Utilisation de WS-FED pour l'enregistrement des dispositifs Windows 10 avec Azure AD
Azure AD permet d'enregistrer un dispositif Windows 10 en tant qu'unité approuvée. Les utilisateurs peuvent utiliser cette unité enregistrée pour accéder facilement aux services protégés par Azure sans que cela n'ait aucun impact sur la sécurité des ressources informatiques.
casso1283
A compter de la version 12.8.03, Azure AD permet d'enregistrer un dispositif Windows 10 en tant qu'unité approuvée. Les utilisateurs peuvent utiliser cette unité enregistrée pour accéder facilement aux services protégés par Azure sans que cela n'ait aucun impact sur la sécurité des ressources informatiques.
Le processus général inclut les opérations suivantes :
- SiteMinder en tant que fournisseur d'identités authentifie un utilisateur et génère une assertion pour Azure AD agissant en tant que partie de confiance.
- Azure AD accepte l'assertion et autorise les utilisateurs à enregistrer le dispositif Windows 10, puis à accéder de manière transparente aux services protégés par Azure, dont Office 365.
Regardez la vidéo suivante pour visionner une démonstration sur l'enregistrement des dispositif Windows 10 avec Azure AD :
Configuration
Le processus de configuration inclut les étapes suivantes :
- Intégration d'Office 365 à SiteMinder à l'aide du runbook Office 365.Effectuez une synchronisation des utilisateurs et des dispositifs dans Azure AD à l'aide de l'outil AAD Connect.Activez le point de connexion de service à l'aide de l'outil AAD Connect.Pour plus d'informations, consultez le site Web de Microsoft.
- Configurez un partenariat de fédération WS-FED dans SiteMinder avec les configurations suivantes :
- Dans la boîte de dialogue Configuration de l'assertion, sélectionnez l'optionSupprimer les sauts de ligne dans l'assertion.
- Spécifiez l'attributObjectSID;binaryd'Active Directory au formatAD:objectSid;binarydans la boîte de dialogue Configuration de l'assertion.
- (Facultatif) Dans la boîte de dialogue Signature, sélectionnez l'Algorithme de signature.
Commandes d'enregistrement d'un dispositif
Tout dispositif authentifié par SiteMinder en tant que fournisseur d'identités peut être enregistré auprès d'Azure AD. Le dispositif est enregistré une fois qu'il a été rattaché dans Azure AD.
Rattachement d'un dispositif
Commande :
dsregcmd /join /debug
Réponse de réussite :
DsrCmdJoinHelper::Join: AutoEnrollAsComputer completed successfullyDSREGCMD_END_STATUSAzureAdJoined : YES
Recherche du statut d'un dispositif
Après avoir rattaché un dispositif, vérifiez son statut avant de passer à une autre étape.
Commande :
dsregcmd /status /debug
Réponse de réussite :
+----------------------------------------------------------------------+| Device State |+----------------------------------------------------------------------+AzureAdJoined : YESEnterpriseJoined : NODomainJoined : YESDomainName : BROADCOM
Commandes d'enregistrement d'un utilisateur
Lorsqu'un utilisateur se connecte à l'unité enregistrée avec Azure AD, SiteMinder authentifie l'utilisateur et génère une assertion dans Azure AD. Azure AD utilise l'assertion pour générer un PRT pour l'utilisateur. L'utilisateur peut ensuite utiliser un PRT pour accéder de façon transparente aux services protégés par Azure.
Recherche du statut d'un utilisateur
Vous pouvez vérifier si un utilisateur dispose d'un PRT pour accéder aux services protégés par Azure.
Commande :
Dsregcmd /status /debug
Réponse de réussite :
+----------------------------------------------------------------------+| SSO State |+----------------------------------------------------------------------+AzureAdPrt : YESAzureAdPrtUpdateTime : 2019-08-29 09:15:00.000 UTCAzureAdPrtExpiryTime : 2019-09-12 09:15:49.000 UTCAzureAdPrtAuthority : https://login.microsoftonline.com/682390bb-69bf-4491-9330-a23013c140bc EnterprisePrt : NOEnterprisePrtAuthority :