Home
About
Archives
Contactenos
Ayuda | Help

10 2018

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por Google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :

youtube.com/c/RobertoDiLello

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal

28  09 2018

Disaster Recovery de Active Directory en Windows Server 2016 (parte1)

www.radians.com.ar ©Limpieza de metadatos es un procedimiento necesario después de un retiro forzado de los Servicios de dominio de Active Directory (AD DS). La limpieza de metadatos elimina datos de AD DS que identifica un controlador de dominio para el sistema de replicación. La limpieza de metadatos también elimina Servicio de replicación de archivos (FRS) y el Sistema de archivos distribuido (DFS) Las conexiones de replicación y los intentos de transferir o asumir cualquier maestro de operaciones (también conocido como flexible single master Operations o FSMO) que el controlador de dominio eliminado posee.

En definitiva, el Asistente para instalación de Active Directory (Dcpromo.exe) se usa para promover un servidor a controlador de dominio y para degradar un controlador de dominio a servidor miembro (o a un servidor independiente de un grupo de trabajo si el controlador de dominio es el último del dominio). Como parte del proceso de degradación, el asistente quita de Active Directory los datos de configuración del controlador de dominio. Estos datos toman la forma de un objeto de configuración NTDS que existe como elemento secundario del objeto de servidor en Sitios y servicios de Active Directory.

La información se encuentra en la ubicación siguiente de Active Directory:
CN=NTDS Settings, CN=<nombreDeServidor>, CN=Servers, CN=<nombreDeSitio>, CN=Sites, CN=Configuration, DC=<dominio>…

Los atributos del objeto de configuración NTDS incluyen datos que representan la forma en que se identifica el controlador de dominio con respecto a sus asociados de replicación, los contextos de nomenclatura que se mantienen en el equipo, si el controlador de dominio es un servidor de catálogo global y la directiva de consultas predeterminada. El objeto de configuración NTDS también es un contenedor que puede tener objetos secundarios que representen a los asociados de replicación directos del controlador de dominio. Estos datos son necesarios para que el controlador de dominio opere en el entorno, pero se retiran tras la degradación.

Si el objeto de configuración NTDS no se quita correctamente (por ejemplo, si no se quita de forma apropiada tras un intento de degradación), el administrador puede quitar manualmente los metadatos de un objeto de servidor. Tanto en Windows Server 2008 como en Windows Server 2008 R2, el administrador puede quitar los metadatos de un objeto de servidor quitando dicho objeto en el complemento Usuarios y equipos de Active Directory.

Debemos tener una PRECAUCION MUY IMPORTANTE, antes de quitar manualmente el objeto de configuración NTDS para cualquier servidor, debemos asegurarnos de que la replicación se ha realizado sin problemas desde la degradación.

En nuestro video de hoy, hemos creado un ambiente con un problema en la metadata como para mostrarles el procedimiento del proceso, por lo que genere este ScreenCast:

Pueden bajar la presentación en:

https://www.slideshare.net/stuwadre/laboratorio-active-directory-metadata-clean-up-windows-server-2016-parte1

Espero les sea de interés y utilidad. Saludos, Roberto Di Lello


26  09 2018

Windows Server GUI 2 Core – Como cambiar la interfaz sin reinstalar {ScreenCast}

imageHola, hoy vamos a ver como podemos convertir nuestro servidor con interfaz grafica a la versión server Core, sin la necesidad de reinstalarlo. En esta oportunidad estaremos haciendo el laboratorio con una versión de Windows Server 2012 r2.

Espero les sea de interés y utilidad. Saludos, Roberto Di Lello


24  09 2018

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por Google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :

youtube.com/c/RobertoDiLello

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


21  09 2018

Windows Server 2012 r2 como podemos usar la consola Server Manager para una mejor administracion {ScreenCast}

imageHoy vamos a ver como administrar el resto de nuestros servidores, desde el server manager de esta ultima versión. Es decir, administrar todos los Windows Server 2008 R2, Windows 2012 y Windows 2012 R2 desde el Windows Server 2016. Con esto podremos administrar nuestros Windows tanto locales como remotos, sin necesidad de tener acceso físico a los servidores, o la necesidad de habilitar Remote Desktop (RDP) a cada servidor. Aunque Server Manager soporta la administración remota, servidor y ayudar a aumentar el número de servidores, un administrador puede gestionar.

Espero les sea de interes y utilidad. Saludos, Roberto Di Lello.


