WorkPlace Join
By Dani Alonso On 2 Dic, 2013 At 05:59 PM | Categorized As Windows 8, Windows RT, Windows Server, Windows Server 2012 R2, Workplace Join | With 0 Comments



workplace-join

Hace casi 2 meses del lanzamiento de Windows 8.1 y Windows Server 2012 R2 y aún nadie ha hablado de Workplace Join ni el Modo Kiosco? De esto último me lo reservo para hablar más adelante.

WorkPlace Join, es una nueva característica que nos va a permitir unir los dispositivos móviles a nuestro Directorio Activo, así podremos tener acceso a la información corporativa. Adicionalmente, esta característica se va a convertir en una autenticación de doble factor. El servicio descargará un certificado que identificará al dispositivo de forma única. Por lo tanto, a la hora de acceder a la información de la empresa, el usuario se autenticará contra el directorio activo de forma tradicional, mediante las credenciales del dominio utilizando SSO (Single sign-On), pero además se usará el certificado descargado.

Por lo tanto WorkPlace Join es una mejora de funcionalidad desde dos puntos de vista: la unión de los dispositivos y acceso a la información corporativa por un lado, y la mejora en la seguridad de acceso por medio de este control de doble factor.

Así mismo, otra de las características que hacen de WorkPlace Join un poderoso aliado para el administrador de sistemas, es el hecho de que no permite que las actividades laborales se mezclen con las actividades de carácter personal, al mismo tiempo que se ejerce un control sobre las conexiones de red, los datos y las aplicaciones de la empresa.

mobileLos registros de dispositivos pueden ser cancelados en caso de encontrarse en peligro o en caso de que el sistema los considere inseguros, por ejemplo, cuando un empleado ya no esté trabajando en la empresa o cuando el trabajador o su dispositivo no cumplan con las normas estipuladas.

WorkPlace Join es, básicamente, una nueva clase de objeto que se utiliza para registrar los dispositivos móviles en el directorio activo. Hay que tener en cuenta que este registro no hace que estos dispositivos sean gestionables (únicamente se identifican dentro del dominio). El resto de la administración de los dispositivos móviles, registrados en el directorio activo, se realizará a través de System Center 2012 R2 Configuration Manager.

Otro añadido es el hecho de que podemos publicar WorkPlace Join utilizando Web Aplication Proxy, la nueva herramienta que ya hemos mencionado anteriormente y pasaremos a analizar más profundamente en futuros posts.

La arquitectura de WorkPlace Join es relativamente sencilla. Teniendo en consideración que se trata de un servicio web, el dispositivo se registra para permitirnos trabajar con tecnología BYOD (Bring your own Device) y el acceso único mediante SSO. Tanto el registro como la publicación se registran a través de HTTPS.

WorkPlaceJoin

Para configurar WorkPlace Join, existen una serie de pasos a realizar:

Lo primero que se deberá realizar es la creación de una cuenta GSMA (Group Service Managed Account), éste es un nuevo tipo de cuenta administrada que nos ofrece Windows Server 2012 R2. Lo haremos a través de PowerShell mediante la ejecución de los siguientes CMDlets:

Add-KdsRootKey –EffectiveTime (Get-Date) AddHours(-10)

New-ADServiceAccount FsGsma –DNSHostName adfs1.contoso.com –ServicePrincipalNames http/adfs1.contoso.com

A continuación especificaremos el SPN (nombre principal del servicio) que vamos a utilizar e instalaremos un certificado SSL con ese nombre. Del mismo modo, crearemos el nombre alternativo “enterpriseregistration”.

<NombreDeServidor>.dominio.com

Enterpriseregistration.dominio.com

devices

“Enterprise registration” es un nombre estático que se utiliza para que los dispositivos encuentren el punto de publicación y, de este modo, poder registrarse. Su funcionamiento es similar al método de autodiscover que emplea Microsoft Exchange.

Llegados a este punto debemos configurar el rol de ADFS (Active Directory Federation Services),que es un requisito de WorkPlace Join para que los distintos dispositivos puedan acceder a través de SSO.

Posteriormente, habilitaremos el servicio de registro de dispositivos con ADFS por medio de un CMDlet de Power Shell que automáticamente preparará el directorio activo para este cometido:

+ Enable-AdfsDeviceRegistration –PrepareActivedirectory

 

El último paso es la creación de los correspondientes registros DNS “A” y “CNAME” tanto para el SPN que hayamos publicado como para el nombre estático “enterpriseRegistration” que hemos creado con anterioridad.

About - Geek ibérico (Cloud Solutions Principal Advisor). Microsoft MVP Cloud and DataCenter Management. Especialista en ciberseguridad empresarial y soluciones cloud. Perito Judicial Informático Forense, MCSA Office 365, Cloud Platform & Windows 10; MCSE Productivity, Messaging & Cloud Platform and Infrastructure, MCSD Azure Solutions Architect, STEP Member, CISSP, CCNA, MCT, MCITP, MOS Master, ...y colega! :-)