在移动优先、云优先的世界中,使用 Azure Active Directory (Azure AD) 可以实现从任意位置单一登录到设备、应用和服务。 随着自带设备 (BYOD) 等设备的普及,IT 专业人员面临着两个对立的目标:

1、使最终用户能够随时随地保持高效的工作

2、随时保持企业资产

用户可通过设备访问企业资产。为了保护企业资产,IT管理员需要控制这些设备。这可确保用户使用满足安全性和符合性标准的设备访问资源。

设备管理也是基于设备的条件性访问的基础。通过基于设备的条件访问,可确保只有受管理设备才能访问环境中的资源。

Azure AD和Windows Server AD对比如下:

https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-comparison

所以在Office365中将设备加入Azure AD域,可以实现更多的基于条件的应用访问已经各种炫酷功能。

下面来看一下怎么将一台设备加入Azure AD域吧。

首先登录Office365 Admin Center然后点击管理员进入Azure AD,选择设备

将PC加入Azure AD域的一些实践_第1张图片

选择所有设备,然后在右侧点击选择的用户可以将设备加入Azure AD域,如果选择全部那么整个组织中的用户都可以将设备加入Azure AD域中,这里我使用的我账号来做演示。下面的要使用MFA验证才能加入Azure AD域选择否(也可以选择是,只是在加入Azure AD域时会对Office365用户身份进行二次验证)

将PC加入Azure AD域的一些实践_第2张图片

选择添加成员,添加完成后记得点击左下角的确定

将PC加入Azure AD域的一些实践_第3张图片

点击确定后还要记得点击策略上方的保存

将PC加入Azure AD域的一些实践_第4张图片

然后,我打开之前的旧笔记本打开任意一个Office应用就会弹出以下提示信息,当然是要选择允许组织管理我的设备

将PC加入Azure AD域的一些实践_第5张图片

然后输入我的邮箱账号密码完成后就会重新准备Office

将PC加入Azure AD域的一些实践_第6张图片

继续点击接受并启动

将PC加入Azure AD域的一些实践_第7张图片

现在我的电脑属性还是一个workgroup工作组模式

将PC加入Azure AD域的一些实践_第8张图片

再回到Azure AD中查看所有设备,就能看到我的笔记本已经注册到Azure AD中了(其实任意一台电脑上只要安装了Office365客户端并进行登录激活都会限制注册到Azure AD),如下图

将PC加入Azure AD域的一些实践_第9张图片

然后打开我的笔记本,查看系统属性,并选择连接到工作单位或者学校,然后输入Office365账号

将PC加入Azure AD域的一些实践_第10张图片

由于没有真正购买Azure AD,只是用了Office365附带的Azure AD,所以没有MDM的URL(Azure AD中MDM的设置都是灰色的,蛋疼),这里我们就手动点击加入Azure AD域

将PC加入Azure AD域的一些实践_第11张图片

然后再一次输入用户名密码

将PC加入Azure AD域的一些实践_第12张图片

然后会有提示用户是否确认加入组织

将PC加入Azure AD域的一些实践_第13张图片

点击加入后,就可以使用已经输入的账号和密码进行登录

将PC加入Azure AD域的一些实践_第14张图片

然后最终将笔记本加入公司Office365的Azure AD域

将PC加入Azure AD域的一些实践_第15张图片

这时候再打开系统属性,就能看到这台笔记本已经加入公司组织了

将PC加入Azure AD域的一些实践_第16张图片

此时我的笔记本还是使用的一个本地账户登录的,接下来我们切换下使用域账号(Office365账户)登录看下效果

将PC加入Azure AD域的一些实践_第17张图片

下面的图片都是手机拍照的,可能不是太清楚

输入Office365账户密码,下方也提示登录到工作账户或者学校账户

将PC加入Azure AD域的一些实践_第18张图片

已经检索出我的DisplayName了哦

将PC加入Azure AD域的一些实践_第19张图片

因为笔记本有指纹识别模块,所以会提示设置指纹解锁设备,这里可以设置也可以跳过

将PC加入Azure AD域的一些实践_第20张图片

接下来就是Azure AD组织的策略了,必须设置Windows hello

将PC加入Azure AD域的一些实践_第21张图片

开始设置账户

将PC加入Azure AD域的一些实践_第22张图片

选择账户验证的方式

将PC加入Azure AD域的一些实践_第23张图片

选择电话呼叫(这里默认的电话信息是来自于Azure AD用户身份验证预留信息,可以参考我之前的博客Office365启用SSPR(用户自助重置密码),里面会有介绍如何去配置这些信息)

