Windows 10 im Unternehmensumfeld – SSO, "Hybrid" und andere Mysterien (Teil 1)

Wenn man sich mit Windows 10 und seinem Einsatz in Enterprise-Umgebungen beschäftigt, stellen sich viele Fragen – u.a. zur Verwaltbarkeit und Cloud-Anbindung. Beim Versuch, diese Fragen zu klären, wird man mit einer Vielzahl von Begriffen konfrontiert. Vermutlich haben Sie von Azure AD Join und Workplace Join gehört. Hinzu kamen dann vermutlich recht bald Single Sign On, ADFS, DirSync/AADConnect, MDM Autoenrollment, Intune, SCCM und noch vieles mehr. Ein weites Feld…

Letzten Endes geht es darum, Windows 10 unternehmenstauglich einzusetzen und zu verwalten. Aber wie geht das und was heißt das eigentlich? Es herrscht teils große Verunsicherung, wie einige neue Entwicklungen einzuordnen sind und manche Veranstaltungen oder Kommentare von Leuten, die es eigentlich wissen sollten, schüren diese Verunsicherung noch. Wie etwa: Wird Domain Join bald abgeschafft? Heißt die Zukunft Azure AD Join? Ist die klassische Verwaltung mit Tools wie SCCM tot und läuft künftig alles über MDM wie z.B. Intune?

Ich kann sie beruhigen. Ich bin zwar kein Orakel, aber bin mir mittlerweile (das war nicht immer so!) sehr sicher, dass all diese zugegebenermaßen überspitzt formulierten Fragen für die absehbare Zukunft mit „Nein“ beantwortet werden können. Denn: Mit kleinen Einschränkungen ist alles da und es passt alles zusammen (auch das war nicht immer so!). Man muss nur die richtigen Teile miteinander kombinieren. Aber welche sind das, für welches Szenario?

Dieser und zukünftige Artikel rund um Windows 10 sollen etwas Licht ins Dunkel bringen. Zunächst greifen wir einen wichtigen Teilaspekt auf, der im Zusammenhang mit dem Thema „Cloud-Anbindung“ steht.

Ein Beispielszenario, der Aufhänger für diesen Beitrag: Ihr Unternehmen möchte gewappnet sein für etwaige Anfragen der Benutzer à la „Ich bin viel mit meinem Surface Pro 4 unterwegs und benötige für Präsentationen die PowerPoint App aus dem Windows Store“.

Eine häufige Antwort der IT-Verantwortlichen: „Windows Store? Den haben wir gesperrt. Das ist eine auf Privatpersonen zugeschnittene Geschichte, die wir im Unternehmensumfeld nicht unterstützen.“

Und das ist dann das Ende vom Lied – so war es oft mit Windows 8.1.

Nun gibt es aber seit einiger Zeit den Windows Store for Business (WSfB), mit dem sich ein unternehmensspezifischer Bereich innerhalb des Windows Store definieren lässt, der allen Mitarbeitern offen steht. Der Zugriff auf diesen „Private Store“ erfolgt mit denjenigen Anmeldedaten, mit denen die Benutzer bereits am Rechner angemeldet sind – sofern einige Voraussetzungen erfüllt sind. Welche dies konkret sind und welche Möglichkeiten WSfB bietet, ist genug Stoff für einen eigenen Blog-Beitrag… an dieser Stelle deshalb nur eine Zusammenfassung – Sie brauchen:

  • Einen konfigurierten WSfB Private Store mit den gewünschten Apps, die den Benutzern zur Verfügung stehen bzw. zur Installation angeboten werden sollen. Das Resultat sieht z.B. so aus:

2016-11-04_22h29_13

  • Eine Instanz von Dirsync (d.h. AADConnect) zur Synchronisation der Benutzerobjekte zwischen dem eigenen AD und Azure AD
  • Optional (aber in aller Regel dringend empfohlen) ADFS und eine Federation zu Microsoft, damit Anmeldedaten ihr Unternehmen nicht verlassen.

Anmerkung: Da die Mehrzahl unserer Kunden der o.a. Empfehlung folgt, liegt der Fokus dieses Beitrags auf dem Szenario inkl. ADFS und Federation zu Microsoft.

Sie kommen also zu dem Entschluss, dass der WSfB eine sehr nützliche Sache ist und beginnen mit der Einrichtung von ADFS, Dirsync und konfigurieren WSfB. Diese Einrichtung ist nicht ganz trivial, aber nach einiger Zeit haben Sie es geschafft. Ein Testzugriff auf SharePoint Online oder OneDrive for Business läuft für den Benutzer so, wie man es sich wünscht: Keine Authentifizierungsdialoge – Drin! Das war ja einfach… (kennt jemand noch den alten AOL Spot mit Boris Becker? Ein Klassiker :-)) OK, nun zum Store… Schade, wie kommt man denn nun an den Private Store? Antwort: Hierzu muss der Work Account hinzugefügt werden, was auch als „Workplace Join“ gezeichnet wird.

Standardmäßig passiert dies nicht automatisch. Was nun?

Es gibt an dieser Stelle eigentlich nur eine offensichtliche Möglichkeit:

  • Benutzer fügen Ihren Work Account selbst hinzu. Hierzu starten sie die „Einstellungen“ App, wählen dort „Auf Arbeits- oder Schulkonto zugreifen“, klicken auf „Verbinden“, geben ihren UPN (in der Regel ist dieser identisch mit der Email-Adresse) ein. Daraufhin erfolgt eine Umleitung zu ADFS. Im darauf folgenden Formular muss der Benutzer zum Abschluss noch sein Kennwort eingeben. Nun kann der Benutzer die Store App starten und sein Work Account ist bereits dort hinterlegt. Der Zugriff erfolgt also im Kontext des Work Account und der Private Store wird angezeigt. Ziel erreicht.

Aber ist das unternehmenstauglich?

Vermutlich antworten Sie reflexartig „Nein, ganz bestimmt nicht“ oder „Also bei uns nicht“ und damit sind Sie in bester Gesellschaft. Tatsächlich wird auch Microsoft dies so unterschreiben. Denn „Workplace Join“ ist nicht für Unternehmens-PCs gedacht, sondern für BYOD Szenarien. Was aber tun bei Unternehmens-PCs?

Unternehmens-PCs (Corporate owned devices) mit Windows 10 werden in 2 Klassen unterteilt:

  • Domain-joined Computer. Das sind die klassischen PCs, Notebooks, Tablets oder Hybrid-Geräte, die z.B. mit SCCM oder einem Tool ihrer Wahl aufgesetzt und verwaltet werden. Sie sind Mitglied des on-premises AD und werden üblicherweise ganz klassisch mit SCCM und Group Policies konfiguriert.
  • Azure AD-joined Computer. Für Benutzer, die hauptsächlich mit Cloud Ressourcen arbeiten und Ihren Arbeitsplatz nicht im Unternehmen haben, kann dies eine interessante Alternative sein. Azure AD-joined Computer können im Anschluss an den AAD-join automatisch in die bestehende MDM-Lösung eingebucht werden (z.B. Intune oder SCCM/Intune hybrid) und über diese verwaltet werden. Dieses Feature wird als „MDM Autoenrollment“ bezeichnet. Im Vergleich zur Verwaltung von Domain-joined Computern mit SCCM (via installiertem SCCM-Client) und Group Policies wird hier oft von „MDM Channel“ und „Lightweight Management“ gesprochen.

Nochmal zum Festhalten: Nein, Domain-join wird nicht durch Azure AD Join abgelöst. Zumindest nicht heute und auch nicht morgen. Die Zielgruppen für die Join-Arten sind verschieden. Und SCCM und GPOs sind weiterhin die Mittel der Wahl zur Verwaltung für Domain-joined Computer! Über den MDM Channel wird Lightweight Management gemacht – und zwar für Smartphones generell, für BYOD-Computer oder für heavy-Cloud-User, die ihren Computer ggf. von der Stange kaufen (Kosten übernimmt der Arbeitgeber) und via Self Service zu Azure AD hinzufügen (Azure AD Join) – dies ist ein Beispiel für den sog. COPE-Ansatz (Corporated Owned, Personally Enabled).

Wir wollen uns an dieser Stelle auf Domain-joined Computer konzentrieren, da diese für viele deutlich relevanter sind – schließlich existieren etliche Millionen davon auf der Welt. Microsoft hat seit einiger Zeit ein Verfahren etabliert, das auf Deutsch ungefähr „Automatische Azure AD Registrierung“ (Kurzform im Folgenden: „AAD Auto-Registrierung“) heißt. Hierdurch wird ermöglicht, dass Domain-joined Computer automatisch in Azure AD registriert werden. Dies bietet u.a. die folgenden Vorteile:

  • Für den Benutzer ist der Vorgang komplett transparent, es ist keinerlei Benutzer(inter)aktion notwendig
  • Die Registrierung passiert automatisch, sobald sich Benutzer an den Computer anmelden
  • Work Accounts der sich anmeldenden Benutzer werden automatisch hinzugefügt
  • Die Store App ist fertig vorkonfiguriert und zeigt den Private Store
  • „Enhanced“ SSO beim Zugriff auf Ressourcen

„Normales“ SSO versus „Enhanced“ SSO

Work Accounts werden automatisch hinzugefügt? Keinerlei Benutzerinteraktion, alles vollautomatisch… klingt schon mal super! Aber was ist mit „Enhanced“ SSO gemeint? Vorweg: Den Begriff haben wir uns selbst ausgedacht – um diese besondere Form von SSO abzugrenzen zu dem, was wir üblicherweise unter SSO verstehen. Eine Beschreibung des Ablaufs von „normalem“ SSO am Beispiel von SharePoint Online können Sie hier finden: http://iteracon.de/sso#a4

Um bei diesem Beispiel zu bleiben: Greift ein Benutzer also im LAN auf SharePoint Online zu, geschieht die „Magie“ unter Mitwirkung von ADFS normalerweise vollautomatisch im Hintergrund. Wenn der Benutzer aufmerksam die Adresszeile des Browsers beobachtet, sieht er lediglich die verschiedenen URLs durch die Umleitungen aufblitzen und ist im nächsten Moment schon authentifiziert bei der Zielressource angelangt.

Wir halten aber fest: Bei „normalem“ SSO ist zwingend ADFS involviert.

Das heißt umgekehrt auch: Wenn ADFS gerade nicht verfügbar ist (Ausfall, Wartung, etc.), ist kein Zugriff auf MS Online Ressourcen möglich!

Das ist bei „Enhanced SSO“ anders:

  • Nur beim ersten Zugriff läuft alles „normal“
  • Anschließend wird ein Primary Refresh Token (PRT) und darauf aufbauend Access Tokens zur Authentifizierung verwendet
  • ADFS wird fortan umgangen. Die Authentifizierung erfolgt mithilfe der o.a. Tokens direkt gegen Azure AD

Die Vorteile des erweiterten SSO liegen auf der Hand:

  • Der Zugriff auf MS Online Ressourcen funktioniert auch unabhängig von ADFS und dessen Verfügbarkeit
  • Es ist keine Eingabe von Anmeldedaten erforderlich, egal ob der Client im LAN steht oder im Internet
  • Die Authentifizierung erfolgt mit weniger Umwegen und läuft daher noch schneller

Einige weitere Vorteile der AAD Auto-Registrierung (Store App mit dem Work Account vorkonfiguriert, WSfB zeigt Private Store an, etc.) habe ich ja bereits oben erwähnt.

Darüber hinaus ist die AAD (Auto-)Registrierung übrigens die Grundlage für weitere interessante Features wie Windows Hello for Business, Enterprise State Roaming und Conditional Access – Details hierzu folgen in zukünftigen Blog-Einträgen.

Damit erst einmal genug für heute… In Teil 2 klären wir, welche Voraussetzungen für die AAD Auto-Registrierung erfüllt sein müssen und es gibt einen Überblick über den Ablauf. Ein paar Tipps zur Implementierung sind auch noch mit dabei, also: „Stay tuned“ 🙂

Viele Grüße

Alexander Zarenko