Aguascalientes, México contacto@deployment.mx

Integrar Azure AD con WorkSpace One UEM

VMware Workspace ONE UEM se integra con Microsoft Azure Active Directory (AD), lo que proporciona una sólida selección de flujos de trabajo de incorporación que se aplican a una amplia gama de casos de uso de Windows 10. Sin embargo, los requisitos de licencia de Azure estipulan que debe comprar una licencia adicional de Azure AD Premium para completar esta integración.

Microsoft Azure se usa generalmente para dispositivos nuevos y para coadministrar dispositivos administrados por MECM existentes. La mayoría de las organizaciones mantienen tanto para dispositivos nuevos como existentes.

Antes de que se pueda realizar los procedimientos debemos tener en cuenta los prerequisitos:

Workspace ONE UEM 1810 o posterior
Cuenta de administrador de Workspace ONE UEM
Licencia de Microsoft Azure AD Premium P1 o superior, o cualquier paquete que incluya esta licencia
Cuenta de administrador de Microsoft Azure AD para agregar la aplicación AirWatch by VMware
Un tipo de directorio configurado y válido en Servicios de directorio en la consola de Workspace ONE UEM. Si Azure AD es su directorio de origen de la verdad (modelo AAD puro), seleccione Ninguno para su Tipo de directorio.

Para poder comenzar el proceso, debemos iniciar sesion en nuestra cuenta de Workspace ONE, para ello puedes tener una cuenta trial desde este link.

En el panel principal de la consola vamos a navegar a All Settings – Group Settings – System – Enterprise Integration – Directory Services.

Nos desplazamos hacia abajo hasta las opciones avanzadas. Hacer clic en Usar Azure AD para servicios de identidad.

Debemos agregar la información solicitada, tal y como se muestra a continuación.

Para realizar este procedimiento, veamos las siguientes instrucciones.

Navegar en Azure Active Directory. Debemos agregar Airtwach y On-Premise Application, veamos el ejemplo siguiente.

Dentro de cada aplicación debemos colocar los grupos necesarios y copiar en portapapeles los terminos de uso y descubrimiento (URL´s) para colocarlas en la configuración de WorkspaceOne.

Nota: Por lo general, solo debemos agregar la aplicación local si se tiene un nombre de host personalizado. Esto significa que se tiene un SaaS dedicado o local. Sin embargo, agregar la aplicación no causa ningún daño a la configuración. También nos permite evitar la necesidad de solucionar errores de inscripción de Azure al inscribir dispositivos.

Debemos abrir On-Premises MDM application Settings, para otorgar los permisos necesarios de consentimiento.

Ahora debemos agregar las licencias a los usuarios que estaran enrolando los dispositivos con Workspace One.

Podemos usar Windows Autopilot para simplificar la inscripción de dispositivos y para configurar y preconfigurar nuevos dispositivos para un uso productivo o para restablecer, reutilizar o recuperar dispositivos. Podemos evitar la necesidad de crear, mantener y aplicar imágenes personalizadas del sistema operativo a los dispositivos.

Con cada implementación de Autopilot, los dispositivos hacen lo siguiente de forma predeterminada (puede crear perfiles de implementación para personalizar opciones adicionales):

  • Omitir las páginas de configuración de registro de Cortana, OneDrive y OEM
  • Configurado automáticamente para el trabajo o la escuela
  • Obtener una experiencia de inicio de sesión personalizada con la marca de la empresa o la escuela

Que es Windows Autopilot?

Windows Autopilot es una capacidad de Microsoft que permite la preconfiguración para dispositivos con Windows 10 junto con la experiencia de inscripción inmediata (OOBE). Una de las capacidades más importantes es que puede enviar directamente a un usuario final un dispositivo con Windows 10 y, tan pronto como se enciende, le muestra al usuario una pantalla de inicio de sesión personalizada durante la OOBE solicitando al usuario que ingrese sus credenciales. Después de una autenticación exitosa, el dispositivo se une a Azure AD, se inscribe automáticamente en Workspace ONE y todas las aplicaciones y configuraciones del usuario se instalan automáticamente.

Antes de poder realizar los procedimientos verifiquemos que los siguientes componentes estén instalados y configurados:

  • Un dispositivo Windows 10 Professional, Enterprise o Education (físico o virtual) que ejecute la versión 1703 o posterior con acceso a Internet
    Azure AD Premium P1 o P2
    Azure AD integrado con Workspace ONE UEM (consulte Integración de Azure AD con Workspace ONE UEM)
    Los usuarios deben tener permiso para unir dispositivos a Azure AD
    Verifique esto en su Portal de Azure en Azure Active Directory> Dispositivos> Configuración del dispositivo y permita que todos, nadie o un grupo específico.
  • Un inquilino funcional de Azure AD y una cuenta de administrador de Azure AD que pueden iniciar sesión en portal.azure.com
    Una cuenta de Microsoft Business Store que puede iniciar sesión en businessstore.microsoft.com

Listo, ahora retomamos la configuración de Workpsace One y vamos a enrolar a travez de Autopilot, para ello debemos generar el Hardware Hash de los dispositivos a enrolar, para ello podemos descargar el script desde este link.

Dentro del equipo tecnico ejecutamos el script siguiente:

Install-Script -Name Get-WindowsAutoPilotInfo -Force

Ahora obtenemos el archivo csv para posteriormente agregarlo a la plataforma de la nube de Microsoft.

Get-WindowsAutoPilotInfo.ps1 -OutputFile C:\WS1.csv

Guardamos el archivo resultante y lo subimos a la tienda de Microsoft para empresas. El siguiente paso es importar el dispositivo a Microsoft Store for Business y crear un perfil de piloto automático de Windows que defina los pasos y lo que ve el usuario final durante el proceso de OOBE.

Podemos crear un nuevo perfil o agregar a un perfil existente al dispositivo

Nota: Es fundamental que tanto el modelo de dispositivo como el perfil se reflejen correctamente en el portal de Microsoft Business Store antes de continuar. Observemos que la columna de perfil incluye un nombre de perfil asignado. Si la columna Perfil está en blanco, el piloto automático no funcionará para el dispositivo.

Para que nuestro dispositivo con Windows 10 pase por OOBE, debemos tener el proceso Sysprep ejecutándose en él. Abrímos un símbolo del sistema (como administrador) y ejecutamos Sysprep usando el comando:

C:\Windows\System32\Sysprep\sysprep.exe /oobe /shutdown

Nota: No utilizar el modificador /generalize, ya que esto cambia los identificadores de hardware que se generaron mediante el script Get-WindowsAutoPilotInfo.

Ahora se ha configurado correctamente Windows Autopilot para que funcione con VMware Workspace ONE UEM y los dispositivo Windows 10. El siguiente paso es encender su dispositivo o máquina virtual con Windows 10 para ver los beneficios de optimizar el proceso OOBE para los usuarios finales. Recordemos que el proceso OOBE se verá diferente según la versión de compilación, tengamos esto en cuenta.

También debemos agregar el equipo a el grupo seleccionado.

Prendemos nuevamente nuestro equipo cliente y tendremos el portal para entrar a AAD. Colocamos el usuario.

Colocamos el pin enviado a nuestro telefono movil registrado, y generamos el codigo final.

Aqui les comparto el video del proceso final

Deja un comentario

A %d blogueros les gusta esto: