Bên cạnh việc quản lý xác thực người dùng và bảo vệ danh tính người dùng, việc xác thực thiết bị khi triển khai Azure AD trong tổ chức của bạn cũng rất quan trọng.
Tương tự với người dùng, một thiết cũng là một danh tính khác mà bạn muốn bảo vệ. Bạn cũng có thể sử dụng một thiết bị để bảo vệ tài nguyên của mình bất cứ lúc nào và ở đâu. Azure AD cho phép bạn join các thiết bị chạy trên Windows, cũng như quản lý chúng bằng cách sử dụng các phương pháp hơi khác so với Active Directory Domain Services. Bài lab này, bạn sẽ tìm hiểu về quản lý và xác thực thiết bị trong Azure AD
Trong bài lab bạn sẽ được giới thiệu cách quản lý thiết bị bằng Intune. Bạn sẽ tìm hiểu cách cấu hình và thiết lập Intune để có thể quản lý các thiết bị Windows, Android và iOS dễ dàng hơn. Bạn sẽ tìm hiểu cách đăng ký thiết bị trong Intune.
Bài lab này, bạn sẽ cấu hình Azure AD Join và thực hiện cả hai kịch bản standard and hybrid Azure AD join cho các thiết bị Windows.
A. Cấu Hình Hybrid Azure AD join
Task 1: Cấu Hình Hybrid Azure AD join Dùng Azure Active Directory Connect
- Tại máy domain controller, trên Desktop double-click vào Azure AD Connect.
- Cửa sổ Microsoft Azure Active Directory Connect ấn Configure.
- Cửa sổ Additional tasks chọn Configure device options và ấn Next.
4. Cửa sổ Overview ấn Next.
5. Cửa sổ Connect to Azure AD nhập và password của Global Admin (têncủabạn@customdomain) ấn Next.
6. Cửa sổ Device options chọn option Configure Hybrid Azure AD join, và Next.
7. Cửa sổ Device operating systems check chọn Windows 10 or later domain-joined devices, và ấn Next.
8. Cửa sổ SCP configuration check chọn tên domain của bạn, dropdown Authentication Service chọn Azure Active Directory ấn Add. Cửa sổ Enterprise Admin Credentials nhâp vào têndomain\Administrator và Password. ấn OK và Next.
9. Cửa sổ Ready to configure ấn Configure. chờ hoàn tất ấn Exit
Task 2: Kiểm Tra
- Khởi động lại máy windows 10 đã join domain. (khởi động lại để kích hoạt hybrid Azure AD join trên máy windows 10)
- Logon vào máy windows 10 bằng quyền domain admin, vào Powershell thực lệnh dsregcmd /status
- Trong phần Device State, Kiểm tra AzureAdJoined : YES và DomainJoined : YES (Nếu chưa có kết quả, chờ vài phút, khởi động lại máy và kiểm tra lại)
4. Trở lại portal.azure.com vào menu trái chọn Azure Active Directory. 5. Màn hình Azure Active Directory menu trái chọn Devices: quan sát cột Registered
- Nếu Registered có giá trị là Pending, Hybrid Azure AD Join chưa hoàn tất.
- Nếu Registered có giá trị là ngày/giờ, Hybrid Azure AD Join đã hoàn tất.
B. Quản Lý Thiết Bị Trong Intune
Task 1: Gán Microsoft Intune và Azure AD Premium licenses Cho Users
- Vào trình duyệt truy cập vào portal.azure.com bằng user têncủabạn@customdomain
- Tại Azure portal, menu trái chọn Azure Active Directory
- Màn hình Azure Active Directory menu trái chọn Users, và chọn User1
- Trong phần Properties, kiểm tra Usage location đã có giá trị chưa, nếu chưa hay gán Usage location là VietNam cho user này
- Thực hiện tương tự cho user2 và user3 (Để gán licenses cho user thì user phải có Usage location)
6. Tại Azure portal, menu trái chọn Azure Active Directory, màn hình Active Directory, menu trái chọn Licenses (Kiểm tra xem nếu đã có Enterprise Mobility + Security E5 hãy bỏ qua bước 7 và 8 thực hiện tiếp bước 9)
7. Màn hình Licenses, menu trái chọn All products, ấn Try/Buy. 8. Màn hình Active, chọn Free trail trong phần Enterprise Mobility + Security E5 và chọn Activate.
9. Tại mà hình Licenses menu trái chọn All products ckeck vào Enterprise Mobility + Security E5 và ấn Assign. 10. Màn hình Assign license chọn Users and groups, cửa sổ Users and groups chọn user1, user2, user3 và têncủabạn@customdomain ấn Select, và ấn Assign.
Task 2: Tích Hợp Azure AD Với Microsoft Intune
- Tại Azure portal, menu trái chọn Azure Active Directory
- Màn hình Active Directory, menu trái chọn Mobility (MDM and MAM). và chọn Microsoft Intune.
