Lý thuyết cần nắm
3 phương thức Device Authentication trong Entra ID
4.1 So sánh 3 phương thức Device Join
| Tiêu chí | Entra Join (AADJ) | Hybrid Entra Join (HAADJ) | Workplace Registration (WPJ) |
|---|---|---|---|
| Đối tượng | Cloud-only hoặc cloud-first org | Hybrid org (AD DS + Entra ID) | BYOD — thiết bị cá nhân |
| OS hỗ trợ | Windows 10/11 (1607+) | Windows 10/11, Server 2016+ | Windows, iOS, Android, macOS |
| Đăng nhập | Entra ID account | AD DS domain account (+ Entra sync) | Entra ID account (work) |
| MDM (Intune) | ✓ Auto-enroll | ✓ Auto-enroll (qua GPO/Co-management) | ✓ MAM hoặc MDM (user choice) |
| Group Policy (GPO) | ✗ (dùng Intune Config Profiles) | ✓ GPO vẫn áp dụng | ✗ |
| Single Sign-On | SSO cho cloud apps | SSO cho cloud + on-prem resources | SSO giới hạn (MAM apps) |
| Conditional Access | ✓ "Compliant device" policy | ✓ "Hybrid joined device" policy | ✓ Với MAM policies |
| Windows Hello for Business | ✓ Native | ✓ (cần PKI/CBA) | ✗ |
Chọn phương thức nào? Cloud-only organization → Entra Join. Đang có AD DS on-prem và apps on-prem → Hybrid Entra Join. BYOD / cá nhân muốn truy cập email công ty → Workplace Registration.
4.2 Entra Join — Cơ chế hoạt động
Khi device thực hiện Entra Join:
1. Join Process
Device gửi join request → Entra ID issue Device Object → Primary Refresh Token (PRT) được cấp
2. MDM Enrollment
Intune MDM auto-enrollment kích hoạt → nhận Compliance Policy và Configuration Profiles
3. SSO Token
PRT dùng để SSO tất cả apps M365 mà không cần login lại
4.3 Hybrid Entra Join — Yêu cầu
- AD DS on-premises với Entra Connect đang chạy
- Windows 10 1703+ hoặc Windows Server 2016+
- Service Connection Point (SCP) đã cấu hình trong AD DS hoặc Entra Connect
- Devices phải có line-of-sight đến Domain Controller khi join lần đầu
- Entra Connect đồng bộ computerObject lên Entra ID
Thực hành
Cấu hình Entra Join và kiểm tra device registration
Lab 4.1 — Cấu hình Entra Join Settings
Thực hành tại: entra.microsoft.com + Windows 11 VM (Azure VM hoặc local Hyper-V)
- Vào Device Settings
Entra Admin Center → Identity → Devices → Device settings - Cấu hình Join permissions
Users may join devices to Entra ID → chọn Selected → chọn groupSG-Engineering(chỉ Engineering được join) - Giới hạn số device per user
Maximum number of devices per user → set 5 (phòng ngừa BYOD spam) - Bật MDM auto-enrollment
Intune portal → Devices → Enrollment → Automatic enrollment → MDM user scope: All - Join device (trên Windows 11 VM)
Settings → Accounts → Access work or school → Connect → Sign in với Entra ID account → Join this device to Entra ID
Kết quả đầu ra mong đợi
- Entra Admin Center → Devices → All devices → device xuất hiện với Join Type: Entra joined
- Device trên máy:
dsregcmd /status→ AzureAdJoined: YES
Lab 4.2 — Kiểm tra Device Authentication bằng CLI
# Chạy trên Windows 11 đã join Entra ID
# Kiểm tra trạng thái join
dsregcmd /status
# Xem kết quả quan trọng:
# AzureAdJoined : YES
# DomainJoined : NO (pure Entra Join)
# WorkplaceJoined : NO
# Kiểm tra device trong Entra qua PowerShell
Connect-MgGraph -Scopes "Device.Read.All"
Get-MgDevice -Filter "displayName eq 'DESKTOP-TEST01'" | Select-Object DisplayName, OperatingSystem, TrustType, IsCompliant
Output dsregcmd /status (tóm tắt)
AzureAdJoined : YES EnterpriseJoined : NO DomainJoined : NO AzureAdTenantId : a1b2c3d4-xxxx-xxxx-xxxx-xxxxxxxxxxxx AzureAdDeviceId : e5f6g7h8-xxxx-xxxx-xxxx-xxxxxxxxxxxx MdmUrl : https://enrollment.manage.microsoft.com/...
Tình huống thực tế doanh nghiệp
Tập đoàn Vingroup — Chọn phương thức Device Join phù hợp
Vingroup có 3 đơn vị với nhu cầu khác nhau
VinHomes (Bất động sản)
Có AD DS Windows Server 2019 · Apps on-prem (ERP, DMS) · → Hybrid Entra Join để giữ GPO + truy cập cloud apps
VinFast (Xe điện)
Văn phòng mới hoàn toàn · Cloud-first · Không có AD DS · → Entra Join + Intune toàn bộ
VinMec (Y tế)
Bác sĩ dùng iPad cá nhân · Chỉ cần truy cập email + Teams · → Workplace Registration + MAM
Kết quả: Mỗi business unit dùng phương thức phù hợp với đặc thù. Conditional Access phân biệt theo Join Type: VinHomes ("Hybrid joined") và VinFast ("Compliant") được truy cập SharePoint On-Prem, VinMec (MAM) chỉ dùng được mobile apps.