[Seminario] Windows 10 y la Gestión de Identidades · Windows 10 + Windows Active Directory +...
-
Upload
vuongthien -
Category
Documents
-
view
218 -
download
0
Transcript of [Seminario] Windows 10 y la Gestión de Identidades · Windows 10 + Windows Active Directory +...
[Seminario] Windows 10 y la Gestión de Identidades
Windows 10 + Windows Active Directory + Azure Active Directory
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Pablo Ariel Di Loreto
¿Quiénes somos?
• @Buenos Aires, Argentina. 35 años de edad.
• Gerente de Proyectos y Prácticas en Algeiba SA. Docente.
• Techie desde 1998. Dev desde 1998. IT Pro desde 2000.
• MVP desde Abril de 2014.
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Nahuel Osco
• @Buenos Aires, Argentina. 25 años de edad.
• IT Pro desde 2008.
• Influenciador en la comunidad de IT Pros.
Algeiba SA. Algeiba es una empresa formada por un equipo
de profesionales y especialistas que desde 2006 ayudan a
sus clientes a transformar sus organizaciones y sus vidas a
través de la tecnología informática. Nos esforzamos todos
los días para ganar la confianza y lealtad de nuestros
clientes, contribuyendo con nuestros servicios para que
puedan obtener lo mejor de sus inversiones en IT.
Web: http://www.algeiba.com/
Facebook: http://www.facebook.com/algeibait/
LinkedIn: http://www.linkedin.com/company/algeiba-s-a-/
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Especial Agradecimiento
Visión, Alcance y Agenda del Evento
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
• Identidades en Windows 10.
• Presentación de Escenarios de Negocio.
• Desarrollo de Escenarios:
• Escenario Domain Join.
• Escenario Azure AD Join.
• Escenario Domain Join + Device Registration +
Azure AD Join.
• Escenario Domain Join + Device Registration.
• Conclusiones + Espacio de Preguntas.
Objetivo: presentar casos de negocio
en relación a las opciones de gestión
de identidades de Windows 10..
La dificultad de este Evento es Nivel
300.
La duración de este Evento es de 90
minutos (1 hora y 30 minutos).
Acordando Conceptos
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Identidades en Windows 10
• Windows Active Directory Join
[Dispositivo Laboral].
• Azure Active Directory Join
[Dispositivo Laboral].
• BYOD Join [Dispositivo Personal]
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Modelos para Acceso Laboral
Modelos para acceso laboral: comparativa
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Modelos para acceso laboral: comparativa
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
• Domain Join [Active Directory
Domain Services].
• Azure AD Join [Azure Active
Directory].
• Domain Join + Device
Registration [en Azure AD]
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Modelos de Registración de Dispositivos
¿Domain Join + Device Registration?
• Inicio de sesión único (SSO) a los recursos de Azure AD desde
cualquier lugar.
• Acceso a la Tienda Windows para empresas mediante cuentas
profesionales o educativas.
• Movilidad de las configuraciones de usuario conforme a la empresa
entre dispositivos que usan cuentas profesionales o educativas.
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
¿Domain Join + Device Registration?
• Autenticación segura y práctico inicio de sesión para cuentas
profesionales o educativas con Microsoft Passport y Windows Hello.
• Posibilidad de limitar el acceso únicamente a los dispositivos que
cumplan con la configuración de la directiva de grupo.
• Compatible con Windows 10, Windows 8.1 y Windows 7 (estos dos
últimos requieren ADFS).
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
¿Domain Join, Azure AD Join o Domain Join + DeviceRegistration?
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Escenarios de Negocio
Banco Magios
• Tipo: Entidad Bancaria.
• Volumen: Empleados Administrativos ~1000.
Clientes ~10000.
• Ahora: Tiene las aplicaciones Win32
implementadas en dispositivos que usan NTLM o
Kerberos para autenticación / autorización.
Requiere administración rígida de dispositivos.
Regulado por Banco Central.
• Visión: Reducir complejidad administrativa.
Estandarizar actualizaciones. Mínima nube.
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Escenarios de Negocio
Algeiba ☺
• Tipo: Consultoría y Soluciones Tecnológicas.
• Volumen: Empleados Administrativos ~15.
Profesionales IT / Dev ~40.
• Ahora: Exchange Server. SharePoint Server.
Project Server. ERP local que usa NTLM o
Kerberos para autenticación / autorización.
Fileserver local. Team Foundation Server.
• Visión: Favorecer la movilidad. Reducir
complejidad de infraestructura local. Limitar al
máximo la administración de usuarios y equipos.
Instituto Juan Ignacio
• Tipo: Institución Educativa.
• Volumen: Empleados Administrativos ~50.
Cuerpo Docente ~60. Estudiantes ~2000.
• Ahora: Equipos comunes en salas. Correo
electrónico local con solución MDaemon. Solo
para Administrativos. Aplicaciones locales de
facturación / cobro / seguimiento. 1 Sede.
• Visión: Aplicaciones de colaboración para
Administrativos, Docentes y Estudiantes. Acceso
a Aula 2.0. Reducir al máximo la administración.
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Escenarios de Negocio
Grupo “Papelera”
• Tipo: Comercialización.
• Volumen: Empleados Administrativos ~800.
• Ahora: Exchange Server. SharePoint Server.
Equpios con ADDS. aplicaciones Win32
implementadas en dispositivos que usan NTLM o
Kerberos para autenticación / autorización.
Administración via GPO y SCCM.
• Visión: Office 365. Algunas aplicaciones PaaS.
Misma administración de configuraciones.
Banco Magios
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Escenarios de Negocio: Domain Join
Escenario
• Tipo: Entidad Bancaria.
• Volumen: Empleados Administrativos ~1000.
Clientes ~10000.
• Ahora: Tiene las aplicaciones Win32
implementadas en dispositivos que usan NTLM o
Kerberos para autenticación / autorización.
Requiere administración rígida de dispositivos.
Regulado por Banco Central.
• Visión: Reducir complejidad administrativa.
Estandarizar actualizaciones. Mínima nube.
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Escenarios de Negocio: Domain Join
Solución
• Windows 10 LTSB para cajeros. Windows 10
CBB para resto del personal. Windows 10 Insider
para pocos profesionales IT.
• Domain Join con Windows Server 2016 para
servidores y equipos cliente.
• Administración de configuraciones con GPOs.
Administración de actualizaciones y mejoras con
SCCM Current Branch.
• Azure AD Connect para sincronización de
usuarios hacia Azure AD para Office 365.
• OOBE.
• Windows Active Directory Join.
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Demo Domain Join
Algeiba ☺
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Escenarios de Negocio: Azure AD Join
Escenario
• Tipo: Consultoría y Soluciones Tecnológicas.
• Volumen: Empleados Administrativos ~15.
Profesionales IT / Dev ~40.
• Ahora: Exchange Server. SharePoint Server.
Project Server. ERP local que usa NTLM o
Kerberos para autenticación / autorización.
Fileserver local. Team Foundation Server.
• Visión: Favorecer la movilidad. Reducir
complejidad de infraestructura local. Limitar al
máximo la administración de usuarios y equipos.
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Escenarios de Negocio: Azure AD Join
Solución
• Windows 10 CBB para personal adminstrativo.
Windows 10 Insider para IT y Desarrollo.
• Domain Join con Windows Server 2016 para
servidores (preferentemente en Azure). Azure AD
Join / BYOD Join para usuarios.
• Administración de configuraciones, actualizaciones
y mejoras con MDM.
• Azure AD Connect para sincronización de usuarios
hacia Azure AD para Office 365. Azure AD para
publicación de apps y acceso condicional.
• Aprovisionamiento automático de
dispositivos de la empresa.
• Compatibilidad con dispositivos
modernos.
• Posibilidad de usar cuentas de
organización existentes.
• Inscripción automática en administración
de dispositivos móviles.
• Inicio de sesión único en recursos de la
empresa.
• Movilidad de estado del SO.
• Tienda Windows preparada para la
empresa.
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Beneficios de Azure AD Join
• Configuración de Azure AD Join en
Microsoft Azure.
• Aprovisionamiento automático de
dispositivos de la empresa.
• Posibilidad de usar cuentas de
organización existentes.
• Inscripción automática en administración
de dispositivos móviles.
• Inicio de sesión único en recursos de la
empresa.
• Movilidad de estado del SO.
• Tienda Windows preparada para la
empresa.
