[Tutorial] Microsoft Azure | Cómo inscribir un dispositivo con Windows 10 en Azure Active Directory
En esta publicación vamos a mostrar cómo podemos integrar Windows 10 en el Servicio de Directorio de Azure (Azure AD) utilizando “Azure AD Join”. Esta es la posibilidad que nos brinda la plataforma de registrar un dispositivo e iniciar sesión en dicho equipo directamente en la nube utilizando las credenciales organizacionales de Office 365 / Azure.
Hace algunos días hemos publicado un artículo que recorre, de punta a punta y en forma teórica, las posibilidades de esta funcionalidad y escenarios reales de implementación. En esta publicación vamos a demostrártelo paso a paso.
Esperamos que te sea de utilidad y ¡nos leemos en las conclusiones al final!
[toc]
Introducción
Objetivo
Esta publicación tiene como objetivo demostrar a las Organizaciones y Profesionales de IT cómo realizar el registro de un dispositivo Windows 10 en Azure Active Directory y su posterior inicio de sesión en el mismo con las credenciales organizacionales.
Audiencia
Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en leer e investigar sobre la tecnología alcanzada por esta publicación.
Comentarios y Corrección de Errores
Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.
Alcance Técnico
Entender cuál es el alcance de la publicación nos ayuda a tener una expectativa real de lo que encontraremos en la misma, de modo tal que quién lo lee no espere ni más ni menos de lo que encontrará. Vamos a describir el objetivo técnico, tecnologías alcanzadas, escenario de trabajo y plan de trabajo en alto nivel.
Objetivo Técnico
El objetivo técnico de este tutorial es realizar el registro de un dispositivo PC con Windows 10 en Azure Active Directory, de modo tal de poder iniciar sesión en dicho equipo con las credenciales organizacionales de Office 365 / Azure Active Directory. Por último, el objetivo es demostrar cómo dicho equipo fue registrado en Azure Active Directory desde el Panel de Control de esa plataforma.
Tecnologías Alcanzadas
Las tecnologías alcanzadas por esta publicación son las siguientes:
- Windows 10.
- Microsoft Azure y puntualmente Azure Active Directory.
Escenario de Trabajo
El escenario de trabajo que da marco a esta publicación es el siguiente:
-
1 Equipo virtual con:
- 1 GB de memoria.
- 2 Procesadores virtuales.
- 1 Disco Rígido virtual de 127 GB.
- Conexión a Internet.
- Un ISO de Windows 10 Professional / Enterprise (en su versión Technical Preview).
- Una suscripción activa de Microsoft Azure, con el módulo de Azure Active Directory.
Plan de Trabajo
El plan de trabajo a desarrollar en esta publicación es el siguiente:
- Configuración Inicial de Microsoft Azure para permitir registros de equipos.
- Instalación de Windows 10 en su versión Technical Preview.
- Registro e Inicio de sesión de Windows 10 en la Servicio de Directorio de Azure.
- Comprobación del registro del dispositivo en Azure Active Directory.
Desarrollo
Vamos a poner manos al a obra en los pasos necesarios para cumplir con el objetivo técnico de la publicación.
Configuración Inicial
Lo primero que debemos hacer es habilitar la posibilidad de registro de dispositivos en Azure Active Directory, como así también la posibilidad que los usuarios registren dispositivos por sus propios medios.
Para ello vamos a ingresar al Panel de Control de Microsoft Azure al módulo de “Active Directory”. Allí vamos a ingresar al servicio de directorio sobre el cual trabajaremos. En nuestro caso es “Puerto Tec”:
Luego de ingresar al directorio, vamos a ir al módulo de Configuración:
Vamos a configurar los aspectos fundamentales del servicio con el objetivo de permitir registro de dispositivos:
- El número máximo de dispositivos por usuario.
- Si se requiere o no atenticación multi-factor.
- Si los usuarios pueden unir al espacio de trabajo (WorkPlace).
- Si los usuarios pueden unir dispositivos al servicio de directorio utilizando sus credenciales.
- Si existen administradores adicionales para el directorio.
El look & feel es el siguiente:
En el caso que tengamos Microsoft Inune, puede que algunas opciones (como la de “WorkPlace Join”) no estén disponibles para configuración, dado que se administran desde la plataforma MDM.
Una vez finalizada esta configuración, estamos listos para realizar la instalación de Windows 10.
Instalación de Windows 10
Vamos a suponer que hemos instalado Windows 10 desde cero (no había configuración de usuarios pre-existente). Luego de realizar la instalación propiamente dicha, comenzarán los últimos pasos de configuración para recolectar decisiones del usuario e iniciar sesión por primera vez:
Si elegimos personalizar opciones, vamos a encontrarnos con las siguientes pantallas:
Y esta:
Luego esperamos unos segundos:
Y pasamos a la próxima fase del Asistente “Out-of-Box Experience (OOBE)” de Windows 10.
