[Articulo] Microsoft Azure | Azure AD Join en Windows 10: ¿qué es y cómo lo podemos utilizar?

En esta publicación vamos a comentarte cómo podemos integrar Windows 10 en el Servicio de Directorio de Azure (Azure AD) utilizando “Azure AD Join”, que es nada más y nada menos que la posibilidad que un dispositivo inicie sesión directamente en la nube. En complemento con ello, vamos a contarte cómo es la visión de Microsoft para la administración de este dispositivo utilizando Enterprise Mobility Suite, de modo tal de potenciar el uso flexible y la administración confiable de equipos sin tener que agregarlos a nuestro AD local (clásico procedimiento de IT).

Estamos muy pero muy emocionados de escribir este artículo, principalmente porque la característica que hoy les vamos a estar presentando nos demarca nuevos caminos (y hasta ahora no recorridos) en relación a la Administración de Dispositivos en Windows 10 utilizando tecnologías de Nube (Azure Active Directory y Enterprise Mobility Suite). Si bien esta publicación la publicamos originalmente a principios de Mayo, hemos estado actualizándola en línea con las últimas noticias publicadas por el Equipo de Windows 10 / Azure AD.

Esperamos que esta publicación te sea de utilidad. ¡Saludos!

[toc]

Introducción

Objetivo y Alcance

Esta publicación tiene como objetivo presentar a las Organizaciones y Administradores de IT la nueva característica de Azure Active Directory y Windows 10 que permite enrolar estos dispositivos directamente en el Servicio de Directorio de Azure, como así también demostrar cuáles son sus ventajas y potencialidades.

El alcance de esta publicación es:

Realizar una breve reseña introductoria sobre Azure Active Directory.
Presentar las funcionalidades de Azure Active Directory con Windows 10 y Enterprise Mobility Suite (novedades).
Recorrer escenarios de implementación de Azure AD Join
Sugerir próximos pasos en la exploración de esta funcionalidad.

Audiencia

Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en leer e investigar sobre la tecnología alcanzada por esta publicación.

Comentarios y Corrección de Errores

Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.

Desarrollo

Vamos a organizar esta publicación de la siguiente manera:

Primero vamos a recorrer una introducción a Azure Active Directory, de modo tal de dar el contexto necesario para que podamos continuar todos juntos con el resto de la lectura.
Luego vamos a comentar qué novedades tiene Windows 10 + Azure Active Directory para ofrecerte. Aquí nos referiremos a Azure AD Join.
Por último, vamos a comentarte escenarios reales de implementación que son posibles gracias a estas novedades presentadas.

Por supuesto, es importante que nos des feedback sobre la publicación, ideas y comentarios. ¡Manos a la obra!

Introducción a Azure Active Directory

Para aquellos que no están tan familiarizados, Azure Active Directory es el servicio de administracio´n de directorios e identidad en la nube de Microsoft con funcionalidades multi-tenant:

Para Administradores de IT, Azure AD proporciona un entorno de inicio de sesión para usuarios y socios de negocio (Partners) a aplicaciones SaaS de la nube como Office 365, SalesForce, DropBox, etc (muchos más etcéteras).
Para los desarrolladores, Azure AD permite ser la base de gestión de identidades e inclusive interactuar con otros gestores de identidad mundialmente reconocidos.

Además de este resumen, podemos decir que Azure AD permite integrarse con un servicio de directorio “tradicional” como lo es Active Directory Domain Services, permitiendo sincronizar objetos, usuarios y sus contraseñas, de modo tal de extender nuestro servicio local hacia la nube sin duplicar carga administrativa.

Si tu organización tiene Office 365, Azure o Dynamics SRM, ya está utilizando Azure AD (quizás no sabías). Y además… ¡podrás utilizar Azure AD para dar acceso a miles de aplicaciones SaaS en cualquier momento, e inclusive sincronizarlo con tu directorio local!

No es el foco de esta publicación extendernos más sobre este tema, sino solo dar una introducción. Validá loas publicaciones relacionadas para más Info sobre Azure AD y su interacción con el resto de servicios en la nube de Microsoft.

Azure Active Directory + Windows 10

Windows 10 + Azure Active Directory traen novedades en su funcionamiento en conjunto. Esta combinación simplifica el despliegue y administración de Windows y proporciona acceso transparente a aplicaciones de la organización, ya sea que estén en la nube o en la infraestructura on-premise.

Lo Nuevo en Windows 10

La clave de esto es “Azure AD Join”, una nueva característica de Windows 10 para configurar y desplegar dispositivos Windows. Azure AD Join registra el dispositivo en el Servicio de Directorio de Microsoft Azure de modo tal que lo deja disponible y visible para ser administrado, algo similar a lo que sucedería en un Servicio de Directorio basado en “Active Directory Domain Services” con controladores de dominio locales.

No obstante, con Azure AD Join los dispositivos registrados autentican, a través de Internet, directamente con Azure AD y no en controladores de dominio tradicionales, reduciendo (por lo menos para esta función) la necesidad de su existencia.

