Difference entre Azure AD Registered et Azure AD Joined

En travaillant récemment avec un client , je me suis rendu compte que la différence entre les différents statuts d’appareils dans Azure AD ne sont pas toujours très bien compris.

Dans cet article nous allons essayer de démêler l’écheveau et dire dans quel cadre utiliser l’une ou l’autre des options :

Cette image illustre les deux statuts dont nous allons parler dans cet article :

Différences entre les deux statuts :

Pour comprendre la différence entre les deux termes il faut les voir de cette manière :

Considérons une entreprise donc les identifiants sont de la forme : gaston@st.digital, nous appellerons cet identifiant un identifiant d’entreprise

Dans le Cas 1 : Azure AD Registered

On va dire qu’Azure AD connait l’appareil mais n’exige pas un identifiant d’entreprise pour s’authentifier dans cet appareil

Dans le Cas 2 : Azure AD Join

Azure AD connait l’appareil et exige un identifiant d’entreprise pour s’y authentifier

CAS D’UTILISATION :

En général, vous allez utiliser le cas 1 (Azure AD Registered) dans les scenarios de BYOD et ou d’appareils qui n’appartiennent pas a la compagnie mais a travers lequel les utilisateurs accèdent a de l’information d’entreprise. Sur ce type d’appareil le propriétaire peut utiliser tout type de compte pour s’authentifier (local, Hotmail, etc..), mais quand il s’agit d’accéder aux informations de l’entreprise il faut utiliser un identifiant d’entreprise : gaston@st.digital.

Pour ce qui est du Cas 2 (Azure Ad Join), il faut absolument utiliser un identifiant d’entreprise pour s’authentifier sur cet appareil. A l’ouverture de session tout ce a quoi l’utilisateur a accès c’est dans le contexte de son identifiant d’entreprise.

Pourquoi Utiliser l’une ou l’autre :

Azure AD Registration :

Bénéfices pour l’utilisateur : On l’a dit le premier avantage c’est le BYOD sur tout type d’appareil Windows 10, IOS, Android et  possibilité de faire le SSO pour les applications cloud

Bénéfices pour L’organisation :  la possibilité de piloter l’appareil a travers un outil de MDM pour pouvoir tout de même faire des règles d’accès conditionnels et contrôler l’accès aux informations de l’entreprise. Le meilleur des deux mondes.

Pour l’autre Cas

Azure AD Join :

Bénéfices pour l’utilisateur : SSO autant pour les applications cloud que pour celles ON PREM et possibilité de Reset son mot de passe lui-même (self service password)

Bénéfices pour L’organisation : Gestion complète du poste de travail a travers Endpoint Manager ou gestion en mode hybride avec Configuration manager. Possibilité de faire du Autopilot

Hybrid AD Joined

Pour simplifier cet article nous n’avons parler que de 2 statuts Azure AD en réalité il  y en a 3, le dernier Azure AD Hybrid Joined est utilise quand vos postes existants déjà sur votre AD local doivent aussi être présent sur Azure AD. Vous avez alors la possibilité de continuer a y appliquer des GPO et d’utiliser les fonctionnalités purement cloud comme le Endpoint Manager pour gérer vos appareils