L’utilizzo sempre più massivo di servizi cloud anche su dispositivi personali, sia mobili che non, mette davanti a delle grandi sfide chi gestisce un’infrastruttura IT.

I possibili stati di registrazione di un dispositivo in Microsoft Azure Active Directory sono:

Azure AD Registered
Azure AD Joined
Hybrid Azure AD Joined

Azure AD Registered

Questo è un tipico scenario BYOD (Bring Your Own Device) in cui un utente accede, attraverso un work account, alle risorse aziendali dal proprio dispositivo personale. Quando l’utente accede, il dispositivo viene registrato in Azure AD (Azure AD Registered appunto) e, volendo, è anche possibile effettuare un enrollment all’interno del sistema MDM.

E’ possibile registrare Windows 10/11, MacOS, iOS e Android

Azure AD Joined

La prima grande differenza rispetto ad un dispositivo Azure AD Registered riguarda la proprietà del dispositivo stesso: mentre prima stavamo parlando di un dispositivo personale, in questo caso stiamo parlando di un dispositivo di proprietà dell’azienda.

NOTA BENE: L’Azure AD Join è quindi ideale per le organizzazioni che vogliono essere “cloud-first”. La join ad Azure AD esclude la possibilità di joinare il dispositivo Windows al dominio Active Directory on-premises.

La gestione centralizzata di un dispositivo Azure AD Joined viene fatta dal sistema MDM (come Intune ad esempio) mentre lo strumento principale usato su un dominio Active Directory on-premises sono le Group Policy (GPO)

Possono essere Hybrid Azure AD Joined i PC con Windows 10 e 11

Azure AD Join è quindi ideale in queste situazioni:

infrastruttura basata su cloud e gestione dei dispositivi attraverso un sistema MDM come Intune;
i tuoi utenti accedono principalmente ad applicazioni e servizi SaaS gestiti in Azure
(esempio) vuoi maggiore controllo sui dispositivi di uffici remoti con un’infrastruttura on-premises limitata

Hybrid Azure AD Join

Moltissime aziende usano Active Directory on-premises. Questa tecnologia ha permesso ai loro dipartimenti IT di gestire centralmente i dispositivi aziendali (siano essi client o server) e consentito agli utenti di autenticarsi con le loro identità aziendali.

È in situazioni come queste che torna utile l’Hybrid Azure AD Join ed attraverso opportune configurazioni, le macchine joinate al dominio on-premises vengono rappresentate e registrate anche su Azure AD, di modo da poter sfruttare appieno anche gli strumenti cloud per i dispositivi.

Possono essere Hybrid Azure AD Joined PC con Windows 10, Windows Server 2016 e Windows Server 2019

In quersto articolo illustrerò i semplici passaggi per la resgistrazione di un PC in Microsoft Azure Active Directory

REGISTRAZIONE DEL PC SU AZURE ACTIVE DIRECTORY

Cliccare su Setting

Selezionare Accounts

Selezionare l’opzione Access Work or School

Cliccare Connect in corrispondenza di Add a Work or School Accounts

Inserire la mail aziendale o della scuola quindi cliccare Next

Inserire la password quindi cliccare Sign In

Attendere qualche istante fino al ternine della registrazione

Cliccare Done per terminare la procedura di registrazione

Se è andato tutto a buon fine dovremmo vedere l’account come mostrato nell’immagine sovrastante

VERIFICA DELLA REGISTRAZIONE DEL PC SU AZURE ACTIVE DIRECTORY

Accedere al Microsoft Admin Center quindi espandere il menù a sinistra

Selezionare Azure Active Directory -> Devices -> All Devices

Dovremmo quindi visualizzare il nome del PC appena registrato come mostrato nell’immagine sovrastante

Cliccando sul PC dovremmo visualizzare tutte le info tra cui il Join Type settato su Azure Ad Registered ed il Device ID

Per verifricare che il certificato sul PC sia stato installato correttamante aprire una MMC con la gestione dei certificati

Quindi cliccare su Personal -> Certificates ed individuare il certificato rilasciato da MS-Organization-Access

Se è tutto corretto l’ID del Certificato dovrebbe essere uguale al Device ID di Azure Active Directory

Un ulteriore verifica è tramite l’utilizzo del comando

Aprire una console di DOS con diritti amministrativi quindi eseguire il comando dsregcmd /status

Se è tutto corretto dovremmo veder ein corrispondenza di WorkplaceJoined : YES