Miten laitehallinta pilvessä eroaa oman Active Directoryn (AD) vastaavasta?

Miten laitehallinta pilvessä eroaa oman Active Directoryn (AD) vastaavasta?

Useimmille Microsoft-ympäristöjä vuosien varrella ylläpitäneille AD ja erityisesti Windows-työasemien siihen liittäminen ovat muodostuneet de facto -tavaksi toteuttaa keskitetty hallinta ja osaltaan auttaa kertakirjautumisessa ja myös käyttövaltuutuksessa.

Otettaessa Azure Active Directory (AAD) käyttöön esimerkiksi Office 365:n yhteydessä on hyvä tutustua laitehallinnan arkkitehtuurimuutoksiin sekä erityisesti uusiin mahdollisuuksiin ja pilven tuomiin etuihin. Yksi uusista mahdollisuuksista on tuki muille kuin pelkille Windows-laitteille ts. Android- sekä iPhone-kännykät ja Android- ja iPad-tabletit ja viimeisimpänä MacOS-käyttöjärjestelmää käyttävät Apple-laitteet. Harvassa AD-ympäristössä Workplace Join:illa iPad:ejä juuri taidettiin muuten kuin testimielessä AD:yyn liittää?

Laitteiden keskitettyyn hallintaan liittämiseen on useita eri tapoja. Soveltuvin tapa riippuu AAD:n sekä mahdollisesti siihen liitettävän paikallisen AD:n lisäksi laitteen omistajuudesta ja halutuista käyttäjän ja laitteen toiminnoista. Perinteistä toimialueliitoskin on yhä yhtenä vaihtoehtona, mutta on hyvä tuntea myös kuinka liitos AAD:yyn tapahtuu ”kannen alla”. Kesällä 2017 Microsoft julkisti Autopilot-toiminnon, jolla laite voidaan ottaa hallintaan ja määrittää haluttuun konfiguraatioon pelkkien pilvipalveluiden avulla. Myös Windows 10 – laitteen lisenssi voidaan nykyään päivittää Pro-versiosta Enterprise E3 tai E5 -versioon pilvipalveluilla käyttäjäidentiteettiin perustuen. Tuorein uudistus on on-premise tulostuksen mahdollistaminen AAD-liitetyille Windows 10 -laitteille.

Ehkä suurimmat muutokset hallintaan liittyen ovat kuitenkin laitteen tunnettuuden, sijainnin ja tilan hyödyntäminen ehdollisen käyttöoikeuden valinnoissa sekä laiteobjektien hallinnan mahdollistava Microsoft Graph -rajapinta ja sen käyttö ohjelmallisesti. Ehdollisessa käyttöoikeudessa sovelluksen, käyttäjän identiteetin ja siihen kohdistuvien mahdollisten uhkien lisäksi käytettävää päätelaitteen laiteobjektin tilaa AAD:ssa voidaan käyttää kriteerinä päätettäessä, miten tietyn sovelluksen käyttö on mahdollista. Jos esimerkiksi käyttäjän laite on tunnettu, mutta ei tietoturvakäytäntöjen mukainen, voidaan käyttäjä pakottaa esimerkiksi tekemään kaksivaiheiden tunnistus (multi-factor authentication MFA). Ehdollinen käyttöoikeus voidaan toteuttaa myös on-premise -palveluissa Active Directory Federation Service (AD FS) -palvelulla.

Microsoft Graph -rajapinnan avulla kolmannen osapuolen laitehallintajärjestelmä voi muuttaa AAD-laiteobjektin tilaa laitteen ko. järjestelmän käytäntöjenmukaisuuteen perustuen. Toisaalta esimerkiksi raportointiin ja hallinnan automatisointiin ja tehostamiseen Graph antaa loistavia mahdollisuuksia. Käytettäessä Microsoft Intune -palvelua laitehallintaan juuri alkuvuodesta 2018 tuetuksi tulleet PowerShell-skriptit Graph:in kautta ovat oiva mahdollisuus graafisen hallinnan rinnalla.

Heräsikö mielenkiintosi tai tiedonjanosi? Tule kuulemaan näistä aiheista lisää Mika Seitsosen TechDays-luentoon ”Device Management with Azure Active Directory – computer objects and LDAP do not apply!”.