在移動優(yōu)先、云優(yōu)先的世界中,使用 Azure Active Directory (Azure AD) 可以實現(xiàn)從任意位置單一登錄到設(shè)備、應(yīng)用和服務(wù)。 隨著自帶設(shè)備 (BYOD) 等設(shè)備的普及,IT 專業(yè)人員面臨著兩個對立的目標(biāo):
成都創(chuàng)新互聯(lián)公司IDC提供業(yè)務(wù):德陽機房托管,成都服務(wù)器租用,德陽機房托管,重慶服務(wù)器租用等四川省內(nèi)主機托管與主機租用業(yè)務(wù);數(shù)據(jù)中心含:雙線機房,BGP機房,電信機房,移動機房,聯(lián)通機房。1、使最終用戶能夠隨時隨地保持高效的工作
2、隨時保持企業(yè)資產(chǎn)
用戶可通過設(shè)備訪問企業(yè)資產(chǎn)。為了保護企業(yè)資產(chǎn),IT管理員需要控制這些設(shè)備。這可確保用戶使用滿足安全性和符合性標(biāo)準(zhǔn)的設(shè)備訪問資源。
設(shè)備管理也是基于設(shè)備的條件性訪問的基礎(chǔ)。通過基于設(shè)備的條件訪問,可確保只有受管理設(shè)備才能訪問環(huán)境中的資源。
Azure AD和Windows Server AD對比如下:
https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-comparison
所以在Office365中將設(shè)備加入Azure AD域,可以實現(xiàn)更多的基于條件的應(yīng)用訪問已經(jīng)各種炫酷功能。
下面來看一下怎么將一臺設(shè)備加入Azure AD域吧。
首先登錄Office365 Admin Center然后點擊管理員進入Azure AD,選擇設(shè)備
選擇所有設(shè)備,然后在右側(cè)點擊選擇的用戶可以將設(shè)備加入Azure AD域,如果選擇全部那么整個組織中的用戶都可以將設(shè)備加入Azure AD域中,這里我使用的我賬號來做演示。下面的要使用MFA驗證才能加入Azure AD域選擇否(也可以選擇是,只是在加入Azure AD域時會對Office365用戶身份進行二次驗證)
選擇添加成員,添加完成后記得點擊左下角的確定
點擊確定后還要記得點擊策略上方的保存
然后,我打開之前的舊筆記本打開任意一個Office應(yīng)用就會彈出以下提示信息,當(dāng)然是要選擇允許組織管理我的設(shè)備
然后輸入我的郵箱賬號密碼完成后就會重新準(zhǔn)備Office
繼續(xù)點擊接受并啟動
現(xiàn)在我的電腦屬性還是一個workgroup工作組模式
再回到Azure AD中查看所有設(shè)備,就能看到我的筆記本已經(jīng)注冊到Azure AD中了(其實任意一臺電腦上只要安裝了Office365客戶端并進行登錄激活都會限制注冊到Azure AD),如下圖
然后打開我的筆記本,查看系統(tǒng)屬性,并選擇連接到工作單位或者學(xué)校,然后輸入Office365賬號
由于沒有真正購買Azure AD,只是用了Office365附帶的Azure AD,所以沒有MDM的URL(Azure AD中MDM的設(shè)置都是灰色的,蛋疼),這里我們就手動點擊加入Azure AD域
然后再一次輸入用戶名密碼
然后會有提示用戶是否確認(rèn)加入組織
點擊加入后,就可以使用已經(jīng)輸入的賬號和密碼進行登錄
然后最終將筆記本加入公司Office365的Azure AD域
這時候再打開系統(tǒng)屬性,就能看到這臺筆記本已經(jīng)加入公司組織了
此時我的筆記本還是使用的一個本地賬戶登錄的,接下來我們切換下使用域賬號(Office365賬戶)登錄看下效果
下面的圖片都是手機拍照的,可能不是太清楚
輸入Office365賬戶密碼,下方也提示登錄到工作賬戶或者學(xué)校賬戶
已經(jīng)檢索出我的DisplayName了哦
因為筆記本有指紋識別模塊,所以會提示設(shè)置指紋解鎖設(shè)備,這里可以設(shè)置也可以跳過
接下來就是Azure AD組織的策略了,必須設(shè)置Windows hello
開始設(shè)置賬戶
選擇賬戶驗證的方式
選擇電話呼叫(這里默認(rèn)的電話信息是來自于Azure AD用戶身份驗證預(yù)留信息,可以參考我之前的博客Office365啟用SSPR(用戶自助重置密碼),里面會有介紹如何去配置這些信息)
