Azure AD: Gobernanza de Office 365 y Recursos de Azure (Parte 2)
Después del primer artículo sobre AzureAD y sus implicaciones, hoy voy a comentar como sincronizar nuestro Active Directory On-Premises con Azure. Esto nos permite tener una identidad única tanto en On-Premises como en Cloud, permitiendo que los usuarios utilicen su misma cuenta de usuario para acceder a casi cualquier recurso corporativo. A este concepto se le conoce como identidad híbrida con AzureAD y, con ella podemos utilizar tres métodos de autenticación (tenéis los enlaces de cada método para ampliar información):
- Sincronización de hash de contraseña (PHS): Sincronización de hash de contraseñas con inicio de sesión único
- Autenticación de paso a través (PTA): Autenticación de paso a través e inicio de sesión único
- Federación (AD FS): Inicio de sesión único federado con AD FS
“Básicamente”, para conseguir un entorno híbrido “basta” con sincronizar nuestro Active Directory con nuestro AzureAD, esto se consigue con una herramienta que Microsoft pone a nuestra disposición: Azure AD Connect. Nos permite sincronizar usuario, grupos y equipos con AzureAD, lo que posteriormente nos permite:
- Autenticar en aplicaciones registradas en AzureAD (entre ellas la suite Office 365)
- Autenticar y conceder acceso a recursos en Azure (próximo artículo)
- Delegar tareas de administración a usuarios sincronizados
- Reglas de Acceso Condicional
- Administración de Dispositivos
- Etc..
En este artículo de hoy, lo que haremos será configurar un entorno de identidad híbrida entre nuestro Active Directory y AzureAD:
Objetivos:
- Sincronizar nuestros usuarios y grupos de Active Directory con AzureAD
- Asignación de licencias de Office 365 (Exchange, Teams, SharePoint, OneDrive, etc..)
- Aplicar permisos sobre recursos de Office 365 (SharePoint) utilizando grupos de seguridad de On-Premises
Tareas:
- Instalar AzureAd Connect
- Configurar AzureAd Connect
- Crear sufijos UPN
- Sincronización incial de AzureAd Connect
- Creación de estructura de grupos jerárquica
- Aplicar permisos en SharePoint con grupos de Active Directory sincronizados
Ya teniendo claro todas las tareas que debemos realizar para cumplir nuestros objetivos, pues lo primero, descargarnos la última versión de AzureAD Connect: Microsoft Azure Active Directory Connect. Pero antes de esto, vamos al portal de Azure – AzureAD Connect y aquí será donde veamos la configuración que tenemos al respecto, pero ahora mismo como no hemos hecho configuración alguna únicamente tenemos esto:
Pues ahora si, nos descargamos el AzureAD Connect e iniciamos su instalación:
Aceptamos los términos de la licencia
Como mi dominio es un dominio no enrutable, sin algunos cambios (en los siguientes pasos del este artículo) en los usuarios, no podríamos tener usuarios con nuestro dominio personalizado si su UPN no se corresponde con el dominio registrado en Office 365 en este caso. Esto lo veremos más adelante, ahora mismo pulsamos en personalizar:
Si queremos o tenemos alguna particularidad a cubrir ahora es el momento, sino es así y es una instalación desde cero, pulsamos en instalar sin marcar ninguna opción:
Primer punto en donde tenemos que prestar atención, debemos elegir como queremos que nuestros usuarios inicien sesión. En mi caso y para este artículo, configuraré la primera opción: Sincronización de hasta de contraseña (en siguientes artículos comentaré algunos de los otros métodos de autenticación):
Ahora debemos introducir un usuario con el rol de administrador global en AzureAD y pulsamos en siguiente:
El siguiente paso nos solicita agregar el dominio o dominios que tengamos, los seleccionamos y pulsamos en Agregar directorio
Para la ejecución de periódica (sincronización automática) del AzureAD Connect se instalará como un servicio y para ello necesita una cuenta de ejecución con los privilegios necesarios. Si tenemos una cuenta ya con los privilegios necesarios la podemos especificar, en caso contrario podemos dejar que la cree el propio asistente (opción Crear una cuenta de AD), pero para ello debemos también introducir un usuario con privilegios en el Active Directory y su contraseña:
Si hemos introducido correctamente los datos, veremos como ya tenemos configurados los directorios a sincronizar:
Otro punto importante a tener en cuenta, como el dominio que yo tengo creado no es enrutable (.local), me indica que sino tengo el sufijo UPN configurado en los usuarios igual que el dominio registrado en Office 365 los usuarios se crearán en AzureAD con el sufijo nombre-tenant.onmicrosoft.com
Esto es algo vital, sino nunca podremos tener a nuestros usuarios con un inicio de sesión con nuestro dominio. Básicamente, lo que tenemos que hacer es configurar los sufijos UPN que necesitemos.