Además de esto, al ser Azure AD Join una característica incluida como parte del Sistema Operativo, permite que los usuarios registren el dispositivo sin necesidad de intervención del Equipo de IT utilizando el Out-of-Box Experiencie (OOBE) de Windows 10 en sus versiones Pro y Enterprise.

En forma simplificada, durante el primer inicio del Equipo nos aparecerá una pantalla como la siguiente:

Ilustración 1 – Out-of-Box Experience (OOBE) de Windows 10. Inicio de Sesión en Azure Active Directory con Azure AD Join.

Si seleccionamos “This device belongs to my Company”, en la siguiente pantalla tendremos la posibilidad de ingresar las credenciales de Office 365 / Azure Active Directory para registrar el equipo:

Ilustración 2 – Out-of-Box Experience (OOBE) de Windows 10. Inicio de Sesión en Azure Active Directory con Azure AD Join.

¡Esto es todo! Una vez que se realiza el primer inicio de sesion, vamos a poder ingresar al equipo con las credenciales de Office 365 / Azure AD.

¿Y enterprise Mobility Suite (EMS)?

Otra de las grandes grandes muy grandes novedades es que durante el proceso de registración es possible que automáticamente el dispositivo se register en la solución Mobile Device Management (MDM) para cumplir con todas las directivas de la organización. En primera instancia (si bien se está trabajando con otras marcas) es posible que se realice el registro automático en Enterprise Mobility Suite de Microsoft (y puntualmente Microsoft Intune).

De esta forma, durante el inicio de sesión nos aparecerá el siguiente aviso:

¡Esto es todo! Windows concluirá el proceso de configuración y permitirá al usuario iniciar sesión con sus credenciales organizaciones directamente en el servicio de directorio de Azure.

Azure AD Join en Acción

Vamos a contarte cómo es Azure AD Join en acción, recorriendo sus capacidades y escenarios de implementación.

Capacidades

En forma básica, podemos identificar las siguientes tres grandes funcionalidades de Azure AD Join en Windows 10 + Azure Active Directory:

Inicio de Sesión Único en Aplicaciones Empresariales, Sitios y Recursos protegidos por Azure AD: esto permite tener una experiencia de Single Sign-on a aplicaciones como Office 365, por ejemplo, u otras aplicaciones empresariales publicadas mediante Azure AD. Existen cientos de aplicaciones empresariales disponibles para esta funcionalidad, como así también recursos on-premise.
Enrolamiento Automático a MDM (si el Administrador lo configuró) en algunas ediciones de Windows: como hemos visto anteriormente, nos permite enrolar automáticamente el dispositivo con Windows 10 para satisfacer las necesidades de regulación de la organización mediante, por ejemplo, Microsoft Intune.
Catálogo Privado de Aplicaciones de la Organización en Windows Store: conocido como “Enterprise Ready Windows Store”, nos permite dejar a disposición aplicaciones en un entorno privado para que los usuarios puedan descargar, instalar y utilizar aplicaciones propias y/o publicadas de la Tienda de Windows.

Como vemos en forma resumida en el siguiente cuadro, Microsoft Intune (con el enrolamiento automático del dispositivo) será el encargado de desplegar las políticas que los mismos deben cumplir y reportar a Azure AD el nivel de cumplimiento:

Ilustración 4 – Integración de Microsoft Intune con Azure Active Directory en un escenario de Azure AD Join.

Entre otras cosas, esto permite extender la funcionalidad de Azure AD a, por ejemplo, Acceso Condicinoal (Conditional Access) que veremos más adelante en unas pocas líneas. Además de las tres principales capacidades nombradas anteriormente, en forma extendida podemos destacar las siguientes (que son un derivado de las primeras tres):

Auto-aprovisionamiento de Dispositivos de la Organización: con Windows 10, los empleados pueden configurar los dispositivos con la Out-of-Box Experience integrado (OOBE) sin las necesidades de intervención (por lo menos básicas) del Departamento de IT.
Uso de credenciales existentes: con Windows 10, los usuarios pueden utilizar sus cuentas existentes de Office 365 / Azure AD para iniciar sesión en Windows (al igual que hoy lo hacen en Office 365, sin necesidad de sincronizar el servicio de directorio local con Azure).
Soporte para Dispositivos sin posibilidad de Domain Join tradicional:
OS State Roaming: thinks like OS settings, Desktop wall paper, Tile configuration, websites and Wi-Fi passwords will be synchronized across corporate owned Azure AD joined devices.
Acceso Condicional: nos permite, junto con el enrolamiento automático de MDM (requisito para esto) tener acceso condicional a algunas aplicaciones

Como vemos en la siguiente figura, y en relación a la última capacidad comentada, Microsoft Intune será quién informe a Azure AD el estado de cumplimiento del dispositivo y permitirá funcionalidades como “Acceso Condicional” para que los Administradores puedan requerir, por ejemplo, que todos los miembros del Departamento de Ventas que están fuera de la oficina puedan entrar al sitio Intranet solo si tienen múltiple factor de autenticación y usan un dispositivo que cumpla con los requerimientos de la organización:

Ilustración 5 – Conditional Access Control con Azure Active Directory + Windows 10 (Azure AD Join).

