Voy a empezar una serie de artículos sobre Azure AD, el cual utilizamos a diario como servicio de identidades para muchas aplicaciones, entre ellas las que utilizamos vía Office 365. Por supuesto, utilizamos Azure AD para definir quien, como y que hacen los usuarios en los siguientes escenarios:
- Administración de Office 365
- Exchange Online
- SharePoint Online
- OneDrive
- Skype For Business Online
- Teams
- Yammer
- Etc..
- Rbac para Azure (control de acceso sobre recursos)
- Grupos de Administración
- Suscripciones
- Grupos de recursos
- Recursos
Trabajaremos los diferentes artículos que vaya creando sobre esta pequeña infografía:
Esta infografía muestra un escenario muy común, tener un Directorio Activo On-Premises sincronizado con Azure AD, un tenant de Office 365 y una o varias suscripciones de Azure. Intentaré centrarme “únicamente” en los servicios implicados con AzureAD, sobre todo para entender la importancia del mismo en todo esto y el ecosistema que hay alrededor del mismo.
Para ir entendiendo poco a poco que importancia tiene AzureAD en cada servicio, iré comentando la integración con los siguientes servicios por ese orden:
- Office 365: importancia de AzureAD en nuestro tenant
- On-Premises: que aporta tener una integración híbrida de nuestro AD DS con AzureAD
- Azure: función de AzureAD en nuestro Cloud de Microsoft
Como objetivo final de esta serie de artículos es … conocer las diferencias entre los roles de Rbac de Azure y los roles de administrador de Azure AD.
Office 365: importancia de AzureAD en nuestro tenant
Cuando creamos nuestro tenant en Office 365, siempre se crea un servicio de directorio (AzureAD) para que podamos:
- Crear usuarios y grupos
- Autenticar a dichos usuarios (y externos)
- Delegación de permisos sobre Exchange Online, SharePoint Online, OneDrive, Teams, etc..
Sin el servicio de directorio sería imposible hacer nada de las tareas descritas, por lo que, la “creación de AzureAD” es indispensable, automática y transparente para nosotros en el momento de crear el tenant.
Cuando tengáis creado vuestro tentant en Office 365, tenéis varios centros de administración en función del licenciamiento que hayamos adquirido, pero hay algo que siempre tenemos creado: Azure Active Directory:
Si accedemos a él, veremos que nos llevará a la siguiente URL: https://aad.portal.azure.com y, aunque el entorno es el mismo que el portal de Azure, aquí sólo tenemos disponibles las opciones básicas de AzureAD:
Si accedemos a la sección de Azure Active Directory veremos que nos indica claramente que está “destinado” para Office 365:
Y si pulsamos en la sección de usuarios, nos mostrará todos los usuarios que tengamos creados y su origen (donde está creado el usuario), en este caso en Azure Active Directory (de esto hablaremos en los siguientes artículos):
Si ahora, nos vamos al Centro de administración de Microsoft 365 y vamos a la sección de usuarios, veremos que son los mismos:
Como podemos apreciar, nuestro AD para los servicios de Office 365 es AzureAD, pero esto no quiere decir que tengamos una suscripción de Azure. Sólo tenemos un servicios gratuito de Microsoft que es AzureAD, donde podemos llegar a tener hasta 500.000 objetos sin pagos adicionales. Luego, si vamos añadiendo licencias veremos como vamos ampliando las diferentes funcionalidades de AzureAD. Aquí os dejo un enlace donde tenéis las licencias disponibles directamente para AzureAD: Planes Azure Active Directory (leerlo para que veáis las diferencias entre los diferentes planes, el Gratis es el que tenemos cuando tenemos un tentant de Office 365 o lo creamos nosotros de forma manual):
Volviendo a al centro de administración de AzureAd, si buscamos algún usuario y vamos a sus propiedades, tenemos las siguientes opciones disponibles:
Podemos ver los inicios de sesión del usuario, en donde tenemos información muy importante para poder analizar:
Si ahora accedemos a la sección de Grupos, veremos todos los grupos que tenemos creados y que tipo de grupo es:
Como estamos apreciando, AzureAD es el “AD DS” que utilizan los servicios de Office 365 para poder crear nuestra infraestructura en modo SaaS que nos ofrece Microsoft con la suite Office 365. Nosotros únicamente podemos administrar ciertas características, pero son suficientes para dar cabida a muchas aplicaciones prácticas.
