Modern hantering av Windows 10 med lokalt AD och hybrid Azure AD join

Publicerat den 15 december, 2017 av Anders

Azure Active Directory (AD) ger en helt annan intelligens och ger många fördelar för våra moderna Windows-enheter. Om Windows-enheten går med i ett Azure AD istället för ett traditionellt lokalt AD får vi med automatik efterfrågade funktioner exempelvis Windows Hello med en förenklad inloggning som skyddar våra autentiseringar och lösenordsåterställning direkt vid Windows-inloggningen.
clip_image002

En enhet kan idag inte gå med i både ett Azure AD och ett lokalt AD vilket gör att de flesta verksamheter inte kan nyttja alla Azure AD funktioner eftersom det oftast finns ett beroende till det lokala ADt.

Automatisk Hybrid Azure AD joined

Från Windows 10 version 1709 kom en lösning på det här med ett nytt koncept som kallas Hybrid Azure AD joined. Det hela bygger på att enheten går med i det lokala traditionella ADt och med automatik går även enheten med i Azure AD i det som kallas Hybrid Azure AD joined.

image

För att det här skall fungera behöver vi

  • Synkronisera även våra datorobjekt från vårat lokala AD till Azure AD med hjälp av Azure AD Connect
  • konfigurera det lokala Active Directoryt och peka ut vårat Azure AD med en så kallad Service Connection Point 
  • anpassa ADFS om detta används då det kräver ett antal nya claim rules

En guide som går igenom detta finns på docs

Efter att ovanstående konfiguration är korrekt utförd kommer Windows-enheter från version 1709 och framåt att bli hybrid joinade vid omstart eller inloggning.

Automatisk MDM registrering i Intune

Vi kan sedan fortsätta med automatiseringen där enheten också blir hanterad av Intune med automatik. Detta ger oss möjlighet att dels fortsätta använda klassiska Group Policies (GPO)s kombinerat med kraftfulla MDM policies som är ett krav för att kunna konfigurera viss funktionalitet i Windows 10, Exempelvis Windows Information Protection.

  • Automatisk registrering i Intune konfigureras via en GPO och här krävs det att dess ADMXer är uppdaterade för att få stöd för Windows 10 version 1709-inställningar. Uppdaterade ADMXer laddas ner här image
  • För att klienterna skall hitta fram till Intune behöver även följande CNAMES läggas in i för klienternas DNS
    EnterpriseEnrollment.<domain.com> EnterpriseEnrollment-s.manage.microsoft.com
    EnterpriseRegistration. <domain.com> EnterpriseRegistration.windows.net

När detta är konfigurerat kommer klienten nu även att registreras i Intune

image

Vi kan sedan börja hantera även dessa enheter och konfigurera allt ifrån skydd av organisationens information med Windows Information Protection till kraftfulla skydd mot Ransomware med Defender Exploit Guard

clip_image010

Detta inlägg publicerades i Windows 10 och märktes , , . Bokmärk permalänken.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

Gravatar
WordPress.com-logga

Du kommenterar med ditt WordPress.com-konto. Logga ut /  Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut /  Ändra )

Avbryt

Ansluter till %s