Um das Ziel bzw. die Vorteile der Device Registration eines der Domäne hinzugefügten Computers darzustellen, sollten wir zunächst ein wenig zurückblicken auf die Historie des Domain Join.

 

Rückblick

Nahezu jeder Administrator einer auf Microsoft Komponenten basierten Infrastruktur kennt die Methodik und die Vorteile eines Domain Join. Durch das Hinzufügen des Computers zur Domäne erhält dieser eine der Domäne zugeordnete Identität und kann z.B. durch Gruppenrichtlinien durch die Administratoren verwaltet und konfiguriert werden. Es wird zudem erreicht, dass eine Authentifizierung innerhalb des Unternehmensnetzwerkes durchgeführt werden kann – sowohl für den Zugriff auf den Computer selbst als auch auf andere Ressourcen wie z.B. Files, Applikationen, etc.

 

Doch was hat sich geändert mit Windows 10 und der Verbindung mit Azure AD?

An den altbekannten Mechaniken nichts, aber wir erhalten durch die Nutzung von Azure AD viele neue Möglichkeiten die wir in einigen Jahren wohl ebenfalls als Standard ansehen wie es heute die erwähnte Verwaltung der Computer via Gruppenrichtlinien ist. Doch welche Vorteile genau sind dies?

  • Single-Sign-On beim Zugriff Ressourcen des Unternehmens – sogar beim Zugriff außerhalb des Unternehmensnetzwerkes.
  • Zugriff auf den Windows Store for Business – eine vom Unternehmen bereitgestellte Auswahl an vorausgewählten Applikationen
  • Die Möglichkeit Microsoft Hello for Business zu nutzen in einem hybriden Deployment
  • Compliance Verwaltung der Computer beim Zugriff auf Applikationen

Für einige der Features, die Azure AD uns bereitstellt, ist dabei eine einfache Synchronisierung der Computer via Azure AD Connect nicht ausreichend. Die Computer, bzw. innerhalb von Azure AD die Geräte, müssen z.B. für die Verwendung von Hello for Business den Status „Registriert“ besitzen. Um dies zu erreichen gibt es die Möglichkeit die Geräteregistrierung mit Hilfe einer Gruppenrichtlinie automatisiert durchzuführen.

Zur vereinfachten Darstellung stellt nachfolgendes Schaubild die Schritte in chronologischer Reihenfolge dar. Es gilt zu beachten, dass das hier dargestellte Szenario auf einer bereits föderierten Infrastruktur basiert.

 

Nun schauen wir uns die einzelnen Schritte bzw. Phasen etwas genauer an.

Die Gruppenrichtlinie signalisiert dem Computer die Geräteregistrierung mit Azure AD vorzunehmen. Durch die entsprechende Richtlinie wird ein Task erstellt, welcher die Anwendung dsregcmd.exe ausführt. Diese Anwendung führt dann die Registrierung im Kontext NT AUTHORITY\SYSTEM durch.

Der beschriebene Task richtet sich nun via LDAP Anfrage an das Active Directory um die dort hinterlegten Azure AD Tenant Informationen zu beziehen. Diese befinden sich an folgendem Ort innerhalb der Domänenkonfiguration (am Beispiel solution.abtis):

CN=62a0ff2e-97b9-4513-943f-0d221bd30080, CN=Device Registration Configuration, CN=Services, CN=Configuration, DC=solution, DC=abtis

Dort eingetragen befinden sich neben dem Azure AD Namen auch die Azure AD ID.

Das Gerät authentifiziert sich nun via ADFS an Azure AD um ein Token zur Registrierung zu erhalten. Dies geschieht über die Windows Integrierte Authentifizierung (Kerberos). In diesem Zuge werden für das Gerät relevante Claims ebenfalls via ADFS an Azure AD übermittelt. Diese sind:

  • Obejct GUID des Computers
  • SID des Computers
  • Eine Bestätigung, dass dieser Computer Domain Joined ist

Es wird nun ein Private / Public Key Paar generiert, welches für einen CSR (Certificate Signing Request) an Azure AD übermittelt wird um ein Zertifikat zur späteren Authentifizierung gegen Azure AD zu erhalten. Sofern der Computer über einen TPM verfügt wird der Private Key über diesen geschützt.

Der Computer wird nun in Azure AD angelegt, sowie der Zertifikatsthumbprint und der Public Key gemeinsam mit dem Objekt gespeichert. Nach erfolgreicher Registrierung wird das Gerät wie folgt im Azure Active Directory dargestellt:

 

Sollten Sie Fragen zu speziell dieser oder weiteren Technologien haben, so unterstützen wir sie natürlich gerne im Rahmen eines persönlichen Gespräches.

 

Redakt.: Andreas Düpre