19  09 2018

Como cambiar SID en Windows Server 2012 R2 cuando clonamos una VM ya que el NewSid no es una opcion {HowTo}

www.radians.com.arHola, como ya sabemos hace mucho tiempo el NewSID no funciona mas con las ultimas versiones de windows. Esto no es nuevo, de hecho ni me acuerdo cuando dejo de funcionar, pero fue hace mucho mucho tiempo.

La solucion que tenemos es utilizar el SysPrep. Generalmente el problema de SID duplicados ocurre cuando clonar el VHDx porque por alguna razon (no vagancia) no queremos o podemos realizar una instala nueva.

Recordamos que SYSPREP es una herramienta de preparación del sistema es una tecnología que puede utilizar con otras herramientas de implementación para instalar el SO de Windows con la intervención mínima de un administrador, y  nos permite tambien realizar instalaciones desatendidas. Sysprep se suele utilizar durante los deployments a gran escala cuando sería demasiado lento y costoso realizarlo de forma interactiva instalar el sistema operativo en equipos individuales.

El procedimiento es el siguiente:

www.radians.com.ar

Lo primero que hacemos es verificar el SID que tiene nuestro equipo. Para esto utilizamos el PSGetSID de sysinternals.

www.radians.com.ar

Luego vamos a la carpeta C:\windows\system32\sysprep\sysprep.exe

www.radians.com.ar

Ahora seleccionamos Enter System Out-of-Box Experience (OOBE), recuerden tildar la opcion Generalize y luego la opcion que deseen. Si ponen reboot el equipo reiniciara autimaticamente si ponen Quit terminara el proceso y luego deberemos reiniciar el equipo manualmente.

www.radians.com.ar

www.radians.com.ar

Al reiniciar nos pedira que ingresemos el password de la cuenta administrator y que aceptemos la licencia.

www.radians.com.ar

www.radians.com.ar

www.radians.com.ar

www.radians.com.ar

www.radians.com.ar

Despues de reiniciar, ejecutamos nuevamente el comando PSGetSID y podemos verificar que el procedimiento funciono correctamente y el SID de la maquina cambio.

Espero les sea de utilidad. Saludos Roberto Di Lello


17  09 2018

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por Google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :

youtube.com/c/RobertoDiLello

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


14  09 2018

Azure AD Tenant, que es el Inquilino de Azure AD?

www.radians.com.arEn Azure Active Directory (Azure AD), un inquilino es un representante de una organización. Se trata de una instancia dedicada del servicio de Azure AD que recibe una organización y que posee cuando registra un servicio en la nube de Microsoft, como Azure, Microsoft InTune u Office 365. Cada inquilino de Azure AD es distinto e independiente de los demás inquilinos de Azure AD.

Un inquilino aloja los usuarios de una empresa y la información sobre ellos: sus contraseñas, datos de perfil de usuario, permisos, etc. También contiene grupos, aplicaciones y otra información relativa a una organización y su seguridad.

Para permitir que los usuarios de Azure AD inicien sesión en su aplicación, debe registrar la aplicación en un inquilino que elija. La publicación de una aplicación en un inquilino de Azure AD es totalmente gratis. De hecho, la mayoría de programadores creará varios inquilinos y aplicaciones para fines de experimentación, desarrollo, almacenamiento provisional y prueba. Las organizaciones que se registren y consuman la aplicación pueden elegir opcionalmente adquirir licencias si desean aprovechar las características avanzadas de directorio.

Por lo tanto, ¿cómo obtiene un inquilino de Azure AD? El proceso puede ser poco diferente si:

Uso de una suscripción de Office 365 existente

Si dispone de una suscripción a Office 365, ya tiene un inquilino de Azure AD. Puede iniciar sesión en Azure Portal con su cuenta de Office 365 y empezar a usar Azure AD.

Uso de una suscripción de MSA Azure

Si se ha registrado anteriormente en una suscripción de Azure con una cuenta Microsoft individual, ya dispone de un inquilino. Cuando inicie sesión en Azure Portal, se registrará automáticamente en su inquilino predeterminado. Pueden usa este inquilino como considere oportuno, pero es posible que desee crear una cuenta de administrador organizativo.

Para hacerlo, siga estos pasos: También es posible que quiera crear a un nuevo inquilino y crear un administrador en ese inquilino siguiendo un proceso similar.

