Utilizzare Azure AD per il login a Windows Server 2019

Come molti di voi sapranno, è possibile joinare ad Azure AD sia Windows 10 che Windows Server 2019 eseguito in una Azure VM, a patto però che vengano utilizzate le seguenti versioni:

  • Windows Server 2019 Datacenter
  • Windows 10 1809 o successive

I vantaggi di poter utilizzare Azure AD sono ormai conosciuti da tutti. Ne abbiamo parlato diverse volte in altri articoli e nelle conferenze #POWERCON, soffermandoci molto sul tema della sicurezza informatica.

Oggi vi voglio mostrare quanto sia facile creare una Azure VM con Windows Server 2019, aggiungerla ad Azure AD e poi effettuare l’accesso in RDP da una macchina Windows 10 che sia anch’essa joinata allo stesso tenant di Azure AD a cui avete joinato la macchina con Windows Server.

Dal portale di Azure create una nuova macchina virtuale e scegliete di utilizzare l’immagine di Windows Server 2019 Datacenter.

Figura 1: Scelta dell’immagine corretta con cui creare la Azure VM

Continuate con le configurazioni che preferite e nella scheda Management scegliete l’opzione Login with Azure AD. Vedrete che si selezionerà in automatico anche la voce System assigned managed identity.

Figura 2: Scelta del login con Azure AD per la nostra Azure VM

Se selezionate un’immagine diversa da Windows Server 2019 Datacenter riceverete un errore come quello mostrato nella figura sotto:

Figura 3: L’immagine scelta per la creazione della Azure VM non è compatibile con il login ad Azure AD

Nel nodo Identity della Azure VM è possibile verificare la presenza della System assigned managed identity creata ed utilizzata per accedere alle risorse cloud.

Figura 4: System assigned managed identity associata alla Azure VM creata

Collegatevi alla Azure VM e verificate che sia stata joinata ad Azure AD. Potete utilizzare il comando dsregmd /status

Figura 5: Verifica del join ad Azure AD della nostra Azure VM con Windows Server 2019 Datacenter

È anche possibile abilitare il Login ad Azure AD per le macchine virtuali eseguite in Azure che sono già state create, sempre a patto che si tratti di Windows Server 2019 Datacenter o Windows 10 1809 e versioni successive.

Come prima operazione create una System assigned managed identity per la Azure VM già esistente, come mostrato nella figura sotto:

Figura 6: Creazione della System assigned managed identity per la Azure VM già esistente

Successivamente installate l’estensione per il Login ad Azure AD utilizzando la Azure Cloud Shell e digitando il comando

Figura 7: Esecuzione del comando di installazione dell’estensione per il join ad Azure AD anche per le VM già attive in Azure

Figura 8: Installazione dell’estensione della VM completata

In Azure AD potete vedere che le due Azure VM con Windows Server 2019 Datacenter sono joinate

Figura 9: Le VM con Windows Server 2019 risultano joinate ad Azure AD

Configurare l’accesso alla Azure VM

Per poter concedere l’accesso alla Azure VM dovrete configurare l’ Access control (IAM) e assegnare il ruolo di  Virtual Machine Administrator Login oppure di Virtual Machine User Login agli utenti o al gruppo di Azure AD a cui sarà consentito utilizzare la VM e collegarsi in RDP, come mostrato nella figura sotto:

Figura 10: Autorizzazioni di accesso per utenti e gruppi di Azure AD

Collegamento alla macchina Azure

È importante sottolineare che l’accesso alla Azure VM joinata ad Azure AD è consentito soltanto da computer con Windows 10, versione 2004 (build 20H1) che siano Azure AD joined o hybrid Azure AD joined allo stesso tenant di Azure AD e solo da un utente a cui avete concesso le autorizzazioni di accesso tramite l’ Access control (IAM) della Azure VM.

Figura 11: La macchina da cui effetturare il collegamento RDP deve essere Azure AD joined o hybrid Azure AD joined allo stesso tenant di Azure AD

Figura 12: Connessione alla Azure VM con le credenziali di un utente autorizzato al ruolo di Virtual Machine Administrator Login o Virtual Machine User Login

Figura 13: Connessione alla Azure VM con Windows Server 2019 effettuata

Figura 14: La connessione è avvenuta con l’utenza di Azure AD autorizzata

Conclusioni

Utilizzare Azure AD anche per Windows Server 2019 è un ulteriore passo verso l’adozione del cloud e verso l’abbandono delle nostre infrastrutture on-premises per l’esecuzione dei workload. La sicurezza offerta da Azure AD, la possibilità di utilizzare la passwordless authentication o la multifactor authentication, unita al conditional access, permettono di poter innalzare tutto il livello di sicurezza della nostra azienda, sia per quanto riguarda l’autenticazione sia per quanto riguarda la fruizione die servizi online.