然后微軟系統(tǒng)對我的手機號碼進行呼叫
如果我接通這里就完成了,如果我掛斷,這里就通不過,But在切換賬號過程中,,,整個系統(tǒng)是沒有網(wǎng)絡(luò)的,這也就直接導(dǎo)致接下來所有的驗證失敗
然后系統(tǒng)會提示跳過這個策略部分,但是后面要記得來設(shè)置這個Windows hello
接下來登錄到系統(tǒng)后,我再進行Windows hello的設(shè)置
開始設(shè)置
繼續(xù)設(shè)置PIN
對當(dāng)前賬號進行額外驗證
選擇短信方式
手機收到短信
填寫驗證碼
完成以上所有賬號驗證后設(shè)置PIN碼
設(shè)置完成
然后登錄到Azure AD管理中心,查看用戶的設(shè)備也顯示為Azure AD Joined狀態(tài),這個才是真正的將設(shè)備加入Azure AD域。
接下來就可以啟用一些自定義的高級功能,比如啟動已經(jīng)加入Azure AD計算機的BitLocker
將恢復(fù)密鑰存儲到Azure AD中,是不是很吊
進入Azure AD管理中心,查看已經(jīng)加入Azure AD的設(shè)備已經(jīng)將BitLocker恢復(fù)密鑰存儲上來了
文章開頭說了,將設(shè)備加入Azure AD最主要的目的是通過配置基于條件的訪問策略來控制用戶到底能在哪里訪問什么東西,如果沒有將設(shè)備加入Azure AD,將不能很好的限制用戶去訪問整個Azure中的服務(wù)(不僅限于Office365的SaaS服務(wù))
在移動優(yōu)先、云優(yōu)先的世界,用戶可以從任意位置使用各種設(shè)備和應(yīng)用訪問組織的資源。 因此,僅關(guān)注誰可以訪問資源不再能滿足需求。為了掌握安全與效率之間的平衡,還需將資源的訪問方式作為訪問控制決策的考慮因素。使用Azure Active Directory (Azure AD) 條件訪問便可處理該需求。條件訪問是Azure Active Directory的一項功能。使用條件訪問時,可以根據(jù)條件就云應(yīng)用的訪問實施自動化的訪問控制決策。
完成第一因素身份驗證后將強制執(zhí)行條件訪問策略。因此,條件訪問不是針對拒絕服務(wù) (DoS) ***等場景的第一道防線,而是可以利用來自這些事件的信號(例如,登錄風(fēng)險級別、請求的位置等)來確定訪問權(quán)限。
下面的圖可以很好的理解這個問題,當(dāng)然也可以參考微軟官方是對條件訪問的描述
https://docs.microsoft.com/zh-cn/azure/active-directory/conditional-access/overview
But?。?!基于條件訪問的策略是要有Azure AD Premium許可的,而我們公司的Azure AD只是Office365上附帶的一個很基礎(chǔ)的版本,沒有專門去購買Azure AD,所以并沒有這個許可,于是我又天真的去點擊免費試用,并激活
然而,在分配許可里面,,,,鬼都沒有一個
2019/1/9晚九點,加入Azure AD設(shè)備基于條件訪問的策略建立以及驗證測試卒~~~
所以基本沒法開展有意義的測試!但是我卻發(fā)現(xiàn)了另外一個很有意思的功能:
我在那臺加入Azure AD筆記本上編輯的文檔直接保存在桌面的,這是一個很常規(guī)的動作,但是我在新的PC上打開Word(使用同一個Office365賬號登錄Office)發(fā)現(xiàn)我在其他電腦上的所有文檔,都可以在這里很輕松的打開
然后打開查看里面的內(nèi)容跟我在那臺設(shè)備上編輯的一模一樣,
不得不佩服!??!微軟×××牛?。?!真正的實現(xiàn)了資料隨賬號走!??!
最后,提個問題:如果我的賬號在Office365中啟用了MFA功能,那么我登錄計算機的時候會不會進行多重身份驗證?
等后面有機會了再測試下已加入Azure AD的設(shè)備基于條件的訪問,以及各種策略下發(fā)吧!
另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn,海內(nèi)外云服務(wù)器15元起步,三天無理由+7*72小時售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場景需求。