En mi caso como el dominio registrado es santiagobuitraoreis.com, pues es el sufijo UPN que tengo que configurar
Y ahora en todos los usuarios que vayamos a sincronizar y queramos que tengan como nombre de usuario con el dominio registrado, pues tenemos que cambiar el sufijo en las propiedades de la cuenta:
Aquí os muestro el dominio registrado en Office 365, si queremos tener usuarios con el dominio santiagobuitragoreis.com debemos completar los pasos anteriormente descritos:
Volvemos al asistente de instalación de AzureAD Connect y pulsamos en el botón de refrescar y vemos que ya tenemos el sufijo creado como disponible para ser sincronizado. Igualmente, por razones obvias tenemos que marcar la casilla de Continuar sin relacionar todos los sufijos UPN con los dominios verificados y se nos habilita la opción de siguiente la cual debemos pulsar.
Aquí debemos indicar que OU queremos sincronizar, yo siempre soy partidario de filtrar o definir que OU queremos sincronizar y es lo que haré, una vez que hemos seleccionadas las OU a sincronizar (usuarios, grupos y equipos), pulsamos en siguiente.
Como hemos elegido como método de autenticación sincronización de hash de contraseñas, ya tenemos marcada la casilla correspondiente y que no podemos desmarcar. En mi caso y para este artículo no tocaré nada más, pulsamos en Siguiente
Y por último, marcamos la casilla Inicie el proceso de sincronización cuando se complete la configuración. Solo debemos tener un AzureAD Connect por dominio en modo escritura, pero podemos tener otro servidor con el AzureAD Connect en modo “pruebas”, si fuese así, podríamos marcar la casilla habilitar modo de almacenamiento provisional. Esto hará que se simule todo el proceso, pero no escribirá nada en AzureAD, esto nos viene bien por si lo queremos tener de respaldo o pruebas de exportaciones.
Una vez elegida la primera opción, pulsamos en instalar y esperamos a que se complete el proceso:
Una vez que se haya completado el proceso, podemos pulsar en salir para cerrar el asistente de instalación y configuración de Azure AD Connect.
Si ahora volvemos al portal de Azure, a la sección de Azure Active Directory y opción Azure Ad Connect veremos que se ha habilitado la sincronización y la última vez que se ha completado la sincronización (por defecto cada 30 minutos).
Pues bien, ahora desde la sección de Azure AD dentro del portal de Azure, vamos a la sección de usuarios y vemos que ya tenemos nuestros usuarios sincronizados. Si os fijáis tenemos un usuario que no tiene el sufijo con el dominio que tengo registrado sino con el dominio santiagobuitragoreis.onmicrosoft.com, esto es porque a este usuario no le he cambiado la cuenta de usuario con un sufijo UPN que coincida con uno de los dominios que tengamos registrados.
