Background

Integrar Azure AD con WorkSpace One UEM

Article arrow_drop_down

VMware Workspace ONE UEM se integra con Microsoft Azure Active Directory (AD), lo que proporciona una sólida selección de flujos de trabajo de incorporación que se aplican a una amplia gama de casos de uso de Windows 10. Sin embargo, los requisitos de licencia de Azure estipulan que debe comprar una licencia adicional de Azure AD Premium para completar esta integración.

Microsoft Azure se usa generalmente para dispositivos nuevos y para coadministrar dispositivos administrados por MECM existentes. La mayoría de las organizaciones mantienen tanto para dispositivos nuevos como existentes.

Antes de que se pueda realizar los procedimientos debemos tener en cuenta los prerequisitos:

Workspace ONE UEM 1810 o posterior
Cuenta de administrador de Workspace ONE UEM
Licencia de Microsoft Azure AD Premium P1 o superior, o cualquier paquete que incluya esta licencia
Cuenta de administrador de Microsoft Azure AD para agregar la aplicación AirWatch by VMware
Un tipo de directorio configurado y válido en Servicios de directorio en la consola de Workspace ONE UEM. Si Azure AD es su directorio de origen de la verdad (modelo AAD puro), seleccione Ninguno para su Tipo de directorio.

Para poder comenzar el proceso, debemos iniciar sesion en nuestra cuenta de Workspace ONE, para ello puedes tener una cuenta trial desde este link.

En el panel principal de la consola vamos a navegar a All Settings – Group Settings – System – Enterprise Integration – Directory Services.

Nos desplazamos hacia abajo hasta las opciones avanzadas. Hacer clic en Usar Azure AD para servicios de identidad.

Debemos agregar la información solicitada, tal y como se muestra a continuación.

Para realizar este procedimiento, veamos las siguientes instrucciones.

Navegar en Azure Active Directory. Debemos agregar Airtwach y On-Premise Application, veamos el ejemplo siguiente.

Dentro de cada aplicación debemos colocar los grupos necesarios y copiar en portapapeles los terminos de uso y descubrimiento (URL´s) para colocarlas en la configuración de WorkspaceOne.

Nota: Por lo general, solo debemos agregar la aplicación local si se tiene un nombre de host personalizado. Esto significa que se tiene un SaaS dedicado o local. Sin embargo, agregar la aplicación no causa ningún daño a la configuración. También nos permite evitar la necesidad de solucionar errores de inscripción de Azure al inscribir dispositivos.

Debemos abrir On-Premises MDM application Settings, para otorgar los permisos necesarios de consentimiento.

Ahora debemos agregar las licencias a los usuarios que estaran enrolando los dispositivos con Workspace One.

Podemos usar Windows Autopilot para simplificar la inscripción de dispositivos y para configurar y preconfigurar nuevos dispositivos para un uso productivo o para restablecer, reutilizar o recuperar dispositivos. Podemos evitar la necesidad de crear, mantener y aplicar imágenes personalizadas del sistema operativo a los dispositivos.

Con cada implementación de Autopilot, los dispositivos hacen lo siguiente de forma predeterminada (puede crear perfiles de implementación para personalizar opciones adicionales):

  • Omitir las páginas de configuración de registro de Cortana, OneDrive y OEM
  • Configurado automáticamente para el trabajo o la escuela
  • Obtener una experiencia de inicio de sesión personalizada con la marca de la empresa o la escuela

Que es Windows Autopilot?

Windows Autopilot es una capacidad de Microsoft que permite la preconfiguración para dispositivos con Windows 10 junto con la experiencia de inscripción inmediata (OOBE). Una de las capacidades más importantes es que puede enviar directamente a un usuario final un dispositivo con Windows 10 y, tan pronto como se enciende, le muestra al usuario una pantalla de inicio de sesión personalizada durante la OOBE solicitando al usuario que ingrese sus credenciales. Después de una autenticación exitosa, el dispositivo se une a Azure AD, se inscribe automáticamente en Workspace ONE y todas las aplicaciones y configuraciones del usuario se instalan automáticamente.

Antes de poder realizar los procedimientos verifiquemos que los siguientes componentes estén instalados y configurados:

  • Un dispositivo Windows 10 Professional, Enterprise o Education (físico o virtual) que ejecute la versión 1703 o posterior con acceso a Internet
    Azure AD Premium P1 o P2
    Azure AD integrado con Workspace ONE UEM (consulte Integración de Azure AD con Workspace ONE UEM)
    Los usuarios deben tener permiso para unir dispositivos a Azure AD
    Verifique esto en su Portal de Azure en Azure Active Directory> Dispositivos> Configuración del dispositivo y permita que todos, nadie o un grupo específico.
  • Un inquilino funcional de Azure AD y una cuenta de administrador de Azure AD que pueden iniciar sesión en portal.azure.com
    Una cuenta de Microsoft Business Store que puede iniciar sesión en businessstore.microsoft.com

Listo, ahora retomamos la configuración de Workpsace One y vamos a enrolar a travez de Autopilot, para ello debemos generar el Hardware Hash de los dispositivos a enrolar, para ello podemos descargar el script desde este link.

Dentro del equipo tecnico ejecutamos el script siguiente:

Install-Script -Name Get-WindowsAutoPilotInfo -Force

Ahora obtenemos el archivo csv para posteriormente agregarlo a la plataforma de la nube de Microsoft.

Get-WindowsAutoPilotInfo.ps1 -OutputFile C:WS1.csv

Guardamos el archivo resultante y lo subimos a la tienda de Microsoft para empresas. El siguiente paso es importar el dispositivo a Microsoft Store for Business y crear un perfil de piloto automático de Windows que defina los pasos y lo que ve el usuario final durante el proceso de OOBE.

Podemos crear un nuevo perfil o agregar a un perfil existente al dispositivo

Nota: Es fundamental que tanto el modelo de dispositivo como el perfil se reflejen correctamente en el portal de Microsoft Business Store antes de continuar. Observemos que la columna de perfil incluye un nombre de perfil asignado. Si la columna Perfil está en blanco, el piloto automático no funcionará para el dispositivo.

Para que nuestro dispositivo con Windows 10 pase por OOBE, debemos tener el proceso Sysprep ejecutándose en él. Abrímos un símbolo del sistema (como administrador) y ejecutamos Sysprep usando el comando:

C:WindowsSystem32Sysprepsysprep.exe /oobe /shutdown

Nota: No utilizar el modificador /generalize, ya que esto cambia los identificadores de hardware que se generaron mediante el script Get-WindowsAutoPilotInfo.

Ahora se ha configurado correctamente Windows Autopilot para que funcione con VMware Workspace ONE UEM y los dispositivo Windows 10. El siguiente paso es encender su dispositivo o máquina virtual con Windows 10 para ver los beneficios de optimizar el proceso OOBE para los usuarios finales. Recordemos que el proceso OOBE se verá diferente según la versión de compilación, tengamos esto en cuenta.

También debemos agregar el equipo a el grupo seleccionado.

Prendemos nuevamente nuestro equipo cliente y tendremos el portal para entrar a AAD. Colocamos el usuario.

Colocamos el pin enviado a nuestro telefono movil registrado, y generamos el codigo final.

Aqui les comparto el video del proceso final

About the author

trending_flat
Microsoft Global Secure Access

Encontrándose en fase previa, ahora, Microsoft ha cambiado la forma de trabajar destinada a proteger a cualquier usuario que acceda a cualquier dato desde cualquier dispositivo. Microsoft Entra Internet Access y Microsoft Entra Private Access componen la solución Security Service Edge (SSE) de Microsoft. El acceso seguro global (versión preliminar) es el término unificado que se usa para Microsoft Entra Internet Access y Microsoft Entra Private Access. El acceso seguro global es la ubicación unificada del Centro de administración Microsoft Entra. El acceso seguro global se basa en los principios básicos de Zero Trust de usar privilegios mínimos, comprobar explícitamente y asumir la vulneración. Veamos en este post como configurar de manera sencilla y básica Microsoft Global Secure Access. Global Secure Access (versión preliminar), Microsoft Security Service Edge, es la ubicación centralizada en el Centro de administración de Microsoft Entra, donde puede configurar y administrar las características. Muchas […]

trending_flat
Lo más destacado en LinkedIn 2024

Here's my 2024 LinkedIn Rewind, by Coauthor: 2024 proved that technical expertise matters most when shared effectively. As Microsoft MVP and LinkedIn Learning Instructor, I focused on bridging enterprise device management knowledge between English and Spanish-speaking technology communities. Key technical implementations:→ Microsoft Tunnel Gateway for MAM deployment→ Remote Help for Intune Suite testing→ Cloud PKI in Intune Suite validation→ Microsoft Teams Rooms management with Intune→ Windows Autopilot Pre-provisioning configurations Technical milestones: Achieved Windows Server Hybrid Administrator Associate certification Received 11th consecutive Microsoft MVP Award (Security & Windows Devices) Enhanced Intune Suite implementation expertise Expanded DeploymentMX blog technical resources Launched new LinkedIn Learning courses for Spanish-speaking IT professionals Posts that resonated with our technical community: "Honored to share that I've been recognized as a dual MVP in Security & Windows and Devices for the 11th consecutive year!"https://www.linkedin.com/feed/update/urn:li:activity:7216858712936693760/ "Windows 24H2 screens look […]

