Hola,
Os voy a detallar los pasos a seguir en vuestro entorno de Active Directory On premises, para, validándoos con usuarios de Active Directory, tener single sign on en el acceso web a cualquier aplicación incluida en Azure AD, como O365 nativamente, pero también con aplicaciones saml asociadas, e incluso aplicaciones on premises validadas con Azure Application Proxy.
Lo que haremos en realidad es situar una serie de Urls en la zona sitios de confianza de los navegadores y configurar los equipos para que entreguen el ticket Kerberos a esas Urls.
Para obtener esta funcionalidad, no es necesario contar con Azure AD P1 o P2 y cabe destacar que esta funcionalidad es compatible con el single sign on de Azure AD Join. La experiencia de usuario de SSO es más óptima y se consigue con escenarios híbridos al utilizar realmente la validación realizada en Active Directory con el ticket Kerberos.
Escenario actual
Sincronización de equipos
Hace ya tiempo que cuando configuro un AdConnect, no solo activo la sincronización de usuarios, sino que también activo la sincronización de equipos, teniendo luego estos equipos en Azure AD en un modo híbrido.
Con esta configuración tenemos los equipos unidos solamente a Active Directory local.
Sincronización de usuarios
Por supuesto los usuarios de Active Directory los tenemos sincronizados y configurados con su debido UPN en AD Local.
Configuración de Single Sign On en aplicaciones unidas a Azure AD
1. Validar que en AdConnect tenemos habilitado "Enable Single Sign On".
2. Validar dominio sincronizado
3. Comprobar la existencia de un equipo en AD con nombre AZUREADSSOACC
4. Crear nueva GPO que aplique a los puestos de trabajo y/o servidores de tu AD.
Aquí cabe destacar que por defecto, los navegadores no envían el ticket Kerberos a webs que no estén clasificadas en la zona. Por tanto, el equipo no enviará validación a la URL de Azure AD, a no ser que clasifiquemos la web como Intranet.
Tenemos que tener en cuenta también que usuarios no adminstradores de los equipos no pueden clasificar las webs en "sitios de confianza" o "Zona Intranet". Así que tenemos que hacerlo con una GPO.
4.1. Creamos una GPO y la asociamos a la OU donde guardéis los equipos.
4.2 Iremos a la ruta: Configuración de usuario -> Políticas -> Plantillas administrativas -> Componentes de Windows -> Internet Explorer -> Panel de control de internet -> Página de seguridad -- Selecciona Lista de asignación de sitio a zona y habilita la opción.
Añade los siguientes valores: https://autologon.microsoftazureadsso.com Valor 1.
5. Habilitamos una segunda opción en la GPO.
Configuración de usuario -> Políticas -> Plantillas administrativas -> Componentes de Windows -> Internet Explorer -> Plantel de control de internet -> Página de seguridad -> Zona Intranet - Selecciona Permitir actualizaciones en la barra de estado a través de un script.
6. Vía GPO vamos a crear una entrada en el registro de los equipos.
Abrir herramienta de administración de políticas de grupo, editar la gpo e ir a la opción "Registro" en la ruta Configuración de usuario -> Preferencias -> Configuración de Windows -> Registro -> Nuevo -> Registry item
Añadir una entrada con path: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon
Nombre de valor: https
Tipo de valor: REG_DWORD
Valor de dato: 00000001
Base: Hexadecimal
Resultado
Ahora solo tenéis que ir a la web https://myapps.microsoft.com/dominio.com* , https://outlook.office365.com/dominio.com*, https://portal.office.com?domain_hint=dominio.com*, https://dominio.sharepoint.com*, https://portal.azure.com/dominio.com* o cualquier aplicación que envíe al registro de validación a login.microsoft.online.com
*Sustituyendo dominio.com por vuestro dominio incluido en lo que conocéis como O365, pero que es Azure AD en realidad.
Solo tenéis ahora que ir con Edge a los links que he comentado y probar la validación. En próxima entrada os hablaré de como configurar esta experiencia con otros navegadores.