Antes de explicar como se soluciona este “problema”, si os fijáis en la columna de origen veis que pone Windows Server AD, es la forma rápida de saber que el usuario es sincronizado vía Azure AD Connect:
Lo único que tenemos que hacer es cambiar el sufijo de la cuenta de usuario
Para no tener que espera mucho tiempo hasta que se cumplan los 30 minutos para que se inicie otro proceso de sincronización, lo forzamos con el siguiente cmdlet: Start-ADSyncSyncCycle -PolicyType Delta
Ahora en cuestión de menos de 1 min tenemos el usuario actualizado
Una vez que tenemos los usuarios sincronizados podemos asignarles las licencias correspondientes, esto podemos hacerlo desde varios sitios:
- PowerShell
- AzureAD
- Centro de administración de Office 365
Ya que estamos hablando de Azure, vamos a ver como se haría desde dicho portal. Para ello, desde la misma consola de Azure y Azure AD tenemos una sección con el nombre Licencias al cual debemos acceder:
Pulsamos en Todos los productos
Seleccionamos la licencia que queremos asignar y luego pulsamos en Asignar
Buscamos los usuarios a los cuales les queremos aplicar la licencia
Los seleccionamos y pulsamos en seleccionar
Y en cuestión de segundos tenemos los usuarios con sus correspondientes licencias
Aquí vemos a los usuarios con la licencia asignada
Como le hemos añadido la licencia de E3, veremos que ya se le ha creado la cuenta de correo correspondiente
Ahora vamos a ver que ocurre cuando sincronizamos los grupos de Directorio Activo, la verdad es que lo haces perfecto, puesto que, mantiene las anidaciones de grupos tal cual los tenemos en On-Premises y esto nos permite aprovecharnos de las membresías para aplicar permisos sobre recursos (SharePoint Online, Exchange Online, Azure, etc…). Aquí os dejo un esquema de grupos típico en cualquiera empresa:
Y a continuación algo más pequeño para este artículo, pero que representaría algo similar donde tenemos grupos de usuarios (globales) y grupos (domain local) a los cuales le asignaremos los permisos en los diferentes recursos. Como están correctamente anidados, los usuarios que están en los grupos globales tendrán acceso a los recursos protegidos por los grupos locales de dominio.
Primero vamos a ver los grupos sincronizados con Azure AD, aquí estoy filtrando por los grupos de origen Windows Server AD. Los grupos que tienen como prefijo Grp los utilizo para agrupar roles y usuarios, los Acl son los que utilizo para aplicar permisos (lo que está entre () indica el permiso que aplica):
Y aquí vemos el Grp Empresa (principal en la jerarquía) y sus miembros:
Si esto mismo lo vemos en el Active Directory de On-Premises vemos que está exactamente igual
Vemos que el Grp Empresa es miembro del Acl SPO SantiagoBuitrago Reis (R) (permiso de lectura sobre el Site SantiagoBuitragoReis), con esto queremos hacer que todos los usuarios que sean miembros de Grp Empresa bien directamente (miembros directos) o indirectos (por ser miembros por anidaciones de otros grupos) tendrá acceso de lectura al SPO (ahora explico la configuración de este permiso en SPO):
Y aquí vemos la configuración en al Active Directory
Y por último, vemos a las cuentas de usuario en su rol (Grp Sistemas Tecnico)
Pues con esta configuración, podemos ver a que grupos pertenece un usuario y sabemos ya a que recursos tiene acceso. Ahora bien, nos toca configurar los grupos Acl XXX XXX XXX (R) en el recursos a proteger, en este caso voy a hacerlo con SPO.
Es muy sencillo, vamos a la configuración de permisos de SPO (Site Settings)
Site Permissions
Yo tengo varios grupos de SPO ya creados con los permisos configurados, recordad que utilizando grupos de Active Directory podemos anidarlos dentro de estos grupos, porque SPO non soporta la anidación entre sus propios grupos.
Pues ahora lo que nos queda es entrar en cada grupo de SPO y añadir los grupos de Active Directory correspondiente (en función del permisos asociado)
Como vemos, ahora al buscar por el nombre de los grupos van apareciendo y sólo queda seleccionar el que se corresponda con el grupo de SPO. En este caso, el grupo es de Contributor pues elegimos el grupo Acl SPO SantiagoBuitragoReis (C). Recordad que esto solo es un nombre, pero que debería identificar el permiso que se configura sobre ellos. De esta forma, cuando comprobemos las membresias de los usuarios y lo vemos, ya sabemos a que recursos tiene acceso y con que nivel.
Esto tenemos que hacerlo con todos los grupos que tengamos configurados
Por último, antes de iniciar sesión con los usuarios, podemos comprobar los permisos efectivos, para ello pulsamos en Check Permissions
Escribimos el nombre de usuario que queremos comprobar sus permisos
Y vemos que tiene permisos de lectura, porque si recordáis, en el grupo Grp Empresa es miembro del grupo Acl SPO SantiagoBuitragoRies (R) y todo lo que está por debajo de él anidado, tienen permiso de lectura (viva las anidaciones!!)
Y ahora si, probamos a iniciar sesión con alguno de los usuarios
Vemos que tenemos acceso al SPO
Como vemos, esto lo he hecho para aplicar permisos en SPO, pero se puede aplicar a:
- Azure AD
- Azure (recursos): próximo artículo de gobernanza de Azure
- Office 365: roles de servicios (Exchange Online, SharePoint, Teams, etc..)
El tener un entorno sincronizado es esencial, sino es una locura gestionar desde un entorno de 50 usuarios a 100000.
Espero que os haya gustado, ahora os toca probarlo a vosotros!!!
david / 7 julio, 2020
Hola,
Una duda, tengo un Azure AD para Office 365, con unas 100 licencias de varios tipos asignadas a usuarios, mi idea es montar un servidor virtual y usar el conector de ad para poder tener un AD completo (GPO, directivas…), ¿este proceso sería transparente para los usuarios? o habría que añadir los pcs de los usuarios al dominio? ahora se logean en windows con la cuenta de o365.
Santiago Buitrago Reis / Autor / 7 julio, 2020
Hola David:
Te contesto por partes:
* Si te creas un ADDS en un servidor en Azure y creas todos los usuarios con el mismo login y proxyaddress que los usuarios que hay en AzureAD, hará un match entre ellos y los usuarios empezarán a autenticarse con las credenciales de ese ADDS, por lo que por ahí no tienes problemas. Este proceso sería transparente para los usuarios, a excepción de la contraseña de cada usuario, la cual ahora has creado una nueva al crear un nuevo usuario en el ADD (pero nada que no se pueda solventar con preavisos a los usuarios del cambio).
* No entiendo lo de unirlos al dominio en este contexto, porque para eso, tendrás que conectar los equipos por VPN a Azure para que puedan autenticarse contra el ADDS que has creado, por lo que para esto a lo mejor es mejor opción unir equipos de los usuarios a AzureAD (con lo que ya tienes) y utilizar Intune (coste adicional) para gestionar los equipos de los usuarios.
Para poder responderte con mayor determinación, debería saber algo más de la instalación, como por ejemplo:
* ¿Qué buscas con crear un ADDS en Azure vía IaaS? (o no es lo que quieres hacer?)
* ¿Cómo se están conectando ahora los usuarios a los servicios de O365 desde sus equipos?
* ¿Están los equipos conectados a algún dominio ahora?
Un saludo
david / 8 julio, 2020
Hola y gracias por la respuesta,
Lo único que quiero es tener un controlador del dominio para poder aplicar gpos y directivas, nada más. Ahora mismo los usuarios se conectan a o365 con su cuenta/contraseña de o365 (previo de añadir el pc al Azure AD) de mi organización.
Digamos que busco un híbrido entre un servidor windows 2016 con un rol de directorio activo y el Azure Ad.
Gracias otra vez por la ayuda.
Santiago Buitrago Reis / Autor / 8 julio, 2020
Hola David:
Ok, perfecto, pero digamos que has elegido el camino inicial inverso a ello :-). Poder se puede, pero tendrás que sacar a los equipos del dominio de AzureAD y unirlos a tu dominio, tarea “manual”. De ahí lo que te comentaba de Intune, pero claro, tienes un coste usuario/mes.
Un saludo
william / 15 febrero, 2021
Hola, muchas gracia Santiago muy bueno documento.
Una duda, tengo un dominio en .local con su domain controller ,con bastantes servidores, NAS y maquinas registrada en este dominio .local.
pues si se pasa los usuarios a .com para tener acceso al office 365 y los buzones ,no generaría problemas para los accesos a los recursos compartidos del dominio .local?
porque eso lo que nos pasan ahora.
Muchas Gracias
Santiago Buitrago Reis / Autor / 21 febrero, 2021
Buenas tardes William:
No tendrás problema alguno, generarás UPN para ese dominio y listo, pero todos en el mismo ADDS y sin problema.
Un saludo