trending_flat
Microsoft Zero Trust Workshop

Abordar los desafíos de seguridad modernos puede ser complicado, pero implementar una estrategia de Zero Trust lo simplifica. Al adoptar Zero Trust, tu organización puede mejorar su postura de seguridad, reducir riesgos y complejidad, y fortalecer el cumplimiento y la gobernanza. Zero Trust no es un producto ni un servicio, sino un enfoque integral para diseñar e implementar principios clave de seguridad. Esta herramienta de evaluación te ayudará a navegar en tu recorrido hacia Zero Trust. En esta guía aprenderás cómo aplicar los principios de Zero Trust en el panorama de seguridad de Microsoft, enfocándote en: Verificar de manera explícita Adoptar el acceso con privilegios mínimos Asumir que la seguridad puede ser comprometida Zero Trust se basa en no asumir que todo lo que está detrás del firewall corporativo es seguro. En su lugar, parte del principio de que puede […]

trending_flat
Implementar Windows 365 Boot

Microsoft presentó recientemente una función llamada Windows 365 Boot, diseñada para simplificar el acceso a las Cloud PCs. Con Windows 365 Boot, los usuarios pueden iniciar sesión en su dispositivo local y conectarse de inmediato a su Cloud PC, creando una experiencia similar a la de un kiosco, diseñada para un acceso dedicado a Windows 365. El proceso para configurar un dispositivo con Windows 365 Boot ha sido increíblemente simplificado por los equipos de Intune y Windows 365. A través de una implementación guiada, los administradores pueden configurar un conjunto completo de perfiles de Intune con un mínimo de pasos: seleccionar algunas configuraciones, asignar la implementación a un grupo de Entra y registrar el primer dispositivo físico en cuestión de minutos. Sin embargo, hay un requisito sorprendente: ¡los dispositivos deben inscribirse utilizando una cuenta de usuario! ¿Por qué, Microsoft? Este […]

trending_flat
Implementar Zoom con Microsoft Intune

Hola que tal amigos, el dia de hoy vamos a utilizar Microsoft Intune para desplegar la herramienta de conferencias Zoom, dada la situación que se vive actualmente, podemos a través de esta herramienta hacer uso de su implementación usando la plataforma de Microsoft Intune. Lo primero que debemos hacer es descargar el archivo .MSI desde la siguiente ruta. https://www.zoom.us/client/latest/ZoomInstallerFull.msi Los ajustes se pueden configurar en varios escenarios. Algunos solo pueden ser configurados por Zoom Admin o IT Admin y otros pueden ser configurados por el usuario final. Podemos configurar a nivel de cliente el archivo para una instalación desatendida con los siguientes comandos. Install: msiexec /packageZoomInstallerFull.msi /lex zoommsi.log Silent install: msiexec /i ZoomInstallerFull.msi /quiet /qn /norestart /log install.log Wait until in-progress meeting ends before installing:  msiexec /i ZoomInstallerFull.msi /norestart MSIRESTARTMANAGERCONTROL=»Disable» Auto-start Silently with Windows*: Disabled by default. To enable, append ZSILENTSTART=»true» to the end of your install […]

trending_flat
Windows Autopilot Pre-Aprovisionamiento

Windows Autopilot ayuda a las organizaciones a aprovisionar fácilmente nuevos dispositivos mediante la imagen y los controladores oem preinstalados. Esta funcionalidad permite a los usuarios finales preparar sus dispositivos para la empresa mediante un proceso sencillo. Windows Autopilot también puede proporcionar un servicio de aprovisionamiento previo que ayuda a los asociados o al personal de TI a aprovisionar previamente un equipo Windows totalmente configurado y listo para la empresa. Desde la perspectiva del usuario final, la experiencia controlada por el usuario de Windows Autopilot no cambia, pero conseguir que su dispositivo esté totalmente aprovisionado es más rápido. Con Windows Autopilot para la implementación aprovisionada previamente, el proceso de aprovisionamiento se divide. Las partes que consumen mucho tiempo las realiza TI, asociados o OEM. El usuario final simplemente completa algunas directivas y configuraciones necesarias y, a continuación, puede empezar a usar su dispositivo. En […]

Related

trending_flat
Inscribir dispositivos Windows 10 con Workspace One UEM a través de MDT

Tal y como comentamos en el ultimo post, en donde vimos a manera manual como podemos inscribir dispositivos de Windows 10 usando la plataforma de Workspace One UEM a través de comandos, en esta ocasión vamos a ver la manera de poder realizar este procedimiento usando un endpoint, para este caso una de mis herramientas favoritas. Microsoft deployment toolkit la cual tengo mas de 10 años trabajándola y que en particular es una super herramienta de despliegue y creación de imágenes. Lo primero que debemos hacer es identificar el usuario y el password (staging) para poder hacer el enrolamiento adecuado a través de este medio, para ello debemos posicionarnos en la consola de Workspace One UEM tal y como se muestra a continuación. Estos datos los usaremos para realizar el enrolamiento correcto. Primeramente deberemos descargar el instalador Airwatch.msi desde este […]

trending_flat
Inscribir Dispositivo Windows 10 a Workspace One UEM desde linea de comandos