  1. Inicie sesión en Azure Portal con su cuenta individual.
  2. Navegue a la sección "Azure Active Directory" del portal (que se encuentra en la barra de navegación izquierda, en Más servicios)
  3. Debería iniciar sesión automáticamente en el "directorio predeterminado". Si no, puede cambiar de directorio haciendo clic en el nombre de cuenta en la esquina superior derecha.
  4. En la sección Tareas rápidas, elija Agregar un usuario.
  5. En el formulario para agregar usuario, proporcione la siguiente información:

    • Nombre: (elija un valor apropiado)
    • Nombre de usuario: (elija un nombre de usuario para este administrador)
    • Perfil: (rellene los valores apropiados en Nombre, Apellidos, Puesto y Departamento)
    • Rol: administrador global
  6. Cuando haya completado el formulario de adición de usuario y reciba la contraseña temporal para el nuevo usuario administrativo, asegúrese de registrar esta contraseña, puesto que tendrá que iniciar sesión con este nuevo usuario para cambiar la contraseña. También puede enviar la contraseña directamente al usuario mediante un correo electrónico alternativo.
  7. Haga clic en Crear para crear el nuevo usuario.
  8. Para cambiar la contraseña temporal, inicie sesión en https://login.microsoftonline.com con esta nueva cuenta de usuario y cambie la contraseña cuando se le solicite.

Uso de una suscripción de Azure organizativa

Si se ha registrado anteriormente en una suscripción de Azure con la cuenta organizativa, ya dispone de un inquilino. En Azure Portal debe buscar un inquilino cuando navegue a "Más servicios" y "Azure Active Directory". Pueden usar a este inquilino como considere oportuno.

Comienzo desde cero

Si todo lo anterior es un galimatías para usted, no se preocupe. Simplemente visite https://account.windowsazure.com/organization para registrarse en Azure con una nueva organización. Cuando haya completado el proceso, tendrá su propio inquilino de Azure AD con el nombre de dominio que elija durante el registro. En Azure Portal puede buscar el inquilino navegando a "Azure Active Directory" en panel de la izquierda.

Como parte del proceso de registro en Azure, se le solicitará que proporcione la información de tarjeta de crédito. Puede continuar con confianza: no se le cobrará por publicar aplicaciones en Azure AD o crear nuevos inquilinos.

Mas Info: Microsoft Docs Active Directory to Tenant

Saludos, Roberto Di Lello


12  09 2018

Azure, creando una cuenta trial GRATUITA de u$s200 {Step-by-Step}

Hoy vamos a ver como configurar una cuenta gratuita en Azure como para probar alguna de sus funcionalidades. Tambien les recomiendo ver el material de Microsoft Virtual Academy Windows Azure for IT Pros Jump Start

Como ya hemos visto con Windows Azure, podemos implementar y ejecutar fácilmente máquinas virtuales Windows Server y Linux en su propia red virtual en la nube. Con Infraestructura como servicio (IaaS) nos encargamos de la plataforma y de gestionar las máquinas virtuales. Esto puede ser muy bueno en muchos escenarios, tales como: la creación de entornos virtuales de laboratorio, la puesta a prueba de nuevos programas en la nube, e incluso podemos cargar nuestras propias máquinas virtuales (los VHD) y ejecutarlos en la nube.

Vamos a recibir $200 de créditos de Windows Azure con la prueba gratuita. La opción ahora es nuestra sobre cómo usamos los créditos de Windows Azure. Podemos utilizarlo en máquinas virtuales, sitios web, servicios en la nube, servicios móviles, almacenamiento, base de datos SQL, red de distribución de contenido, HDInsight, servicios de medios, lo que necesitemos.

Aquí hay algunos ejemplos de escenarios de uso que consumen no más de $ 200 en un mes:

  • Ejecutar 2 instancias de Virtual Machine pequeñas para todo el mes, o
  • Almacenar 800 GB de datos en Almacenamiento, o
  • Desarrollar y probar una aplicación web utilizando Cloud Services, con 3 funciones web y 2 roles de trabajo en instancias medias, durante 10 horas al día, 5 días a la semana o
  • Ejecutar una base de datos SQL de 100 GB para todo el mes

Como podemos ver tenemos varias alternativas que valen la pena.

Sign up for a FREE Trial of Windows Azure

a01

Hacemos clic en Start Trial, y luego nos pedira logearnos con nuestra cuenta. Luego veremos la siguiente pantalla en donde debemos seleccionar “SignUp for a free Trial”.

aa1

aa2

Todo lo que necesitamos es una cuenta de Microsoft y una tarjeta de crédito o telefono. Esta información se utiliza sólo para validar su identidad y su tarjeta de crédito no se cargará, a menos que convierta explícitamente su cuenta de prueba gratuita a una suscripción pagada en un momento posterior.

aa3

Hacemos esto estableciendo un límite de gastos, para protegernos de los cargos por uso involuntarios más allá de la cantidad de oferta incluida, establecemos la característica Límite de gastos por defecto en un límite de $ 0, asi si usamos más de los $ 200 de crédito, nuestros servicios sólo se detendrán, sin generar cargo.

