[Seminario] Windows 10 y la Gestión de Identidades Windows 10 + Windows Active Directory + Azure Active Directory
Quiénes somos? Pablo Ariel Di Loreto @Buenos Aires, Argentina. 35 años de edad. Gerente de Proyectos y Prácticas en Algeiba SA. Docente. Techie desde 1998. Dev desde 1998. IT Pro desde 2000. MVP desde Abril de 2014. Nahuel Osco @Buenos Aires, Argentina. 25 años de edad. IT Pro desde 2008. Influenciador en la comunidad de IT Pros.
Especial Agradecimiento Algeiba SA. Algeiba es una empresa formada por un equipo de profesionales y especialistas que desde 2006 ayudan a sus clientes a transformar sus organizaciones y sus vidas a través de la tecnología informática. Nos esforzamos todos los días para ganar la confianza y lealtad de nuestros clientes, contribuyendo con nuestros servicios para que puedan obtener lo mejor de sus inversiones en IT. Web: http://www.algeiba.com/ Facebook: http://www.facebook.com/algeibait/ LinkedIn: http://www.linkedin.com/company/algeiba-s-a-/
Visión, Alcance y Agenda del Evento Objetivo: presentar casos de negocio en relación a las opciones de gestión de identidades de Windows 10.. La dificultad de este Evento es Nivel 300. La duración de este Evento es de 90 minutos (1 hora y 30 minutos). Identidades en Windows 10. Presentación de Escenarios de Negocio. Desarrollo de Escenarios: Escenario Domain Join. Escenario Azure AD Join. Escenario Domain Join + Device Registration + Azure AD Join. Escenario Domain Join + Device Registration. Conclusiones + Espacio de Preguntas.
Identidades en Windows 10 Acordando Conceptos
Modelos para Acceso Laboral Windows Active Directory Join [Dispositivo Laboral]. Azure Active Directory Join [Dispositivo Laboral]. BYOD Join [Dispositivo Personal]
Modelos para acceso laboral: comparativa
Modelos para acceso laboral: comparativa
Modelos de Registración de Dispositivos Domain Join [Active Directory Domain Services]. Azure AD Join [Azure Active Directory]. Domain Join + Device Registration [en Azure AD]
Domain Join + Device Registration? Inicio de sesión único (SSO) a los recursos de Azure AD desde cualquier lugar. Acceso a la Tienda Windows para empresas mediante cuentas profesionales o educativas. Movilidad de las configuraciones de usuario conforme a la empresa entre dispositivos que usan cuentas profesionales o educativas.
Domain Join + Device Registration? Autenticación segura y práctico inicio de sesión para cuentas profesionales o educativas con Microsoft Passport y Windows Hello. Posibilidad de limitar el acceso únicamente a los dispositivos que cumplan con la configuración de la directiva de grupo. Compatible con Windows 10, Windows 8.1 y Windows 7 (estos dos últimos requieren ADFS).
Escenarios de Negocio Domain Join, Azure AD Join o Domain Join + Device Registration?
Escenarios de Negocio Banco Magios Tipo: Entidad Bancaria. Volumen: Empleados Administrativos ~1000. Clientes ~10000. Ahora: Tiene las aplicaciones Win32 implementadas en dispositivos que usan NTLM o Kerberos para autenticación / autorización. Requiere administración rígida de dispositivos. Regulado por Banco Central. Visión: Reducir complejidad administrativa. Estandarizar actualizaciones. Mínima nube. Algeiba Tipo: Consultoría y Soluciones Tecnológicas. Volumen: Empleados Administrativos ~15. Profesionales IT / Dev ~40. Ahora: Exchange Server. SharePoint Server. Project Server. ERP local que usa NTLM o Kerberos para autenticación / autorización. Fileserver local. Team Foundation Server. Visión: Favorecer la movilidad. Reducir complejidad de infraestructura local. Limitar al máximo la administración de usuarios y equipos.