El dia de hoy vamos a ver la manera de poder enrolar nuestros dispositivos a Workspace One UEM a travez de linea de comandos usando el conector de Airwatch.msi y utilizarlo de manera desatendida, este primer post es con la finalidad de comenzar una serie mas sobre usar este mismo metodo ayudado de otras herramientas como MDT o los repositorios de Azure. Para empezar debemos descargar el agente de Airwatch desde este portal https://getwsone.com Una vez descagada vamos a utilizar el archivo .msi colocando la siguiente configuración para la instalación de manera desatendida. msiexec /i AirwatchAgent.msi /q ENROLL=Y SERVER=<server> LGName=<groupid> USERNAME=<userstaging> PASSWORD=<passwordstaging> DOWNLOADWSBUNDLE=TRUE /LOG %temp%WorkspaceONE.log Debemos remplazar la información por la de nuestro tenant de Workspace One UEM para el tema de <userstaging> y <passwordstaging> podemos ubicarnos dentro de nuestra consola para obtener esta configuración. Abrimos cmd con privilegios de […]

trending_flat
Configurar e Implementar Workspace One Assist

Hola que tal amigos, el dia de hoy vamos a ver la manera en como podemos implementar Workspace One Assist para tener el control remoto de nuestros dispositivos administrados por la consola de Workspace One UEM. El primer paso a realizar es colocar o en su caso asegurarse que la consola tenga los identificadores de Workspace One Assist en la consola de configuracion para ello debemos irnos a Settings, system Advanced - Site URLs´debemos navegar hasta Workspace One Assist y colocar la siguiente información (solo en caso de que no este predeterminada) https://rm01.awmdm.com/t10 https://rm01.awmdm.com/t10 Cerramos todas la ventanas y abrimos la siguiente dirección https://my.workspaceone.com/products seleccionamos Workspace One Assist. Debemos seleccionar la aplicacion de acuerdo a nuestra plataforma, version de la consola y version de la aplicación. Nota. debemos tener en cuenta para ese agente que se tienen 2 tipos de […]

trending_flat
Crear Work Profile Android a través de Workspace One UEM

En este tutorial vamos a ver la manera sencilla de como podemos enrolar nuestro dispositivos a traves de la plataforma de Workspace One UEM usando un dispositivo BYOD para crear un Work Profile. Desde nuestro dispositivo Android vamos a descargar la aplicación Intelligent Hub desde el portal de Aplicaciones. Procedemos a instalar la aplicación. Una vez terminada la instalación, abrimos y debemos seleccionar el servidor o nombre de correo electronico. Ahora colocamos las credenciales correspondientes. Ahora vamos a leer los terminos de privacidad y damos clic en Acepto. Aceptamos terminos y condiciones y damos clic en acepto. Ahora procedemos a configurar el perfil de trabajo, recordar que la organización controla este perfil y lo mantenien seguto, lo que no maneja Workspace One UEM es todo lo demas del dispositivo como temas personales. Finalizamos teniendo nuestro perfil de trabajo de nuestro […]

trending_flat
Implementar Office 365 con Workspace One UEM

Puedes implementar Office 365 ProPlus con Workspace ONE UEM utilizando el Proveedor de servicios de configuración de Office (CSP), realizar una instalación de office completa mediante la distribución de software o utilizar una instalación de ofice ligera mediante la distribución de software. Debemos descargar los requisitos previos de Office con el archivo .xml, crear un archivo Office.zip y luego cargar el archivo en la consola de Workspace ONE UEM. Para el primer paso de configuración les comparto un post relacionado a la descarga de Office 365 y la generación de los arvhivos .xml, Link. Otra manera también que nos ofrece Microsoft es a través de Config.Office.com Lo primero que haremos sera crear una carpeta llamada Office365 en la ruta C: de nuestro equipo tecnico. Este es un ejemplo del archivo .xml usando la aplicacion de Office.com <Configuration ID=”9cc840fd-62b9-49b0-9295-d6310d26df31″> <Add OfficeClientEdition=”64″ […]

Be the first to leave a comment

Leave a comment

Nosotros

Nuestro equipo de profesionales experimentados en ciberseguridad está listo para protegerlo de las amenazas emergentes.  

Nuestros servicios

Dirección

Av. Federico Mendez, Natura Aguascalientes 

Login to enjoy full advantages

Please login or subscribe to continue.

Go Premium!

Enjoy the full advantage of the premium access.

Stop following

Unfollow Cancel

Cancel subscription

Are you sure you want to cancel your subscription? You will lose your Premium access and stored playlists.

Go back Confirm cancellation