[Seminario] Windows 10 y la Gestión de Identidades · Windows 10 + Windows Active Directory +...

[Seminario] Windows 10 y la Gestión de Identidades

Windows 10 + Windows Active Directory + Azure Active Directory

[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017

Pablo Ariel Di Loreto

¿Quiénes somos?

• @Buenos Aires, Argentina. 35 años de edad.

• Gerente de Proyectos y Prácticas en Algeiba SA. Docente.

• Techie desde 1998. Dev desde 1998. IT Pro desde 2000.

• MVP desde Abril de 2014.


Nahuel Osco

• @Buenos Aires, Argentina. 25 años de edad.

• IT Pro desde 2008.

• Influenciador en la comunidad de IT Pros.

Algeiba SA. Algeiba es una empresa formada por un equipo

de profesionales y especialistas que desde 2006 ayudan a

sus clientes a transformar sus organizaciones y sus vidas a

través de la tecnología informática. Nos esforzamos todos

los días para ganar la confianza y lealtad de nuestros

clientes, contribuyendo con nuestros servicios para que

puedan obtener lo mejor de sus inversiones en IT.

Web: http://www.algeiba.com/

Facebook: http://www.facebook.com/algeibait/

LinkedIn: http://www.linkedin.com/company/algeiba-s-a-/


Especial Agradecimiento

http://www.algeiba.com/

http://www.facebook.com/algeibait/

http://www.linkedin.com/company/algeiba-s-a-/

Visión, Alcance y Agenda del Evento


• Identidades en Windows 10.

• Presentación de Escenarios de Negocio.

• Desarrollo de Escenarios:

• Escenario Domain Join.

• Escenario Azure AD Join.

• Escenario Domain Join + Device Registration +

Azure AD Join.

• Escenario Domain Join + Device Registration.

• Conclusiones + Espacio de Preguntas.

Objetivo: presentar casos de negocio

en relación a las opciones de gestión

de identidades de Windows 10..

La dificultad de este Evento es Nivel

300.

La duración de este Evento es de 90

minutos (1 hora y 30 minutos).

Acordando Conceptos


Identidades en Windows 10

• Windows Active Directory Join

[Dispositivo Laboral].

• Azure Active Directory Join

[Dispositivo Laboral].

• BYOD Join [Dispositivo Personal]


Modelos para Acceso Laboral

Modelos para acceso laboral: comparativa


• Domain Join [Active Directory

Domain Services].

• Azure AD Join [Azure Active

Directory].

• Domain Join + Device

Registration [en Azure AD]


Modelos de Registración de Dispositivos

¿Domain Join + Device Registration?

• Inicio de sesión único (SSO) a los recursos de Azure AD desde

cualquier lugar.

• Acceso a la Tienda Windows para empresas mediante cuentas

profesionales o educativas.

• Movilidad de las configuraciones de usuario conforme a la empresa

entre dispositivos que usan cuentas profesionales o educativas.


¿Domain Join + Device Registration?

• Autenticación segura y práctico inicio de sesión para cuentas

profesionales o educativas con Microsoft Passport y Windows Hello.

• Posibilidad de limitar el acceso únicamente a los dispositivos que

cumplan con la configuración de la directiva de grupo.

• Compatible con Windows 10, Windows 8.1 y Windows 7 (estos dos

últimos requieren ADFS).


¿Domain Join, Azure AD Join o Domain Join + DeviceRegistration?


Escenarios de Negocio

Banco Magios

• Tipo: Entidad Bancaria.

• Volumen: Empleados Administrativos ~1000.

Clientes ~10000.

• Ahora: Tiene las aplicaciones Win32

implementadas en dispositivos que usan NTLM o

Kerberos para autenticación / autorización.

Requiere administración rígida de dispositivos.

Regulado por Banco Central.

• Visión: Reducir complejidad administrativa.

Estandarizar actualizaciones. Mínima nube.



Algeiba ☺

• Tipo: Consultoría y Soluciones Tecnológicas.


Profesionales IT / Dev ~40.

• Ahora: Exchange Server. SharePoint Server.

Project Server. ERP local que usa NTLM o


Fileserver local. Team Foundation Server.

• Visión: Favorecer la movilidad. Reducir

complejidad de infraestructura local. Limitar al

máximo la administración de usuarios y equipos.

Instituto Juan Ignacio

• Tipo: Institución Educativa.


Cuerpo Docente ~60. Estudiantes ~2000.

• Ahora: Equipos comunes en salas. Correo

electrónico local con solución MDaemon. Solo

para Administrativos. Aplicaciones locales de

facturación / cobro / seguimiento. 1 Sede.

• Visión: Aplicaciones de colaboración para

Administrativos, Docentes y Estudiantes. Acceso

a Aula 2.0. Reducir al máximo la administración.



Grupo “Papelera”

• Tipo: Comercialización.



Equpios con ADDS. aplicaciones Win32



Administración via GPO y SCCM.

• Visión: Office 365. Algunas aplicaciones PaaS.

Misma administración de configuraciones.

Banco Magios


Escenarios de Negocio: Domain Join

Escenario

• Tipo: Entidad Bancaria.


Clientes ~10000.

• Ahora: Tiene las aplicaciones Win32



Requiere administración rígida de dispositivos.

Regulado por Banco Central.

• Visión: Reducir complejidad administrativa.

Estandarizar actualizaciones. Mínima nube.


Escenarios de Negocio: Domain Join

Solución

• Windows 10 LTSB para cajeros. Windows 10

CBB para resto del personal. Windows 10 Insider

para pocos profesionales IT.

• Domain Join con Windows Server 2016 para

servidores y equipos cliente.

• Administración de configuraciones con GPOs.

Administración de actualizaciones y mejoras con

SCCM Current Branch.

• Azure AD Connect para sincronización de

usuarios hacia Azure AD para Office 365.

• OOBE.

• Windows Active Directory Join.


Demo Domain Join

Algeiba ☺


Escenarios de Negocio: Azure AD Join

Escenario

• Tipo: Consultoría y Soluciones Tecnológicas.


Profesionales IT / Dev ~40.


Project Server. ERP local que usa NTLM o


Fileserver local. Team Foundation Server.

• Visión: Favorecer la movilidad. Reducir

complejidad de infraestructura local. Limitar al

máximo la administración de usuarios y equipos.


Escenarios de Negocio: Azure AD Join

Solución

• Windows 10 CBB para personal adminstrativo.

Windows 10 Insider para IT y Desarrollo.

• Domain Join con Windows Server 2016 para

servidores (preferentemente en Azure). Azure AD

Join / BYOD Join para usuarios.

• Administración de configuraciones, actualizaciones

y mejoras con MDM.

• Azure AD Connect para sincronización de usuarios

hacia Azure AD para Office 365. Azure AD para

publicación de apps y acceso condicional.

• Aprovisionamiento automático de

dispositivos de la empresa.

• Compatibilidad con dispositivos

modernos.

• Posibilidad de usar cuentas de

organización existentes.

• Inscripción automática en administración

de dispositivos móviles.

• Inicio de sesión único en recursos de la

empresa.

• Movilidad de estado del SO.

• Tienda Windows preparada para la

empresa.


Beneficios de Azure AD Join

• Configuración de Azure AD Join en

Microsoft Azure.

• Aprovisionamiento automático de

dispositivos de la empresa.

• Posibilidad de usar cuentas de

organización existentes.

• Inscripción automática en administración

de dispositivos móviles.

• Inicio de sesión único en recursos de la

empresa.

• Movilidad de estado del SO.

• Tienda Windows preparada para la

empresa.


Demo

Instituto Juan Ignacio


Escenarios de Negocio: Domain Join+ Device Registration + Azure AD Join

Escenario

• Tipo: Institución Educativa.


Cuerpo Docente ~60. Estudiantes ~2000.

• Ahora: Equipos comunes en salas. Correo

electrónico local con solución MDaemon. Solo

para Administrativos. Aplicaciones locales de

facturación / cobro / seguimiento. 1 Sede.

