Windows 10 in de cloud: Join Azure AD

Windows 10 biedt veel nieuwe mogelijkheden waaronder rechtstreekse koppeling aan Azure Active Directory.

Oftewel: Windows 10 in de cloud!

Voordelen van Windows 10 in Azure Active Directory (AAD)

Traditioneel maakten we zakelijke Windows-machines lid van het Active Directory (AD) domein binnen het bedrijfsnetwerk. Tegenwoordig kan je een device met Windows 10 direct koppelen aan Azure AD. De belangrijkste voordelen van deze Join Azure AD optie hebben we voor jou op ’n rijtje gezet:

  • Bring / Choose Your Own Device: voor het omarmen van persoonlijk aangeschafte apparaten (BYOD) of zakelijk uitgekozen (CYOD) mobiele devices. Bring Your Own Device ofwel het BYOD-concept geeft medewerkers nog meer vrijheidsgevoel, en levert de werkgever financiële besparingen op.
  • Single Sign On: voor eenmalige aanmelding naar álle cloud-diensten die je organisatie vanuit de Microsoft cloud met SSO ontsluit zoals Office 365, Dynamics CRM Online of andere duizenden vooraf geïntegreerde SaaS-apps waaronder Citrix, Salesforce en DropBox for Business met Azure AD.
  • Roaming: We konden met Windows 8.1 en een Microsoft Account (bv. pietje@live.nl) al persoonlijke Windows-instellingen ‘roamen’ over meerdere devices. Zoals jouw voorkeuren, menutegels en favorieten. Deze gebruiksvriendelijke functie kan nu ook in zakelijke omgevingen met Windows 10 gekoppeld aan de Azure AD van jouw organisatie. Ondersteuning voor roaming van Modern Apps volgt op kort termijn.
  • Beheer: IT kan automatisch nieuwe devices met Windows 10 die Azure AD joinen ook direct in beheer krijgen met Microsoft Intune (los verkrijgbaar of als onderdeel van de Enterprise Mobility Suite). Wanneer IT al beschikt over System Center Configuration Manager (SCCM, okay formeel ConfigMgr) dan kan je Intune integreren met ConfigMgr, zodat IT-management vanuit één beheerconsole alle assets onder controle krijgt.

De techniek achter ‘Join Azure AD’ als randvoorwaarde

Azure Portal

(klik voor uitvergroting van Azure AD-configuratie via het Azure Portal)

De koppeling c.q. join van Windows 10 aan een Azure Active Directory kan op twee momenten: tijdens of ná de installatie van Windows 10. In beide gevallen moet de Azure AD van jouw organisatie toestaan dat gebruikers hun device(s) mogen ‘joinen’.

We configureren dit (zie screenshot) in het Azure Portal:

  1. Kies Active Directory en dan jouw domein
  2. Klik Configure uit de bovenste tabbladen
  3. Klik ALL naast ‘Users may join devices to Azure AD’

In dit artikel doorlopen we verder de stappen vanuit gebruikersperspectief tijdens een Windows 10-installatie om het device te registeren in Azure Active Directory.

Stappen tijdens de installatie van Windows 10

De installatie van Windows 10 doorloop je nog eenvoudiger dan we van Windows 8.1 als voorganger al kenden. Het keuzescherm voor Join Azure AD dat je gedurende een (Engelstalige) installatie tegenkomt, ziet er zo uit:

Choose how you'll connect. You can connect Windows to your organization in one of two ways: Join Azure AD. Join a domain.

Keuzescherm tijdens de Windows 10-installatie voor Join Azure AD óf een domein

Je blijft de mogelijkheid houden om dit Windows 10-device lid te maken van een ‘traditioneel’ ofwel on-premises Active Directory-domein met de optie Join a domain. Wij willen juist Windows 10 in de cloud hangen dus gaan voor Azure Active Directory met de bovenste optie: Join Azure AD.

De melding verschijnt dan dat je deze optie kan kiezen als jouw organisatie gebruikmaakt van Office 365 of andere zakelijke (cloud) diensten van Microsoft.

Join Azure AD

Kies: ‘Join Azure AD’ en dan ‘Next’

We beschikken al over Office 365 (dus ook over een Azure AD ‘tenant’) en rammen daarom op Next.

In het volgende scherm vraagt de setup naar jouw account waarmee je de ‘join’ wil uitvoeren.

Let's get you signed in | Work or school account

Invoerscherm voor jouw account en wachtwoord

Met de invoer van jouw accountnaam (e-mailadres) zoekt de Windows-installatie naar de bijbehorende Azure AD ‘tenant’ van jouw organisatie om te bepalen of je mag joinen en zo ja, hoe de verdere authenticatie verloopt: tegen Azure AD of gefedereerd met AD FS …

Let's get you signed in | Sign in with the username and password you use with Office 365 (or other business services from Microsoft).

Voer jouw e-mailadres in als accountnaam

Als je Azure AD geen koppeling heeft met de on-premises Active Directory van jouw organisatie dan krijg je als ‘cloud-only’ gebruiker custom-branding zoals het bedrijfslogo te zien. In dat geval authentiseren gebruikers rechtstreeks tegen Azure AD. Indien de Azure AD tenant deze koppeling wél heeft en daarmee gefedereerd moet authentiseren, zal het loginscherm je automatisch dirigeren naar jouw organisatorische “on-prem” Active Directory Federation Services (AD FS) server voor authenticatie.

Ook wij federeren –net als de meeste organisaties nog– onze Azure AD tenant met de on-premises Active Directory vanwege de tiental virtuele machines die lokaal in wow365.lan spinnen.

Taking you to the sign-in page for your organization

Automatische redirect naar de Active Directory Federation Services (AD FS) inlogpagina

Windows 10 heeft onze Azure AD tenant gevonden en instructies gekregen dat ie de AD FS-koppeling naar onze lokale Active Directory moet gebruiken.  We krijgen het inlogscherm te zien van onze Federation Service die mijn account authentiseert tegen de lokale Active Directory. Uiteraard staan onze servers met AD FS, en domain controllers niet rechtstreeks aan “het grote, boze internet” gekoppeld maar veilig ontsloten via de Web Application Proxy (nieuw in Windows Server 2012 R2 met ingebouwde AD FS proxy).

Federation Services | Aanmelden met uw organisatieaccount

Inlogscherm van Active Directory Federation Services (AD FS)

Optioneel kan je Azure Multi Factor Authenticatie (MFA) aanzetten voor additionele beveiliging. De accounthouder krijgt dan een One Time Password via SMS naar zijn of haar mobiele nummer toegestuurd die hij/zij vervolgens in onderstaande scherm ter extra verificatie moet invullen:

Help us protect your account We've sent you a text message with a verification code.

Optionele beveiligingsstap met Azure Multi Factor Authentication (Azure MFA)

Na de (optionele extra) verificatieslag staat Windows 10 klaar voor gebruik en kan je aanmelden met jouw zakelijke account.

Windows 10 in de cloud

Inlogscherm van Windows 10 in de cloud

Hangt jouw Windows 10 device al in de cloud?

mm

Stel je vraag of geef feedback

  • Help WOW365 aan 100+ YouTube-abonnees