Deep dive Hybrid Entra Join

Co się dzieje z maszyną w trakcie hybrydowego dołączenia (hybrid entra join)? Deep dive Hybrid Entra Join.

Proces wdrożenia hybrydowego maszyn jest procesem złożonym i skomplikowanym przez co bardzo często mogą pojawić się błędy na etapie dodawania.

W tym wpisie chciałem zagłębić się w cały proces przez który przechodzi maszyna od etapu w którym została dołączona do lokalnej domeny aż po moment kiedy pojawi się w Entra ID jako urządzenie hybrydowe.

Na samym początku opowiedzmy sobie:

Po co ten proces jest wykonywany?

Najczęstszą konfiguracją hybrydową w środowisku jest hybryda tożsamości. Pozwala ona nam na to żeby konta użytkowników które mamy w naszym lokalnym AD pojawiły się w cloud. Tacy użytkownicy będą mieli jedno konto za pomocą którego będą mogli korzystać z funkcjonalności chmurowych takich jak dostęp do aplikacji Microsoft 365 ale również dostęp do wszystkich aplikacji i zasobów w lokalnym środowisku.
W sytuacji kiedy chcemy wykorzystać zarządzanie urządzeniami mobilnymi w postaci Intune musimy dodać również do takiej hybrydy urządzenia. Sprawi to że wpis o urządzeniu pojawi się w Entra ID dzięki czemu będzie możliwa następnie rejestracja w Intune i zarządzanie urządzeniem.
Kiedy już wiemy po co możemy chcieć mieć hybrydowe maszyny przejdźmy do wymagań.

Co jest potrzebne do hybrydowych urządzeń?

Przede wszystkim potrzebujemy Entra ID Connect (AzureAD Connect) on będzie odpowiadał za całą synchronizacje zarówno tożsamości jak i urządzeń hybrydowych.

W domyślnej konfiguracji wszystkie jednostki organizacyjne (OU) są synchronizowane, jeżeli jednak w konfiguracji zostały dokonane filtrowanie należy rozszerzyć zakres w taki sposób by obejmował maszyny które mają być synchronizowane.
Drugim wymogiem jest wskazanie maszynom gdzie mają się rejestrować w Azure.
Informacje które są niezbędne do rejestracji znajdują się w kontrolerze domeny po konfiguracji Service Connection Pont (SCP) w Entra ID Connect. Można je zobaczyć w ADSI Edit i łącząc się za pomocą Configuration Naming context pod ścieżką Services > Device Registration Configuration.

Co jest potrzebne do hybrydowych urzadzen-Screen1

Jest tam wpis w którego właściwościach pod wartością Keywords znajdują się informacje o naszym cloudowym tenancie.
Nie zawsze jednak chcemy żeby ten SCP był na kontrolerze domeny i przekazywał wszystkim komputerom informacje gdzie powinny się rejestrować (np. serwery). W takim wypadku można utworzyć „targeted SCP” i bezpośrednio na maszynach wskazywać te informacje za pomocą rejestru.
Mając już wiedze o potrzebnych elementach przejdźmy to samego procesu komunikacji maszyny z poszczególnymi elementami w trakcie wdrożenia.

Rejestracja urządzenia z local AD do Hybrid AD Join.

Rejestracja odbywa się w kilku krokach i poniższa grafika pozwala łatwo zobrazować sobie Cały proces.

Co jest potrzebne do hybrydowych urzadzen-screen2

A) Użytkownik loguje się do Domain Join komputera za pomocą swojego konta. Konto musi być synchronizowane hybrydowo. Logowanie wyzwala zadanie automatycznego dołączenia do urządzenia.
Każde urządzenie które jest dodane do domeny posiada uruchomione zadanie w tle które wykonuje się przy każdym logowaniu oraz co godzinę. Można je podejrzeć w harmonogramie zadań systemu Windows pod ścieżką Microsoft > Windows > Workplace Join

Dzięki temu zadaniu urządzenie wie że ma przystąpić do procesu rejestracji.

B) Zadanie wysyła zapytanie do usługi Active Directory przy użyciu protokołu LDAP dla service connection point (SCP) usługi przechowywanym w partycji konfiguracji w usłudze Active Directory (ADSI Edit). Wartość zwracana w atrybucie keywords określa, czy rejestracja urządzenia jest kierowana do usługi Azure Device Registration Service (ADRS), czy do usługi rejestracji urządzeń przedsiębiorstwa hostowanej lokalnie.