Y aqui veremos nuestro estado de crédito.

a02

Espero que les sea de interes y utilidad. Saludos. Roberto Di Lello.


10  09 2018

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; https://www.youtube.com/user/RadiansBlog

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal

09 2018

Que es Intune for Education?

Hoy vamos a hablar de Intune for Education que les permite a sus maestros y estudiantes ser productivos y proteger los datos de su escuela. Intune es un servicio de gestión de movilidad empresarial (EMM) basado en la nube que es la base de Intune for Education.

image

Intune for Education le permite administrar dispositivos con Windows 10 e iOS utilizando las capacidades completas de MDM disponibles en Intune. La experiencia de administración completa del dispositivo le permite administrar dispositivos Windows, iOS y Android.

Intune for Education se puede usar solo o en forma conjunta con la experiencia completa de administración de dispositivos disponible en Intune . También se puede usar junto con el resto de las herramientas disponibles en Microsoft Education , lo que facilita el uso con otras herramientas educativas útiles de Microsoft.

Aca pueden ver un video en donde se explica de forma muy simple este concepto. Esta en ingles, pero pueden ponerle los substitulos en español.

Con Intune e Intune for Education, podemos hacer lo siguiente:

  • Administrar los dispositivos móviles que su personal y estudiantes usan para acceder a los datos.
  • Administrar las aplicaciones móviles a las que los usuarios acceden todos los días.
  • Protejer nuestra información organizacional al ayudar a controlar la forma en que sus usuarios acceden y la comparten.
  • Asegurarnos de que los dispositivos y las aplicaciones cumplan con los requisitos de seguridad.

Les recomiendo aprovechar la oportunidad para conocer mas de este producto con con una prueba gratuita de Intune de 90 días . Si ya tiene acceso, puede is a la consola para empezar a utilizarlo:  https://intuneeducation.portal.azure.com

Si quiere leer mas sobre esta utilidad les recomiendo ver el siguiente link: comenzar a utilizar Intune for Education .

Espero les sea de interes y utilidad. Saludos. Roberto Di Lello.


09 2018

Habilitacion de SSO entre aplicaciones en Android mediante ADAL en Azure AD {Azure}

www.radians.com.arLos clientes esperan que se proporcione un inicio de sesión único (SSO) para que los usuarios solo tengan que escribir sus credenciales una sola vez y esas credenciales automáticamente funcionen en otras aplicaciones. La dificultad de escribir el nombre de usuario y contraseña en una pantalla pequeña, a menudo combinado con un factor adicional (2FA) como una llamada de teléfono o un código de mensaje de texto, provoca una rápida insatisfacción si el usuario tiene que hacer esto más de una vez para su producto.

Además, si aplica una plataforma de identidad que puedan usar otras aplicaciones, como cuentas Microsoft o una cuenta de trabajo de Office 365, los clientes esperan que las credenciales estén disponibles para todas sus aplicaciones, independientemente del proveedor.

La plataforma de Microsoft Identity, junto con los SDK correspondientes, se ocupa de este trabajo ingrato y le ofrece la posibilidad de satisfacer a sus clientes con el inicio de sesión único, ya sea dentro de su propio conjunto de aplicaciones o, como sucede con nuestra funcionalidad de agente y las aplicaciones de Authenticator, en todo el dispositivo.

Este tutorial le indicará cómo configurar nuestro SDK dentro de la aplicación para proporcionar esta ventaja a sus clientes.

Este tutorial se aplica a:

  • Azure Active Directory
  • Azure Active Directory B2C
  • Azure Active Directory B2B
  • Acceso condicional de Azure Active Directory

En el documento anterior se considera que tiene conocimientos acerca de cómo aprovisionar aplicaciones en el portal heredado para Azure Active Directory y que ha integrado su aplicación con el SDK de Android de Microsoft Identity.

Conceptos de inicio de sesión único en la plataforma de Microsoft Identity

Agentes de Microsoft Identity

Microsoft proporciona aplicaciones para todas las plataformas móviles que permiten el traspaso de credenciales entre aplicaciones de distintos proveedores, y habilita características mejoradas especiales que requieren un único lugar seguro desde el que validar las credenciales. A estas aplicaciones las llamamos agentes. En iOS y Android, estos agentes se consiguen a través de aplicaciones descargables que los clientes instalan de forma independiente o bien se insertan en el dispositivo gracias a una empresa que administra el dispositivo de manera total o parcial para sus empleados. Gracias a estos agentes, es posible administrar la seguridad de solo unas aplicaciones o bien del dispositivo en su totalidad, en función de lo que decidan los administradores de TI. En Windows, esta funcionalidad se proporciona mediante un selector de cuentas integrado en el sistema operativo, que se conoce técnicamente como agente de autenticación web.

Para más información sobre el uso que hacemos de estos agentes y la percepción que tendrán de ellos sus clientes durante el proceso de inicio de sesión para la plataforma Microsoft Identity, siga leyendo.

Patrones para iniciar sesión en dispositivos móviles

El acceso a credenciales en los dispositivos sigue dos patrones básicos para la plataforma Microsoft Identity:

  • Inicios de sesión no asistidos por agente
  • Inicios de sesión asistidos por agente
Inicios de sesión no asistidos por agente

Los inicios de sesión no asistidos por agente son experiencias de inicio de sesión que ocurren en línea con la aplicación y usan el almacenamiento local en el dispositivo para esa aplicación. Este almacenamiento puede compartirse entre las aplicaciones, pero las credenciales están estrechamente vinculadas a la aplicación o al conjunto de aplicaciones que usan esa credencial. Probablemente haya experimentado esto en muchas aplicaciones móviles en las que escribe un nombre de usuario y una contraseña en la propia aplicación.

Estos inicios de sesión tienen las siguientes ventajas:

  • La experiencia de usuario se desarrolla por completo dentro de la aplicación.
  • Las credenciales se pueden compartir entre aplicaciones que estén firmadas por el mismo certificado, proporcionando una experiencia de inicio de sesión único para el conjunto de aplicaciones.
  • Se proporciona el control de la experiencia de inicio de sesión a la aplicación antes y después del inicio de sesión.

Estos inicios de sesión tienen las siguientes desventajas:

  • El usuario no puede experimentar el inicio de sesión único entre todas las aplicaciones que usan una identidad de Microsoft Identity, solo en aquellas identidades de Microsoft Identity que su aplicación ha configurado.
  • La aplicación no se puede usar con las características empresariales más avanzadas, como el acceso condicional, ni utilizar el conjunto de aplicaciones de InTune.
  • La aplicación no admite la autenticación basada en certificados para usuarios empresariales.

A continuación se representa el funcionamiento de los SDK de Microsoft Identity con el almacenamiento compartido de sus aplicaciones para habilitar el inicio de sesión único:

www.radians.com.ar

Inicios de sesión asistidos por agente

Los inicios de sesión asistidos por agente son experiencias de inicio de sesión que se producen dentro de la aplicación del agente y usan el almacenamiento y la seguridad del agente para compartir las credenciales entre todas las aplicaciones del dispositivo que se aplican a la plataforma Microsoft Identity. Esto significa que las aplicaciones dependen del agente para que los usuarios inicien sesión. En iOS y Android, estos agentes se consiguen a través de aplicaciones descargables que los clientes instalan de forma independiente o bien se insertan en el dispositivo gracias a una empresa que administra el dispositivo para sus usuarios. Un ejemplo de este tipo de aplicación es la aplicación Microsoft Authenticator en iOS. En Windows, esta funcionalidad se proporciona mediante un selector de cuentas integrado en el sistema operativo, que se conoce técnicamente como agente de autenticación web. La experiencia varía según la plataforma y a veces puede ser problemática para los usuarios si no se administra correctamente. Quizá este modelo le resulte más familiar si tiene instalada la aplicación Facebook y usa Facebook Connect desde otra aplicación. La plataforma Microsoft Identity utiliza este mismo modelo.

En el caso de iOS, esto da lugar a una animación de "transición" en la que la aplicación se envía a un segundo plano y las aplicaciones de Microsoft Authenticator vienen al primer plano para que el usuario seleccione la cuenta en la que quiere iniciar sesión.

En el caso de Android y Windows, el selector de cuentas se muestra sobre la aplicación, lo cual interrumpe menos la experiencia del usuario.

¿Cómo se invoca el agente?

Si se instala un agente compatible en el dispositivo, como la aplicación Microsoft Authenticator, los SDK de Microsoft Identity se ocuparán automáticamente de la tarea de invocar al agente cuando un usuario indique que quiere iniciar sesión con alguna de las cuentas de la plataforma Microsoft Identity. Esta cuenta podría tratarse de una cuenta personal de Microsoft, una cuenta profesional o educativa o una cuenta que especifique y hospede en Azure mediante nuestros productos B2C y B2B.