Ahora vamos a explorar algunos escenarios communes de utilización de Azure AD Join en las organizaciones, analizando:

Si el dispositivo es provisto por el empleado.
Si el dispositivo es provisto por el empleador.

Azure AD en Dispositivos Personales

Es posible agregar una cuenta de Azure Active Directory en un dispositivo de propiedad personal. Al hacerlo, se le presentarán al usuario unas condiciones de aceptación.

Por ejemplo, aquí vemos un dispositivo con Windows 10 + Word y un documento editándose:

Ilustración 6 – Agregando una cuenta de trabajo a un equipo con Windows 10 personal.

Durante su edición (o apertura, por qué no) el empleado podría elegir una cuenta “de trabajo” con el fin de guardar / abrir dicho documento desde OneDrive for Business. Esto disparará un flujo de trabajo (workflow) que tendrá como fin agregar al dispositivo una cuenta de Azure AD:

Ilustración 7 – Agregando una cuenta de trabajo a un equipo con Windows 10 personal.

Una vez que los datos de inicio de sesión son agregados, el proceso de enrolamiento del dispositivo continuará y se podrá forzar a registrar dicho dispositivo en el software MDM (Microsoft Intune por ejemplo):

Ilustración 8 – Agregando una cuenta de trabajo a un equipo con Windows 10 personal. Auto-inscripción al MDM Empresarial.

En estos tan simples pasos, un empleado agregó su dispositivo personal al servicio de directorio de Azure, sin dejar de iniciar sesión con su cuenta personal que (originalmente) tiene configurada (por ejemplo una cuenta Microsoft).

Azure AD en Dispositivos Empresariales

En el caso de tratarse de un dispositivo provisto por la empresa, seguramente la elección será:

Agregar al equipo al tradicional servicio de directorio Active Directory Domain Services. Esta opción por supuesto sigue vigente.
Agregar al equipo, utilizando Azure AD Join, al Servicio de Directorio de Azure.

En el caso de la segunda opción, el equipo quedará enrolado a la organización como vemos en pantalla:

Ilustración 9 – Equipo laboral registrado en Azure Active Directory.

Y los servidores de inicio de sesión serán los de Azure:

Ilustración 10 – Resultado del CMD "echo %logonserver% que da como resultado "AzureAD", confirmando que el inicio de sesión es contra Azure Active Directory gracias a Azure AD Join. — Ilustración 10 – Resultado del CMD “echo %logonserver% que da como resultado “AzureAD”, confirmando que el inicio de sesión es contra Azure Active Directory gracias a Azure AD Join.

En el caso que el usuario quiera agregar una cuenta de uso personal al equipo, podrá hacerlo utilizando un flujo de trabajo (workflow) similar al descrito en “Azure AD en dispositivos personales” unas líneas atrás. Por ejemplo aquí vamos a agregar una cuenta personal de correo a Windows 10:

Ilustración 11 – Agregando una cuenta personal a nuestro equipo con Windows 10 que inicia sesión con una cuenta empresarial de Azure Active Directory.

Y como resultado podremos ingresar las credenciales, registrando el equipo con una cuenta Microsoft pero manteniendo el inicio de sesión contra Azure AD (utilizando Azure AD Join):

Ilustración 12 – Agregando una cuenta personal a nuestro equipo con Windows 10 que inicia sesión con una cuenta empresarial de Azure Active Directory.

¿Cómo seguir?

Podés probar todas estas funcionalidades con Windows 10 y una cuenta de prueba de Azure y Office 365.

En relación a Windows 10, lo primero que debemos hacer para poder participar de versiones de vista previa es inscribirnos en el programa “Windows Insider”. Este programa permite obtener las versiones de vista previa de Windows y enviar feedback del producto para futuros builds.

Para ello debemos ingresar a https://insider.windows.com/, inscribirnos y descargar la ISO disponible de Windows 10.

Te invitamos a recorrer el detalle de pasos para instalar Windows 10 en el siguiente How-To: [estamos trabajando para finalizar esta publicación lo antes posible].

Conclusiones

[Estamos trabajando para finalizar esta publicación lo antes posible].

Referencias y Links

What is Azure Active Directory?: https://azure.microsoft.com/en-us/documentation/articles/active-directory-whatis/
Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications: https://technet.microsoft.com/en-us/library/dn280945.aspx
Setting up On-premises Conditional Access using Azure Active Directory Device Registration: https://msdn.microsoft.com/en-us/library/azure/dn788908.aspx
Azure Active Directory and Windows 10: Bringing the cloud to enterprise desktops!: http://blogs.technet.com/b/ad/archive/2015/05/13/azure-active-directory-and-windows-10-making-the-enterprise-cloud-a-reality.aspx
Azure AD Join on Windows 10 devices: http://blogs.technet.com/b/ad/archive/2015/05/28/azure-ad-join-on-windows-10-devices.aspx

Acerca del Autor

0 0 votes

Article Rating