等后面有機會了再測試下已加入Azure AD的設備基于條件的訪問�����,以及各種策略下發吧��!
