[Articulo] Windows | Cómo trabajan los diferentes dispositivo Windows 10 con y sin Azure AD Join
Como ya hemos recorrido en otras publicaciones, Windows 10 tiene alternativas para la gestión de identidades. Entre las características conocidas de Windows 10 encontramos cuentas locales, cuentas Microsoft (anterior “Windows Live Id”), cuentas de Active Directory Domain Services y cuentas de Azure Active Directory, conocido como Azure AD Join.
En esta publicación vamos a conocer los diferentes comportamientos que tienen los dispositivos, según estén unidos a Active Directory Domain Services (ADDS), Azure Active Directory (Azure AD Join) y Cuentas Microsoft (uso personal).
[toc]
Introducción
Objetivo y Alcance
Esta publicación tiene como objetivo demostrar a los administradores de IT y organizaciones cómo se comporta cada tipo de dispositivo según las opciones de identidad en Windows 10: uso empresarial con ADDS, uso empresarial con Azure AD Join y uso personal.
El alcance de esta publicación está referido al análisis del comportamiento de características estándar en las siguientes tres opciones de identidad y en alto nivel:
- Active Directory Domain Services.
- Azure Active Directory.
- Cuentas Microsoft.
Audiencia
Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en leer e investigar sobre la tecnología alcanzada por esta publicación.
Comentarios y Corrección de Errores
Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.
Desarrollo
En muchas reuniones con clientes, se me ha realizado la pregunta siguiente: “¿en qué cambia el comportamiento de mi equipo o de mi usuario dependiendo cómo una el equipo o usuario a Active Directory? Y más aún, con las nuevas posibilidades y recomendaciones de Microsoft sobre equipos personales: ¿Y en los equipos personales?”.
A continuación mostraremos un cuadro resumen suponiendo que, en todos los casos, tenemos un dispositivo con Windows 10 instalado y configurado, pero con las tres diferentes opciones de identidad:
- Dispositivo Corporativo: unido a un on-premises Active Directory Domain Services (ADDS).
- Dispositivo Corporativo: unido a un Azure Active Directory a través de Azure AD Join.
- Dispositivo Personal: con cuenta Microsoft.
Dispositivo Corporativo (Active Directory) | Dispositivo Corporativo (Azure AD Join) | Dispositivo Personal |
Los usuarios pueden iniciar sesión en Windows con sus credenciales de trabajo (como lo hacen hoy) solo para PCs. No soportado para dispositivos móviles o que no soportan unirse a un dominio on premises). | Los usuarios pueden iniciar sesión con sus credenciales de trabajo que están administradas por Azure Active Directory, ya sea en dispositivos PC y Móviles. No es un requisito tener un servicio de directorio on-premises, si bien en caso de existir se puede sincronizar para evitar duplicación de datos. | Los usuarios inician sesión con sus credenciales personales de la cuenta Microsoft. |
Los usuarios tienen acceso a roaming settings y al Store de Windows empresarial. Estos servicios trabajan con cuentas de trabajo y no requieren cuentas personales (como sucedía antes). Requiere a las organizaciones sincronizar el servicio de directorio local con Azure Active Directory. | Los usuarios pueden realizar una auto-configuración sin contacto con la mesa de ayuda. Esto es posible gracias al FRX (First-Run Experience) a través de la cuenta de trabajo como una alternativa al aprovisionamiento clásico de dispositivos, aunque ambos métodos están soportados. | Los usuarios pueden agregar su cuenta de trabajo a su dispositivo, sin problemas, como cuenta adicional. No la utilizarán para iniciar sesión, solo para aplicaciones que ejecuten. |
Los usuarios pueden disfrutar del SSO en sus equipos para aplicaciones de trabajo, sitios web y otros recursos, incluidos los recursos on-premises los de la nube, que usan Azure AD para autenticación. | Los dispositivos son automáticamente registrados en el directorio de la empresa (Azure AD) y automáticamente enrolados al MDM. Disponen de SSO para aplicaciones, sitios web y recursos que trabajen con la autenticación de Azure AD. | Los usuarios tienen la posibilidad de SSO sobre las aplicaciones y sitios web de su cuenta laboral. |
Los usuarios pueden agregar su cuenta personal para acceder a recursos personales como fotos y archivos sin impactar los datos laborales. Los Roaming Settings continuarán trabajando con sus cuentas laborales. La cuenta Microsoft habilita SSO para los recursos personales. | Los usuarios pueden hacer un Self-Service Password Reset (SSPR) en el inicio de sesión, por lo cual pueden recuperar un password perdido. | Los usuarios tienen acceso al Windows Store Corporativo, por lo cual pueden acceder a aplicaciones de linea de negocios en sus dispositivos personales. |
Conclusiones
La elección del modelo de administración de identidades debe ser el resultado de un análisis minucioso de las necesidades de las empresas:
- Para empresas clásicas cuyo parque de dispositivos está on-site y se tiene mucha dependencia a GPOs para personalizar el comportamiento de usuarios y dispositivos, claramente ADDS sigue siendo la opción por defecto a seguir utilizando.
- Para empresas móviles, dinámicas y cuyo parque de equipos tiene Windows 10 (ya sea PC o Mobile) y poca dependencia a GPOs, la posibilidad de brindar a los usuarios la flexibilidad para iniciar sesión desde cualquier lugar que tenga Internet sin una VPN, Azure Active Directory Join es claramente una opción a elegir. Si a esto le sumamos que la organización tiene Office 365 y gran parte de sus aplicaciones productivas en la nube, más deseable será elegir este modelo.
Es importante aclarar que la utilización del clásico modelo de Active Directory Domain Services no es ni será reemplazado en su totalidad, por lo menos en el corto plazo, por Azure Active Directory Domain Join en Windows 10. Contrariamente a ello, existen otras opciones de configuraciones híbridas de identidad que no nos hacen estar obligados a elegir o un modelo u otro, y se basan en conectores de nuestro servicio de directorio local con la nube de Microsoft Azure.
¿Cuándo elegir cada uno? ¿Qué opción me conviene más? Esta y otras preguntas responderemos en artículos relacionados. El objetivo de éste era solo presentar las opciones existentes.
Referencias y Links
- Extending cloud capabilities to Windows 10 devices trough Azure Active Directory Join: https://docs.microsoft.com/en-us/azure/active-directory/active-directory-azureadjoin-overview
- Azure AD Join on Windows 10 devices: https://blogs.technet.microsoft.com/enterprisemobility/2015/05/28/azure-ad-join-on-windows-10-devices/