Uso do WS-FED para registrar dispositivos com Windows 10 no Azure AD

O Azure AD permite o registro de qualquer dispositivo com Windows 10 como um dispositivo confiável. Os usuários podem usar esse dispositivo registrado para acessar facilmente os serviços protegidos do Azure, sem afetar a segurança dos ativos de TI.
casso1283
Desde a release 12.8.03, o Azure AD permite o registro de qualquer dispositivo com Windows 10 como um dispositivo confiável. Os usuários podem usar esse dispositivo registrado para acessar facilmente os serviços protegidos do Azure, sem afetar a segurança dos ativos de TI.
O processo geral inclui:
  1. O SiteMinder como provedor de identidades autentica um usuário e gera um assertion para o Azure AD atuar como provedor de serviço.
  2. O Azure AD aceita o assertion e permite que os usuários registrem o dispositivo com Windows 10 e, em seguida, permite que eles acessem facilmente os serviços protegidos do Azure, como o Office 365.
Assista ao seguinte vídeo para ver uma demonstração de como registrar dispositivos com Windows 10 no Azure AD:

Configuração
O processo de configuração inclui as seguintes etapas:
  1. Integre o Office 365 ao SiteMinder usando o runbook do Office 365.
    Execute a sincronização de usuário e a sincronização de dispositivo no Azure AD usando a ferramenta AAD Connect.
    Ative o ponto de conexão de serviço usando a ferramenta AAD Connect.
    Para obter mais informações, consulte o site da Microsoft.
  2. Configure uma parceria de federação do WS-FED no SiteMinder com as seguintes configurações:
    1. Selecione a opção para
      remover quebras de linha no assertion gerado
      da caixa de diálogo Configuração do assertion.
    2. Especifique o atributo
      ObjectSID;binary
      do Active Directory no
      AD:objectSid;binary
      na caixa de diálogo Configuração do assertion.
    3. (Opcional) Selecione o
      Algoritmo de assinatura
      na caixa de diálogo Assinatura.
Comandos de registro de dispositivo
Todos os dispositivos que são autenticados pelo SiteMinder como provedor de identidades podem ser registrados no Azure AD. A junção do dispositivo no Azure AD o registra.
Junção de um dispositivo
Comando:
dsregcmd /join /debug
Resposta bem-sucedida:
DsrCmdJoinHelper::Join: AutoEnrollAsComputer completed successfully
DSREGCMD_END_STATUS
AzureAdJoined : YES
Localização do status de um dispositivo
Após a junção de um dispositivo, verifique o status do dispositivo antes de continuar com outras etapas.
Comando:
dsregcmd /status /debug
Resposta bem-sucedida:
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : YES
DomainName : BROADCOM
Comandos de registro do usuário
Quando um usuário efetua logon no dispositivo que está registrado no Azure AD, o SiteMinder autentica o usuário e gera um assertion para o Azure AD. O Azure AD usa o assertion para gerar o PRT para o usuário, que ele pode usar para acessar facilmente os serviços protegidos do Azure.
Localização do status de um usuário
É possível verificar se um usuário tem um PRT para acessar os serviços protegidos do Azure.
Comando:
Dsregcmd /status /debug
Resposta bem-sucedida:
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : YES
AzureAdPrtUpdateTime : 2019-08-29 09:15:00.000 UTC
AzureAdPrtExpiryTime : 2019-09-12 09:15:49.000 UTC
AzureAdPrtAuthority : https://login.microsoftonline.com/682390bb-69bf-4491-9330-a23013c140bc
EnterprisePrt : NO
EnterprisePrtAuthority :