Cómo se garantiza que la aplicación es válida

La necesidad de asegurar la identidad de una llamada de la aplicación al agente es fundamental para la seguridad que proporcionamos en los inicios de sesión asistidos por agente. Ni IOS ni Android exigen identificadores únicos que solo son válidos para una aplicación determinada, por lo que aplicaciones malintencionadas pueden "suplantar" un identificador de la aplicación legítima y recibir los tokens destinados a la aplicación legítima. Para asegurarse de que siempre se comunica con la aplicación correcta en tiempo de ejecución, le pedimos al desarrollador que proporcione un redirectURI personalizado al registrar su aplicación con Microsoft. A continuación se describe cómo deben diseñar los desarrolladores este URI de redirección. Este URI de redirección personalizado contiene la huella digital del certificado de la aplicación y se asegura de que es único para la aplicación por Google Play Store. Cuando una aplicación llama el agente, este solicita al sistema de operativo Android que le proporcione la huella digital del certificado que llama el agente. El agente proporciona esta huella digital del certificado a Microsoft en la llamada a nuestro sistema de identidad. Si la huella digital del certificado de la aplicación no coincide con la huella digital del certificado proporcionada por el desarrollador durante el registro, se denegará el acceso a los tokens para el recurso que está solicitando la aplicación. Esta comprobación asegura que solo la aplicación registrada por el desarrollador recibe los tokens.

El desarrollador tiene la opción de elegir si el SDK de Microsoft Identity llama al agente o usa el flujo sin asistencia del agente. Sin embargo, si el desarrollador decide no usar el flujo asistido por agente, no podrá beneficiarse del uso de las credenciales de SSO que el usuario puede ya haber agregado en el dispositivo; además, impide que la aplicación se use con las características empresariales que Microsoft proporciona a sus clientes, como el acceso condicional, las funcionalidades de administración de Intune y la autenticación basada en certificados.

Estos inicios de sesión tienen las siguientes ventajas:

  • El usuario experimenta el inicio de sesión único en todas sus aplicaciones, con independencia del proveedor.
  • La aplicación puede usar las características empresariales más avanzadas, como el acceso condicional, o usar el conjunto de productos de InTune.
  • La aplicación puede admitir la autenticación basada en certificados para los usuarios empresariales.
  • La experiencia de inicio de sesión es mucho más segura, ya que tanto la identidad de la aplicación como el usuario se verifican por parte de la aplicación de agente con algoritmos de seguridad y sistemas de cifrado adicionales.

Estos inicios de sesión tienen las siguientes desventajas:

  • En iOS, el usuario pasa por un proceso externo a la experiencia de la aplicación mientras se eligen las credenciales.
  • Se pierde la capacidad de administrar la experiencia de inicio de sesión para los clientes dentro de la aplicación.

A continuación se representa el funcionamiento de los SDK de Microsoft Identity con las aplicaciones de agente para habilitar el inicio de sesión único:

www.radians.com.ar

Una vez que disponga de toda esta información, probablemente pueda entender e implementar mejor el inicio de sesión único en la aplicación mediante los SDK y la plataforma Microsoft Identity.

Habilitación del SSO entre aplicaciones mediante ADAL

Ahora vamos a usar el SDK de Android de ADAL para:

  • Activar el SSO no asistido por agente para su conjunto de aplicaciones
  • Activar la compatibilidad para el SSO asistido por agente
Activación del SSO para el SSO no asistido por agente

En el caso del SSO entre aplicaciones no asistido por agente, los SDK de Microsoft Identity administran automáticamente gran parte de la complejidad que entraña este proceso. Esto incluye la búsqueda del usuario adecuado en la memoria caché y el mantenimiento de una lista de usuarios que han iniciado sesión en la que se pueden realizar consultas.

Para habilitar el SSO entre aplicaciones de las que es el propietario debe hacer lo siguiente:

  1. Garantizar que todas las aplicaciones utilizan el mismo identificador de cliente o aplicación
  2. Garantizar que todas las aplicaciones tienen el mismo conjunto de SharedUserID.
  3. Garantizar que todas las aplicaciones comparten el mismo certificado de firma de Google Play Store para que puedan compartir el almacenamiento.
Paso 1: Uso del mismo identificador de cliente o aplicación para todas las aplicaciones de su conjunto

A fin de que la plataforma Microsoft Identity sepa que puede compartir tokens entre las aplicaciones, es necesario que todas ellas compartan el mismo identificador de cliente o aplicación. Se trata del identificador único que se le suministró al registrar su primera aplicación en el portal.

