Uso de WS-FED para registrar dispositivos con Windows 10 con Azure AD

Azure AD permite el registro de cualquier dispositivo con Windows 10 como dispositivo de confianza. Los usuarios pueden usar este dispositivo registrado para acceder sin problemas a los servicios protegidos de Azure sin afectar la seguridad de los activos de TI.
casso1283
A partir de la versión 12.8.03, Azure AD permite el registro de cualquier dispositivo con Windows 10 como dispositivo de confianza. Los usuarios pueden usar este dispositivo registrado para acceder sin problemas a los servicios protegidos de Azure sin afectar la seguridad de los activos de TI.
El proceso de alto nivel incluye lo siguiente:
  1. SiteMinder como proveedor de identidades autentica a un usuario y genera una aserción para que Azure AD actúe como parte confidente.
  2. Azure AD acepta la aserción y permite a los usuarios registrar dispositivos con Windows 10 y, a continuación, les permite acceder sin problemas a servicios protegidos por Azure como, por ejemplo, Office 365.
Mire el siguiente vídeo para obtener una demostración sobre cómo registrar dispositivos con Windows 10 con Azure AD:

Configuración
El proceso de configuración incluye los pasos siguientes:
  1. Integrar Office 365 con SiteMinder mediante el runbook de Office 365.
    Realizar la sincronización de usuarios y la sincronización de dispositivos en Azure AD usando la herramienta AAD Connect.
    Habilitar Service Connection Point usando la herramienta AAD Connect.
    Para obtener más información, consulte el sitio web de Microsoft.
  2. Configure una asociación de federaciones de WS-FED en SiteMinder con las siguientes configuraciones:
    1. Seleccione la opción
      Eliminar saltos de línea en la aserción
      generada en el cuadro de diálogo Configuración de la aserción.
    2. Especifique el atributo
      ObjectSID;binary
      de Active Directory con el formato
      AD:objectSid;binary
      en el cuadro de diálogo Configuración de la aserción.
    3. (Opcional) Seleccione
      Algoritmo de firma
      en el cuadro de diálogo Firma.
Comandos de registro de dispositivos
Cualquier dispositivo autenticado por SiteMinder como proveedor de identidades se puede registrar con Azure AD. Al unir el dispositivo en Azure AD, se registra.
Unión de un dispositivo
Comando:
dsregcmd /join /debug
Respuesta correcta:
DsrCmdJoinHelper::Join: AutoEnrollAsComputer completed successfully
DSREGCMD_END_STATUS
AzureAdJoined : YES
Búsqueda del estado de un dispositivo
Después de unir el dispositivo, compruebe el estado del dispositivo antes de continuar con los siguientes pasos.
Comando:
dsregcmd /status /debug
Respuesta correcta:
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : YES
DomainName : BROADCOM
Comandos de registro de usuarios
Cuando un usuario inicia sesión en el dispositivo que está registrado con Azure AD, SiteMinder autentica al usuario y genera una aserción en Azure AD. Azure AD utiliza la aserción para generar PRT para el usuario, con lo que el usuario puede acceder sin problemas a los servicios protegidos de Azure.
Búsqueda del estado de un usuario
Se puede verificar si un usuario tiene un PRT para acceder a los servicios protegidos de Azure.
Comando:
Dsregcmd /status /debug
Respuesta correcta:
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : YES
AzureAdPrtUpdateTime : 2019-08-29 09:15:00.000 UTC
AzureAdPrtExpiryTime : 2019-09-12 09:15:49.000 UTC
AzureAdPrtAuthority : https://login.microsoftonline.com/682390bb-69bf-4491-9330-a23013c140bc
EnterprisePrt : NO
EnterprisePrtAuthority :