Photo by Hal Gatewood on Unsplash
Andrea Delmonte

Device Identity in AAD

La Device Identity in AAD è un oggetto in Azure Active Directory, questo oggetto è simile agli utenti e ai gruppi. Questa Device Identity fornisce agli amministratori informazioni necessarie per la gestione degli accessi e delle configurazioni.

Esistono 3 diversi tipi di Device Identity in AAD:

  • Azure AD Registered
  • Azure AD Join
  • Hybrid Azure AD Join

Azure AD Registered

L’obiettivo dei device Azure AD Registered è quello di fornire all’utente il supporto necessario per accedere alle risorse dell’organizzazione usando un dispositivo personale (BYOD).

Descrizione
DefinitionRegistrazione in Azure AD senza richiedere l’account aziendale per accedere al dispositivo
Destinatari principaliApplicabile a tutti gli utenti:
Bring Your Own Device (BYOD)
Dispositivi mobili
Proprietà del dispositivoUtente o organizzazione
Sistemi operativiWindows 10 o versioni successive, iOS, Android e macOS
ProvisioningWindows 10 o versione successiva, dal tab Impostazioni
iOS/Android – Company Portal o app Microsoft Authenticator
macOS – Company Portal
Opzioni di accesso del dispositivoCredenziali locali dell’utente finale
Password
Windows Hello
PIN
Biometria
Gestione del dispositivoMobile Device Management (esempio: Microsoft Intune)
Mobile Application Management
Funzionalità principaliAccesso Single Sign-On alle risorse cloud
Accesso condizionale quando viene eseguita la registrazione in Intune
Accesso condizionale tramite criteri di protezione delle app
Consente l’accesso tramite telefono con l’app Microsoft Authenticator
  • Registrazione di un device Windows:

Sul nostro dispositivo personale è sufficiente cliccare su Start -> Manage your Account -> Access Work or School e seguire la procedura riportata di seguito, inserendo le credenziali del nostro utente 365.

Questo tipo di registrazione può ritenersi necessaria, quando un utente vuole accedere agli strumenti aziendali dal proprio pc di casa. L’organizzazione richiede che chiunque accede a questo strumento da un dispositivo conforme Intune. L’utente registra il pc domestico con Azure AD e i criteri di Intune necessari vengono applicati dando all’utente l’accesso alle proprie risorse.

Allo stesso tempo un utente vuole accedere alla mail aziendale tramite il proprio dispositivo iOS personale jailbreack. L’azienda richiede un dispositivo conforme e ha creato criteri di conformità con Intune per bloccare tutti i dispositivi jailbreack. Al dipendente non viene consentito l’accesso alle risorse dell’organizzazione in questo dispositivo.

Device Identity in AAD: Azure AD Join

Azure AD Join è il metodo di registrazione destinato in primo luogo alle organizzazioni che puntano ad essere “Cloud-first”, quindi basata interamente sul cloud. Con questo metodo è possibile aggiungere il client direttamente su Azure AD.

Gli amministratori possono proteggere e controllare ulteriormente i dispositivi Azure AD joined usando strumenti di Mobile Device Management (MDM) come Microsoft Intune o usando Microsoft Endpoint Configuration Manager in scenari di co-gestione. Questi strumenti offrono un mezzo per applicare le configurazioni richieste dall’organizzazione.

Descrizione
DefinizioneAggiunto solo a un’istanza di Azure AD che richiede l’account aziendale per accedere al dispositivo
Destinatari principaliAdatto a organizzazioni ibride e basate solo sul cloud.
Applicabile a tutti gli utenti di un’organizzazione
Proprietà del dispositivoOrganization
Sistemi operativiTutti i dispositivi Windows 11 e Windows 10 ad eccezione delle edizioni Home
Windows Server 2019 in esecuzione su Azure (Server Core non è supportato)
ProvisioningSelf-service: Windows Out of Box Experience (OOBE) o Impostazioni
Registrazione in blocco
Windows Autopilot
Opzioni di accesso del dispositivoAccount aziendale che usa:
Password
Windows Hello for Business
Chiavi di sicurezza FIDO2.0 (preview)
Gestione del dispositivoMobile Device Management (esempio: Microsoft Intune)
Configuration Manager autonomo o co-gestione con Microsoft Intune
Funzionalità principaliSSO per le risorse cloud e locali
Conditional Access tramite la registrazione MDM e la valutazione della conformità MDM
Reimpostazione della password self-service e ripristino del PIN di Windows Hello nella schermata di blocco
  • Registrazione Device:

Azure AD join può essere usato in vari scenari, ad esempio:

  • Si vuole passare all’infrastruttura basata su cloud mediante Azure AD e MDM come Intune.
  • Gli utenti hanno soprattutto la necessità di accedere a Microsoft 365 o ad altre app SaaS integrate con Azure AD.
  • Si vuole gestire un gruppo di utenti in Azure AD invece che in Active Directory, ad esempio lavoratori stagionali, terzisti o studenti.
  • Si vogliono fornire funzionalità aggiuntive ai lavoratori che lavorano da casa o si trovano in succursali remote con un’infrastruttura locale limitata.

L’obiettivo dei dispositivi Azure AD Joined è di semplificare:

  • Distribuzioni Windows di dispositivi di proprietà dell’azienda
  • Accesso ad app e risorse aziendali da qualsiasi dispositivo Windows
  • Gestione basata su cloud di dispositivi di proprietà dell’azienda
  • Accesso degli utenti ai dispositivi tramite il proprio account aziendale o dell’istituto di istruzione di Active Directory.

Device Identity in AAD: Azure AD Hybrid Joined:

Le organizzazioni con implementazioni di Active Directory esistenti possono trarre vantaggio da alcune delle funzionalità fornite dai servizi di Azure Active Directory (Azure AD) implementando soluzioni Azure AD Hybrid Join. In questo modo i dispositivi vengono aggiunti all’Active Directory locale e registrati con Azure Active Directory.

I device Azure AD Hybrid Joined richiedono periodicamente una connessione ai controller di dominio locali. Senza questa connessione, i dispositivi diventano inutilizzabili.

Descrizione
DefinitionDispositivo aggiunto all’istanza di AD locale e ad Azure AD che richiede l’account aziendale per l’accesso
Destinatari principaliOpzione adatta per le organizzazioni ibride con infrastruttura di AD locale esistente
Applicabile a tutti gli utenti di un’organizzazione
Proprietà del dispositivoOrganization
Sistemi operativiWindows 10 o versioni successive, 8.1 e 7
Windows Server 2008/R2, 2012/R2, 2016 e 2019
ProvisioningWindows 10 o versione successiva, Windows Server 2016/2019
Aggiunta a un dominio da parte del personale IT e aggiunta automatica tramite Azure AD Connect o la configurazione del file system distribuito di Azure
Aggiunta a un dominio tramite Windows Autopilot e aggiunta automatica tramite Azure AD Connect o la configurazione del file system distribuito di Azure
Windows 8.1, Windows 7, Windows Server 2012 R2, Windows Server 2012 e Windows Server 2008 R2 – Richiede MSI
Opzioni di accesso del dispositivoAccount aziendale che usa:
Password
Windows Hello for Business per Win10 e versioni successive
Gestione del dispositivoGroup Policy
Configuration Manager autonomo o co-gestione con Microsoft Intune
Funzionalità principaliSSO per le risorse cloud e locali
Conditional Access tramite aggiunta a un dominio o Intune in caso di co-gestione
Reimpostazione della password self-service e ripristino del PIN di Windows Hello nella schermata di blocco
  • Registrazione dispositivo:

La registrazione del dispositivo viene gestita da AD Connect. Requisiti:

  • Azure AD Connect versione 1.1.819.0 o successiva.
  • Credenziali Global Admin per il tenant di Azure AD.
  • Credenziali Enterprise Administrator per ognuna delle foreste Active Directory locale Domain Services.
  • (Per i domini federati) Almeno Windows Server 2012 R2 con Active Directory Federation Services installato.

Device Identity in AAD | Concludendo

Con i dispositivi Azure AD registered e quelli Azure AD Join è possibile verificare la conformità del device e utilizzare le funzionalità di Conditional Access se gestiti da Endpoint Manager. Se il dispositivo è di proprietà dell’azienda, occorre valutare l’Hybrid Azure AD join o il join diretto ad Azure AD, secondo le necessità riportate in precedenza. Se si tratta di un dispositivo mobile (iOS/Android) o se il dispositivo è di proprietà dell’utente, utilizzare Azure AD registration.

L’Azure AD registration offre agli utenti un’esperienza cloud migliore e allo stesso tempo consente alle organizzazioni di migliorare il proprio stato di sicurezza convalidando i dispositivi che accedono alle risorse aziendali.

Il Join ad Azure AD (e Hybrid AD) offre agli utenti l’accesso completo al cloud e/o alle risorse locali, questa soluzione può semplificare le distribuzioni di dispositivi Windows, abilitare maggiori funzionalità di SSO e promuovere una cultura self-service per la gestione del ciclo di vita del device.

Continua a leggere articoli sullo stesso tema:

Yooda | Blog | Devices – Yooda

Non fermarti qui, continua a leggere

Roberto Antonioli

Device Monitoring: reportistica e monitoraggio

Nel contesto della gestione moderna dei device Windows e mobile, Microsoft Intune si è affermato come uno strumento essenziale per il controllo e la sicurezza di dispositivi e applicazioni aziendali. Tra le varie funzionalità offerte da Intune, c’è quella di Device Monitoring, ovvero la capacità di generare report dettagliati e monitorare continuamente l’ambiente IT per […]

Pacho Baratta

Intune Suite: la soluzione per la gestione e la sicurezza dei devices

La gestione e la sicurezza dei dispositivi è una sfida sempre più importante per le aziende che devono garantire l’accesso sicuro e affidabile ai dati e alle risorse aziendali da parte dei propri dipendenti, partner e clienti. Con l’aumento del lavoro da remoto, del BYOD (Bring Your Own Device) e del lavoro remoto, è fondamentale […]

Pacho Baratta

Intune e Microsoft Store

Se sei un amministratore IT alla ricerca di una maggiore flessibilità nella gestione delle applicazioni su dispositivi Windows, ecco un nuovo articolo che ti aiuterà ad integrare meglio Intune e Microsoft Store