Dodajmy komputery z lokalnego AD do Azure AD <3
Ostatnimi czasy zacząłem się bawić Azure AD i jego połączeniem z lokalnym AD, które mam u siebie stworzone. Powstały już trzy wpisy na ten temat:
- Wstępna konfiguracja Azure AD Connect
- Azure AD Self-Service Password Reset
- oraz Azure AD Connect – Password Writeback
W pierwszym wpisie skupiłem się na konfiguracji, natomiast w pozostałych dwóch już na użytkownikach. Dziś natomiast chciałbym się skupić na urządzeniach, które są dodane do mojego lokalnego Active Directory. Dlaczego by nie zarządzać nimi z poziomu Intune?
Dlatego dziś skupimy się nad konfiguracją Azure AD Connect Hybrid Join.
Jest sobie urządzenie, które jest dodane do lokalnego AD tak jak na screenie:
I chciałbym teraz nim zarządzać z Azure AD, więc…
Uruchamiamy AAD Connect, wybieramy Configure > Configure Device Options
Logujemy się do Azure AD, zaznaczamy opcję Configure Hybird Azure AD join
Wybieramy odpowiednie opcje w Device operating systems, przechodzimy krok dalej, wybieramy naszą domenę, wpisujemy dane do Ekonta Enterprise Admin, przechodzimy krok dalej i czekamy….
Po chwili powinien pojawić nam się ekran z informacją, że konfiguracja zakończona, ale należy poczynić jeszcze kilka innych modyfikacji, więc do boju!
Wpierw musimy edytować politykę GPO, która będzie wdrożona na nasze komputery. Odpalamy GPO Editor, przechodzimy do: Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Security Page > Site to Zone Assigment List oraz dodajemy dwie strony:
Następnie przechodzimy katalog niżej, do Intranet Zone i włączamy opcję nazwaną Allow updates to status bar via script
Odświeżamy GPO za pomocą gpupdate na serwerze, wracamy na komputer kliencki, tam też odświeżamy politykę GPO i po dwóch restarach nasze urządzenie powinno pojawić się w Azure AD Devices:
Jednak co mnie bardziej martwi to to, że typ MDM jest z domysłu ustawione na None. No niezbyt, moim MDMem jest Intune i skupmy się na tym, aby go ustawić.
Wracamy do ustawień GPO na serwerze, przechodzimy do: Computer Configuration > Administrative Templates > Windows Components > MDM i konfigurujemy Enable automatic MDM enrollment using default Azure AD Credentials z ustawieniem User Credentials
Po kolejnym restarcie urządzenia, urządzenie zostanie skonfigurowane jako MDM Intune, dzięki czemu będziemy mogli nimi zarządzać z poziomu tejże usługi.
Co ważne, pamiętajmy proszę o licencjach
Dlaczego? Ponieważ sam się złapałem na tym, że logowałem się użytkownkiem, który był w lokalnym AD a komputer nie rejestrował się do MDMa. Wyjaśnienie było proste – użytkownik synchronizowany nie miał przypisanej licencji Intune pozwalającej na enrollment.
Finalnie to wygląda w taki sposób:
A taki widok uzyskamy, gdy klikniemy Info.
I przypominam, że jest to urządzenie, które jest wpięte do lokalnego AD! 🙂