C) W przypadku środowiska zarządzanego zadanie tworzy początkowe poświadczenia uwierzytelniania w postaci certyfikatu z podpisem własnym. Zadanie zapisuje certyfikat do atrybutu userCertificate w obiekcie komputera w usłudze Active Directory przy użyciu protokołu LDAP.
Certyfikat jest możliwy do zobaczenia z poziomu kontrolera domeny po wybraniu właściwości obiektu komputera

Co jest potrzebne do hybrydowych urzadzen-screen4

D) Dopóki atrybut userCertificate nie pojawi się w Microsoft Entra Connect urządzenie nie będzie mogło się zarejestrować. Przy następnej synchronizacji Entra Connect wykryje zmianę i wyślę atrybut do Azure DRS (device registration service).

E) Zadanie Automatic Device Join próbuje uwierzytelnić komputer w Entra ID przy użyciu klucza prywatnego z swojego klucza publicznego. Po udanej operacji Entra uwierzytelnia komputer i wydaje mu token.

F) Zadanie tworzy powiązaną z TPM (preferowaną) 2048-bitową parę kluczy RSA znaną jako klucz urządzenia (dkpub/dkpriv). Następnie aplikacja wytwarza drugą parę kluczy z klucza głownego TPM i tworzy z niego klucz tranportowy (tkpub/tkpriv).

G) Zadanie wysyła żądanie rejestracji urządzenia do usługi Azure DRS, które zawiera token identyfikatora, żądanie certyfikatu, tkpub i dane poświadczeń.
Usługa Azure DRS weryfikuje token identyfikatora, tworzy identyfikator urządzenia i tworzy certyfikat na podstawie dołączonego żądania certyfikatu.

H) Rejestracja urządzenia kończy się otrzymaniem identyfikatora urządzenia i certyfikatu urządzenia z usługi Azure DRS. Identyfikator urządzenia jest zapisywany do wykorzystania w przyszłości (można go wyświetlić z poziomu dsregcmd.exe /status), a certyfikat urządzenia jest instalowany w magazynie osobistym komputera.

Po zakończeniu rejestracji urządzenia zadanie zostaje zakończone, co kończy proces tworzenia hybrydowego urządzenia. W trakcie całego procesu jedynym momentem gdzie wymagana była interakcja użytkownika było logowanie do stacji w celu potwierdzenia poświadczeń.

Jak widać banalny do uruchomienia proces wykonuje w tle wiele operacji żeby zapewnić najwyższe bezpieczeństwo w trakcie rejestracji bez konieczności angażowania użytkownika w cały proces.

Zobacz także:

Zobacz webinar:

Knowbe4 Webinar: Świadomość cyberbezpieczeństwa w świetle przepisów NIS 2.0. Sprawdź, jak budować odporność użytkowników końcowych na ataki socjotechniczne oraz phishing.

Zobacz webinar:

Jak zmodernizować i unowocześnić zarządzanie uprawnieniami i tożsamością w Microsoft Active Directory? Poznaj zaawansowane rozwiązania cyberbezpieczeństwa Crowdstrike oraz Zscaler

Microsoft wymusza Strong Certificate‑Based Authentication w AD/DC (KB5014754)

Microsoft wymusza Strong Certificate‑Based Authentication w AD/DC (KB5014754)Co musisz zrobić do 11 lutego 2025 (Enforcement) i przed 10 września 2025 (koniec trybu zgodności)? Poniżej masz skrócony plan działań, kontekst i przykłady.TL;DR Windows DC przechodzą na...

czytaj dalej

« Starsze wpisy

Zoom ogranicza konta Basic

Zoom ogranicza darmowe konta – ważna zmiana od 30 czerwca 2025 Zoom ogłosił, że od 30 czerwca 2025 roku wprowadza nowe zasady dotyczące przydzielania darmowych kont Basic w organizacjach korzystających z usług poprzez partnerów (Indirect). Zmiany te będą dotyczyć...

czytaj dalej

Workspace ONE co to jest

Co to Workspace ONE? Workspace ONE to cyfrowa platforma firmy Omnissa (wcześniej VMware), która dostarcza i zarządza dowolną aplikacją na dowolnym urządzeniu poprzez integrację kontroli dostępu, zarządzania aplikacjami i ujednoliconego zarządzania punktami końcowymi....

czytaj dalej