在移動優(yōu)先、云優(yōu)先的世界中，使用 Azure Active Directory (Azure AD) 可以實現(xiàn)從任意位置單一登錄到設(shè)備、應用和服務(wù)。 隨著自帶設(shè)備 (BYOD) 等設(shè)備的普及，IT 專業(yè)人員面臨著兩個對立的目標：

讓客戶滿意是我們工作的目標，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴，公司提供的服務(wù)項目有：域名注冊、網(wǎng)站空間、營銷軟件、網(wǎng)站建設(shè)、秦安網(wǎng)站維護、網(wǎng)站推廣。

1、使最終用戶能夠隨時隨地保持高效的工作

2、隨時保持企業(yè)資產(chǎn)

用戶可通過設(shè)備訪問企業(yè)資產(chǎn)。為了保護企業(yè)資產(chǎn)，IT管理員需要控制這些設(shè)備。這可確保用戶使用滿足安全性和符合性標準的設(shè)備訪問資源。

設(shè)備管理也是基于設(shè)備的條件性訪問的基礎(chǔ)。通過基于設(shè)備的條件訪問，可確保只有受管理設(shè)備才能訪問環(huán)境中的資源。

Azure AD和Windows Server AD對比如下：

https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-comparison

所以在Office365中將設(shè)備加入Azure AD域，可以實現(xiàn)更多的基于條件的應用訪問已經(jīng)各種炫酷功能。

下面來看一下怎么將一臺設(shè)備加入Azure AD域吧。

首先登錄Office365 Admin Center然后點擊管理員進入Azure AD，選擇設(shè)備

選擇所有設(shè)備，然后在右側(cè)點擊選擇的用戶可以將設(shè)備加入Azure AD域，如果選擇全部那么整個組織中的用戶都可以將設(shè)備加入Azure AD域中，這里我使用的我賬號來做演示。下面的要使用MFA驗證才能加入Azure AD域選擇否（也可以選擇是，只是在加入Azure AD域時會對Office365用戶身份進行二次驗證）

選擇添加成員，添加完成后記得點擊左下角的確定

點擊確定后還要記得點擊策略上方的保存

然后，我打開之前的舊筆記本打開任意一個Office應用就會彈出以下提示信息，當然是要選擇允許組織管理我的設(shè)備

然后輸入我的郵箱賬號密碼完成后就會重新準備Office

繼續(xù)點擊接受并啟動

現(xiàn)在我的電腦屬性還是一個workgroup工作組模式

再回到Azure AD中查看所有設(shè)備，就能看到我的筆記本已經(jīng)注冊到Azure AD中了（其實任意一臺電腦上只要安裝了Office365客戶端并進行登錄激活都會限制注冊到Azure AD），如下圖

然后打開我的筆記本，查看系統(tǒng)屬性，并選擇連接到工作單位或者學校，然后輸入Office365賬號

由于沒有真正購買Azure AD，只是用了Office365附帶的Azure AD，所以沒有MDM的URL(Azure AD中MDM的設(shè)置都是灰色的，蛋疼)，這里我們就手動點擊加入Azure AD域

然后再一次輸入用戶名密碼

然后會有提示用戶是否確認加入組織

點擊加入后，就可以使用已經(jīng)輸入的賬號和密碼進行登錄

然后最終將筆記本加入公司Office365的Azure AD域

這時候再打開系統(tǒng)屬性，就能看到這臺筆記本已經(jīng)加入公司組織了

此時我的筆記本還是使用的一個本地賬戶登錄的，接下來我們切換下使用域賬號（Office365賬戶）登錄看下效果

下面的圖片都是手機拍照的，可能不是太清楚

輸入Office365賬戶密碼，下方也提示登錄到工作賬戶或者學校賬戶

已經(jīng)檢索出我的DisplayName了哦

因為筆記本有指紋識別模塊，所以會提示設(shè)置指紋解鎖設(shè)備，這里可以設(shè)置也可以跳過

接下來就是Azure AD組織的策略了，必須設(shè)置Windows hello

開始設(shè)置賬戶

選擇賬戶驗證的方式

選擇電話呼叫（這里默認的電話信息是來自于Azure AD用戶身份驗證預留信息，可以參考我之前的博客Office365啟用SSPR（用戶自助重置密碼），里面會有介紹如何去配置這些信息）

