Quelles sont les différences entre Azure AD Join, Hybrid Azure AD Join, et Azure AD Registered ?

 

Beaucoup se posent cette question, nous allons tenter d’y répondre ici.

 

 

La base de l’enregistrement de device dans Azure

 

Tout d’abord, que l’on fasse de l’Azure AD Join, de l’Hybrid Azure AD Join, ou de l’Azure AD Registered, l’idée de ces mécaniques est de donner une identité au Device.

 

Donner une identité aux Devices est la foundation pour tout ce qui va être scénarios de “Conditional Access” basé sur nos machines.

 

Quand un Device est AAD Hybridé / AAD Joined / AAD Registered, il participe à l’authentification, avec l’utilisateur, lors du Login à un service Azure (Azure AD, Office365…)

 

Il est aussi possible de combiner ces mécaniques avec inTune pour aller encore plus loin dans le contrôle du Device.

 

 

Quels sont les avantages pour l’utilisateur ?

 

• Faciliter le SSO aux applications Azure, Office365, et SaaS intégrés à Azure AD
• Permettre le roaming de certains paramètres OS entre ses machines Windows 10
• Permettre le déploiement simplifié et l’utilisation de Windows Hello for Business
• Bénéficier de Seamless MFA avec Windows 10

 

Quels sont les avantages pour les Administrateurs ?

 

• Avoir du contrôle sur les Devices (si inTune est utilisé en complément)
• Créer des règles de “Conditinnal Access” basé sur le device et plus seulement sur l’utilisateur
• Réduire le risque de vol d’identifiant avec l’utilisation de Windows Hello ou de méthode d’authentification Password-Less

 

 

 

Corporate Owned Device VS Bring Your Own Device

 

Il est important de comprendre la différence entre les Devices “COD” et les Devices “BYOD”, cela va définir la stratégie d’enregistrement de Device dans Azure AD.

 

Les “COD” correspondent aux:

 

• Machines jointes au domaine
• Devices mobiles managés par l’entreprise

 

Les “BYOD” correspondent aux:

 

• Machines (PC/MAC) Workstation personnelles des utilisateurs
• Devices mobiles (Smartphone, tablette…) personnels des utilisateurs

 

 

“COD” & “BYOD” = 3 Options techniques d’enregistrement de Device dans Azure AD

 

 

1. Azure AD Registered - “COD” & BYOD”

 

 

Azure AD Registered va tout d’abord servir pour les scénarios “BYOD”. Il permet aux utilisateurs d’accéder aux assets de l’entreprise avec un Device personnel.

 

Azure AD Registered permet aussi les scénarios “COD” en gérant les Devices mobiles de l’entreprise (en couplant avec inTune).

 

• L’administrateur aura une information sur les Devices perso utilisateurs par ses utilisateurs
• L’administrateur pourra ajouter une surcouche de management/check avec Intune (vérifier la conformité du Device selon plusieurs critère, ex: antivirus, patching, etc)

 

Prérequis:

 

• Si c’est PC, il ne doit pas avoir été joint à un AD onprem, c’est un scénario non supporté par Microsoft.

 

• Il faut avoir activé l’option “Device Registration” dans Azure AD

 

 

 

NB : L’option sera grisée si vous avez activé inTune, ce sera inTune qui pilotera ce paramètre.

 

 

• Créer un enregistrement CNAME “EnterpriseRegistration.contoso.com” qui redirige vers “EnterpriseRegistration.Windows.net” (contoso étant le suffixe UPN dans l’environnement)

 

 

Vous pouvez utiliser “Azure AD Registered” pour Windows 10, Windows 8.1, iOS, macOS, Android

 

 

Windows 10 & Azure AD Registered

 

Il est possible de “Azure AD Registered” une machine Windows 10:

 

• Durant l’installation:

 

 

• manuellement dans les options “Work or School Account”:

 

 

• Lorsqu’on lance une application Office365:

 

 

 

 

Windows 8.1 & Azure AD Registered

 

 

Il est possible de “Azure AD Registered” une machine Windows 8.1:

 

• Manuellement via l’option “Workplace Join”

 

Android & Azure AD Registered

 

 

Il est possible de “Azure AD Registered” un Device Android:

 

• en installant l’application Microsoft Authenticator (celle ci fonctionnant comme un broker)

 

 

 

 

 

iOS & Azure AD Registered

 

Naviguez vers :

 

https://enterpriseregistration.windows.net/enrollmentserver/otaprofile/<yourdomainname>

 

et déclenchez l’enregistrement du Device

 

 

 

macOS & Azure AD Registered

 

 

Enregistrez les macOS via le compagny Portal:

 

 

 

 

Que se passe t-il durant la phase “Azure AD Registered” ?

