Как отключить azure ad в windows 10

Обновлено: 02.07.2024

Если Вы следили за новостями Microsoft, есть большая вероятность, что Вы слышали о Microsoft Azure, ранее известном как Windows Azure. Этот сервис облачных вычислений является большой частью бизнеса Microsoft, и он конкурирует с аналогичными сервисами от Amazon и Google.

Понятие облачных вычислений

Microsoft Azure — это сервис облачных вычислений, который работает аналогично Amazon Web Services (AWS) и облачной платформе Google .

Под «облачными вычислениями» мы не подразумеваем туманный термин, который часто применяется к потребительским сервисам, которые хранят Ваши данные на удаленном сервере. Мы имеем в виду фактические вычисления как услугу для компаний, организаций и даже частных лиц, которые хотят этим воспользоваться.

Традиционно предприятия и другие организации размещают свою собственную инфраструктуру. У бизнеса будет собственный веб-сервер (или почтовый сервер, или что-то еще) на своем собственном оборудовании. Если бы потребовалось больше мощности, бизнесу пришлось бы покупать больше серверного оборудования. Компании также придется платить кому-то за администрирование этого оборудования и платить за надежное подключение к Интернету для обслуживания своих клиентов. Кроме того, есть хостинговые компании, которые размещают Ваши сервисы на некоторых из своих аппаратных средств в своих центрах обработки данных, за деньги.

Облачные вычисления работают немного по-другому. Вместо того, чтобы запускать собственное оборудование или платить за использование определенного оборудования в чужом центре обработки данных, Вы просто платите за доступ к огромному пулу вычислительных ресурсов, предоставляемых Microsoft (или Amazon, или Google). Это позволяет Вам размещать веб-серверы, серверы электронной почты, базы данных, серверы хранения файлов, виртуальные машины, пользовательские каталоги или все, что Вам может понадобиться. Когда Вам нужно больше вычислительных ресурсов, Вам не нужно приобретать физическое оборудование. «Облако» разделяет аппаратное обеспечение и автоматически назначает работу по мере необходимости. Вы платите за столько вычислительных ресурсов, сколько Вам нужно, а не за определенное количество аппаратных серверов в стойке.

Службы, которые Вы развертываете таким образом, могут быть либо общедоступными серверами, доступными для всех, либо частью «частного облака», которое используется только в организации.

В чем смысл

При использовании облачных вычислений значительно снижаются первоначальные затраты. Вам не нужно вкладывать кучу денег в создание собственного центра обработки данных, приобретать оборудование для него и оплачивать услуги персонала. Нет риска переплачивать за слишком много оборудования или покупать слишком мало и не иметь того, что Вам нужно.

Вместо этого Вы размещаете все необходимое для размещения «в облаке», предоставляемом такой службой, как Microsoft Azure. Вы платите только за те вычислительные ресурсы, которые используете. Если Вам нужно больше, он может мгновенно масштабироваться для удовлетворения спроса. Если Вам нужно меньше, Вы не платите больше, чем нужно.

По этой причине все, от внутренней почтовой системы компании до общедоступных веб-сайтов и сервисов для мобильных приложений, все чаще размещается на облачных платформах.

Что может сделать Microsoft Azure

Веб-сайт Microsoft Azure предоставляет каталог сотен различных сервисов , которые Вы можете использовать, включая полноценные виртуальные машины, базы данных, хранилище файлов, резервные копии и сервисы для мобильных и веб-приложений.

Первоначально эта служба называлась «Windows Azure», но была переименована в «Microsoft Azure», поскольку она может делать гораздо больше, чем просто Windows. Например, Вы можете запускать виртуальные машины Windows или Linux в Azure — в зависимости от того, что Вы предпочитаете.

Копаясь в этих сотнях сервисов, Вы увидите, что можете делать практически все, что угодно. И для всего, что Azure не предлагает в простом обслуживании, Вы можете настроить виртуальную машину Windows или Linux, на которой размещено любое программное обеспечение, которое Вы хотите использовать. Вы даже можете разместить на виртуальной машине рабочий стол Windows или Linux в облаке и подключаться к нему удаленно. Это просто еще один способ использовать удаленные вычислительные ресурсы.

Многое из того, что делает Azure, не является эксклюзивным для Azure. Amazon, Microsoft и Google конкурируют. Например, Amazon Web Services является лидером в этой области, опережая предложения Microsoft и Google.

