W2012r2

A raíz del anterior post relacionado con las novedades de Windows Server 2012 R2 publico esta entrada, que se centra en una de las novedades, la denominada Workplace Join.

Como ya habíamos comentado con anterioridad los tiempos están cambiando, y Microsoft ha introducido una serie de nuevas características en la parte de AD DS para satisfacer la demanda de los usuarios, y de las nuevas tecnologías.

A día de hoy hay una gran demanda por integrar nuestros dispositivos personales a la red empresarial, o al menos acceder con ellos a ciertos de los servicios. Windows Server 2012 R2 introduce novedades en esta materia, y los siguientes conceptos en este terreno:

  • Los Admins de IT podrán controlar quien puede tener acceso a los recursos de la organización, basándose Aplicación, Usuario, dispositivo y ubicación.
  • Los empleados podrán acceder a las aplicaciones y datos desde cualquier lugar, y en teoría desde cualquier dispositivo (esto … a día de hoy no es así, porque hay limitaciones en sistemas Android, solo está soportado en dispositivos Windows y dispositivos iOS), y usar SSO (Single sign-on) para acceder a aplicaciones de la organización.

Workplace Join

Pero ¿qué es Workplace Join?

Es una herramienta que nos permitirá unir nuestros dispositivos personales, a nuestros equipos en nuestra organización, de manera que podamos acceder a nuestros recursos y servicios en la compañía. Al unir los dispositivos estos pasan a ser dispositivos conocidos en AD DS y proveen algo parecido a un segundo factor de autenticación y SSO. El dispositivo en cuestión genera atributos en AD DS que pueden ser recuperados desde AD DS para permitir accesos basados en el a aplicaciones. Con W 2012 R2, dispositivos basados en Windows 8.1 y iOS pueden ser unidos mediante Workplace Join. Se rumorea que se está trabajando en incluir Andoid, y hasta Windows 7, pero habrá que esperar.

DRS (Device Registration Service) se incluye con AD FS (Federation Services) role en W2012 R2, es el servicio que hace posible Workplace Join.

image

Workplace join login Windows 8.1

El funcionamiento es el siguiente; cuando un dispositivo es unido mediante Workplace Join, DRS genera o provisiona un objeto de ese dispositivo (Device objet) en AD DS y entrega un certificado en dicho dispositivo para garantizar su validez.

Como ya se puede ver intuimos que vamos a necesitar un AD FS, y una CA o al menos certificados para empezar a implementar esta nueva funcionalidad, y un IIS con Windows Identity Foundation.

 

Desde mi punto de vista está tecnología aun está por depurar, no dudo que Microsoft en breve espacio de tiempo nos de algo mejorado y con mayor compatibilidad, hemos visto que los OS soportados en los dispositivos de usuario son muy pocos.

A nivel de AD DS y de la administración se incluye una variable más en la ecuación de la administración del día a día, y es el acceso basado en dispositivos Workplace Join, lo cual puede generar dudas en los primeros compases.

Pero, a nivel de seguridad, ¿confiamos plenamente en estos dispositivos? Y los usuarios, ¿Confian en hacer un workplace de sus dispositivos en la organización?

Iremos viendo con el paso de los meses si esta tecnología satisface las necesidades de algunas organizaciones, o por el contrario debe seguir mejorando.

Os dejo algo de información:

http://blogs.technet.com/b/keithmayer/archive/2013/11/09/why-r2-step-by-step-solve-byod-challenges-with-workplace-join.aspx#.Uq7ggPTuLfs

 

DGM