Se si utilizzano le funzionalità di Active Directory (AD) in locale e si desidera utilizzare anche le funzionalità di Azure AD come l’accesso condizionale, la firma unica (SSO) e altro ancora, questo articolo è per voi. In questo articolo, imparerete come configurare una modalità chiamata Hybrid Azure AD Join da Microsoft.
Cos’è Hybrid Azure AD Joined?
In poche parole, Hybrid Azure AD Join è una modalità che consente di gestire i dispositivi sia tramite gli strumenti tradizionali di AD in locale che di registrarli anche in Azure AD. Per ulteriori informazioni, consultare il documento di Microsoft sui dispositivi Hybrid Azure AD Joined.
Prerequisiti
Prima di poter iniziare a configurare i dispositivi joined di Azure AD hybrid, è necessario soddisfare molti requisiti e prerequisiti. Prima di procedere con i passaggi descritti in questo articolo, assicurarsi di soddisfare o avere quanto segue:
- I dispositivi devono essere un dispositivo Windows corrente supportato (Windows 10 versione 1809 o successiva o Windows Server 2016 e successivo)
- Un dispositivo Windows 10 connesso ad AD in locale
- Connettività a Internet sul dispositivo Windows (enterpriseregistration.windows.net:443, login.microsoftonline.com:443 e device.login.microsoftonline.com:443)
- L’AD on-prem deve essere sincronizzato con Azure AD su un solo tenant di Azure AD. Entrambi i domini per tutti gli esempi in questo articolo sono chiamati adamtheautomator.com. Se desideri sincronizzare più tenant di Azure AD, utilizza GPO al posto di SCP.
- Devi conoscere il tuo account amministratore globale per Azure AD. L’esempio in questo articolo utilizzerà il nome account adam.
- Devi conoscere un account amministratore aziendale per l’AD on-prem. L’esempio in questo articolo utilizzerà il nome account [email protected].
- Hai installato Azure AD Connect 1.1.819.0 su un server membro e lo hai sincronizzato con Azure AD.
Tutti gli esempi in questo articolo utilizzeranno un dominio AD on-prem chiamato adamtheautomator.com con un Azure AD sincronizzato dello stesso nome.
Per una lista completa dei requisiti, consulta la documentazione Microsoft sulle procedure di implementazione del join ibrido di Azure Active Directory.
Configurazione di Azure AD Connect.
Il primo passo per configurare i dispositivi congiunti ibridi Azure AD è configurare Azure AD Connect. Qui configurerai il processo di sincronizzazione di Azure AD per essere consapevole della modalità ibrida che intendi utilizzare.
Per configurare le cose, prima apri Azure AD Connect e clicca su Configura.
Nella schermata successiva, clicca su Configura le opzioni del dispositivo e clicca su Avanti.
Fornisci le credenziali dell’amministratore globale del tenant di Azure AD e clicca su Avanti.
Clicca su Configura congiunzione ibrida Azure AD e Avanti.
Sulla pagina Sistemi operativi del dispositivo è dove selezionerai quali tipi di dispositivi intendi integrare. Per questo articolo, ci limiteremo solo ai dispositivi attuali (Windows 10). Scegli Dispositivi congiunti a dominio Windows 10 o successivi e clicca su Avanti.
Per informazioni su come configurare i dispositivi Windows di versioni precedenti (Windows 8.1+ e Windows Server 2008 R2+), consulta il Documento Microsoft su come configurare la congiunzione ibrida di Azure Active Directory per i domini gestiti.
Ora creerai il punto di connessione del servizio (SCP) in Azure per consentire ai tuoi dispositivi di leggere le informazioni del tenant di Azure AD. Controlla il nome del tuo Forest, scegli Azure Active Directory come Servizio di autenticazione e poi clicca su Aggiungi per fornire le credenziali del tuo account amministratore aziendale locale. Quando hai finito, clicca su Avanti.
Nella schermata successiva, clicca su Configura per avviare il processo. Tutto dovrebbe richiedere solo pochi secondi.
Quando hai finito, ti verrà richiesto di configurare alcuni passaggi aggiuntivi. Clicca su Esci quando hai finito.
Conferma dello stato di associazione ad Azure AD
Dopo aver configurato Azure AD Connect, dovresti controllare per assicurarti che il frutto del tuo lavoro abbia dato i suoi frutti! Fortunatamente, tutti i dispositivi Windows 10 dovrebbero essere automaticamente associati a un dominio AD ibrido, ma per il primo dispositivo, dovresti confermare questo.
Verifica lato client
Per confermare la registrazione del dispositivo Windows 10, riavvia uno di essi. Dopo che si è riavviato, connettiti ad esso in remoto o tramite la console e accedi a un prompt dei comandi. Nel prompt dei comandi, digita dsregcmd /status. Se vedi AzureADJoined: YES sotto Stato del dispositivo, sei a posto.
Se il dispositivo non risulta ancora associato ad Azure AD, potrebbe essere perché l’oggetto del computer non è ancora stato sincronizzato in Azure AD. Puoi provare a forzare una registrazione eseguendo dsregcmd /join e controllando nuovamente lo stato.
Se non riesci ancora a vedere che il dispositivo è stato unito ad Azure AD, potresti voler consultare questa guida alla risoluzione dei problemi. Puoi anche scaricare questo script PowerShell da eseguire sul dispositivo per eseguire molti test comuni.
Verifica lato Azure
Una volta confermato che il client Windows 10 indica che è stato unito, assicurati di verificare anche dal lato di Azure. Per farlo, vai alla sezione Dispositivi del tuo tenant di Azure AD. Qui dovresti vedere che TIPO DI JOIN è Hybrid Azure AD Joined e REGISTRATO ha un timestamp recente per il dispositivo Windows 10.
Se vedi dispositivi che appaiono come ‘Registrati’ e ‘Hybrid Azure AD joined’, potresti riscontrare problemi con le regole di Azure Conditional Access (CA) per le voci ‘Registrati’. Per risolvere questo problema, aggiorna tutti i dispositivi a Windows 10 1903. Potrebbe essere necessario anche rimuovere tutte le voci ‘Registrati’ con uno script.
Una volta confermato che il tuo computer Windows 10 di test è stato registrato e unito come Hybrid Azure AD joined, tutti gli altri dispositivi attuali in AD dovrebbero iniziare a registrarsi automaticamente.
Se un utente è connesso al client connesso, dovrà effettuare il logout e il login per ottenere un token di aggiornamento primario.
Riepilogo
Una volta configurati, i dispositivi connessi in un modello di unione ibrida di Azure AD si registreranno automaticamente. Dopo aver eseguito tutti i passaggi necessari in questo articolo, la maggior parte del lavoro è già stato fatto per te. A questo punto, puoi iniziare a utilizzare i vari servizi offerti da Azure AD per gestire tutti i tuoi dispositivi connessi al dominio.