• Visión: Aplicaciones de colaboración para

Administrativos, Docentes y Estudiantes. Acceso

a Aula 2.0. Reducir al máximo la administración.


Escenarios de Negocio: IJI

Solución

• Windows 10 CBB para personal adminstrativo y

docentes. Office 365 para todos.

• Domain Join con Windows Server 2016 para servidores.

Domain Join + Device Registration para Administrativos.

Azure AD Join / BYOD Join para estudiantes.

• Administración de configuraciones, actualizaciones y

mejoras con MDM.


administrativos y docentes hacia Azure AD para Office

365. Identidades 100% cloud para estudiantes.

1. Por política se indica a dispositivos de AD iniciar

la auto-registración en Azure AD.

2. Los dispositivos consultan AD para obtener

información del tenant de Azure.

3. Los dispositivos se autentican hacia Azure AD

via ADFS para obtener un token de registración.

4. El dispositivo genera keys usadas en la

registración, y certificados para proteger los

tokens SSO.

5. El dispositivo se registra en Azure AD via Azure

Device Registration Service.


Device Registration: Registración

Luego de que el dispositivo es registrado con Azure

AD, en cada logueo o desbloqueo de Windows se

obtienen:

1. SSO token (Kerberos TGT) de AD.

2. SSO token de Azure AD.


Device Registration: Obtención de Token

Azure AD Connect es una pieza fundamental para

habilitar esta funcionalidad. Hace tres cosas:

• Crea un objeto en Active Directory (un Service

Connection Point) que habilita dispositivos unidos al

dominio para que sean reconocidos en Azure AD.

• Sincroniza computadoras en AD hacia Azure AD

como objetos dispositivos. Esto permite la

autenticación segura mediante la registración

automática vista antes.

• Si se tiene ADFS desplegado, crea una reglas

claims que ayudan a la registración instantánea sin

esperar la próxima sincronización.


Device Registration: Azure AD + DR

Grupo Papelera


Escenarios de Negocio: Domain Join+ Device Registration

Escenario

• Tipo: Comercialización.



Equpios con ADDS. aplicaciones Win32



Administración via GPO y SCCM.

• Visión: Office 365. Algunas aplicaciones PaaS.

Misma administración de configuraciones.


Escenarios de Negocio: Grupo Papelera

Solución

• Windows 10 CBB para personal adminstrativo. Office

365 para todos.

• Domain Join con Windows Server 2016 para servidores.

Domain Join + Device Registration para todos los

usuarios.

• Administración de configuraciones, actualizaciones y

mejoras con GPO y SCCM Current Branch.


hacia Azure AD para Office 365 y Azure AD (otros

servicios).

Conclusiones, Preguntas y Más Info

¿Te quedó alguna duda? ¿Querés darnos algún feedback?


Algeiba SA. Algeiba es una empresa formada por un equipo

de profesionales y especialistas que desde 2006 ayudan a

sus clientes a transformar sus organizaciones y sus vidas a

través de la tecnología informática. Nos esforzamos todos

los días para ganar la confianza y lealtad de nuestros

clientes, contribuyendo con nuestros servicios para que

puedan obtener lo mejor de sus inversiones en IT.

Web: http://www.algeiba.com/

Facebook: http://www.facebook.com/algeibait/

LinkedIn: http://www.linkedin.com/company/algeiba-s-a-/


Especial Agradecimiento

http://www.algeiba.com/

http://www.facebook.com/algeibait/

http://www.linkedin.com/company/algeiba-s-a-/

¡Muchas Gracias!

Web TecTimes: http://www.tectimes.net

Web Algeiba: tp://www.algeiba.com

Twitter: @TecTimesNet

Facebook: @TecTimesNet

Youtube: @TecTimesNet

Google: +TecTimesNet


[Seminario] Windows 10 y la Gestión de Identidades · Windows 10 + Windows Active Directory +...

Documents

Transcript of [Seminario] Windows 10 y la Gestión de Identidades · Windows 10 + Windows Active Directory +...