Connettere dispositivi aggiunti a un dominio ad Azure AD in ambiente Windows 10

Negli ultimi 15 anni, per connettere i dispositivi sui cui lavorare le aziende hanno fatto essenzialmente ricorso alla funzione di aggiunta a un dominio. Questo ha permesso agli utenti di accedere ai dispositivi con i relativi account aziendali o dell'istituto di istruzione di Windows Server Active Directory (Active Directory) e agli amministratori IT di gestire interamente tali dispositivi. In genere, le aziende si basano su metodi di creazione dell'immagine per effettuare il provisioning dei dispositivi agli utenti e, per gestirli, usano System Center Configuration Manager (SCCM) o Criteri di gruppo.

Dopo aver connesso i dispositivi ad Azure Active Directory (Azure AD), l'aggiunta a un dominio di Windows 10 offre i vantaggi seguenti:

  • Accesso Single Sign-On (SSO) alle risorse di Azure AD da qualsiasi posizione.
  • Accesso alla sezione aziendale di Windows Store usando account aziendali o dell'istituto di istruzione, non è necessario un account Microsoft.
  • Roaming delle impostazioni utente tra dispositivi conforme ai criteri dell'organizzazione usando account aziendali o dell'istituto di istruzione, non è necessario un account Microsoft.
  • Autenticazione avanzata e pratico accesso all'account aziendale o dell'istituto di istruzione con Windows Hello for Business e Windows Hello
  • Possibilità di limitare l'accesso solo ai dispositivi conformi alle impostazioni di Criteri di gruppo dei dispositivi aziendali.

Prerequisiti

Aggiunta a un dominio continua a essere utile. Tuttavia, per poter sfruttare i vantaggi offerti da Azure AD per l'accesso SSO, il roaming delle impostazioni e l'accesso a Windows Store con account aziendali o dell'istituto di istruzione, è necessario quanto segue:

  • Sottoscrizione di Azure AD
  • Azure AD Connect per estendere la directory locale ad Azure AD.
  • Criteri impostati per connettere dispositivi aggiunti a un dominio ad Azure AD.
  • Build di Windows 10 (build 10551 o successiva) per i dispositivi.

Per abilitare Windows Hello for Business e Windows Hello è anche necessario quanto segue:

In alternativa alla distribuzione di un'infrastruttura PKI, è possibile soddisfare il requisito seguente:

  • Disporre di alcuni controller di dominio con Servizi di dominio Active Directory di Windows Server 2016.

Per abilitare l'accesso condizionale, è possibile creare impostazioni di Criteri di gruppo che consentano l'accesso a dispositivi aggiunti al dominio senza distribuzioni aggiuntive. Per gestire il controllo di accesso in base alla conformità dei dispositivi, è necessario quanto segue:

  • System Center Configuration Manager Current Branch (1606 o versione successiva) per scenari Windows Hello for Business

Istruzioni per la distribuzione

Per eseguire la distribuzione, seguire la procedura indicata in Come configurare la registrazione automatica dei dispositivi di dominio Windows con Azure Active Directory

Passaggio successivo