Lange Zeit wurde ich (und viele andere) nun gefragt, ob mit der Nutzung von Azure Active Directory nun ein Computer verwaltet werden und man lokale Domänen Controller abschalten kann. Die Antwort ist (zumindest nach derzeitigen Erkenntnissen) ein “Nein”!
Es ist (derzeit) nicht möglich, lokale Gruppenrichtlinien über Azure AD zu verwalten oder gar zu migrieren. allerdings habe ich schon im Oktober 2011 unter anderem einen Workshop gehalten, wie man Gruppenrichtlinien exportieren kann und diese über Microsoft Intune verteilen kann (Workshop: Intune Version 2 Workshop auf der CloudConf ). Diese Variante über mit dem SCM (Security Configuration Manager) geht auch heute noch.
Doch was bringt nun die Anbindung eines Windows PCs an das Azure AD?
Ganz einfach:
Mehr Sicherheit!

Das Azure AD bringt inzwischen einige Funktionen mit, welche die Sicherheit von mobilen Geräten nicht nur um einige Stufen höher bringt, sondern auch die unerlaubte Nutzung von mobilen Geräten um einiges schwieriger, wenn nicht sogar unmöglich macht. Diese Funktionen, als Gesamtbild gesehen, bringt meines Wissens nach derzeit keine andere Software für die Verwaltung von mobilen Geräten. Die meisten mir bekannten Varianten belassen es nämlich bei einer Anbindung über “Active Sync” in der Regel dabei, ein Pseudozertifikat zu erwarten, wenn dieses überhaupt gesetzt wurde. Die Verteilung von Zertifikaten auf mobilen Geräten ist nun wirklich kein Hexenwerk… Dies ging schon mit Windows Mobile 6.0 :-)

Nun, schauen wir uns doch mal kurz an, welche Funktionen wir denn nun nutzen (müssen), um eine erfolgreiche Cloudbasierte Authentifizierung mit dem Azure AD einzurichten:

  • Innerhalb von Azure AD muss die Option “” aktiviert worden sein
  • Dazu muss die Lizenz “Azure Active Directory Premium” als “zahlbare” Option gebucht sein. (Kein Testaccount)
  • Zusätzlich sollte die Option der MFA Authentifizierung während der Registration aktiv sein, um sicher zu stellen, das niemand unbefugtes auf einem fremden Gerät eine Verbindung herstellt.

Azure_AD_Devices_Config

So wie hier bei mir, könnte eine Konfiguration aussehen. Die MFA (Multi-Factor Authentifizierung) sehe ich persönlich wie schon oben beschrieben, als eine der wichtigsten Optionen an.

Nachdem nun die Grundvoraussetzungen gewährleistet sind, hier nun einige Screens zu der eigentlichen Azure AD Geräteregistrierung. Nebenbei, es wird öfters noch der Begriff “Workplace Join” fallen. Diese eigentlich für Windows 8 / 8.1 geschaffene Option, welche später auch für Windows 7 bereit gestellt wurde, erfordert ein lokales AD mit einer ADFS Konfiguration. Diese Anbindung ist hier nicht gemeint. Es ist tatsächlich eine reine “Cloud” Anbindung.

Im folgenden ist kann man nun zwischen zwei Optionen wählen, beide führen aber immer in die Systemkonfiguration.

Azure_AD_Devices_JoinAD-01

Azure_AD_Devices_JoinAD-02

Azure_AD_Devices_JoinAD-03

Bei Klicken auf “Join Azure AD” muss man sich mit dem Organisationskonto anmelden und wird gleich “angemeckert” :-)

Azure_AD_Devices_JoinAD-04B

Azure_AD_Devices_JoinAD-04A

Im übrigen kommt unser Firmenlogo durch das optionale “Custom Website Branding”, welches ebenfalls ein Feature des AAD Premium ist.

Nun gehen wir weiter im Schnelldurchlauf. Das heißt, meinen Azure AD Benutzer kann ich jetzt ebenfalls als neuen Benutzer hinzufügen, obwohl dieser in der Cloud ist. Die Syntax lautet dann auch “AzureAD\UPN”.

Als Windows Live Benutzer ist es mir aber auch möglich, den Workplace Join durchzuführen und die für “mich” und diesem gerät bestimmte bzw. zugewiesene Applikationen zu beziehen. Dieser Vorgang ist auf jedem Mobilen Gerät identisch, wird nur eventuell anders benannt.

Azure_AD_Devices_JoinAD-06

Azure_AD_Devices_JoinAD-07

Azure_AD_Devices_JoinAD-10

Und selbst im Windows Intune Portal erscheint der Rechner oder das Gerät sehr schnell. Je nach Vorbereitung, sollten sogar die ersten Richtlinien das Gerät konfigurieren.

Azure_AD_Devices_JoinAD-08

Azure_AD_Devices_JoinAD-09

Azure_AD_Devices_JoinAD-11

Fazit:

Spätestens jetzt mit der aktuelle Windows 10 Preview Build 10122 sollte nun bei jedem Cloud Admin, mit aktiviertem Azure AD Premium die Cloudanbindung des Geräts funktionieren.

Microsoft wird die nächsten Wochen nicht nur eine RTM von Windows 10 präsentieren, sondern es werden auch drum herum die verschiedensten Cloud-Dienste angepasst und weiter entwickelt. Windows Intune wie auch Office 365 und immer wieder wird es sich um das “Doppelte Lotchen” drehen:

Microsoft ID (LiveID Konto) und Organisations ID (Azure AD Konto)

Viel Spass beim testen.

 

The short URL of the present article is: http://wp.me/p1MQAv-15q

Tagged with:

Filed under: AzureCloudIntuneWindows 10