[Articulo] Windows | Windows 10: Opciones de Administración de Ia Identidad

En relación a la identidad, Windows 10 tiene alternativas conocidas para los Administradores y alternativas nuevas. Esta publicación de TecTimes fue actualizada de la originalmente publicada en Septiembre de 2015 con nuevas características de las últimas versiones de Windows 10, bajo nuestra política de no duplicar contenidos, sino mantenerlos actualizados.

Entre las características conocidas de Windows 10 encontramos cuentas locales, cuentas Microsoft (anterior “Windows Live Id”) y cuentas de Active Directory Domain Services. Existe una nueva alternativa de acceso que se basa en inicio de sesión en Azure Active Directory, conocido como Azure AD Join y que ya hemos presentado en capítulos anteriores.

Vamos a conocer, entonces, las alternativas de administración de la identidad que tenemos disponibles en Windows 10.

[toc]

Introducción

Objetivo y Alcance

Esta publicación tiene como objetivo demostrar a las organizaciones las opciones de identidad (usuario) que provee Windows 10 como cliente.

El alcance de esta publicación está referido al análisis de las siguientes dos opciones de identidad en alto nivel:

• Active Directory Domain Services.
• Azure Active Directory.

Audiencia

Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en leer e investigar sobre la tecnología alcanzada por esta publicación.

Comentarios y Corrección de Errores

Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.

Desarrollo

Vamos a conocer las opciones que tiene Windows 10 para poder tener una identidad corporativa para los usuarios corporativos.

Active Directory Domain Services

Para los administradores Wintel este ha sido el mecanismo más habitual y conocido de administración de equipos de trabajo (workstations). Unir un equipo a un servicio de directorio basado en Active Directory permite gestionar aspectos de autenticación, autorización y configuración a través de las directivas de grupo (group policies – GPOs).

Windows 10, por supuesto, soporta este tipo de administración de identidades permitiendo unir un equipo en ediciones de escritorio Pro, Enterprise y Education a un servicio de directorio basado en Active Directory Domain Services. Windows Server 2016 incluye, por defecto, las nuevas extensiones de políticas que permiten administrar la identidad y aspectos de configuración. Además, nos brinda soporte a otras características de seguridad que permiten proteger nuestra identidad de software maligno o atacantes: Device Guard y Credential Guard.

Si contamos con una versión de Windows Server anterior, podemos instalar las extensiones de políticas de grupo compatibles, que nos permitirá administrar en forma completa Windows 10 pero no podremos contar con las nuevas características antes mencionadas.

Azure Active Directory

La administración de la identidad es una novedad que viene de la mano de Windows 10. Conocido como Azure AD Join, permite que un usuario registre su cuenta de Azure Active Directory pre-existente en el equipo, de modo tal que puede iniciar sesión con su cuenta organizacional desde virtualmente cualquier lugar (y no solo dentro de la empresa) a través de Internet utilizando HTTPS. Esta posibilidad no está presente en versiones anteriores de Windows.

Para organizaciones móviles y dinámicas, la gestión de identidades con Azure Active Directory brinda la flexibilidad que los administradores estaban buscando dado que nos permite integrar, también, autenticación de dispositivos móviles con Windows 10 Mobile, teniendo de esta forma alcanzar a todo el parqué de dispositivos con Windows 10.

Por supuesto, Azure Active Directory Join no reemplaza hoy en día en su totalidad la flexibilidad de administración de identidades que nos brinda Windows Server y puntualmente Active Directory Domain Services, pero si de a poco se están sumando cada vez más funcionalidades.

Conclusiones

La elección del modelo de administración de identidades debe ser el resultado de un análisis minucioso de las necesidades de las empresas:

• Para empresas clásicas cuyo parque de dispositivos está on-site y se tiene mucha dependencia a GPOs para personalizar el comportamiento de usuarios y dispositivos, claramente ADDS sigue siendo la opción por defecto a seguir utilizando.
• Para empresas móviles, dinámicas y cuyo parque de equipos tiene Windows 10 (ya sea PC o Mobile) y poca dependencia a GPOs, la posibilidad de brindar a los usuarios la flexibilidad para iniciar sesión desde cualquier lugar que tenga Internet sin una VPN, Azure Active Directory Join es claramente una opción a elegir. Si a esto le sumamos que la organización tiene Office 365 y gran parte de sus aplicaciones productivas en la nube, más deseable será elegir este modelo.

Es importante aclarar que la utilización del clásico modelo de Active Directory Domain Services no es ni será reemplazado en su totalidad, por lo menos en el corto plazo, por Azure Active Directory Domain Join en Windows 10. Contrariamente a ello, existen otras opciones de configuraciones híbridas de identidad que no nos hacen estar obligados a elegir o un modelo u otro, y se basan en conectores de nuestro servicio de directorio local con la nube de Microsoft Azure.

¿Cuándo elegir cada uno? ¿Qué opción me conviene más? Esta y otras preguntas responderemos en artículos relacionados. El objetivo de éste era solo presentar las opciones existentes.

Referencias y Links

• Extending cloud capabilities to Windows 10 devices trough Azure Active Directory Join: https://docs.microsoft.com/en-us/azure/active-directory/active-directory-azureadjoin-overview
• Azure AD Join on Windows 10 devices: https://blogs.technet.microsoft.com/enterprisemobility/2015/05/28/azure-ad-join-on-windows-10-devices/

Acerca del Autor