Azure AD Device Identities

Trong quá trình triển khai Azure AD (nay là Microsoft Entra ID), một trong những chủ đề quan trọng nhưng rất dễ bị nhầm lẫn chính là Device Identity – cách thiết bị được nhận diện và quản lý trong hệ thống.

Microsoft chia thành 3 mô hình chính:

• Azure AD Registered
• Azure AD Joined
• Hybrid Azure AD Joined

Việc chọn sai mô hình sẽ ảnh hưởng trực tiếp đến: bảo mật, quản lý thiết bị, trải nghiệm người dùng và cả chiến lược chuyển đổi cloud.

---

1. Azure AD Registered – Dành cho BYOD


Đây là mô hình nhẹ nhất.

Hiểu đơn giản:
Thiết bị không thuộc công ty, nhưng được “đăng ký” để truy cập tài nguyên.

Ví dụ thực tế:
Nhân viên dùng điện thoại cá nhân để truy cập email công ty (Outlook, Teams).

Đặc điểm kỹ thuật:

• Không join domain
• Không kiểm soát toàn bộ thiết bị
• Chủ yếu quản lý ở mức ứng dụng (App-level control)
• Kết hợp với Intune (MDM/MAM)

Khi nào dùng:

• BYOD
• Mobile workforce
• Không muốn can thiệp sâu vào thiết bị cá nhân

---

2. Azure AD Joined – Cloud Native


Đây là mô hình dành cho tổ chức hiện đại.

Hiểu đơn giản:
Thiết bị thuộc công ty và join trực tiếp vào Azure AD, không cần on-prem AD.

Đặc điểm kỹ thuật:

• Không cần Domain Controller on-prem
• Quản lý bằng Intune (Endpoint Manager)
• Hỗ trợ Conditional Access
• Tích hợp tốt với Zero Trust

Khi nào dùng:

• Doanh nghiệp cloud-first / cloud-only
• Startup hoặc hệ thống mới
• Triển khai Windows 10/11 hiện đại

Điểm quan trọng:
Đây là nền tảng cho:

• Zero Trust Architecture
• Modern Workplace
• Passwordless / MFA / Conditional Access

---

3. Hybrid Azure AD Joined – Mô hình chuyển tiếp


Đây là mô hình phổ biến nhất hiện nay trong doanh nghiệp lớn.

Hiểu đơn giản:
Thiết bị vừa join on-prem AD, vừa được sync lên Azure AD.

Đặc điểm kỹ thuật:

• Vẫn dùng Domain Controller
• Vẫn dùng Group Policy (GPO)
• Đồng bộ qua Azure AD Connect
• Hỗ trợ cả legacy apps (Win32)

Khi nào dùng:

• Doanh nghiệp đã có hạ tầng AD truyền thống
• Chưa thể migrate toàn bộ lên cloud
• Còn phụ thuộc vào GPO, Kerberos, NTLM

---

So sánh nhanh để nhớ

• Registered → BYOD, nhẹ, ít kiểm soát
• Joined → Cloud-native, hiện đại, bảo mật cao
• Hybrid → Legacy + Cloud, dùng trong giai đoạn chuyển đổi

---

Góc nhìn kiến trúc (Architect View)


Một chiến lược phổ biến:

• Giai đoạn 1: Hybrid (giữ hệ thống cũ hoạt động)
• Giai đoạn 2: Song song Hybrid + Azure AD Join
• Giai đoạn 3: Cloud-only (Azure AD Join)

Đây chính là hành trình:
Traditional IT → Modern IT → Zero Trust

---

Tips thực chiến

• Đừng dùng Hybrid nếu không thật sự cần GPO
• Nếu triển khai mới → chọn Azure AD Join ngay từ đầu
• BYOD → luôn kết hợp Intune + Conditional Access
• Kiểm tra kỹ licensing (Azure AD P1/P2, Intune)

---

Kết luận


Device Identity không chỉ là “join domain” như trước đây nữa.
Nó là nền tảng cho:

• Bảo mật (Zero Trust)
• Quản lý thiết bị (MDM/MAM)
• Trải nghiệm người dùng (SSO, Conditional Access)

Hiểu rõ 3 mô hình này sẽ giúp bạn thiết kế đúng kiến trúc Azure ngay từ đầu, tránh phải “refactor” toàn bộ hệ thống sau này.