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Demo
Instituto Juan Ignacio
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Escenarios de Negocio: Domain Join+ Device Registration + Azure AD Join
Escenario
• Tipo: Institución Educativa.
• Volumen: Empleados Administrativos ~50.
Cuerpo Docente ~60. Estudiantes ~2000.
• Ahora: Equipos comunes en salas. Correo
electrónico local con solución MDaemon. Solo
para Administrativos. Aplicaciones locales de
facturación / cobro / seguimiento. 1 Sede.
• Visión: Aplicaciones de colaboración para
Administrativos, Docentes y Estudiantes. Acceso
a Aula 2.0. Reducir al máximo la administración.
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Escenarios de Negocio: IJI
Solución
• Windows 10 CBB para personal adminstrativo y
docentes. Office 365 para todos.
• Domain Join con Windows Server 2016 para servidores.
Domain Join + Device Registration para Administrativos.
Azure AD Join / BYOD Join para estudiantes.
• Administración de configuraciones, actualizaciones y
mejoras con MDM.
• Azure AD Connect para sincronización de usuarios
administrativos y docentes hacia Azure AD para Office
365. Identidades 100% cloud para estudiantes.
1. Por política se indica a dispositivos de AD iniciar
la auto-registración en Azure AD.
2. Los dispositivos consultan AD para obtener
información del tenant de Azure.
3. Los dispositivos se autentican hacia Azure AD
via ADFS para obtener un token de registración.
4. El dispositivo genera keys usadas en la
registración, y certificados para proteger los
tokens SSO.
5. El dispositivo se registra en Azure AD via Azure
Device Registration Service.
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Device Registration: Registración
Luego de que el dispositivo es registrado con Azure
AD, en cada logueo o desbloqueo de Windows se
obtienen:
1. SSO token (Kerberos TGT) de AD.
2. SSO token de Azure AD.
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Device Registration: Obtención de Token
Azure AD Connect es una pieza fundamental para
habilitar esta funcionalidad. Hace tres cosas:
• Crea un objeto en Active Directory (un Service
Connection Point) que habilita dispositivos unidos al
dominio para que sean reconocidos en Azure AD.
• Sincroniza computadoras en AD hacia Azure AD
como objetos dispositivos. Esto permite la
autenticación segura mediante la registración
automática vista antes.
• Si se tiene ADFS desplegado, crea una reglas
claims que ayudan a la registración instantánea sin
esperar la próxima sincronización.
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Device Registration: Azure AD + DR
Grupo Papelera
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Escenarios de Negocio: Domain Join+ Device Registration
Escenario
• Tipo: Comercialización.
• Volumen: Empleados Administrativos ~800.
• Ahora: Exchange Server. SharePoint Server.
Equpios con ADDS. aplicaciones Win32
implementadas en dispositivos que usan NTLM o
Kerberos para autenticación / autorización.
Administración via GPO y SCCM.
• Visión: Office 365. Algunas aplicaciones PaaS.
Misma administración de configuraciones.
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Escenarios de Negocio: Grupo Papelera
Solución
• Windows 10 CBB para personal adminstrativo. Office
365 para todos.
• Domain Join con Windows Server 2016 para servidores.
Domain Join + Device Registration para todos los
usuarios.
• Administración de configuraciones, actualizaciones y
mejoras con GPO y SCCM Current Branch.
• Azure AD Connect para sincronización de usuarios
hacia Azure AD para Office 365 y Azure AD (otros
servicios).
Conclusiones, Preguntas y Más Info
¿Te quedó alguna duda? ¿Querés darnos algún feedback?
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Algeiba SA. Algeiba es una empresa formada por un equipo
de profesionales y especialistas que desde 2006 ayudan a
sus clientes a transformar sus organizaciones y sus vidas a
través de la tecnología informática. Nos esforzamos todos
los días para ganar la confianza y lealtad de nuestros
clientes, contribuyendo con nuestros servicios para que
puedan obtener lo mejor de sus inversiones en IT.
Web: http://www.algeiba.com/
Facebook: http://www.facebook.com/algeibait/
LinkedIn: http://www.linkedin.com/company/algeiba-s-a-/
[Seminario] Windows 10 y la Gestión de Identidades - 04/02/2017
Especial Agradecimiento