 

• Le Device est enregistré dans Azure AD
• Il possède un “Owner” puisqu’il est enregistré sous un contexte Utilisateur
• Il possède des informations et attributs dans Azure AD

 

 

 

• un certificat est placé dans le Device pendant l’opération pour l’identifier (= il possède une identité)

 

• Windows 10 génère une paire de clé privé/publique et déclenche Windows Hello si cela a été demandée

 

• Si le “Device Writeback” est activé, cet objet est ecrit dans l’AD local

 

• Optionnellement, il est enrôlé dans inTune si vous l’avez activé

 

 

 

2.  Azure AD Join - “COD”

 

Azure AD Join ne s’utilise qu’avec Windows 10, il supporte plusieurs usecases:

 

• Les entreprises “Cloud-Only”
• Les entreprises “Cloud-First” (qui utilisent majoritairement des services Office365)
• Les entreprises qui possèdent des utilisateurs très nomades, qui n’ont pas (ou peu) d’accès à l’infrastructure local
• Lors d’une phase de transition Onprem vers le Cloud

 

Une machine Azure AD Join est uniquement enregistré dans Azure AD, mais dans l’AD local, mais notez qu’Azure AD Join permet aux machines Windows 10 d’accéder aux ressources Cloud mais aussi Onprem (i.e. Kerberos fonctionne pour l’accès Onprem)

 

Prérequis:

 

• Activer Azure AD Join coté Azure AD

 

 

• la machine ne doit pas être jointe au domaine AD local

 

 

Comment Azure AD Join une machine Windows 10 ?

 

• manuellement depuis les options de Windows 10:

 

 

 

• via Autopilot:

 

 

en se signant avec ses identifiants de l’entreprise

 

 

• en mode bulk avec Windows 10 Configuration Designer

 

Que se passe-t-il durant la phase “Azure AD Join” ?

 

 

• la machine est en workgroup et pourtant il est possible de se logguer avec ses identifiants d’entreprise, ce qui offre une bonne expérience utilisateur.

 

• Le Device est noté “Azure AD Join” dans Azure AD, il possède un owner car enregistré sous contexte utilisateur

 

 

• le Device est enregistré avec un certain nombre d’information et d’attribut

 

 

 

 

• un certificat est placé dans le Device pendant l’opération pour l’identifier (= il possède une identité)

 

• Windows 10 génère une paire de clé privé/publique et déclenche Windows Hello si cela a été demandée

• Si le “Device Writeback” est activé, cet objet est ecrit dans l’AD local

 

 

 

• Event log coté machine permet de vérifier les opérations

 

ex : Event ID 105 pour un AADJoin en succès

 

• DSRegcmd /Status permet de vérifier l’état d’enregistrement d’un Device

 

• On peut aussi vérifier les informations d’enregistrement dans le registre

 

 

 

 

3.  Hybrid Azure AD Join - “COD”

 

Hybrid Azure AD Join est dédié à l’enregistrement de machine déjà jointe à un domain AD local.

 

Le fait d’enregistrement en plus les machines dans Azure AD:

 

• Permet d’utiliser des règles de “Conditionnal Access” avancé (via l’etat du Device, utile avec la généralisation du télétravail)

 

• Facilite le SSO

 

 

Prérequis:

 

• Il faut avoir activé l’option “Device Registration” dans Azure AD

 

 

 

NB : L’option sera grisée si vous avez activé inTune, ce sera inTune qui pilotera ce paramètre.

 

 

• Créer un enregistrement CNAME “EnterpriseRegistration.contoso.com” qui redirige vers “EnterpriseRegistration.Windows.net” (contoso étant le suffixe UPN dans l’environnement)

 

• la machine doit être jointe au domaine AD Local

 

 

 

Comment déclencher l’Hybrid Azure AD Join ?

 

 

• Créer un service connection point dans l’AD local, il va contenir les informations nécessaires aux machines pour se joindre à Azure AD

 

Ce SCP peux être créé par Azure AD Connect automatiquement (via le Wizard) ou manuellement via un script

 

 

 

• Donner l’ordre aux PC de s’enregistrer dans Azure AD via GPO

 

 

• la machine est ensuite enregistrée dans Azure AD en tant qu’Hybrid Joined, sans Owner car cela est fait sous le contexte SYSTEM de la machine

 

 

 

• la machine possède maintenant un certificat pour s’identifier dans Azure AD

 

 

Conclusion

 

Nous avons donc vu les différentes méthodes d’enregistrement de Device dans Azure AD.

Ces mécaniques offrent de nombreux bénéfices, notamment le SSO.

Nous verrons dans un prochain article comment est construit le SSO à travers les jetons Kerberos et PRT.