La Device Identity in AAD è un oggetto in Azure Active Directory, questo oggetto è simile agli utenti e ai gruppi. Questa Device Identity fornisce agli amministratori informazioni necessarie per la gestione degli accessi e delle configurazioni.
Esistono 3 diversi tipi di Device Identity in AAD:
- Azure AD Registered
- Azure AD Join
- Hybrid Azure AD Join
Azure AD Registered
L’obiettivo dei device Azure AD Registered è quello di fornire all’utente il supporto necessario per accedere alle risorse dell’organizzazione usando un dispositivo personale (BYOD).
Descrizione | |
Definition | Registrazione in Azure AD senza richiedere l’account aziendale per accedere al dispositivo |
Destinatari principali | Applicabile a tutti gli utenti: |
Bring Your Own Device (BYOD) | |
Dispositivi mobili | |
Proprietà del dispositivo | Utente o organizzazione |
Sistemi operativi | Windows 10 o versioni successive, iOS, Android e macOS |
Provisioning | Windows 10 o versione successiva, dal tab Impostazioni |
iOS/Android – Company Portal o app Microsoft Authenticator | |
macOS – Company Portal | |
Opzioni di accesso del dispositivo | Credenziali locali dell’utente finale |
Password | |
Windows Hello | |
PIN | |
Biometria | |
Gestione del dispositivo | Mobile Device Management (esempio: Microsoft Intune) |
Mobile Application Management | |
Funzionalità principali | Accesso Single Sign-On alle risorse cloud |
Accesso condizionale quando viene eseguita la registrazione in Intune | |
Accesso condizionale tramite criteri di protezione delle app | |
Consente l’accesso tramite telefono con l’app Microsoft Authenticator |
- Registrazione di un device Windows:
Sul nostro dispositivo personale è sufficiente cliccare su Start -> Manage your Account -> Access Work or School e seguire la procedura riportata di seguito, inserendo le credenziali del nostro utente 365.
Questo tipo di registrazione può ritenersi necessaria, quando un utente vuole accedere agli strumenti aziendali dal proprio pc di casa. L’organizzazione richiede che chiunque accede a questo strumento da un dispositivo conforme Intune. L’utente registra il pc domestico con Azure AD e i criteri di Intune necessari vengono applicati dando all’utente l’accesso alle proprie risorse.
Allo stesso tempo un utente vuole accedere alla mail aziendale tramite il proprio dispositivo iOS personale jailbreack. L’azienda richiede un dispositivo conforme e ha creato criteri di conformità con Intune per bloccare tutti i dispositivi jailbreack. Al dipendente non viene consentito l’accesso alle risorse dell’organizzazione in questo dispositivo.
Device Identity in AAD: Azure AD Join
Azure AD Join è il metodo di registrazione destinato in primo luogo alle organizzazioni che puntano ad essere “Cloud-first”, quindi basata interamente sul cloud. Con questo metodo è possibile aggiungere il client direttamente su Azure AD.
Gli amministratori possono proteggere e controllare ulteriormente i dispositivi Azure AD joined usando strumenti di Mobile Device Management (MDM) come Microsoft Intune o usando Microsoft Endpoint Configuration Manager in scenari di co-gestione. Questi strumenti offrono un mezzo per applicare le configurazioni richieste dall’organizzazione.
Descrizione | |
Definizione | Aggiunto solo a un’istanza di Azure AD che richiede l’account aziendale per accedere al dispositivo |
Destinatari principali | Adatto a organizzazioni ibride e basate solo sul cloud. |
Applicabile a tutti gli utenti di un’organizzazione | |
Proprietà del dispositivo | Organization |
Sistemi operativi | Tutti i dispositivi Windows 11 e Windows 10 ad eccezione delle edizioni Home |
Windows Server 2019 in esecuzione su Azure (Server Core non è supportato) | |
Provisioning | Self-service: Windows Out of Box Experience (OOBE) o Impostazioni |
Registrazione in blocco | |
Windows Autopilot | |
Opzioni di accesso del dispositivo | Account aziendale che usa: |
Password | |
Windows Hello for Business | |
Chiavi di sicurezza FIDO2.0 (preview) | |
Gestione del dispositivo | Mobile Device Management (esempio: Microsoft Intune) |
Configuration Manager autonomo o co-gestione con Microsoft Intune | |
Funzionalità principali | SSO per le risorse cloud e locali |
Conditional Access tramite la registrazione MDM e la valutazione della conformità MDM | |
Reimpostazione della password self-service e ripristino del PIN di Windows Hello nella schermata di blocco |
- Registrazione Device:
Azure AD join può essere usato in vari scenari, ad esempio:
- Si vuole passare all’infrastruttura basata su cloud mediante Azure AD e MDM come Intune.
- Gli utenti hanno soprattutto la necessità di accedere a Microsoft 365 o ad altre app SaaS integrate con Azure AD.
- Si vuole gestire un gruppo di utenti in Azure AD invece che in Active Directory, ad esempio lavoratori stagionali, terzisti o studenti.
- Si vogliono fornire funzionalità aggiuntive ai lavoratori che lavorano da casa o si trovano in succursali remote con un’infrastruttura locale limitata.
