Uno de los objetivos del examen AZ-104, es saber cómo configurar los parámetros de Azure AD join, sin embargo para comenzar a hablar sobre Azure AD join, es importante tener claro fundamentos como device identity y los tipos de registro de dispositivos en un tenant de Azure Active Directory.

Device Identity

Aclaremos primero el concepto de device identity.

Para saber qué es device identity, podemos tomar como ejemplo el proceso de unir una máquina a Active Directory Domain Services o a lo que conocíamos como simplemente Active Directory.

Cuando nosotros unimos una máquina a un dominio de Active Directory, podemos ver que automáticamente se crea un nuevo objeto de tipo computadora dentro de la unidad organizacional de computers. Adicionalmente, este objeto cuenta con diferentes atributos que describen sus características principales, como la versión del sistema operativo, el nombre de la máquina, etc.

Cambios en los grupos de la máquina al unirla a un dominio

De igual manera, cuando unimos una máquina al dominio, dentro del grupo local de administradores de la máquina, se agrega el grupo de administradores de Active Directory, esto con el fin de que los administradores del dominio tengan control sobre la configuración de esta máquina.

En este caso, estamos haciendo uso de device identity dentro de nuestro entorno de Active Directory.

Registrar o unir un dispositivo a Azure Active Directory

Si tomamos este ejemplo de device identity en Active Directory Domain Services y lo aplicamos a Azure Active Directory, veremos que al unir o al registrar una máquina o un dispositivo a Azure Active Directory, se realiza un proceso muy similar.

Nota: Más adelante veremos cuál es la diferencia entre unir o registrar un dispositivo en Azure Active Directory.

Cuando unimos o registramos un dispositivo en Azure Active Directory, inicialmente se crea un nuevo objeto que representa el dispositivo, este objeto también cuenta con atributos que lo describen similar a un objeto de Active Directory DS.

Del lado del dispositivo, también se realiza un cambio a nivel de los grupos de seguridad locales con el fin de permitir la administración del dispositivo.

De manera predeterminada se agregan al grupo de administradores locales de la máquina los siguientes roles de Azure Active Directory.

Descripción rol Global administrator
Descripción rol Azure AD joined device local administrator

Nosotros como administradores de un tenant de Azure Active Directory, por medio del portal de Azure, podemos configurar los siguiente aspectos Azure AD join desde el panel configuración de dispositivos.

AAD device settings

Roaming de usuarios

Adicionalmente, cuando unimos una máquina a Azure AD, vamos a poder usar cuentas de nuestro Tenant de Azure Active Directory para iniciar sesión en esta máquina, de igual manera que lo hacemos con máquinas unidas a un dominio de Active Directory Domain Services en tierra.

Acceso condicional

Otro aspecto muy importante que nos brinda Azure Active Directory, es, las políticas de acceso condicional, estas políticas permiten conceder 👌 o bloquear 😣 el acceso del dispositivo según criterios definidos por el administrador, con el fin de mantener la información segura.

Por ejemplo si un usuario intenta iniciar sesión en un dispositivo que no cuenta con el antivirus actualizado, es posible denegar el inicio de sesión desde este dispositivo hasta que el problema haya sido solucionado.

Single Sign-on

Otro de los beneficios de asociar un dispositivo a AAD, es poder hacer uso de la tecnología de single-sign on, que, como su nombre lo indica, nos permite iniciar sesión una vez en nuestra máquina y que posteriormente cuando abramos las aplicaciones de la compañía, no tengamos que autenticarnos nuevamente.

Esto se logra mediante la instalación de un certificado digital ya sea en el almacén de certificados del usuario o en el almacén de certificados de la máquina.

Este certificado, también se instala durante el proceso de asociación de la máquina a AAD.

Tipos de asociación de dispositivo a Azure Active Directory

Ahora que entendemos el objetivo del proceso de asociación de máquinas a AAD, veamos cuáles son las formas en las que podemos asociar un dispositivo a Azure Active Directory:

¿Cuál es la diferencia?

Cuál es la diferencia entre estos 3 tipos de asociación?

Podemos utilizar los siguientes criterios para determinar cuál de los 3 escenarios aplicarían según las necesidades del negocio

  1. ¿Quién es el propietario del dispositivo y los datos que están en el dispositivo?
  2. ¿Quién puede administrar los dispositivos?
  3. ¿Dónde se va a realizar la autenticación del usuario?
  4. ¿Con qué cuenta se va a realizar la autenticación en el dispositivo?

Azure AD registered o Workplace joined devices

Veamos cuáles serían las principales características de Azure AD registration:

Nota: En algunos lugares, Microsoft también lo llama Workspace joined devices.

dsregcmd /status muestra Workplace Joined en vez de Aaure AD Registered

Esta modalidad se usa principalmente en entornos donde el usuario es el dueño del dispositivo (también conocido como BYOD o Bring your own device) y se busca que el usuario pueda tener acceso a la información de la organización usando su dispositivo personal.

Para esta modalidad entonces podríamos decir lo siguiente:

  1. El propietario del dispositivo suele ser el usuario.
  2. Se busca principalmente permitir acceso a la información de la organización. Las opciones de administración que se aplican sobre del dispositivo son limitadas aunque se puede limitar el acceso del dispositivo en las ocasiones que sea necesario deshabilitando el objeto en Azure Active Directory.
  3. La autenticación se realiza de manera local, el usuario ingresa al dispositivo con su cuenta personal y no con una cuenta corporativa.
  4. Aunque el dispositivo se registra con Azure Active Directory no se requiere una cuenta organizacional para iniciar sesión en el dispositivo.

En este modo, el usuario cuenta con SSO a las aplicaciones cloud mediante el navegador.

Requerimientos:

Para poder realizar un Azure AD registration, debemos tener un dispositivo con Windows 10 o superior, apple iOS, Android, o apple macOS.

Recursos: Azure AD registered devices

Azure Ad Joined

Veamos las principales características de un entorno donde se usaría Azure AD join.

Esta modalidad se usa normalmente en compañías centradas en cloud donde no se cuenta con una infraestructura en tierra de Active Directory Domain Services y se cuenta con Azure Active Directory como única fuente de autenticación y administración de los dispositivos.

Para esta modalidad entonces podríamos decir lo siguiente:

  1. En este caso, el propietario de los datos normalmente es la compañía y esta también es la que brinda el dispositivo al usuario.
  2. La administración del dispositivo se delega sobre los grupos agregados localmente durante el proceso de join.
  3. La autenticación se realiza de manera exclusiva mediante Azure Active Directory.
  4. La autenticación se realiza con cuentas existentes en Azure Active Directory.

Requerimientos

Para poder realizar un Azure AD join, debemos tener un dispositivo con Windows 11, Windows 10, excepto las versiones de Windows Home.

A nivel de sistemas operativos de servidor, podemos registrar servidores con Windows Server 2019 pero solamente si es una máquina virtual que esté corriendo en Azure.

Hybrid Azure AD joined

Finalmente veamos el escenario de híbrido de Azure Active Directory.

El termino Hybrid o híbrido, es básicamente una cuenta de dispositivo o máquina tradicional de Active Directory que luego es sincronizada al tenant de Azure Active Directory mediante Azure AD connect.

  1. En este caso, el propietario de los datos normalmente es la compañía y esta es la que brinda el dispositivo al usuario.
  2. La administración de los dispositivos también se realiza por las personas asignadas como administradores del dominio. Normalmente, el usuario no tiene permisos de administrar el dispositivo que le ha sido asignado por la compañía.
  3. La autenticación se realiza usando Active Directory Domain Services o Azure Active Directory ya que los usuarios también están sincronizados en el tenant de Azure Active Directory.
  4. La cuenta con la se se inicia sesión en los dispositivos, también es una cuenta registrada en Active Directory Domain Services o en Azure Active Directory.

Requerimientos:

Para Hybrid Azure AD join, podemos usar sistemas operativos Windows 10, 8.1 and 7 y a nivel de sistemas operativos de servidor, podemos usar sistemas operativos Windows Server 2008/R2, 2012/R2, 2016 and 2019.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.