Quizás se pregunte cómo se puede identificar a las diferentes aplicaciones en el servicio Microsoft Identity si todas utilizan el mismo identificador. Pues bien, esto es posible gracias a los URI de redirección. Cada aplicación puede tener varios URI de redirección registrados en el portal de incorporación. Cada una de las aplicaciones de su conjunto tendrá diferentes URI de redirección. A continuación se muestra un ejemplo típico de su aspecto:

URI de redirección de la aplicación 1: msauth://com.example.userapp/IcB5PxIyvbLkbFVtBI%2FitkW%2Fejk%3D
URI de redirección de la aplicación 2: msauth://com.example.userapp1/KmB7PxIytyLkbGHuI%2UitkW%2Fejk%4E
URI de redirección de la aplicación 3: msauth://com.example.userapp2/Pt85PxIyvbLkbKUtBI%2SitkW%2Fejk%9F
….

Estos están anidados en el mismo identificador de cliente o aplicación y se consultan en función del URI de redirección que nos devuelve en su configuración del SDK.

www.radians.com.ar

Tenga en cuenta que el formato de estos URI de redirección se explica a continuación. Puede usar cualquier URI de redirección, a menos que desee utilizar el agente, en cuyo caso debe tener un aspecto como el anterior

Paso 2: Configuración del almacenamiento compartido en Android

La definición de SharedUserID está fuera del ámbito de este documento, pero se puede aprender en la documentación de Google Android, en el Manifiesto. Lo importante es que decida cómo desea llamar a su sharedUserID y usar ese nombre en todas sus aplicaciones.

Una vez que tiene SharedUserID en todas las aplicaciones, estará listo para utilizar SSO.

www.radians.com.ar

Eso es todo. El SDK de Microsoft Identity ahora compartirá las credenciales entre todas sus aplicaciones. La lista de usuarios también se compartirá entre las instancias de la aplicación.

Activación del SSO para el SSO asistido por agente

La capacidad de una aplicación de usar cualquier agente que esté instalado en el dispositivo está desactivada de forma predeterminada. Para poder utilizar la aplicación con el agente debe realizar algunos pasos de configuración adicionales y agregar código a la aplicación.

Los pasos que debe seguir son los siguientes:

  1. Habilitar el modo de agente en la llamada al código de la aplicación para el SDK de Microsoft
  2. Establecer un nuevo URI de redirección e indicarlo tanto en la aplicación como en el registro de la aplicación
  3. Configurar los permisos correctos en el manifiesto de Android
Paso 1: Habilitar el modo de agente en la aplicación

La capacidad de la aplicación de utilizar el agente se activa al crear la configuración inicial de la instancia de autenticación. Para ello, configure el tipo de ApplicationSettings en el código:

AuthenticationSettings.Instance.setUseBroker(true);
Paso 2: Establecer un nuevo URI de redirección con el esquema de dirección URL

Para garantizar que siempre se devuelvan los tokens de credencial a la aplicación correcta, es necesario asegurarse de que se llama a la aplicación de tal manera que el sistema operativo Android pueda verificarla. El sistema operativo Android utiliza el hash del certificado en Google Play Store. Este sistema no se puede suplantar por ninguna aplicación malintencionada. Por lo tanto, se aprovecha este elemento junto con el URI de la aplicación de agente para garantizar que los tokens se devuelven a la aplicación correcta. Es necesario establecer este URI de redirección único en la aplicación y configurarlo como URI de redirección en nuestro portal para desarrolladores.

Para ser correcto, el URI de redirección debe presentar el formato siguiente: msauth://packagename/Base64UrlencodedSignature

Por ejemplo: msauth://com.example.userapp/IcB5PxIyvbLkbFVtBI%2FitkW%2Fejk%3D

Este URI de redirección debe especificarse en el registro de la aplicación mediante Azure Portal. Para más información sobre el registro de aplicaciones de Azure AD, consulte Integración con Azure Active Directory.

Paso 3: Configurar los permisos correctos en la aplicación

Nuestra aplicación de agente en Android utiliza la característica de administrador de cuentas del SO Android para administrar las credenciales entre aplicaciones. Para utilizar el agente en Android el manifiesto de la aplicación debe tener permisos para usar cuentas del administrador de cuentas. Esto se explica en detalle en la documentación de Google para el administrador de cuentas que puede encontrar aquí

En concreto, estos permisos son:

  • GET_ACCOUNTS
  • USE_CREDENTIALS
  • MANAGE_ACCOUNTS
Ya ha configurado el SSO.

Ahora, el SDK de Microsoft Identity compartirá automáticamente las credenciales entre las aplicaciones e invocará al agente si está presente en su dispositivo.