(Nếu bạn đang làm việc với Microsoft Entra admin center, menu trái chọn Settings và chọn Mobility)
3. Trong phần MDM user scope chọn All và ấn Save. (Bằng cách thực hiện bước này, bạn đã cho phép tất cả người dùng join thiết bị của họ vào Azure AD cũng tự động đăng ký thiết bị đó vào Microsoft Intune)
Task 3: Cấu Hình Azure AD join
- Tại Azure portal, menu trái chọn Azure Active Directory và chọn Devices.
- Quan sát thấy có các máy là hybrid joined devices trong danh sách từ bài lab trước.
- Màn hình Devices chọn Device settings.
- Màn hình Device settings trong phần Users may join devices to Azure AD chọn All (Cho phép tất cả Azure AD users có thể join thiết bị của họ vào Azure Active Directory)
- Trong phần Require Multi-Factor Auth to join devices chọn No và Maximum number of devices per user nhập vào 50.
- Chọn Manage Additional local administrators on all Azure AD joined devices chọn Add Assignments, chọn User1, ấn Add. Trở lại Device settings, ấn Save. (User1 sẽ là local administrators tất cả các thiết bị join vào Azure AD)
C. Đăng Ký Thiết Bị vào Microsoft Intune
Task 1: Kiểm Tra Máy Windows 10 Chưa Đăng Ký Vào Microsoft Intune hay Azure AD
1. Tại máy windows 10 chưa join domain local và chưa join vào Azure AD, vào run thực hiện lệnh certlm.msc. 2. Tại cửa sổ Certificates chọn Personal kiểm tra chưa có các certificates sau: (điều này chứng tỏ máy này chưa join vào Azure AD và đăng ký với Microsoft Intune)
- Microsoft Intune MDM Device CA
- MS-Organization-Access
- MS-Organization-P2P-Access [2020]
3. Vào PowerShell thực hiện lệnh: dsregcmd /status và xem trong phần Device State, kiểm tra AzureAdJoined : NO.
Task 2: Đăng Ký Máy Windows 10 vào Azure AD và Microsoft Intune Dùng Settings App
- Tại máy Windows 10 chưa join vào Azure AD , vào Start chọn the Settings App.
- Tại Settings app, chọn Accounts.
- Chọn tiếp Access work or school và ấn Connect.
- Cửa sổ Microsoft account chọn Join this device to Azure Active Directory.
5. Cửa sổ Let’s get you signed in nhập vào user1@customdomain ấn Next. 6. Cửa sổ Enter password nhập password của user1, ấn Sign in. 7. Chờ vài giây xuất hiện cửa sổ Make sure this is your organization ấn Join. 8. Cửa sổ You’re all set! ấn Done. 9. Trở lại cửa sổ Settings app, trong phần Access work or school kiểm tra thấy đã join vào Azure AD, đóng Settings app.
Task 3: Kiểm Tra Máy Windows 10 Đã Đăng Ký Vào Microsoft Intune hay Azure AD
1. Tại máy windows 10 vừa join vào Azure AD, vào run thực hiện lệnh certlm.msc.
2. Tại cửa sổ Certificates chọn Personal và chọn tiếp Certificates kiểm tra có các certificates sau: (điểu này chứng tỏ máy này đã join vào Azure AD và đăng ký với Microsoft Intune)
- Microsoft Intune MDM Device CA
- MS-Organization-Access
- MS-Organization-P2P-Access [2020]
3. Vào PowerShell thực hiện lệnh: dsregcmd /status và xem trong phần Device State, kiểm tra AzureAdJoined : Yes. 4. Trong phần Tenant Details, kiểm tra có các thông tin sau:
- mdmUrl : https://enrollment.manage.microsoft.com/enrollmentserver/discovery.svc
- mdmToUrl : https://portal.manage.microsoft.com/TermsofUse.aspx
- mdmComplianceUrl : https://portal.manage.microsoft.com/?portalAction=Compliance
(Điều này chứng tỏ máy này đã đăng ký vào Microsoft Intune.) 5. Sign out máy windows 10 vừa join Azure AD, Sign in lại bằng user1@customdomain, Vào Microsoft Edge truy cập portal.office.com để trải nghiệm SSO.
Task 4: Kiểm Tra Dùng Microsoft Intune
- Mở trình duyệt khác truy cập https://endpoint.microsoft.com bằng têncủabạn@customdomain
- Menu trái chọn Devices, Màn hình Devices | Overview quan sát trong phần Intune enrolled devices, có 1 thiết bị trong phần Windows.
- Màn hình Devices | Overview chọn All devices kiểm tra thấy máy windows 10 trong danh sách. chú ý cột Managed by có giá trị là Intune
(Lưu ý: Bạn đang xem danh sách các thiết bị đã join vào Azure AD. Hãy lưu ý rằng bạn đã tích hợp giữa Azure AD và Intune, và do đó, bất kỳ thiết bị nào join Azure AD đều được tự động đăng ký vào Intune. Mọi thiết bị đã join vào Azure AD trước khi tích hợp, chỉ được tham gia vào Azure AD, nhưng không được đăng ký vào Intune)
Hoàn Tất Bài Lab
Mr-CTL