然后微軟系統(tǒng)對我的手機號碼進行呼叫

如果我接通這里就完成了，如果我掛斷，這里就通不過，But在切換賬號過程中，，，整個系統(tǒng)是沒有網(wǎng)絡(luò)的，這也就直接導致接下來所有的驗證失敗

然后系統(tǒng)會提示跳過這個策略部分，但是后面要記得來設(shè)置這個Windows hello

接下來登錄到系統(tǒng)后，我再進行Windows hello的設(shè)置

開始設(shè)置

繼續(xù)設(shè)置PIN

對當前賬號進行額外驗證

選擇短信方式

手機收到短信

填寫驗證碼

完成以上所有賬號驗證后設(shè)置PIN碼

設(shè)置完成

然后登錄到Azure AD管理中心，查看用戶的設(shè)備也顯示為Azure AD Joined狀態(tài)，這個才是真正的將設(shè)備加入Azure AD域。

接下來就可以啟用一些自定義的高級功能，比如啟動已經(jīng)加入Azure AD計算機的BitLocker

將恢復密鑰存儲到Azure AD中，是不是很吊

進入Azure AD管理中心，查看已經(jīng)加入Azure AD的設(shè)備已經(jīng)將BitLocker恢復密鑰存儲上來了

文章開頭說了，將設(shè)備加入Azure AD最主要的目的是通過配置基于條件的訪問策略來控制用戶到底能在哪里訪問什么東西，如果沒有將設(shè)備加入Azure AD，將不能很好的限制用戶去訪問整個Azure中的服務(wù)（不僅限于Office365的SaaS服務(wù)）

在移動優(yōu)先、云優(yōu)先的世界，用戶可以從任意位置使用各種設(shè)備和應用訪問組織的資源。 因此，僅關(guān)注誰可以訪問資源不再能滿足需求。為了掌握安全與效率之間的平衡，還需將資源的訪問方式作為訪問控制決策的考慮因素。使用Azure Active Directory (Azure AD) 條件訪問便可處理該需求。條件訪問是Azure Active Directory的一項功能。使用條件訪問時，可以根據(jù)條件就云應用的訪問實施自動化的訪問控制決策。

完成第一因素身份驗證后將強制執(zhí)行條件訪問策略。因此，條件訪問不是針對拒絕服務(wù) (DoS) ***等場景的第一道防線，而是可以利用來自這些事件的信號（例如，登錄風險級別、請求的位置等）來確定訪問權(quán)限。

下面的圖可以很好的理解這個問題，當然也可以參考微軟官方是對條件訪問的描述

https://docs.microsoft.com/zh-cn/azure/active-directory/conditional-access/overview

But！?。』跅l件訪問的策略是要有Azure AD Premium許可的，而我們公司的Azure AD只是Office365上附帶的一個很基礎(chǔ)的版本，沒有專門去購買Azure AD，所以并沒有這個許可，于是我又天真的去點擊免費試用，并激活

然而，在分配許可里面，，，，鬼都沒有一個

所以基本沒法開展有意義的測試！但是我卻發(fā)現(xiàn)了另外一個很有意思的功能：

我在那臺加入Azure AD筆記本上編輯的文檔直接保存在桌面的，這是一個很常規(guī)的動作，但是我在新的PC上打開Word（使用同一個Office365賬號登錄Office）發(fā)現(xiàn)我在其他電腦上的所有文檔，都可以在這里很輕松的打開

然后打開查看里面的內(nèi)容跟我在那臺設(shè)備上編輯的一模一樣，

不得不佩服?。。∥④洝痢痢僚＃。?！真正的實現(xiàn)了資料隨賬號走！??！

最后，提個問題：如果我的賬號在Office365中啟用了MFA功能，那么我登錄計算機的時候會不會進行多重身份驗證？

等后面有機會了再測試下已加入Azure AD的設(shè)備基于條件的訪問，以及各種策略下發(fā)吧！

文章標題：將PC加入AzureAD域的一些實踐
文章地址：http://jinyejixie.com/article36/ijjepg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供自適應網(wǎng)站、建站公司、營銷型網(wǎng)站建設(shè)、小程序開發(fā)、網(wǎng)站導航、Google

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)