Ahora vamos a ver algo fundamental, la “gobernanza”, vamos, la posibilidad de delegar la administración sobre diferentes servicios. Por defecto, tenemos una serie de roles (utilizan para administrar los recursos de Azure AD en un directorio como crear o editar usuarios, asignar roles administrativos a otros usuarios, restablecer contraseñas de usuario, administrar licencias de usuario y administrar dominios) que nos permiten gestionar usuarios y servicios como os he comentado. Para acceder al listado completo de dichos roles, debemos acceder a Azure Active Directory – Roles y Administradores:
Los roles más “importantes” de forma inicial y para administrar nuestro directorio de AzureAD, son los siguientes (textos de Microsoft):
- Administrador global:
- Administrar el acceso a todas las características administrativas en Azure Active Directory, así como los servicios que se federan con Azure Active Directory
- Asignar roles de administrador a otros usuarios
- Restablecer la contraseña de cualquier usuario y de todos los demás administradores
- Administrador de usuarios
- Crear y administrar todos los aspectos de usuarios y grupos
- Administrar incidencias de soporte técnico
- Supervisar el estado del servicio
- Cambiar las contraseñas de los usuarios, de los administradores del departamento de soporte técnico y de otros administradores de usuario
- Administrador de facturación
- Realizar compras
- Administrar suscripciones
- Administrar incidencias de soporte técnico
- Supervisa el mantenimiento del servicio
Como vemos, son roles de alto nivel, vamos lo que necesitamos para gestionar todos los servicios básicos de los que disponibles. Ahora bien, también tenemos roles definidos para la gestión de servicios de Office 365 (os muestro algunos, pero ahí están todos los roles a delegar a los diferentes usuarios):
Ahora bien, si queremos asignar un rol a alguno de los usuarios podemos hacerlo desde el Centro de administración de Microsoft 365 en la sección de usuarios, seleccionamos al usuario en cuestión y tenemos la opción de roles visible con los roles que tiene el usuario en cuestión. Si queremos asignarle un rol, pulsamos en Administrador Roles
Tenemos que desmarcar la casilla de usuario (sin acceso de administrador)
Y ya podemos seleccionar cualquier rol que tengamos disponible:
Si pasamos el ratón por encima de círculo de información nos mostrará la descripción de cada rol:
Para asignarle un rol, simplemente lo seleccionamos y pulsamos en Guardar cambios
Ahora ya vemos que el usuario en la sección de Roles ya tiene el que hemos seleccionado:
Si ahora nos vamos al Centro de administración de Azure Active Directory, buscamos al usuario y vamos a la sección Rol del directorio vemos que tiene asignado el rol de Administrador de Exchange que hemos asignado desde el Centro de administración de Office 365:
Y si queremos añadir cualquier otro rol al usuario, ya podemos hacerlo desde aquí pulsando en Agregar asignación
Buscamos el rol que queramos asignarle el usuario, lo seleccionamos y pulsamos en Agregar
Ya tenemos otro rol asociado al usuario
Si ahora volvemos a Office 365 veremos que el usuario ya tiene los roles asociados
Como vemos, AzureAD es esencial para los servicios de identidad de nuestro tenant de Office 365 y todos sus servicios. En AzureAD crearemos los usuarios y estos usuarios son utilizados por Exchange Online para crearle su buzón, SharePoint Online para buscar al usuario o grupos para asignarles permisos, asignarle una cuenta de Skype o Teams, en definitiva, como “analogía” (entre muchas comillas por favor), es como nuestro AD DS para nuestros servicios On-Premises pero en nube (esto lo iremos explicando en los siguientes artículos).
Ahora bien, tener un AzureAD no quiere decir que tengas una suscripción de Azure aunque puedas acceder al portal de Azure vía https://portal.azure.com. Si lo hacéis, realmente aún no tenéis más que un servicio de directorio (AzureAD) que se ha creado con el tenant de Office 365 y que gestionará las identidades, pero suscripciones no tenéis.
Cómo comprobarlo? Pues accedemos el portal de Azure con alguna cuenta de usuario con el rol de administrador global (para que no haya dudas sobre los permisos) del tenant y veremos que no tenemos suscripción alguna cuando accedemos a la sección de suscripciones:
Y para “comprobarlo”, si creamos un grupo de recursos ..
Nos dice que no tenemos suscripción alguna, que primero .. tenemos que crearnos una.
Con esto doy por finalizado el primer artículo sobre AzureAd, en el próximo veremos la sincronización de directorio y sus beneficios.
Espero que os sea de utilidad!!!
Ronald / 13 octubre, 2020
Mi amigo gracias y mil gracias.
estaba que me quitaba los ojos donde me aclaraban “no quiere decir que tengas una suscripción de Azure”, sigo con los otros articulos
Santiago Buitrago Reis / Autor / 24 octubre, 2020
Cualquier duda al respecto, coméntala por aquí y trataré de aclarártela.