Azure AD Join a través de OOBE
Si contamos con una versión Professional de Windows 10, el asistente Out-of-Box Experience (OOBE) nos preguntará cómo ha llegado esta PC a nuestras manos: ¿es nuestra o es de la empresa? En el caso de tratarse de una versión “Enterprise”, directamente asumirá que es un equipo proporcionado por la empresa:
Opción “This device belongs to me” (registro con cuenta Microsoft o local)
Si elegimos la opción personal (es nuestro equipo) el asistente nos propondrá iniciar sesión con una cuenta Microsoft. Dado que este tutorial está orientado al registro de una cuenta empresarial en Windows 10 + Azure Active Directory, no vamos a extender mayores explicaciones sobre esta opción.
Opción “This device belongs to my company” (Azure AD Join)
Ahora bien, en el caso que elijamos la opción de que el equipo ha llegado a nuestras manos por nuestra organización (esta es la opción que debemos elegir para registrar nuestra cuenta empresarial), iniciaremos el asistente para poder registrar el equipo en Azure Active Directory:
Luego de darle Continue, debemos esperamos unos segundos más:
Y tendremos que iniciar sesión con una cuenta de Office 365 ó Azure Active Directory:
En el caso que nuestra cuenta tenga doble factor de autenticación, nos encontraremos con la necesidad de confirmar el inicio de sesión por única vez en Windows 10:
Una vez que hemos confirmado el inicio de sesión, el equipo se enrolará:
Vamos a continuar, ahora, con el primer inicio de sesión.
Primer Inicio de Sesión de Usuario
Durante el primer inicio de sesión tendremos que esperar unos pocos segundos que se inicie la configuración de aplicaciones de Windows:
La pantalla cambiará de colores algunas veces:
Y finalmente tendremos nuestra sesión iniciada y el equipo (en el caso que el Administrador lo haya solicitado así) enrolado a nuestro MDM (en este caso Microsoft Intune).
¡Esto es todo amigos! Windows 10 ya está instalado y con un usuario empresarial configurado. Vamos a validar ahora cómo se ve este registro desde Azure Active Directory.
Registro en Azure Active Directory
Una vez que el dispositivo inició sesión, vamos a comprobar cómo se encuentra registrado, pero desde el lado de Microsoft Azure. Vamos a ir al Panel de Control de Azure e ingresar al módulo de “Active Directory”, y puntualmente al Directorio en el cual estamos trabajando (en nuestro caso “Puerto Tec”):
Una vez adentro del Directorio “Puerto Tec”, vamos a la sección “Usuarios”. Allí vamos a ingresar al usuario que se registró recientemente en el equipo con Windows 10 (pdiloreto@puertotec.com):
Allí vamos a identificar que aparece un equipo con Windows 10 en la vista de “Registered Devices”:
Este equipo, justamente, es el que recién hemos iniciado sesión con nuestra cuenta empresarial. De este modo podemos comprobar cómo realmente nuestro dispositivo ha sido registrado en el Servicio de Directorio de Azure.
Esto nos permitirá disfrutar de todas las características de Windows 10 + Azure Active Directory (de la mano de Azure AD Join). ¡Felicitaciones!
Conclusiones
Azure Active Directory Join en Windows 10 representa una gran oportunidad para que los Administradores de IT y Organizaciones puedan hacer uso de la nube en pos de brindar mejores servicios a los usuarios. Esta funcionalidad permite, básicamente, que un usuario pueda iniciar sesión con sus credenciales de Office 365 / Servicio de Directorio directamente en la nube, sin necesidad de contar con infraestructura local.
Más allá de la infraestructura local, Azure AD Join permite que los usuarios viajeros puedan seguir autenticandose en Active Directory y a la vez registrar el dispositivo desde el cual se conecta en otros servicios como por ejemplo el de MDM (Intune, en caso de Microsoft). A la vez que se puede realizar el registro en el MDM de la organización, también se está generando un objeto en Azure AD el cual podemos utilizar para reglas de autenticación a servicios web o aplicaciones de linea de negocio, utilizandolo como un factor adicional de confianza para validar su ingreso.
Azure AD Join representa el inicio de otras funcionalidades, que sin duda vamos a ver cómo evolucionan con el tiempo.
Esperamos que esta publicación les haya resultado de interés, y quedamos como siempre a disposición para dudas, consultas o feedback. ¡Enjoy Life!
Referencias y Links
- What is Azure Active Directory?: https://azure.microsoft.com/en-us/documentation/articles/active-directory-whatis/
- Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications: https://technet.microsoft.com/en-us/library/dn280945.aspx
- Setting up On-premises Conditional Access using Azure Active Directory Device Registration: https://msdn.microsoft.com/en-us/library/azure/dn788908.aspx
- Azure Active Directory and Windows 10: Bringing the cloud to enterprise desktops!: http://blogs.technet.com/b/ad/archive/2015/05/13/azure-active-directory-and-windows-10-making-the-enterprise-cloud-a-reality.aspx
- Azure AD Join on Windows 10 devices: http://blogs.technet.com/b/ad/archive/2015/05/28/azure-ad-join-on-windows-10-devices.aspx