Azure Active Directory и Windows 10

Microsoft также использует Azure для расширения Windows несколькими важными способами. Традиционно организациям, которые хотели иметь центральный пользовательский каталог и управление своими ПК, требовалось запустить собственный сервер Microsoft Active Directory. Теперь, в дополнение к традиционному программному обеспечению Active Directory, которое может быть установлено на сервере Windows, организация может использовать Azure Active Directory.

Azure AD — то же самое, но размещено в Microsoft Azure. Это позволяет организациям иметь все эти функции централизованного администрирования, не требуя от них размещения собственного сервера Active Directory (и настройки зачастую сложной инфраструктуры и разрешений доступа, необходимых для его удаленной работы).

Эти сервисы не идентичны, но Microsoft однозначно делает ставку на то, что Azure AD — это будущее. Пользователи Windows 10 могут присоединиться к Azure Active Directory через функцию «Рабочий доступ», а служба Microsoft Office 365 использует Azure Active Directory для проверки подлинности пользователей.

Как каждый может использовать Azure

Любой может использовать Microsoft Azure. Просто зайдите на веб-сайт Azure , и Вы сможете зарегистрировать новую учетную запись. Каждая учетная запись имеет кредит в размере 12 500 рублей, который Вы можете использовать в течение первых 30 дней, чтобы Вы могли начать и посмотреть, как работает Azure. Вы также получаете определенное количество бесплатных услуг в течение первого года, включая доступ к виртуальным машинам Linux, виртуальным машинам Windows, хранилищу файлов, базам данных и пропускной способности.

Традиционно, для управления корпоративной сетью используется Active Directory. Но все чаще организации внедряют в свою работу различные облачные службы, которые требуют создания своих учетных записей. Инструментом для создания и управления учетными записями пользователей, применыемых в различных облачных службах Microsoft, которые приобретает организация, является Azure Active Directory. В этой статье мы поговорим о некоторых отличиях между Active Directory и Azure Active Directory, а также рассмотрим основные сценарии их синхронизации.



Я уверена, что подавляющее большинство тех, кто читает эту статью, знакомы с Active Directory, которая является частью операционных систем Windows Server и представляет собой службу каталогов, предлагаемую компанией Microsoft. Имея учетную запись AD, пользователь аутентифицируется в системе и получает доступ к приложениям, файловым службам, принтерам и другим локальным ресурсам.

Так же, как и локальная Active Directory, Azure Active Directory аутентифицирует пользователей и предоставляет им доступ к приложениям. Однако, Azure Active Directory предназначена для работы пользователь не в локальной инфраструктуре, а при работе со сторонними облачными приложениями, такими как Office365 и Windows Intune.

Например, ваша организация приобретает подписку на Windows Intune. При этом вы, как администратор, получаете доступ к порталу управления Windows Intune и должны предоставить доступ другим пользователям в вашей сети (всем или нескольким – это уже детали). Windows Intune – это облачная служба Microsoft, которая не работает с локальной Active Directory. Для того, чтобы создать учетные записи пользователей для доступа к облачным службам, которые внедряет и использует организация, необходимо использовать Azure Active Directory.

C технической точки зрения, нужно отметить, что для доступа к данным в локальной службе Active Directory бизнес-приложения могут использовать LDAP, а сторонние облачные приложения могут взаимодействовать с данными с помощью API Graph. Для аутентификации в AD DS используется протокол Kerberos, а в Azure Active Directory – OAuth 2.0. На схеме далее показано, как приложения, размещенные либо локально, либо в облаке, используют похожие методологии для доступа к данными удостоверений, которые хранятся в наиболее подходящей для них службе удостоверений.

Но вернемся к нашему примеру. Компания приобрела подписку на Windows Intune, и теперь системный администратор должен создать в Azure AD учетные записи для пользователей. Сделать он это может конечно ручками через графический интерфейс или даже использовать командлеты и скрипты PowerShell. Но, используя этот вариант добавления пользователей, вы создаете абсолютно самостоятельных пользователей, никак не связанных с теми, что давно уже существуют в вашей локальной сетке. Да, логины могут совпадать, но могут и отличаться; пароли – тем более. Все это – огромный источник потенциальной головной боли для админа и регулярных обращений от пользователей в службу поддержки. Для того, чтобы эти проблемы минимизировать предлагается три сценария синхронизации AD и Azure AD, о которых мы поговорим далее.

Синхронизация Active Directory и Azure Active Directory

  1. Сценарий синхронизации каталога позволяет автоматически синхронизировать с облаком новые учетные записи пользователей и групп, обновления к существующим учетным записям в локальной Active Directory, настроить клиент для работы в комбинированных сценариях с использованием Office 365 и включить решения многофакторной проверки подлинности в облаке.
  2. Синхронизация Active Directory с помощью сценария синхронизации паролей в дополнение к возможностям синхронизации каталога дает возможность пользователям задействовать пароль от локальной учетной записи для доступа к облачным приложениям и службам, что, в свою очередь, сокращает расходы на администрирование паролей и позволяет управлять политиками паролей из локального каталога Active Directory.
  3. Синхронизация Active Directoryс помощьюсценария единого входа, в отличие от первых двух сценариев, не поддерживает возможность включения решения многофакторной аутентификации в облаке, но зато поддерживает эту возможность в локальной среде, а также обеспечивает проверку подлинности пользователей в локальном каталоге Active Directory и позволяет реализовать сценарии единого входа с использованием корпоративных учетных данных, настроить страницу для единого входа и ограничить доступ к облачным службам и приложениям по местоположению, типу клиента или конечной точке Exchange клиента.
1 Сценарий синхронизации каталога

Сценарий синхронизации каталогов используется для синхронизации локальных объектов доменной сети в облако. При реализации этого сценария в итоге вы получите учетную запись пользователя в Azure Active Directory, которая будет совпадать с локальной учетной записью во всем, кроме пароля. Пароли при реализации сценария синхронизации каталога НЕ синхронизируются. Поэтому теперь вы говорите вашим пользователям, что для доступа, например, к Windows Intune можно использовать свой обычный логин, а вот пароль нужно будет придумать другой. В этом случае, пользователь при доступе к облачной службе будет аутентифицирован с помощью именно Azure Active Directory. Примерная схема того, как работает этот процесс, представлена ниже.

После того, как настройка выполнена, администраторы могут управлять объектами каталога, используя локальную Active Directory, и эти изменения будут синхронизированы с клиентскими компьютерами. Синхронизация службы каталогов выполняется по расписанию и синхронизируются с Azure AD.

  • Сокращение затрат на администрирование. При использовании уже существующих локальных учетных записей пользователей и групп нет необходимости управлять ими вручную в Azure AD, что экономит бюджет и время.
  • Повышение продуктивности. Автоматическая синхронизация учетных записей пользователей и групп сокращает время, необходимое для обеспечения пользователя доступом к облачным службам и приложениям.
  • Повышение безопасности. Предоставление доступа и его отзыв для учетных записей пользователей и групп происходит автоматически, что позволяет гарантировать доступ к ресурсам корпоративной сети только тем, кому он действительно нужен, а также указывать срок, на который доступ предоставлен.
2 Синхронизация Active Directory с помощью сценария синхронизации паролей

Все-таки больным местом учетных записей пользователей являются не логины, а пароли. Логин обычно запомнить не сложно, а вот иметь разные пароли для доступа к разным ресурсам – испытание для пользователя. Поэтому он либо придумывает простые пароли, либо пишет их на стикерах и клеит на монитор, либо догадывается использовать везде один и тот же пароль. Существует расширение сценария синхронизации каталога – сценарий синхронизации паролей. Если на компьютере с уже реализованной синхронизацией каталогов включить синхронизацию паролей, то сотрудники вашей организации смогут подключаться к облачными службам Microsoft (например, Office 365, Dynamics CRM, Windows InTune), используя пароль от локальной учетной записи. Изменение пароля в локальной корпоративной сети будут синхронизированы с облаком, причем пароли синхронизируются чаще, чем другие данные каталогов.

Ниже приведена схема синхронизации Active Directory с помощью сценария синхронизации паролей. Чтобы пароль был синхронизирован, средство синхронизации каталогов извлекает хэш пароля пользователя из локальной службы Active Directory и синхронизирует его с Azure Active Directory.


Теперь со спокойной душой говорим пользователям, что мы используем новую облачную службу, доступ к которой можно получить со своим обычным логином и паролем. Все довольны, все счастливы.

  • Сокращение эксплуатационных затрат. Сокращение количества паролей, которые необходимы пользователю для работы в корпоративной сети, влечет за собой уменьшение числа запросов на смену пароля к службе поддержки.
  • Повышение продуктивности. Сокращение числа паролей, которые нужны пользователю для доступа к тем или иным корпоративным ресурсам, увеличивает время, в течение которого эти ресурсы доступны.

