Uso do WS-FED para registrar dispositivos com Windows 10 no Azure AD
O Azure AD permite o registro de qualquer dispositivo com Windows 10 como um dispositivo confiável. Os usuários podem usar esse dispositivo registrado para acessar facilmente os serviços protegidos do Azure, sem afetar a segurança dos ativos de TI.
casso1283
Desde a release 12.8.03, o Azure AD permite o registro de qualquer dispositivo com Windows 10 como um dispositivo confiável. Os usuários podem usar esse dispositivo registrado para acessar facilmente os serviços protegidos do Azure, sem afetar a segurança dos ativos de TI.
O processo geral inclui:
- O SiteMinder como provedor de identidades autentica um usuário e gera um assertion para o Azure AD atuar como provedor de serviço.
- O Azure AD aceita o assertion e permite que os usuários registrem o dispositivo com Windows 10 e, em seguida, permite que eles acessem facilmente os serviços protegidos do Azure, como o Office 365.
Assista ao seguinte vídeo para ver uma demonstração de como registrar dispositivos com Windows 10 no Azure AD:
Configuração
O processo de configuração inclui as seguintes etapas:
- Integre o Office 365 ao SiteMinder usando o runbook do Office 365.Execute a sincronização de usuário e a sincronização de dispositivo no Azure AD usando a ferramenta AAD Connect.Ative o ponto de conexão de serviço usando a ferramenta AAD Connect.Para obter mais informações, consulte o site da Microsoft.
- Configure uma parceria de federação do WS-FED no SiteMinder com as seguintes configurações:
- Selecione a opção pararemover quebras de linha no assertion geradoda caixa de diálogo Configuração do assertion.
- Especifique o atributoObjectSID;binarydo Active Directory noAD:objectSid;binaryna caixa de diálogo Configuração do assertion.
- (Opcional) Selecione oAlgoritmo de assinaturana caixa de diálogo Assinatura.
Comandos de registro de dispositivo
Todos os dispositivos que são autenticados pelo SiteMinder como provedor de identidades podem ser registrados no Azure AD. A junção do dispositivo no Azure AD o registra.
Junção de um dispositivo
Comando:
dsregcmd /join /debug
Resposta bem-sucedida:
DsrCmdJoinHelper::Join: AutoEnrollAsComputer completed successfullyDSREGCMD_END_STATUSAzureAdJoined : YES
Localização do status de um dispositivo
Após a junção de um dispositivo, verifique o status do dispositivo antes de continuar com outras etapas.
Comando:
dsregcmd /status /debug
Resposta bem-sucedida:
+----------------------------------------------------------------------+| Device State |+----------------------------------------------------------------------+AzureAdJoined : YESEnterpriseJoined : NODomainJoined : YESDomainName : BROADCOM
Comandos de registro do usuário
Quando um usuário efetua logon no dispositivo que está registrado no Azure AD, o SiteMinder autentica o usuário e gera um assertion para o Azure AD. O Azure AD usa o assertion para gerar o PRT para o usuário, que ele pode usar para acessar facilmente os serviços protegidos do Azure.
Localização do status de um usuário
É possível verificar se um usuário tem um PRT para acessar os serviços protegidos do Azure.
Comando:
Dsregcmd /status /debug
Resposta bem-sucedida:
+----------------------------------------------------------------------+| SSO State |+----------------------------------------------------------------------+AzureAdPrt : YESAzureAdPrtUpdateTime : 2019-08-29 09:15:00.000 UTCAzureAdPrtExpiryTime : 2019-09-12 09:15:49.000 UTCAzureAdPrtAuthority : https://login.microsoftonline.com/682390bb-69bf-4491-9330-a23013c140bc EnterprisePrt : NOEnterprisePrtAuthority :