4. Accounttypes in de cloud
Local account
Personal use
NTLM-based authentication
Available since Windows 1.0
Microsoft account
Former Windows Live Ids
Claims-based authentication
Personal use
Domain account
Active Directory on-prem
Kerberos-based authentication
Business Use
AzureAD account
Claims-based authentication
Business Use
Online-only, synced, federated
5. Waarom is dit belangrijk?
Microsoft Accounts zijn niet de oplossing
Microsoft Accounts zijn persoonlijke accounts voor privégebruik
Microsoft Accounts op basis van organisatie e-mailadressen
Wat gebeurt er wanneer mensen de organisatie verlaten?
Sommige organisaties zijn reeds cloud-only
Sommige organisaties hebben geen serverruimte nodig
Sommige organisaties hebben genoeg aan cloudapplicaties
Moeten deze organisaties bouwen op Microsoft accounts?
7. Workplace Join
Device Registration
Medewerkers definiëren apparaten als veilige apparaten
Device Registration Service (DRS)
Feature van Active Directory Federation Service (AD FS) 3.0
Feature van Azure Active Directory sinds mid-2015
Onder de motorkap
Het profiel op een veilig apparaat krijgt een certificaat en cookie
Het apparaat krijgt een Registered Device in AD DS
8. Workplace Join Benodigdheden (1)
UPN Suffixes
DRS Discovery vindt plaats via DNS op basis van de UPN Suffix
userPrincipalName = mail = msRTCSIP-PrimaryUserAddress
DNS Records
Enterpriseregistration.domain.tld voor AutoDiscovery
DNS records benodigd per publiek routeerbare UPN Suffix
Public Key Infrastructure
Certificaat voor WorkPlace Join is van MS-Organization-Access
9. Workplace Join benodigdheden (2)
Windows 7, Windows 8.1, iOS, Android
WorkPlace Join met GUI in Windows 8.1
WorkPlace Join via GPO in Windows 7*
Active Directory Domain Services
Windows Server 2012 R2 schema (69) benodigd.
Registered Devices
Per account slechts 10 apparaten registreerbaar*
Na 90 dagen inactiviteit worden Registered Devices verwijderd*
11. Azure Active Directory accounts (1)
Account object in de cloud
Azure Active Directory
Tenant-gebaseerd
Single Sign-on
Microsoft Office 365,
Microsoft Intune
Microsoft Azure *
12. Azure Active Directory accounts (2)
Azure AD als Identity Provider (IdP)
Online-only accounts
Accounts met gesynchroniseerde wachtwoorden
Windows Server AD als Identity Provider (IdP)
Gesynchroniseerde accounts
• Azure AD Connect , Azure AD Sync
• Forefront Identity Manager 2010 R2 met Windows Azure Sync Services
• Microsoft Identity Manager 2016
Active Directory Federation Services (AD FS)
13. AD FS en de toekomst van
authenticatie
SAML en Oauth zijn web-ready
Transport van pakketten vindt plaats over HTTPS
Transport is beveiligd* met SSL/TLS
Tokens zijn optioneel versleuteld
Relying Party Trusts (RPTs) zijn flexibel
Token contents per RPT gedefinieerd
Meer RPTs mogelijk dan Active Directory trusts
Multi-Factor Authentication
14. Azure AD Join
Device Registration
Medewerkers definiëren veilige apparaten voor tenantgebruik
Claims vanuit Azure AD in legacy mode.
Onder de motorkap
Het veilige apparaat krijgt een certificaat en cookie
Het apparaat krijgt een apparaatobject in Azure Active Directory
Reporting
Rapportages per gebruikersaccount en per apparaat beschikbaar
15. Azure AD Join configureren
Device Registration aanzetten in de tenant
Global administrators kunnen deze feature aanzetten in de portal
DNS records aanmaken
Enterpriseregistration.domain.tld voor AutoDiscovery
DNS records benodigd per publiek routeerbare UPN Suffix
(Optioneel) Configureer Intune enrollment
Azure AD-joined apparaten komen automatisch in Intune
Beheer van Azure AD-joined apparaten op basis van MDM
17. Azure AD Join, de nadelen
Apparaten hernoemen
Azure DRS update niet de apparaatnaam in Azure AD
Bij MDM-enrollment worden hernoemde apparaten ‘persoonlijk’
Cortana
Cortana werkt momenteel niet op Azure AD-joined apparaten*
Lokaal Administrator
De medewerker die Azure AD-joint, is altijd lokaal administrator
Het apparaat kan niet meer worden domain-joined
18. Afrondend
Domain Join
Een geheel apparaat wordt lid van Active Directory
Authenticatieprotocollen gebruikt voor veilige netwerken
Workplace Join
Een profiel op een veilig apparaat wordt gedefinieerd
Azure AD Join
Een geheel apparaat wordt lid van Azure Active Directory
Authenticatieprotocollen van de toekomst