Тем не менее, при реализации сценария синхронизации паролей, пользователь все равно проходит процесс аутентификации с помощью учетной записи Azure Active Directory, а мы хотим пойти дальше, и использовать для аутентификации именно локальную Active Directory. Для того, чтобы нашу задумку осуществить, необходимо использовать сценарий синхронизации Active Directory с помощью единого входа.

3 Синхронизация Active Directory с помощью сценария единого входа

Для реализации единого входа должен быть реализован сценарий синхронизации каталога и построена инфраструктура службы токенов безопасности (STS). Azure AD поддерживает сценарии единого входа, которые используют одну из следующих служб токенов безопасности: Active Directory Federation Services, поставщик удостоверений Shibboleth, а также сторонние поставщики удостоверений.

Процесс работы сценария единого входа представлен на следующей схеме.


При реализации сценария единого входа настраиваются федеративные отношения между службой STS (Security Token Service) и системой проверки подлинности Azure Active Directory. Пользователь при попытке подключения к облачной службе будет перенаправлен на сервер службы STS. Например, при использовании службы ADFS, пользователь будет перенаправлен на ADFS сервер, что можно будет увидеть по изменению адреса в браузере:


После успешной аутентификации, пользователь с учетной записью локального каталога Active Directory получит токен проверки подлинности от локальной службы STS и с помощью которого получит доступ к облачной службе. Принципиальным отличием от первых двух сценариев является то, что в сценарии единого входа пользователь аутентифицируется с помощью Windows Server Active Directory.

  • Управление политиками. Администратору не нужно выполнять какие-либо дополнительные задачи в облаке для того, чтобы контролировать политики учетных записей Active Directory.
  • Управление доступом. Администратор может ограничить доступ к облачным службам так, чтобы доступ можно было получить только через среду организации или через интернет-сервер.
  • Снижение количества обращений за поддержкой. Тут все тоже: меньше паролей запоминать – меньше обращений от пользователей.
  • Безопасность. Так как все серверы и службы, используемые в рамках реализации сценария единого входа, управляются и контролируются локально, то удостоверения пользователей и информация о них защищены.
  • Поддержка строгой проверки подлинности. Сценарий единого входа позволяет реализовать многофакторную проверку подлинности для доступа к облачной службе или приложению.

Надеюсь, данная статья дала вам представление о разнице между Active Directory и Azure Active Directory и сценариях их синхронизации.


azuread_windows10_intune_2

Все это продолжение облачной темы от Microsoft. Ваши пользователи могут добавлять свои устройства в Azure AD, аутентифицируясь через учетные записи вашей on-prem (наземной) Active Directory, если у вас настроена синхронизация учетных записей через Azure Active Directory Sync, либо созданные прямо в Azure AD.

azuread_windows10_intune_3

Что дает Azure Active Directory для Windows 10?

Как же выглядит регистрация устройства в Azure AD?

Пользователь вводит свою облачную учетную запись. Напомню, что это может быть и учетка от локального AD, если вы их синхронизируете через Azure Active Directory Sync, либо у вас настроена федерация AD FS для SSO.

azuread_windows10_intune_4

Идет регистрация устройства.

azuread_windows10_intune_5

Далее предлагается создать ПИН-код. Тут есть небольшой by design, смотрите ниже.

azuread_windows10_intune_6

azuread_windows10_intune_7

Но нас интересует весь процесс, поэтому создадим ПИН-код.

azuread_windows10_intune_8

azuread_windows10_intune_9

Для проверки личности необходимо скачать приложение Azure Authenticator (есть для всех 3-х платформ): Windows Phone, Apple iOS, Google Android.

azuread_windows10_intune_10

Открываем приложение и сканируем QR код.

azuread_windows10_intune_11

Затем появляется код, который мы должны ввести в окне проверки.

azuread_windows10_intune_12
azuread_windows10_intune_13

azuread_windows10_intune_14

После входа в систему видно, что учетная запись находится в облаке Azure AD.

azuread_windows10_intune_15

В панели управления, в разделе учетная запись видно нашего пользователя.

azuread_windows10_intune_16

azuread_windows10_intune_17

Что еще интересного?

azuread_windows10_intune_18

azuread_windows10_intune_19

Раздел, где можно указать внешние публичные адрес, с которых будет разрешена регистрация устройств. Такой ACL (Access List) для Azure AD.