将PC加入Azure AD域的一些实践_第24张图片

然后微软系统对我的手机号码进行呼叫

将PC加入Azure AD域的一些实践_第25张图片

如果我接通这里就完成了,如果我挂断,这里就通不过,But在切换账号过程中,,,整个系统是没有网络的,这也就直接导致接下来所有的验证失败

将PC加入Azure AD域的一些实践_第26张图片

然后系统会提示跳过这个策略部分,但是后面要记得来设置这个Windows hello

将PC加入Azure AD域的一些实践_第27张图片

接下来登录到系统后,我再进行Windows hello的设置

将PC加入Azure AD域的一些实践_第28张图片

开始设置

将PC加入Azure AD域的一些实践_第29张图片

继续设置PIN

将PC加入Azure AD域的一些实践_第30张图片

对当前账号进行额外验证

将PC加入Azure AD域的一些实践_第31张图片

选择短信方式

将PC加入Azure AD域的一些实践_第32张图片

手机收到短信

将PC加入Azure AD域的一些实践_第33张图片

填写验证码

将PC加入Azure AD域的一些实践_第34张图片

完成以上所有账号验证后设置PIN码

将PC加入Azure AD域的一些实践_第35张图片

设置完成

将PC加入Azure AD域的一些实践_第36张图片

然后登录到Azure AD管理中心,查看用户的设备也显示为Azure AD Joined状态,这个才是真正的将设备加入Azure AD域。

将PC加入Azure AD域的一些实践_第37张图片

接下来就可以启用一些自定义的高级功能,比如启动已经加入Azure AD计算机的BitLocker

将PC加入Azure AD域的一些实践_第38张图片

将恢复密钥存储到Azure AD中,是不是很吊

将PC加入Azure AD域的一些实践_第39张图片

进入Azure AD管理中心,查看已经加入Azure AD的设备已经将BitLocker恢复密钥存储上来了

将PC加入Azure AD域的一些实践_第40张图片

文章开头说了,将设备加入Azure AD最主要的目的是通过配置基于条件的访问策略来控制用户到底能在哪里访问什么东西,如果没有将设备加入Azure AD,将不能很好的限制用户去访问整个Azure中的服务(不仅限于Office365的SaaS服务)

在移动优先、云优先的世界,用户可以从任意位置使用各种设备和应用访问组织的资源。 因此,仅关注谁可以访问资源不再能满足需求。为了掌握安全与效率之间的平衡,还需将资源的访问方式作为访问控制决策的考虑因素。使用Azure Active Directory (Azure AD) 条件访问便可处理该需求。条件访问是Azure Active Directory的一项功能。使用条件访问时,可以根据条件就云应用的访问实施自动化的访问控制决策。

完成第一因素身份验证后将强制执行条件访问策略。因此,条件访问不是针对拒绝服务 (DoS) ***等场景的第一道防线,而是可以利用来自这些事件的信号(例如,登录风险级别、请求的位置等)来确定访问权限。

下面的图可以很好的理解这个问题,当然也可以参考微软官方是对条件访问的描述

https://docs.microsoft.com/zh-cn/azure/active-directory/conditional-access/overview

将PC加入Azure AD域的一些实践_第41张图片

将PC加入Azure AD域的一些实践_第42张图片

But!!!基于条件访问的策略是要有Azure AD Premium许可的,而我们公司的Azure AD只是Office365上附带的一个很基础的版本,没有专门去购买Azure AD,所以并没有这个许可,于是我又天真的去点击免费试用,并激活

将PC加入Azure AD域的一些实践_第43张图片

然而,在分配许可里面,,,,鬼都没有一个

将PC加入Azure AD域的一些实践_第44张图片

2019/1/9晚九点,加入Azure AD设备基于条件访问的策略建立以及验证测试卒~~~恶魔恶魔恶魔

所以基本没法开展有意义的测试!但是我却发现了另外一个很有意思的功能:

我在那台加入Azure AD笔记本上编辑的文档直接保存在桌面的,这是一个很常规的动作,但是我在新的PC上打开Word(使用同一个Office365账号登录Office)发现我在其他电脑上的所有文档,都可以在这里很轻松的打开

将PC加入Azure AD域的一些实践_第45张图片

然后打开查看里面的内容跟我在那台设备上编辑的一模一样,

将PC加入Azure AD域的一些实践_第46张图片

不得不佩服!!!微软×××牛!!!真正的实现了资料随账号走!!!

最后,提个问题:如果我的账号在Office365中启用了MFA功能,那么我登录计算机的时候会不会进行多重身份验证?

等后面有机会了再测试下已加入Azure AD的设备基于条件的访问,以及各种策略下发吧!