L’obiettivo dei dispositivi Azure AD Joined è di semplificare:
- Distribuzioni Windows di dispositivi di proprietà dell’azienda
- Accesso ad app e risorse aziendali da qualsiasi dispositivo Windows
- Gestione basata su cloud di dispositivi di proprietà dell’azienda
- Accesso degli utenti ai dispositivi tramite il proprio account aziendale o dell’istituto di istruzione di Active Directory.
Device Identity in AAD: Azure AD Hybrid Joined:
Le organizzazioni con implementazioni di Active Directory esistenti possono trarre vantaggio da alcune delle funzionalità fornite dai servizi di Azure Active Directory (Azure AD) implementando soluzioni Azure AD Hybrid Join. In questo modo i dispositivi vengono aggiunti all’Active Directory locale e registrati con Azure Active Directory.
I device Azure AD Hybrid Joined richiedono periodicamente una connessione ai controller di dominio locali. Senza questa connessione, i dispositivi diventano inutilizzabili.
Descrizione | |
Definition | Dispositivo aggiunto all’istanza di AD locale e ad Azure AD che richiede l’account aziendale per l’accesso |
Destinatari principali | Opzione adatta per le organizzazioni ibride con infrastruttura di AD locale esistente |
Applicabile a tutti gli utenti di un’organizzazione | |
Proprietà del dispositivo | Organization |
Sistemi operativi | Windows 10 o versioni successive, 8.1 e 7 |
Windows Server 2008/R2, 2012/R2, 2016 e 2019 | |
Provisioning | Windows 10 o versione successiva, Windows Server 2016/2019 |
Aggiunta a un dominio da parte del personale IT e aggiunta automatica tramite Azure AD Connect o la configurazione del file system distribuito di Azure | |
Aggiunta a un dominio tramite Windows Autopilot e aggiunta automatica tramite Azure AD Connect o la configurazione del file system distribuito di Azure | |
Windows 8.1, Windows 7, Windows Server 2012 R2, Windows Server 2012 e Windows Server 2008 R2 – Richiede MSI | |
Opzioni di accesso del dispositivo | Account aziendale che usa: |
Password | |
Windows Hello for Business per Win10 e versioni successive | |
Gestione del dispositivo | Group Policy |
Configuration Manager autonomo o co-gestione con Microsoft Intune | |
Funzionalità principali | SSO per le risorse cloud e locali |
Conditional Access tramite aggiunta a un dominio o Intune in caso di co-gestione | |
Reimpostazione della password self-service e ripristino del PIN di Windows Hello nella schermata di blocco |
- Registrazione dispositivo:
La registrazione del dispositivo viene gestita da AD Connect. Requisiti:
- Azure AD Connect versione 1.1.819.0 o successiva.
- Credenziali Global Admin per il tenant di Azure AD.
- Credenziali Enterprise Administrator per ognuna delle foreste Active Directory locale Domain Services.
- (Per i domini federati) Almeno Windows Server 2012 R2 con Active Directory Federation Services installato.
Device Identity in AAD | Concludendo
Con i dispositivi Azure AD registered e quelli Azure AD Join è possibile verificare la conformità del device e utilizzare le funzionalità di Conditional Access se gestiti da Endpoint Manager. Se il dispositivo è di proprietà dell’azienda, occorre valutare l’Hybrid Azure AD join o il join diretto ad Azure AD, secondo le necessità riportate in precedenza. Se si tratta di un dispositivo mobile (iOS/Android) o se il dispositivo è di proprietà dell’utente, utilizzare Azure AD registration.
L’Azure AD registration offre agli utenti un’esperienza cloud migliore e allo stesso tempo consente alle organizzazioni di migliorare il proprio stato di sicurezza convalidando i dispositivi che accedono alle risorse aziendali.
Il Join ad Azure AD (e Hybrid AD) offre agli utenti l’accesso completo al cloud e/o alle risorse locali, questa soluzione può semplificare le distribuzioni di dispositivi Windows, abilitare maggiori funzionalità di SSO e promuovere una cultura self-service per la gestione del ciclo di vita del device.
Continua a leggere articoli sullo stesso tema:
Non fermarti qui, continua a leggere
Device Monitoring: reportistica e monitoraggio
Nel contesto della gestione moderna dei device Windows e mobile, Microsoft Intune si è affermato come uno strumento essenziale per il controllo e la sicurezza di dispositivi e applicazioni aziendali. Tra le varie funzionalità offerte da Intune, c’è quella di Device Monitoring, ovvero la capacità di generare report dettagliati e monitorare continuamente l’ambiente IT per […]
Intune Suite: la soluzione per la gestione e la sicurezza dei devices
La gestione e la sicurezza dei dispositivi è una sfida sempre più importante per le aziende che devono garantire l’accesso sicuro e affidabile ai dati e alle risorse aziendali da parte dei propri dipendenti, partner e clienti. Con l’aumento del lavoro da remoto, del BYOD (Bring Your Own Device) e del lavoro remoto, è fondamentale […]
Intune e Microsoft Store
Se sei un amministratore IT alla ricerca di una maggiore flessibilità nella gestione delle applicazioni su dispositivi Windows, ecco un nuovo articolo che ti aiuterà ad integrare meglio Intune e Microsoft Store
Entra nell’universo digitale
Con Yooda porterai la tua azienda verso un nuovo mindset che cambierà in meglio l’esperienza di tutti e genererà nuovo valore per te.