Escenarios de Negocio Instituto Juan Ignacio Tipo: Institución Educativa. Volumen: Empleados Administrativos ~50. Cuerpo Docente ~60. Estudiantes ~2000. Ahora: Equipos comunes en salas. Correo electrónico local con solución MDaemon. Solo para Administrativos. Aplicaciones locales de facturación / cobro / seguimiento. 1 Sede. Visión: Aplicaciones de colaboración para Administrativos, Docentes y Estudiantes. Acceso a Aula 2.0. Reducir al máximo la administración. Grupo Papelera Tipo: Comercialización. Volumen: Empleados Administrativos ~800. Ahora: Exchange Server. SharePoint Server. Equpios con ADDS. aplicaciones Win32 implementadas en dispositivos que usan NTLM o Kerberos para autenticación / autorización. Administración via GPO y SCCM. Visión: Office 365. Algunas aplicaciones PaaS. Misma administración de configuraciones.
Escenarios de Negocio: Domain Join Banco Magios
Escenarios de Negocio: Domain Join Escenario Tipo: Entidad Bancaria. Volumen: Empleados Administrativos ~1000. Clientes ~10000. Ahora: Tiene las aplicaciones Win32 implementadas en dispositivos que usan NTLM o Kerberos para autenticación / autorización. Requiere administración rígida de dispositivos. Regulado por Banco Central. Visión: Reducir complejidad administrativa. Estandarizar actualizaciones. Mínima nube. Solución Windows 10 LTSB para cajeros. Windows 10 CBB para resto del personal. Windows 10 Insider para pocos profesionales IT. Domain Join con Windows Server 2016 para servidores y equipos cliente. Administración de configuraciones con GPOs. Administración de actualizaciones y mejoras con SCCM Current Branch. Azure AD Connect para sincronización de usuarios hacia Azure AD para Office 365.
Demo Domain Join OOBE. Windows Active Directory Join.
Escenarios de Negocio: Azure AD Join Algeiba
Escenarios de Negocio: Azure AD Join Escenario Tipo: Consultoría y Soluciones Tecnológicas. Volumen: Empleados Administrativos ~15. Profesionales IT / Dev ~40. Ahora: Exchange Server. SharePoint Server. Project Server. ERP local que usa NTLM o Kerberos para autenticación / autorización. Fileserver local. Team Foundation Server. Visión: Favorecer la movilidad. Reducir complejidad de infraestructura local. Limitar al máximo la administración de usuarios y equipos. Solución Windows 10 CBB para personal adminstrativo. Windows 10 Insider para IT y Desarrollo. Domain Join con Windows Server 2016 para servidores (preferentemente en Azure). Azure AD Join / BYOD Join para usuarios. Administración de configuraciones, actualizaciones y mejoras con MDM. Azure AD Connect para sincronización de usuarios hacia Azure AD para Office 365. Azure AD para publicación de apps y acceso condicional.
Beneficios de Azure AD Join Aprovisionamiento automático de dispositivos de la empresa. Compatibilidad con dispositivos modernos. Posibilidad de usar cuentas de organización existentes. Inicio de sesión único en recursos de la empresa. Movilidad de estado del SO. Tienda Windows preparada para la empresa. Inscripción automática en administración de dispositivos móviles.
Demo Configuración de Azure AD Join en Microsoft Azure. Aprovisionamiento automático de dispositivos de la empresa. Posibilidad de usar cuentas de organización existentes. Inicio de sesión único en recursos de la empresa. Movilidad de estado del SO. Tienda Windows preparada para la empresa. Inscripción automática en administración de dispositivos móviles.
Escenarios de Negocio: Domain Join + Device Registration + Azure AD Join Instituto Juan Ignacio
Escenarios de Negocio: IJI Escenario Tipo: Institución Educativa. Volumen: Empleados Administrativos ~50. Cuerpo Docente ~60. Estudiantes ~2000. Ahora: Equipos comunes en salas. Correo electrónico local con solución MDaemon. Solo para Administrativos. Aplicaciones locales de facturación / cobro / seguimiento. 1 Sede. Visión: Aplicaciones de colaboración para Administrativos, Docentes y Estudiantes. Acceso a Aula 2.0. Reducir al máximo la administración. Solución Windows 10 CBB para personal adminstrativo y docentes. Office 365 para todos. Domain Join con Windows Server 2016 para servidores. Domain Join + Device Registration para Administrativos. Azure AD Join / BYOD Join para estudiantes. Administración de configuraciones, actualizaciones y mejoras con MDM. Azure AD Connect para sincronización de usuarios administrativos y docentes hacia Azure AD para Office 365. Identidades 100% cloud para estudiantes.
Device Registration: Registración 1. Por política se indica a dispositivos de AD iniciar la auto-registración en Azure AD. 2. Los dispositivos consultan AD para obtener información del tenant de Azure. 3. Los dispositivos se autentican hacia Azure AD via ADFS para obtener un token de registración. 4. El dispositivo genera keys usadas en la registración, y certificados para proteger los tokens SSO. 5. El dispositivo se registra en Azure AD via Azure Device Registration Service.
Device Registration: Obtención de Token Luego de que el dispositivo es registrado con Azure AD, en cada logueo o desbloqueo de Windows se obtienen: 1. SSO token (Kerberos TGT) de AD. 2. SSO token de Azure AD.
Device Registration: Azure AD + DR Azure AD Connect es una pieza fundamental para habilitar esta funcionalidad. Hace tres cosas: Crea un objeto en Active Directory (un Service Connection Point) que habilita dispositivos unidos al dominio para que sean reconocidos en Azure AD. Sincroniza computadoras en AD hacia Azure AD como objetos dispositivos. Esto permite la autenticación segura mediante la registración automática vista antes. Si se tiene ADFS desplegado, crea una reglas claims que ayudan a la registración instantánea sin esperar la próxima sincronización.
Escenarios de Negocio: Domain Join + Device Registration Grupo Papelera
Escenarios de Negocio: Grupo Papelera Escenario Tipo: Comercialización. Volumen: Empleados Administrativos ~800. Ahora: Exchange Server. SharePoint Server. Equpios con ADDS. aplicaciones Win32 implementadas en dispositivos que usan NTLM o Kerberos para autenticación / autorización. Administración via GPO y SCCM. Visión: Office 365. Algunas aplicaciones PaaS. Misma administración de configuraciones. Solución Windows 10 CBB para personal adminstrativo. Office 365 para todos. Domain Join con Windows Server 2016 para servidores. Domain Join + Device Registration para todos los usuarios. Administración de configuraciones, actualizaciones y mejoras con GPO y SCCM Current Branch. Azure AD Connect para sincronización de usuarios hacia Azure AD para Office 365 y Azure AD (otros servicios).
Conclusiones, Preguntas y Más Info Te quedó alguna duda? Querés darnos algún feedback?
Especial Agradecimiento Algeiba SA. Algeiba es una empresa formada por un equipo de profesionales y especialistas que desde 2006 ayudan a sus clientes a transformar sus organizaciones y sus vidas a través de la tecnología informática. Nos esforzamos todos los días para ganar la confianza y lealtad de nuestros clientes, contribuyendo con nuestros servicios para que puedan obtener lo mejor de sus inversiones en IT. Web: http://www.algeiba.com/ Facebook: http://www.facebook.com/algeibait/ LinkedIn: http://www.linkedin.com/company/algeiba-s-a-/
Muchas Gracias! Web TecTimes: http://www.tectimes.net Web Algeiba: tp://www.algeiba.com Twitter: @TecTimesNet Facebook: @TecTimesNet Youtube: @TecTimesNet Google: +TecTimesNet