azuread_windows10_intune_20

И совсем недавно зарелизенная фича, когда при регистрации устройства через Azure AD оно автоматически попадает в консоль Microsoft Intune и системой можно управлять через MDM агент в Windows 10.

azuread_windows10_intune_21

В консоли Microsoft Intune все это выглядит примерно вот так. Устройство с автоматической регистрацией в Microsoft Intune имеет свойство AAD Registered.

azuread_windows10_intune_22

ЗЫЖ действительно тяжело собрать все в один пост, напринтскринить картинки и подготовить описание, может быть пора уже переходить на видео? М? Что вы на это скажете?

4 КОММЕНТАРИИ

Привет. Спасибо за развернутую статью! А вопрос такой. Локальный каталог AD синхронизирует учетки компьютеров с каталогом Azure AD. Допустим я ноутбук присоединю к Azure AD. Как быть доступом к локальным ресурсам компании? Если этот ноутбук подключить к сети предприятия, он зайдет от компьютерной учетки в локальном AD?

Хорошая статья всегда лучше чем видео, но ради попробовать то конечно, почему нет? :)
Спасибо.

Azure AD Join является популярным сервисом, но многие пользователи сообщают об ошибке Что-то пошло не так в Azure AD Join. Эта ошибка может вызвать множество проблем, но в сегодняшней статье мы попытаемся решить эту проблему раз и навсегда.

Что делать, если не удалось присоединиться к Azure AD?

  1. Отключите присоединение Azure AD .
  2. Разрешить пользователям присоединяться к своим устройствам
  3. Увеличьте лимит устройства
  4. Удалите устройство для человека, у которого возникла ошибка

1. Отключите Azure AD Join.


  1. В вашем браузере перейдите на портал Azure.
  2. Войдите в свою учетную запись пользователя со своим Azure Active Directory клиентом с минимальными правами глобального администратора. Сделайте многофакторную проверку, если вас попросят.
  3. Нажмите Azure Active Directory на левой панели.
  4. Перейдите на Устройства .
  5. В окне Устройства нажмите Настройки устройства .
  6. Установите для параметра Пользователь может подключать устройства к Azure AD значение Нет . Обратите внимание, что это будет применяться ко всем устройствам на базе Windows 10
  7. Теперь установите Пользователь может зарегистрировать свои устройства в Azure AD на Нет . Это отключит Workplace Join на основе Azure для устройств Android и iOS.
  8. Нажмите Сохранить и закройте браузер.

При использовании этого метода вам еще не придется вмешиваться в настройки. Обратите внимание, что в Azure AD Connect два вышеупомянутых параметра не связаны с синхронизацией устройства.

2. Разрешить пользователям присоединяться к своим устройствам


В некоторых организациях администраторы используют собственную учетную запись для управления устройствами Azure AD Join. При этом они обходят стандартное действие BYOD для локальных прав администратора на учетную запись пользователя.
По правде говоря, администратор является единственным администратором с правами локального администратора на всех других устройствах, но это нарушает процесс в организациях, которые используют Microsoft Intune.

Однако каждая функция, продукт и технология Microsoft используются разными способами, которые не были запланированы Microsoft, и это не та функция, которой вы хотели бы злоупотреблять. Поэтому всегда разрешайте пользователям присоединять свои устройства к своим учетным записям, когда вы хотите использовать Azure AD Join.

3. Увеличьте лимит устройства


  1. Перейдите в браузер и перейдите на портал Azure .
  2. Войдите в свою учетную запись пользователя в клиент Azure Active Directory с минимальными правами глобального администратора.
  3. Перейдите в Azure Active Directory с левой стороны.
  4. Перейдите в раздел Устройства >Настройки устройства.
  5. Установите для Максимальное количество устройств на использование требуемое значение.
  6. Нажмите Сохранить и выйдите из браузера.

4. Удалите какое-либо устройство для человека, который испытывает ошибку

Следуйте этому руководству:

  1. Откройте портал Azure и войдите под своей учетной записью в свой клиент Azure Active Directory с правами глобального администратора.
  2. Нажмите Azure Active Directory>Устройства .
  3. Найдите имя на верхней панели.
  4. Выберите устройство случайным образом, нажмите на 3 точки в конце строки и выберите в меню Удалить .
  5. Выход из браузера.

Читайте также: