Esta semana é sobre acesso condicional em combinação com dispositivos associados ao domínio do Windows 7. Eu sei, solução simples, migre o mais rápido possível para o Windows 10. Dito isso, nem sempre é possível simplesmente migrar esses dispositivos para o Windows 10 e, nesse meio tempo, esses dispositivos precisam de acesso ao Office 365. É por isso que pensei. seria bom escrever algo sobre os dispositivos associados ao domínio do Windows 7 em combinação com o acesso condicional. Como o Windows 7 não deve ser um motivo para não implementar o acesso condicional. Nesta postagem, irei fornecer os detalhes sobre as configurações adicionais que precisam estar no lugar, para permitir o acesso de dispositivos associados ao domínio do Windows 7 ao Office 365. Portanto, não diretamente sobre o acesso condicional, mas sobre as configurações que devem estar no lugar.

Pré-requisitos

Antes de examinar a configuração, vamos começar com uma lista de pré-requisitos que precisam ser implementados. Essas são as configurações gerais que também precisam estar em vigor para o Windows 10. Além disso, as configurações são atualmente acionadas e / ou mencionadas durante a instalação do Azure AD Connect.

• Configurar ponto de conexão de serviço – O objeto de ponto de conexão de serviço (SCP) é usado por dispositivos, durante o registro, para descobrir informações de locatário do Azure AD;
• Emissão de configuração de declarações – em uma configuração federada do Azure AD, os dispositivos contam com o AD FS para se autenticar no Azure AD. Os dispositivos são autenticados para obter um token de acesso a ser registrado no Serviço de Registro de Dispositivos do Azure Active Directory (Azure DRS).

Configurações

Agora vamos continuar com as configurações específicas do Windows 7 e outros sistemas operacionais de nível inferior. Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2 são considerados sistemas operacionais de nível inferior. Os sistemas operacionais de nível inferior exigem as seguintes configurações adicionais:

1. Configure o Azure AD para permitir que os usuários registrem dispositivos;
2. Configure o AD FS local para emitir declarações para oferecer suporte à Autenticação Integrada do Windows;
3. Adicionar ponto de extremidade de autenticação de dispositivo do Azure AD às zonas da Intranet local;
4. Instale o pacote Microsoft Workplace Join para computadores não Windows 10 .

Configuração 1: configurar o Azure AD

A primeira configuração, que deve estar em vigor, é que os usuários devem ser habilitados para registrar dispositivos no Azure AD. As 2 etapas a seguir percorrem essa configuração. Ao usar o registro com o Microsoft Intune ou MDM para Office 365, essa configuração será implementada automaticamente.

1	Abra o portal do Azure e navegue até Azure Active Directory > Dispositivos > Configurações do dispositivo para abrir a folha de configurações do dispositivo do dispositivo ;
2	No Device – Dispositivo de configurações de lâmina, selecione Todos com Usuários podem registrar seus dispositivos com Azure AD e clique em Salvar ;
–

Configuração 2: configurar AD FS local

Antes de começar com a segunda configuração, é bom mencionar que não é mais necessário ter um AD FS local para registrar computadores associados ao domínio com o Azure AD. Tendo mencionado isso, a segunda configuração, que deve estar em vigor, ao usar o AD FS, é que o AD FS local deve oferecer suporte à emissão do método de autenticação e declarações wiaormultiauthn ao receber uma solicitação de autenticação para a parte confiável do Office 365. Isso pode ser obtido adicionando uma regra de transformação de emissão que passa pelo método de autenticação. As 5 etapas a seguir percorrem essa configuração usando o AD FS 4.0 (Windows Server 2016).

1	Abra o console de gerenciamento do AD FS e navegue até AD FS > Relying Party Trusts ;
2	Clique com o botão direito do mouse na parte confiável da plataforma de identidade do Microsoft Office 365 e selecione Editar política de emissão de declaração ;
3	Na guia Issuance Transform Rules , selecione Add Rule para abrir o Add Transform Claim Rule Wizard ;
4	Na página Escolher Tipo de Regra , selecione Enviar Reclamações Usando uma Regra Personalizada e clique em Avançar ;
5	Na página Configurar Regra de Reivindicação , forneça as seguintes informações e clique em Concluir ; Nome da regra de reivindicação : Regra de reivindicação do método de autenticação; Regra de reivindicação : c: [Digite == “http://schemas.microsoft.com/claims/authnmethodsreferences”] => problema (reivindicação = c);

Para concluir a configuração do AD FS, execute o seguinte comando do PowerShell para permitir IWA, ou MFA, para a terceira parte confiável do Office 365.

Set-AdfsRelyingPartyTrust -TargetName “Microsoft Office 365 Identity Platform” -AllowedAuthenticationClassReferences wiaormultiauthn

Configuração 3: Adicionar pontos de extremidade às zonas da intranet local

A terceira configuração, que deve estar em vigor, é que o ponto de extremidade de autenticação do dispositivo Azure AD deve ser adicionado às zonas da intranet local. Isso deve evitar prompts de certificado. No meu caso, o registro do dispositivo até falharia, com um erro claro no Visualizador de eventos (ID do evento: 406). Esse evento fornece literalmente a solução de adicionar a URL à zona da intranet local. As 6 etapas a seguir percorrem a configuração presumindo que uma política existente está disponível.

1	Abra o console de Gerenciamento de Política de Grupo e navegue até Gerenciamento de Política de Grupo > Floresta > Domínios ;
2	Clique com o botão direito em um GPO existente e selecione Editar ;
3	No Editor de Gerenciamento de Política de Grupo , navegue até Políticas > Modelos Administrativos > Componentes do Windows > Internet Explorer > Painel de Controle da Internet > Página de Segurança ;
4	Clique com o botão direito do mouse na lista de atribuição de site a zona e selecione Editar ;
5	Na caixa de diálogo Lista de atribuição de site a zona , selecione Ativado e clique em Mostrar ;
6	Na caixa de diálogo Mostrar conteúdo , forneça as seguintes informações e clique em OK nas caixas de diálogo abertas; Nome do valor : https://device.login.microsoftonline.com Valor : 1 Observação : no meu caso, também precisei adicionar meu provedor de identidade à zona da intranet local (que é o valor 1).

Configuração 4: Instale o Microsoft Workplace Join para computadores não Windows 10

A quarta configuração, que deve estar em vigor, é a instalação do pacote Microsoft Workplace Join para computadores não Windows 10 . A instalação desse pacote cria uma tarefa agendada no sistema que é executada no contexto do usuário. A tarefa é disparada quando o usuário entra no Windows e registra silenciosamente o dispositivo com o Azure AD.

As 7 etapas a seguir descrevem a criação simples de um aplicativo, para o pacote Microsoft Workplace Join para computadores não Windows 10 , no Configuration Manager. Esse aplicativo pode então ser implantado nos dispositivos necessários. Antes de iniciar as etapas abaixo, certifique-se de baixar o pacote de junção do Microsoft Workplace para computadores não Windows 10 .

1	Abra o console de administração do Configuration Manager e navegue até Biblioteca de software > Visão geral > Gerenciamento de aplicativos > Aplicativos ;
2	Clique em Criar aplicativo para abrir o Assistente de criação de aplicativo ;
3	Na página Geral , forneça o nome e a localização do MSI e clique em Avançar ;
4	Na página Importar informações , clique em Avançar ;
5	Na página Informações Gerais , forneça pelo menos as seguintes informações e clique em Avançar ; Nome : Microsoft Workplace Join for Windows; Programa de instalação : msiexec / i “Workplace_x64.msi” / q Comportamento de instalação : instalar para o sistema
6	Na página Resumo , clique em Avançar ;
7	Na página Conclusão , clique em Fechar ;

Resultado

Vamos terminar este post olhando os resultados da configuração. O resultado deve ser que os dispositivos associados ao domínio do Windows 7 sejam registrados no Azure AD. O primeiro lugar para procurar o sucesso é o Visualizador de eventos . Abra o Visualizador de eventos e navegue até Logs de aplicativos e serviços > Ingressar no Microsoft-Workplace . Conforme mostrado abaixo, para um registro de dispositivo bem-sucedido, este log deve mostrar a ID de evento 201 (operação de junção no local de trabalho bem-sucedida).

The second place to look for a success is PowerShell. Simply use the Get-MsolDevice cmdlet. Below is an example of 1 of my devices, which clearly shows the version of the operating system and Domain Joined trust type.

O terceiro lugar para procurar o sucesso, e o último lugar que mostrarei, é o portal do Azure . Agora, basta navegar para Azure Active Directory > Dispositivos > Todos os dispositivos . Abaixo está um exemplo, no qual eu selecionei um dos meus dispositivos, que mostra claramente a versão do sistema operacional e o tipo de junção do Hybrid Azure AD .

Depois que o dispositivo associado ao domínio do Windows 7 for registrado com êxito no Azure AD, o dispositivo pode receber acesso ao Office 365 usando o controle de acesso Exigir associação ao domínio (Hybrid Azure AD) no acesso condicional.