Cerrar

Hoy voy a documentar un proceso que últimamente se está dando mucho: migrar usuarios de SkypefB On-Premises a Teams y habilitarlos para VoIP vía Direct Routing. Cada vez son más las empresas que, quieren dar el salto a Teams con todos los servicios habilitados incluyendo los servicios de VoIP.

Si tenemos las configuraciones en base a las recomendaciones de MSFT, será bastante sencillo, de lo contrario tendremos que ir configurando/adaptando previamente las diferentes configuraciones en nuestro entorno. Lo que os mostraré hoy es algo que hecho recientemente:

  • Quitar un dominio SIP de un Skype for Business On-Premises (tenemos 4)
  • Mover los usuarios a un Teams en un tenant diferente al de otros dominios SIP que tenemos registrados en el Skype For Business
  • Habilitar los servicios de VoIP para los usuarios migrados
  • Configurar un SIP Trunk entre el SBC para Direct Routing y SkypefB, lo que nos permitirá que los usuarios de Skype transferir llamadas a usuarios de Teams cuando se reciben de la PSTN

Es una configuración en modo híbrido mientras no se migren todos los usuarios de SkypefB …

Seguro que muchos de vosotros estáis trabajando con Intune, por lo que, vamos a ver una configuración muy importante para las organizaciones que es la de Protección de Aplicaciones. Esta configuración nos permite definir si los usuarios pueden compartir documentos, copiar-pegar, abrir documentos desde aplicaciones externas, etc..

En este artículo voy a mostrar una configuración muy sencilla, a la vez que potente: permitir que los usuarios únicamente accedan a la documentación que está ubicada en Teams y si la descargan no puedan utilizarla. Esto  nos permitirá controlar que la información no se pueda trabajar fuera del entorno corporativo, de esta forma, evitamos que los usuarios puedan llevarse información confidencial de la empresa.

La configuración es muy sencilla, pero se puede complicar todo lo que queramos, pero para este artículo haremos algo muy sencillo…

Con el crecimiento de los ataques a nuestras cuentas de usuario, debemos buscar soluciones en el mercado que nos permitan securizar el acceso de nuestros inicios de sesión en diferentes plataformas. Es por ello que, llevemos años implementando soluciones de doble factor de autenticación y con MSFT concretamente tenemos varias opciones para iniciar sesión sin contraseña:

Los métodos de autenticación sin contraseña resultan más cómodos, ya que la contraseña se quita y se reemplaza por algo que se tiene (llave) más algo que se sabe (PIN). En el artículo de hoy, voy a mostraros como podemos implementar FIDO2 (Fast IDentity Online) para iniciar sesión en O365 + Azure + Windows 10 (Azure ADJoin).  Aquí os dejo un enlace sobre FIDO2 en el que MSFT hablar con más nivel de detalle: https://docs.microsoft.com/es-es/azure/active-directory/authentication/concept-authentication-passwordless#fido2-security-keys.

En este caso, yo voy a utilizar una Security Key NFC (Security Key NFC by Yubico | Two Factor Security Key | USB-A & NFC) para configurar FIDO2 en Azure para mi usuario y que pueda ser utilizada en iniciar sesión en Office 365 y mi Windows 10 unido al dominio de Azure AD …

Otra pasito más hacia la “independencia de nuestro Active Directory Domain Services” o, por lo menos, para que nuestros usuarios no tengan la necesidad de estar conectados vía VPN para recibir configuraciones centralizadas desde IT. Aunque  en este artículo, vamos a ver como podemos emitir certificados para nuestros equipos unidos al Azure AD para conectarnos a la VPN de Azure (Point-to-Site) y acceder a los ficheros compartidos en Azure Files mediante Private Link.

Como os he comentado anteriormente, la idea es ir llevando todos los servicios al Cloud aprovechándonos de nuestro maravilloso AzureAD, pero también es cierto que debemos ir poco a poco migrando diferentes servicios y convivir con ellos en un entorno “híbrido”. En este caso, la idea es mostraros como podemos conectar nuestra PKI privada (integrada en nuestro ADDS) y que los equipos unidos al dominio de AzureAD y manejados con Intune puedan solicitar un certificado de equipo o usuario.  Esto nos permitirá configurar vía profile de Intune:

  • Conexiones VPN autenticando con certificados digitales
  • Redes Wi-Fi autenticando con certificados digitales
  • Servicios que soliciten autenticación por certificados
  • Etc..

Seguro que muchos de vosotros habéis desplegado  802.1x para vuestras redes Wifi y, sino es así, por favor, cuanto antes que es un proceso muy sencillo y os da un plus importante de seguridad:

Para estos despliegues, además de dispositivos que soporten este tipo de autenticación, también debemos contar con una PKI Privada (por ahorro de costes y gestión): Instalar la entidad de certificación. No voy a poder entrar en todos los detalles, porque sería un artículo enorme, pero iré publicando diferentes URL donde podéis ir encontrando la información suficiente para ir completando todo el proceso …

Archivos
  • 2021 (27)
  • 2020 (37)
  • 2019 (55)
  • 2018 (47)
  • 2017 (47)
  • 2016 (24)
  • 2015 (107)
  • 2014 (139)
  • 2013 (311)
  • 2012 (353)

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies