www.radians.com.ar Quería compartir con ustedes esta nota sobre los dispositivos soportados por Arctive Directory en Windows Server 2012 R2. Esta información la podemos consultar en el sitio oficial de Microsoft y en el Blog de Active Directory. El objetivo de esta nota es entender y fomentar el concepto BYOD (Bring your own device) tal como hemos comentado mucho últimamente.

www.radians.com.ar En Windows Server 2012 R2, se ha añadido un nuevo conjunto de capacidades a Active Directory que dan a los usuarios finales la capacidad de utilizar sus dispositivos para trabajar desde cualquier lugar, mientras que da a los profesionales las herramientas y tecnologías que necesitan para gobernar con eficacia el acceso a sus aplicaciones, datos y recursos que pueden estar en un centro de datos de forma local o ubicados en una variedad de servicios en la nube.

Los nuevos features son:

  • Workplace Join – Azure Active Directory Device Registration
    Workplace Join es una nueva característica de Active Directory.  Permite a los usuarios registrar sus dispositivos con el directorio de la empresa.  Esta registracion le permite al disposivo con un certificado que se puede utilizar para autenticar el dispositivo cuando el usuario está accediendo a recursos de la empresa.  Mediante el uso de esta asociación, los profesionales de TI pueden configurar las políticas de acceso personalizadas para requerir que el usuario y el dispositivo se autentiquen en su lugar de trabajo y pueda acceder a recursos de la empresa.
    Los dispositivos registrados con Workplace Join, también pueden ser utilizados como un segundo factor de autenticación, de forma transparente, de modo que los usuarios no tienen que suministrar nada más allá de sus credenciales normales para confirmar su identidad.
    Workplace Join soportara dispositivos Windows e iOS; y se planea que nuevas plataformas se sumen a esta opcion.
  • Single Sign-On (SSO)
    SSO es la capacidad de un usuario final para logearse una vez para acceder a una aplicación proporcionada por su compañía y luego nunca mas tener que ingresar nuevamente su información de inicio de sesión para acceder a otras aplicaciones de la compañía.
    Active Directory siempre ha proporcionado esta capacidad para las maquinas agregadas a un dominio. En Windows Server 2012 R2, se ha ampliado esta capacidad a los dispositivos que utilizan Workplace Join. Esto mejorará la experiencia del usuario final, evitando el riesgo de que cada aplicacion guarde las credenciales de usuario.  Esto tiene la ventaja adicional de que limita las oportunidades de contraseña recolección en los dispositivos personales o de la empresa evitando ser hackeados.
  • Trabajar desde cualquier lugar
    Los empleados de hoy son móviles y esperan poder acceder a las aplicaciones que necesitan para realizar su trabajo donde quiera que se encuentren.  Las empresas han adoptado varias estrategias para que este usando VPN, Direct Access  y Remote Desktop Gateways. Sin embargo, en el mundo de Bring Your Own Device (BYOD), estos enfoques no ofrecen el nivel de aislamiento de seguridad que muchos clientes necesitan. Para complementar esta necesidad, se ha añadido un rol "Web Application Proxy" en Windows Server RRAS (Routing and Remote Access Service). La función de este servicio nos permite publicar selectivamente las aplicaciones web corporativas para que sean accedidas desde fuera de la red corporativa. 
    Para aquellos que conozcan los servicios de federacion de Active Directory (Active Directory Federation Services – AD FS),  el Web Application Proxy es una extensión de la representación de AD FS.  Además de ser un proxy para el tráfico de autenticación, este rol es ahora también un proxy para las aplicaciones web.
    Además este proxy puede realizar la pre-autenticación en el borde de la red antes de admitir cualquier tráfico de aplicaciones en la red corporativa.  Mediante el uso de pre-autenticación, podemos controlar el tráfico a nuestras aplicaciones back-end.
  • Autenticación de múltiples factores (MFA)
    Para hacer esto todo el trabajo de una manera segura, fiable, se ha facilitado la forma de limitar los riesgos asociados a las cuentas de usuario comprometidas. En Windows Server 2012 R2, se ha hecho mucho más sencillo la forma de implementar múltiples factores de autenticación utilizando Active Directory.  Se ha construido un modelo plug-in para que se pueda conectar diferentes soluciones de autenticación de múltiples factores directamente en AD FS.
    Si queres probar algo de esto, le recomendamos que considerar el servicio PhoneFactor. Este servicio PhoneFactor (nombre código Autenticación Activa) está puesto a disposición para su uso con el plug-in ADFS, sin costo para hasta 25 usuarios y 500 autenticaciones un mes en un periodo de prueba, terminado este periodo el servicio se paga aparte.
    Podemos configurar MFA en AD FS en función de cada servicio, y configurar MFA en el Registro de dispositivos de servicio en AD FS.  El Servicio de Registro de dispositivos permite que los usuarios utilizar el Workplace Join con su dispositivo, y como se mencionó anteriormente, se puede utilizar la autenticación de dispositivos como segundo factor de verificación.
  • Control de Acceso Multi-Factor
    Multi-Factor de control de acceso es un nuevo feature que nos permite crear políticas de control de acceso de una aplicación específica utilizando varios criterios, como la identidad del usuario, la identidad del dispositivo, si el acceso está viniendo desde intranet o desde la extranet.
    Con esta opción, podemos proteger los recursos web, los servicios que se ha suscrito en nubes privadas o públicas, todo ello sin ningún cambio en los servidores back-end o servicios en la nube.
  • Soporte a OAuth 2.0
    Ha sido agregado el soporte OAuth 2.0 a los servicios de federación de Active Directory en Windows Server 2012 R2. Además también se ha ampliado la biblioteca de autenticación de Active Directory. Con estos cambios, la biblioteca de autenticación de AD puede ser utilizada por las aplicaciones independientemente de que dependan de Azure Active Directory o Windows Server Active Directory para la autenticación.
    Con el uso de esta biblioteca se hace más fácil de integrarlo con nuestro Single Sign-On desde los dispositivos Workplace Join e integrarlas con las políticas de control de acceso Multi-Factor.

Espero les sea de interés. Les dejo un par de links adicionales. Saludos, Roberto Di Lello.

Más información:

By Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.