Mas Info: Microsoft Docs – Azure Active Directory

Saludos. Roberto Di Lello


09 2018

Resumen Semanal!

www.radians.com.arBuenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 2016-2012r2-2012-2008r2 y sobre Windows 10-8.1. Les paso el link para que los vean; https://www.youtube.com/user/RadiansBlog

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


31  08 2018

Como agregar la proteccion del navegador de Windows Defender a Chrome {Intune}

www.radians.com.arHoy quería compartir con ustedes esta nota donde veremos como agregar la proteccion de Windows defender a Chrome utilizando nuestro Intune. Hace poco huvo una publicación de Martin Bengtsson sobre la utilización de Configuration Manager (SCCM) para forzar la instalación de la extensión de Windows Defender Browser Protection para Chrome. De ahi que esta nota es diferente pero similar, en donde podremos implementar la extensión utilizando un script de PowerShell implementado a través de Microsoft Intune.

Para obtener más información sobre la Protección del navegador de Windows Defender para Google Chrome, les recomiendo ver la nota https://chrome.google.com/webstore/detail/windows-defender-browser/bkbeeeffjjeopflfhgeknacdieedcoml

Para esta nota se asume que nuestro Windows 10 esta enrolado en nuestro Intune.

El siguiente script de PowerShell creado por para agregar la extensión Defender Chrome como una entrada de registro:

New-Item -Path HKLM:\Software\Policies\Google\Chrome -Name ExtensionInstallForcelist –Force
$RegKey ="HKLM:\Software\Policies\Google\Chrome\ExtensionInstallForcelist"
Set-ItemProperty -path $RegKey -name 1 -value "bkbeeeffjjeopflfhgeknacdieedcoml;https://clients2.google.com/service/update2/crx"

Hay que guardar el script como un archivo .ps1 y lo agregarlo a Intune utilizando los pasos a continuación:

image

Damos un nombre la secuencia de comandos, carguamosy guardamos:

image

Asignamos el script a un grupo:

image

Sincronizamos el dispositivo de Windows 10 con Intune

image

Sincronizamos el dispositivo con Intune

image

Vemor el Registro antes de la sincronización

image

Chrome sin protección del navegador Defender

image

Verificamos el registro despues de la sincronizacion con Intune y vemos que aparecen los cambios.

Registro después de la sincronización

image

Podemos verificar que el Chrome con protección de navegador Defender, una vez que se inicia, la extensión se descarga automáticamente al directorio de extensión y se agrega a Chrome.

image

Si verificamos el subdirectorio en donde se guarda las extensiones del Chrome podemos ver que se encuentra la carpeta que corresponde a Windows Defender.

image

Saludos, Roberto Di Lello.


29  08 2018

Microsoft detecto cinco paginas web falsas creadas por piratas rusos para penetrar instituciones estadounidenses {Seguridad}

El objetivo aparente de estas páginas web, entre otros, era piratear los ordenadores de aquellas personas que las visitaran erróneamente.

Microsoft ha cerrado hasta cinco sitios web falsos, incluidos algunos pertenecientes al Senado de EEUU y centros de pensamiento estadounidenses, creados por un grupo de piratas informáticos vinculados supuestamente con el Gobierno ruso, informó la compañía de tecnología.

El objetivo aparente de estas páginas web era piratear los ordenadores de aquellas personas que las visitaran erróneamente.

Según Microsoft, dichos sitios "online" fueron creados por el grupo de hackers APT28, que ha sido públicamente vinculado a una agencia de inteligencia rusa e interfirió activamente en las elecciones presidenciales de 2016, según investigadores de EEUU.

(Getty Images)
(Getty Images)

La revelación de Microsoft llega tras meses de sospechas y advertencias por parte de funcionarios estadounidenses por la posible injerencia rusa en las elecciones legislativas que tendrán lugar este noviembre en el país.

La Unidad de Delitos Digitales de Microsoft asumió el papel principal en la búsqueda y desactivación de los sitios, y la compañía está tomando medidas para proporcionar una mayor protección de seguridad cibernética a campañas y equipos electorales que usan productos de la marca.

Entre las instituciones afectadas se encuentra el Instituto Hudson, un centro de pensamiento conservador con sede en Washington que ha participado de forma activa en las investigaciones sobre la injerencia en Rusia; y el Instituto Republicano Internacional (IRI), un grupo sin fines de lucro que promueve la democracia en todo el mundo.

Las otras tres páginas falsas fueron diseñadas para aparecer como si estuvieran afiliadas al Senado, y el quinto sitio web no tenía contenido político, pero falsificó los propios productos en línea de Microsoft.

Con información de EFE


« Previous PageNext Page »