Cerrar

Otra pasito más hacia la “independencia de nuestro Active Directory Domain Services” o, por lo menos, para que nuestros usuarios no tengan la necesidad de estar conectados vía VPN para recibir configuraciones centralizadas desde IT. Aunque  en este artículo, vamos a ver como podemos emitir certificados para nuestros equipos unidos al Azure AD para conectarnos a la VPN de Azure (Point-to-Site) y acceder a los ficheros compartidos en Azure Files mediante Private Link.

Como os he comentado anteriormente, la idea es ir llevando todos los servicios al Cloud aprovechándonos de nuestro maravilloso AzureAD, pero también es cierto que debemos ir poco a poco migrando diferentes servicios y convivir con ellos en un entorno “híbrido”. En este caso, la idea es mostraros como podemos conectar nuestra PKI privada (integrada en nuestro ADDS) y que los equipos unidos al dominio de AzureAD y manejados con Intune puedan solicitar un certificado de equipo o usuario.  Esto nos permitirá configurar vía profile de Intune:

  • Conexiones VPN autenticando con certificados digitales
  • Redes Wi-Fi autenticando con certificados digitales
  • Servicios que soliciten autenticación por certificados
  • Etc..

Seguro que muchos de vosotros habéis desplegado  802.1x para vuestras redes Wifi y, sino es así, por favor, cuanto antes que es un proceso muy sencillo y os da un plus importante de seguridad:

Para estos despliegues, además de dispositivos que soporten este tipo de autenticación, también debemos contar con una PKI Privada (por ahorro de costes y gestión): Instalar la entidad de certificación. No voy a poder entrar en todos los detalles, porque sería un artículo enorme, pero iré publicando diferentes URL donde podéis ir encontrando la información suficiente para ir completando todo el proceso …

Hoy voy a mostraros un pequeño script (mejorable) que nos va a permitir gestionar el apagado he iniciado de nuestros hosts de sesión, de forma sencilla. En otra ocasión había publicado otro artículo sobre esto mismo pero desde utilizando Webhooks y PowerShell: Microsoft Azure: Ahorro de Costes en WVD [Detener Equipos Sin Sesiones], pero hoy vamos a configurar un script que nos permite conocer las sesiones activas en los hosts de sesión de nuestros host pool.

La idea es la siguiente:

  • Si tenemos hosts de sesión sin sesiones activas, apagaremos dichos hosts de sesión
  • Si tenemos un hosts de sesión con un número de sesiones N, entonces iniciaremos un nuevo hosts de sesión

Esto nos permite siempre mantener un número de hosts de sesión óptimo en nuestro entorno, sin incurrir en costes innecesarios al tener hosts de sesión iniciados sin o con pocas sesiones activas. Al final todos sabemos que el coste se va en la cantidad de equipos iniciados que tengamos, por lo menos como valor referencial.

Para implementar esta solución, lo haremos con un runbook y un script de PowerShell, algo simple y que luego cada uno puede mejorar sin lugar a dudas (no es mi fuerte los scripts de PowerShell).

Hoy voy a comentar como podemos hacer para cambiar el CallerID a mostrar en una llamada de SIP utilizando Direct Routing de Microsoft Teams, para ello manipularemos los dígitos de marcado desde nuestro AnyNode. Lo que buscamos es, cambiar el número directo del usuario que realiza una llamada para mostrar un DID corporativo. Esto es algo muy común, el tener usuarios o grupos de usuarios que cuando realicen una llamada Teams cambiemos el DDI que muestra el usuario que recibe la llamada.

Si tenemos un plan de llamadas contratado de MSFT y, tenemos números de servicio portados también en MSFT, podemos realizar una configuración vía PowerShell (ahora ya la tenemos disponible vía Centro de Administración de Teams): Establecer el identificador de llamada de un usuario. De esta forma, cuando un usuario realice una llamada se le cambiará el DDI que mostrará al usuario que recibe la llamada.

Ahora bien, que ocurre si tenemos configurado Direct Routing y tenemos un proveedor ITSP el cual tiene nuestra numeración portada, pues que la configuración cambiar un poquito, puesto que esa manipulación de dígitos la tenemos que realizar en el SBC que tengamos configurado. A continuación, os voy a mostrar una configuración sencilla en la cual vamos a cambiar los DDI (en mi caso tomadas como extensiones internas) de los usuarios por numeraciones que tenemos portadas en nuestro ITSP …

Siempre es recomendable/obligatorio que pensemos/configuremos el cifrado de discos de nuestros equipos, no solo de nuestros dispositivos de almacenamiento externo. En Windows tenemos BitLocker desde Windows Vista, el cual ha ido mejorando con el tiempo y el cual está muy presente en Windows 10 e integrado con Active Directory y Azure Active Directory. Hoy voy a mostraros como podemos habilitarlo sin intervención de administradores o usuarios, en modelo silencioso, archivar las claves de recuperación en Azure Active Directory y todo ello desde Intune.

Será un artículo muy sencillo, no voy a entrar en los detalles específicos de BitLocker, puesto que son muchos y cada entorno tendrá sus particularidades. Voy a mostrar la configuración exacta que debéis aplicar para habilitar BitLocker y que las claves de recuperación se almacenen directamente en Azure Active Directory (configuración válida para equipos unidos a AzureAD y en modo híbrido) ….

Archivos
  • 2021 (24)
  • 2020 (37)
  • 2019 (55)
  • 2018 (47)
  • 2017 (47)
  • 2016 (24)
  • 2015 (107)
  • 2014 (139)
  • 2013 (311)
  • 2012 (353)

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies