在移動優先、雲優先的世界中,使用 Azure Active Directory (Azure AD) 可以實現從任意位置單一登錄到設備、應用和服務。 隨着自帶設備 (BYOD) 等設備的普及,IT 專業人員面臨着兩個對立的目標:
1、使最終用戶能夠隨時隨地保持高效的工作
2、隨時保持企業資產
用戶可通過設備訪問企業資產。爲了保護企業資產,IT管理員需要控制這些設備。這可確保用戶使用滿足安全性和符合性標準的設備訪問資源。
設備管理也是基於設備的條件性訪問的基礎。通過基於設備的條件訪問,可確保只有受管理設備才能訪問環境中的資源。
Azure AD和Windows Server AD對比如下:
所以在Office365中將設備加入Azure AD域,可以實現更多的基於條件的應用訪問已經各種炫酷功能。
下面來看一下怎麼將一臺設備加入Azure AD域吧。
首先登錄Office365 Admin Center然後點擊管理員進入Azure AD,選擇設備
選擇所有設備,然後在右側點擊選擇的用戶可以將設備加入Azure AD域,如果選擇全部那麼整個組織中的用戶都可以將設備加入Azure AD域中,這裏我使用的我賬號來做演示。下面的要使用MFA驗證才能加入Azure AD域選擇否(也可以選擇是,只是在加入Azure AD域時會對Office365用戶身份進行二次驗證)
選擇添加成員,添加完成後記得點擊左下角的確定
點擊確定後還要記得點擊策略上方的保存
然後,我打開之前的舊筆記本打開任意一個Office應用就會彈出以下提示信息,當然是要選擇允許組織管理我的設備
然後輸入我的郵箱賬號密碼完成後就會重新準備Office
繼續點擊接受並啓動
現在我的電腦屬性還是一個workgroup工作組模式
再回到Azure AD中查看所有設備,就能看到我的筆記本已經註冊到Azure AD中了(其實任意一臺電腦上只要安裝了Office365客戶端並進行登錄激活都會限制註冊到Azure AD),如下圖
然後打開我的筆記本,查看系統屬性,並選擇連接到工作單位或者學校,然後輸入Office365賬號
由於沒有真正購買Azure AD,只是用了Office365附帶的Azure AD,所以沒有MDM的URL(Azure AD中MDM的設置都是灰色的,蛋疼),這裏我們就手動點擊加入Azure AD域
然後再一次輸入用戶名密碼
然後會有提示用戶是否確認加入組織
點擊加入後,就可以使用已經輸入的賬號和密碼進行登錄
然後最終將筆記本加入公司Office365的Azure AD域
這時候再打開系統屬性,就能看到這檯筆記本已經加入公司組織了
此時我的筆記本還是使用的一個本地賬戶登錄的,接下來我們切換下使用域賬號(Office365賬戶)登錄看下效果
下面的圖片都是手機拍照的,可能不是太清楚
輸入Office365賬戶密碼,下方也提示登錄到工作賬戶或者學校賬戶
已經檢索出我的DisplayName了哦
因爲筆記本有指紋識別模塊,所以會提示設置指紋解鎖設備,這裏可以設置也可以跳過
接下來就是Azure AD組織的策略了,必須設置Windows hello
開始設置賬戶
選擇賬戶驗證的方式
選擇電話呼叫(這裏默認的電話信息是來自於Azure AD用戶身份驗證預留信息,可以參考我之前的博客Office365啓用SSPR(用戶自助重置密碼),裏面會有介紹如何去配置這些信息)
然後微軟系統對我的手機號碼進行呼叫
如果我接通這裏就完成了,如果我掛斷,這裏就通不過,But在切換賬號過程中,,,整個系統是沒有網絡的,這也就直接導致接下來所有的驗證失敗
然後系統會提示跳過這個策略部分,但是後面要記得來設置這個Windows hello
接下來登錄到系統後,我再進行Windows hello的設置
開始設置
繼續設置PIN
對當前賬號進行額外驗證
選擇短信方式
手機收到短信
填寫驗證碼
完成以上所有賬號驗證後設置PIN碼
設置完成
然後登錄到Azure AD管理中心,查看用戶的設備也顯示爲Azure AD Joined狀態,這個纔是真正的將設備加入Azure AD域。
接下來就可以啓用一些自定義的高級功能,比如啓動已經加入Azure AD計算機的BitLocker
將恢復密鑰存儲到Azure AD中,是不是很吊
進入Azure AD管理中心,查看已經加入Azure AD的設備已經將BitLocker恢復密鑰存儲上來了
文章開頭說了,將設備加入Azure AD最主要的目的是通過配置基於條件的訪問策略來控制用戶到底能在哪裏訪問什麼東西,如果沒有將設備加入Azure AD,將不能很好的限制用戶去訪問整個Azure中的服務(不僅限於Office365的SaaS服務)
在移動優先、雲優先的世界,用戶可以從任意位置使用各種設備和應用訪問組織的資源。 因此,僅關注誰可以訪問資源不再能滿足需求。爲了掌握安全與效率之間的平衡,還需將資源的訪問方式作爲訪問控制決策的考慮因素。使用Azure Active Directory (Azure AD) 條件訪問便可處理該需求。條件訪問是Azure Active Directory的一項功能。使用條件訪問時,可以根據條件就雲應用的訪問實施自動化的訪問控制決策。
完成第一因素身份驗證後將強制執行條件訪問策略。因此,條件訪問不是針對拒絕服務 (DoS) ***等場景的第一道防線,而是可以利用來自這些事件的信號(例如,登錄風險級別、請求的位置等)來確定訪問權限。
下面的圖可以很好的理解這個問題,當然也可以參考微軟官方是對條件訪問的描述
https://docs.microsoft.com/zh-cn/azure/active-directory/conditional-access/overview
But!!!基於條件訪問的策略是要有Azure AD Premium許可的,而我們公司的Azure AD只是Office365上附帶的一個很基礎的版本,沒有專門去購買Azure AD,所以並沒有這個許可,於是我又天真的去點擊免費試用,並激活
然而,在分配許可裏面,,,,鬼都沒有一個
2019/1/9晚九點,加入Azure AD設備基於條件訪問的策略建立以及驗證測試卒~~~
所以基本沒法開展有意義的測試!但是我卻發現了另外一個很有意思的功能:
我在那臺加入Azure AD筆記本上編輯的文檔直接保存在桌面的,這是一個很常規的動作,但是我在新的PC上打開Word(使用同一個Office365賬號登錄Office)發現我在其他電腦上的所有文檔,都可以在這裏很輕鬆的打開
然後打開查看裏面的內容跟我在那臺設備上編輯的一模一樣,
不得不佩服!!!微軟×××牛!!!真正的實現了資料隨賬號走!!!
最後,提個問題:如果我的賬號在Office365中啓用了MFA功能,那麼我登錄計算機的時候會不會進行多重身份驗證?
等後面有機會了再測試下已加入Azure AD的設備基於條件的訪問,以及各種策略下發吧!