Azure AD Domain Join voor Windows 10

Zoals beschreven in deze vorige blog bestaat sinds Windows 10 de mogelijkheid om een Windows 10 machine direct te koppelen aan Azure AD. Deze blog beschrijft het proces dat een gebruiker dient te doorlopen om een Windows 10 machine te koppelen aan Azure AD. Naast de beschreven handmatige methode bestaat ook de mogelijkheid om domein verbonden machines automatisch te koppelen aan Azure AD.

Azure Active Directory

Voorheen werden accounts en computers opgeslagen in een lokaal gebruikersregister; de zogeheten Active Directory. Een Active Directory verbonden computer biedt gebruikers veilige toegang tot applicaties en gecentraliseerd beheer. Middels diverse authenticatie mechanismen (Kerberos/NTLM) ervaren gebruikers single-sign-on (SSO) naar on-premises applicaties en diensten zoals netwerkmappen en printers.

De Active Directory cloud-variant is Azure Active Directory (AAD), dat strikt noodzakelijk is voor Microsoft clouddiensten. Active Directory van Azure is een complete cloudoplossing voor identiteits- en toegangsbeheer welke een robuuste set mogelijkheden biedt voor het beheren van gebruikers, groepen en computers en voor het beveiligen van de toegang tot toepassingen, waaronder onlineservices van Microsoft, zoals Office 365 en een wereld aan SaaS-toepassingen van derden.

Windows 10 biedt de mogelijkheid om Active Directory verbonden computers ook te registreren binnen Azure Active Directory. Door het registeren van een Windows 10 computer binnen Azure Active Directory profiteren gebruikers van nieuwe functionaliteiten zoals single-sign-on (SSO) naar on-premises applicaties maar ook naar Azure Active Directory Apps zoals Office 365 en aangesloten SaaS-toepassingen van derden.

Registeren van Windows 10 binnen Azure Active Directory

Domein verbonden computers kunnen zich automatisch registeren binnen Azure Active Directory. Deze functionaliteit is eenvoudig in te schakelen door middel van een Group Policy en gebruik van de laatste versie van AD Connect.

Hoe dit proces verloopt is hieronder schematisch weergegeven:

  1. Group Policy geeft de domein verbonden computer een signaal om zich te registeren binnen Azure Active Directory.
    De policy ‘Register domain computers as device’ is te vinden onder:
    Computer Configuration/Policies/Administrative Templates/Windows Components/Device RegistrationIn de Server 2012 R2 GPMC heet de policy ‘Automatically workplace join client computers’ en is te vinden onder:
    Computer Configuration/Policies/Administrative Templates/Windows Components/Workplace Join
  2. Computer vraagt Azure Active Directory tenant gegevens op binnen de lokale Active Directory opgeslagen in een Service Connection Point (SCP), die bijgehouden wordt door AD Connect.
    De SCP wordt automatisch aangemaakt door AD Connect tijdens express installatie. Indien het een custom AD Connect installatie betreft dient de SCP handmatig met PowerShell gemaakt te worden.Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1″;
    $aadAdminCred = Get-Credential;
    Initialize-ADSyncDomainJoinedComputerSync –AdConnectorAccount [connector account name] -AzureADCredentials $aadAdminCred;
  3. Computers authentiseert zichzelf naar Azure Active Directory via AD FS voor een registratie token.
    Tijdens de authenticatie worden er drie claims doorgegeven aan Azure AD via het AD FS token. Deze drie claims worden automatisch aangemaakt door AD Connect tijdens express installatie. Indien het een custom AD Connect installatie betreft dienen de claims handmatig via PowerShell aangemaakt te worden.$existingRules = (Get-ADFSRelyingPartyTrust -Identifier urn:federation:MicrosoftOnline).IssuanceTransformRules$rule1 = ‘@RuleName = “Issue object GUID”
    c1:[Type == “http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid”, Value =~ “515$”, Issuer =~ “^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$”] &&
    c2:[Type == “http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname”, Issuer =~ “^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$”]
    => issue(store = “Active Directory”, types = (“http://schemas.microsoft.com/identity/claims/onpremobjectguid”), query = “;objectguid;{0}”, param = c2.Value);’$rule2 = ‘@RuleName = “Issue account type for domain joined computers”
    c:[Type == “http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid”, Value =~ “515$”, Issuer =~ “^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$”]
    => issue(Type = “http://schemas.microsoft.com/ws/2012/01/accounttype”, Value = “DJ”);’$rule3 = ‘@RuleName = “Pass through primary SID”
    c1:[Type == “http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid”, Value =~ “515$”, Issuer =~ “^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$”] &&
    c2:[Type == “http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid”, Issuer =~ “^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$”]
    => issue(claim = c2);’$updatedRules = $existingRules + $rule1 + $rule2 + $rule3$crSet = New-ADFSClaimRuleSet -ClaimRule $updatedRules

    Set-AdfsRelyingPartyTrust -TargetIdentifier urn:federation:MicrosoftOnline -IssuanceTransformRules $crSet.ClaimRulesString

  4. Computer genereerd een sleutel voor computer registratie. Naast de sleutel voor computer registratie hebben Windows 10 computers ook een sleutel om de SSO authenticatie tokens te beschermen. Deze sleutel is gekoppeld aan de fysieke computer.
  5. Computer registreert zich binnen Azure Active Directory via de Azure Device Registration Service.

Nadat de Windows 10 computer zich geregistreerd heeft binnen Azure AD, wordt bij elke inlog of unlock van de computer een zowel een Active Directory SSO token als een Azure Active Directory SSO token aangevraagd. Op dat moment beschikt de computer over SSO tokens voor zowel Active Directory en Azure Active Directory en hebben gebruikers toegang tot bedrijfsmiddelen zonder authenticatie prompts.

Hoe dit proces verloopt is hieronder schematisch weergegeven:

De voordelen van Azure AD + Domain Join + Windows 10

  1. SSO vanaf elke locatie en zelfs SSO naar Azure Active Directory Apps vanaf extranet;
  2. Veilig synchroniseren van gebruikersinstellingen en toepassingsgegevens over Active Directory verbonden computers;
  3. Toegang tot de Windows Store voor bedrijven met bedrijfsaccount;
  4. Microsoft Passport en Windows Hello voor veilige en gemakkelijke toegang tot bedrijfsmiddelen;
  5. Deelname aan computer voorwaardelijke toegangsbeleid naar bedrijfsmiddelen;

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *