Voor organisaties die gebruik maken van Active Directory heeft Apple al jarenlang een uitstekende integratie om de Mac te koppelen aan het Active Directory-domein. Voordelen zijn dat netwerkgebruikers kunnen inloggen op de Mac zonder hier een lokaal account voor aan te maken en dat alle Macs inzichtelijk zijn in Active Directory. 

Er zijn ook enkele nadelen voor organisaties die steeds meer bewegen richting een hybride setup met Azure Active Directory. In dit blog kijken we naar moderne integraties met (Azure) Active Directory in macOS Catalina, hoe dit helpt om het zero-touch deployment-model te bereiken en de beveiliging te waarborgen.

Afstappen van de Active Directory koppeling
In veel gevallen is het goed mogelijk om gebruik te maken van lokale accounts in plaats van netwerkaccounts. Steeds vaker wordt gekozen voor een MacBook Air of MacBook Pro in plaats van een desktop-model waardoor de noodzaak wegvalt om meerdere gebruikers te laten inloggen op hetzelfde apparaat.

Zero-touch Deployment
De MacBook afleveren bij de eindgebruiker (thuis) en zelf laten uitpakken is een unieke ervaring. Dankzij Apple Business Manager en Automated Device Enrollment van Apple is er enkel een internetverbinding nodig om de MacBook automatisch voor te bereiden met apps en configuraties zonder tussenkomst van de IT-afdeling.

Om de installatie buiten het bedrijfsnetwerk mogelijk te maken zal gebruik gemaakt worden van een lokaal account die wordt aangemaakt op basis van de Azure Active Directory inloggegevens. Mede dankzij Mobile Device Management kan de gebruiker direct aan de slag.

Kerberos Single Sign-On Extension
Wat nu als het wachtwoord van de gebruiker verloopt in Active Directory Apple heeft in macOS Catalina een extensie ingebouwd: Kerberos Single Sign-On Extension. Deze gebruiksvriendelijke tool zorgt voor onderstaande functies:

  • Active Directory account management: gebruikers kunnen eenvoudig het AD-wachtwoord wijzigen en ontvangen notificaties als deze bijna verloopt. Het wachtwoord van het lokale account wordt automatisch bijgewerkt.
  • Kerberos support: de extensie haalt automatisch een Kerberos TGT-ticket op voor bijvoorbeeld authenticatie op websites, apps en file servers.
  • Wachtwoord-beleid: de vereisten aan het wachtwoord kunnen eenvoudig worden geconfigureerd zodat dit voldoet aan het beleid in Active Directory.

De extensie wordt zichtbaar met een sleutel-icoon in de statusbalk en detecteert of de Mac is verbonden met het bedrijfsnetwerk (via VPN). De gebruiker wordt automatisch gevraagd om zich eenmalig aan te melden.

Azure AD Seamless Single Sign-On
In een hybride omgeving met Active Directory en Azure Active Directory kan gebruik gemaakt worden van Seamless Single Sign-On. Dit betekent dat de gebruiker automatisch wordt ingelogd op alle web-applicaties die via Azure AD zijn gekoppeld. Dankzij het Kerberos-ticket wordt het e-mailadres uitgelezen en de gebruiker automatisch ingelogd. Hieronder hebben we twee voorbeelden gemaakt om je te laten zien hoe dit werkt.

Voorbeeld zonder Seamless Single Sign-On.
Voorbeeld met Seamless Single Sign-On.

Meer weten?
Neem contact met ons op! U kunt een e-mail sturen naar [email protected] of bellen met +31 85 400 30 30.