Hybrid join in AADDS

In Azure heb ik een AADDS gebouwd voor de legacy app Exact Globe. Exact Globe kan onder voorwaarden met de Office kantoorsuite samenwerken, mits je de versie van Office vastzet in Intune. Er is in Azure dus ook een simpele RDS omgeving met daarop Office in SCA modus en Exact.

De device registratie voor SSO is echter iets waar ik nu niet uit kom: AADDS is een one-way sync van AAD naar AADDS. Nu begrijp ik niet helemaal hoe je devices in de AADDS Computers container vanuit AADDS synchroniseert naar AAD. Als ik de AAD Connect zou installeren, dan zouden de machines wel in AAD komen, maar dan moet ik alsnog twee extra machines voorzien van de PTA. Bovendien wil ik de useraccounts cloud-only houden omdat ik in AADDS alleen de legacy meuk wil hebben. Belangrijk hierin is SSO zodat Outlook automatisch configureert (want Exact...). Kan ik uberhaupt devices in AADDS in AAD geregistreerd krijgen als hybrid joined device of is er een slimmere methode voor SSO?

* schopje

* schopje

Het gaat overigens niet om servers, maar om Windows 10 Multi Session (= desktop).

iFap schreef op zondag 17 mei 2020 @ 21:22:
Waarom hybrid joinen? Je kan ook gewoon de machines Azure AD joinen. Hybrid is meer voor legacy AD domain Services en vraag me überhaupt af of dit werkt met de Azure variant.

Omdat Exact Globe...

Daarom heb ik ook een legacy AADDS ingericht, wat in de testomgeving prima werkt met Exact, maar zonder Hybrid zal SSO niet werken.

The Eagle schreef op maandag 18 mei 2020 @ 09:08:
AADDS is een soort van extensie op AAD. En bij mijn weten een one way sync van AAD --> AADDS.

Klopt.

Volgens mij moet Hybrid SSO wel kunnen werken, maar hoe durf ik je even niet te zeggen.

Het zal sowieso werken als Azure AD Connect wordt geinstalleerd, maar dan zijn de users niet meer cloud-only. Bovendien ga je dan iets syncen wat als read-only binnenkomt in je AADDS. Dat lijkt mij niet logisch

Wat ik je wel kan zeggen is dat voor accounts geldt dat je ze pas van AAD naar AADDS gesynct krijgt als je een passwordchange op het account forceert. Alles wordt gesynct, maar de passwordhashes niet. Die worden pas doorgezet als je een change doet.

Klopt ook, omdat AADDS niet op basis van NTLM werkt.

Schijnt nog plaintext te zijn ook heb ik me laten vertellen
(Ik was in casu niet degene die het moest doen, maar slechts de architect die zei dat het moest )

Bedoelt diegene NTLMv1? Voor Exact Globe is dat gelukkig niet nodig

AADDS is juist bedoeld voor legacy apps, zoals bijvoorbeeld een Exact Globe. Klant kan voorlopig niet over naar Exact Online omdat er maatwerk in Exact zit. Maar SSO is ook nodig omdat Exact helaas gebruik maakt van (32-bit) Office plugins en om Office te laten inloggen is SSO nodig. Anders had ik allang een kale omgeving gemaakt met Exact Globe. Het is klant ook allang duidelijk dat Exact Globe meer dan de helft van de IT kosten is, dus er ligt allang een traject om over te stappen op iets anders, maar dat is nu nog niet aan de orde. AADDS is voor de klant de perfecte oplossing, mits hybrid lukt.

albert04 schreef op maandag 18 mei 2020 @ 09:53:
AADDS is ADDS as a Service, gewoon een Active Directory als een dienst van Microsoft Azure. Op de achtergrond zijn het gewoon twee DC's die elk in een VMtje draaien. Omdat dit een dienst heb je er geen omkijken naar, dus geen beheer over de servers, maar alleen in het AD zelf.

Dat is het dus. Ik wil er geen omkijken naar hebben. De gehele omgeving draait al zonder omkijken (op Exact na) en alles staat in Intune. Het laatste stukje Exact werkt wel, maar kan dus efficienter als de Windows Multi Session die aan AADDS hangt ook nog eens in Azure AD komt.

Om SSO te realiseren dient Hybrid Azure AD te worden ingeschakeld. Dit kan alleen met Azure AD Connect (PTA/PSA of ADFS). De devices moeten bekend zijn in het Azure AD omdat SSO een Azure AD feature is. Ik vraag mij eigenlijk af waarom je AADDS hebt en waarom niet alleen on-prem AD of AD in de IaaS omgeving van Azure (Azure infrastructure)?

Alles werkt met Intune, op Exact na. Zeker met het vooruitzicht dat Exact er over 2 of 3 jaar misschien uit is, wil ik geen ADDS opzetten en beheren als het alleen voor Exact Globe is.

Ik zou het gewoon simpel houden. On-prem AD koppelen met Azure AD middels Azure AD connect. Devices syncen, want anders werkt SSO niet.

De ADDS is helaas niet meer.

Je zou ook nog kunnen kijken voor Exact Globe om Azure Application Proxy te gebruiken. Om deze manier ontsluit je de applicatie on-premises met Azure en kun je alsnog gebruik maken van de moderne authenticatie (MFA/SSO). Op deze manier fungeert Exact Globe als een soort SaaS applicatie..

Het is Exact Globe, dat is echt een draak van een pakket met allerlei afhankelijkheden met Office. Gezien hoe Exact werkt, verwacht ik niet dat dit kan werken.

Komt het er feitelijk op neer dat de devices die je aan AADDS joint, dus niet in Azure AD komen?

albert04 schreef op maandag 18 mei 2020 @ 18:52:
@Trommelrem Nee, niet zonder Azure AD Connect te gebruiken. Cloud gebruikers zijn gebruikers in Azure AD, niet uit AADDS. Dat zijn gewoon alsnog on-prem gebruikers. Zonder enige relatie met AAD, kun je niet gebruik maken van SSO..

Ik ken Exact niet zo goed. Ik weet dat ze een SaaS oplossing hebben. De Globe applicatie moet wel SSO ondersteunen, anders heb je er niets aan. Niet alle legacy applicatie doen dat.

Exact gelukkig wel, met Active Directory. Er is ook Exact Online, maar zodra een klant maatwerk heeft kunnen ze vaak al niet naar Online toe.

Volgens mij heb de sync met Azure AD al lopen omdat je Intune gebruikt. Intune werkt alleen met Azure AD(gebruikers).

Nee, geen sync. De Azure AD is leidend. Er is geen Active Directory meer.

Je hebt het over Windows 10 multi session. Dat betekent dat je Windows Virtual Desktop gebruikt hiervoor?

Onder andere. Het is nog in testfase en de voorkeur is Windows Virtual Desktop. Op dit moment werkt Exact via een losstaande RDS omgeving in Azure.

iFap schreef op dinsdag 19 mei 2020 @ 23:47:
[...]


Dit klopt niet. Veel mensen denken dat Hybrid AAD benodigd is om SSO te bereiken. Echter kun je met AAD joined devices ook gewoon SSO realiseren. Kerberos authenticatie is dus gewoon mogelijk.

Voor een omgeving zonder ADDS: Ja je hebt gelijk
Voor een omgeving met ADDS: Vereist een handmatige handeling en dan heb je inderdaad ook SSO.

Ik heb mogelijk toch een oplossing gevonden en die is in testfase. Het is een hack om op een domain joined machine toch de certificaten voor Azure te krijgen. I'll keep you posted. Dsregcmd is in ieder geval positief.

Beekforel schreef op maandag 28 september 2020 @ 12:47:
[...]

Ben benieuwd of dit nog steeds goed draait en of je die 'hack' kunt delen?

Draait nog steeds goed.

De normale manier is om een Domain Join te doen en dan via GPO een MDM registratie te doen. Daarvoor is Azure AD Connect helaas nodig, omdat je je devices naar Azure moet krijgen voordat er device registratie kan plaatsvinden.

AADDS is echter een kopie van de users in AzureAD, maar niet van de devices. De Azure AD Joined devices gaan dus niet over naar AADDS. Daarmee is device registratie dus niet mogelijk. Tenzij...

Je eerst de machine Azure AD Joined maakt en pas daarna de machine AADDS joined. Daarmee blijft de device registratie behouden. Dit doe je door bij het aanmaken vanuit de Azure Marketplace de optie System assigned managed identity en Login with AAD credentials (Preview) op On zet. Als je virtual machine dan actief is, dan zul je met dsregcmd zien dat hij Azure AD Joined is geworden (en dus niet Azure AD Registered). Je zal tijdelijk (ernaast) een extra VM moeten neerzetten om de djoin te provisionen, en met die provisioning data kun je je Azure AD Joined VM aan de AADDS joinen met behoud van Azure AD Join.

Met deze methode vervalt helaas de cloud. Je kunt niet meer automatisch machientjes aanmaken, maar iedere extra WVD moet met de hand worden aangemaakt.