1 21/04/2026 3 min

Un dispositivo Windows 10 si aggiunge ad Azure AD quando vuoi portare identità, accesso e policy dentro il perimetro cloud di Microsoft senza dipendere da un dominio Active Directory on-premises. La differenza operativa, rispetto a un join classico a dominio, è che l’account utente e il device vengono registrati nel tenant Azure AD, così puoi applicare Single Sign-On, Conditional Access, MFA e controllo dello stato del dispositivo prima di concedere accesso alle risorse.

La procedura è semplice solo in apparenza. Nella pratica, i problemi arrivano quasi sempre da prerequisiti mancanti: edizione di Windows non adatta, licenza non assegnata, device già registrato in un altro tenant, rete che blocca gli endpoint Microsoft o un utente che non ha diritto al join. Conviene quindi distinguere subito tra Azure AD registered, Azure AD joined e Hybrid Azure AD joined, perché la procedura cambia e cambia anche il risultato atteso.

Che cosa ottieni davvero con Azure AD join

Con un device Azure AD joined il computer diventa un dispositivo gestito dall’identità cloud del tenant. L’utente può accedere con un account organizzativo e ricevere un token di accesso integrato con Microsoft 365, Intune e applicazioni SaaS compatibili con Azure AD. Il join non sostituisce necessariamente una soluzione MDM, ma apre la strada a policy centralizzate e a un controllo molto più pulito rispetto a profili locali sparsi.

Un dispositivo registered è invece solo associato all’account per scenari BYOD e accessi meno invasivi. L’utente continua a usare il proprio Windows locale e il device viene visto dal tenant come dispositivo “conosciuto”. Per un notebook aziendale nuovo o riconfigurato, di solito il target corretto è il join completo.

Se il PC è già in dominio Active Directory e vuoi mantenerlo tale, la strada è il Hybrid Azure AD join, che richiede sincronizzazione con Azure AD Connect e una configurazione diversa. Qui parliamo invece del caso più lineare: un dispositivo Windows 10 che deve entrare direttamente in Azure AD.

Prerequisiti da verificare prima di iniziare

Prima di toccare il PC, controlla questi punti. Ti evitano gran parte dei falsi problemi.

  • Edizione di Windows 10: servono edizioni supportate per Azure AD join, tipicamente Pro, Enterprise o Education. Su Home il join non è il percorso giusto.
  • Connettività verso i servizi Microsoft: il device deve raggiungere gli endpoint di autenticazione e registrazione, senza proxy o firewall che spezzino l’handshake.
  • Permessi lato tenant: nel portale Microsoft Entra ID l’utente deve poter fare join del dispositivo, oppure il numero massimo di dispositivi assegnati non deve essere stato superato.
  • Licenza e policy: se il device dovrà essere gestito da Intune o soggetto a Conditional Access, verifica che gli utenti abbiano le licenze necessarie e che le policy siano coerenti con il nuovo stato del device.
  • Stato del computer: se il PC è già registrato in un tenant diverso, o è ancora legato a un dominio non rimosso correttamente, il join può fallire o produrre comportamenti ambigui.

    • Un controllo rapido utile è verificare la versione del sistema e il tipo di edizione. Da prompt o PowerShell:

    winver

    Se vuoi verificare da shell l’edizione installata:

    systeminfo | findstr /B /C: