Este artículo será el primero de varios, con la idea de ir mostrando configuraciones de administración de dispositivos en un entorno híbrido (ADDS) y cloud (Azure AD). Comentar y analizar el porque de ir al cloud, de porqué utilizar Azure AD para autenticar a nuestros usuarios y como podemos gestionarlo de forma segura y eficiente.
La idea es ir comentando como podemos ir migrando a nuestros usuarios a Azure AD, que herramientas tenemos a nuestra disposición para ir gestionando estos endpoints que ahora tenemos distribuidos por todo el mundo. Históricamente (y en el actualidad) y, por la propia tecnología que manejamos hasta la fecha, siempre hemos tenido instalaciones muy ancladas a ubicaciones físicas y estancas, donde para conectarnos de forma “segura” siempre teníamos muy presente el concepto de VPN. Y aún sigue siendo muy necesarios estos escenarios, pero creo que, ha llegado la hora de ir migrando hacia el cloud hasta como nuestros usuarios inician sesión en su equipos y como desde IT podemos gestionar todo esto.
La topología de referencia para los que utilizamos tecnología MSFT, ha sido algo parecido a esto:
- Active Directory: pieza angular de todas nuestras infraestructuras (a día de hoy esto también sigue siendo así, pero con algunas diferencias)
- Conexiones remotas vía VPN: cuando queríamos que algún usuario que estuviese puntualmente fuera de la oficina tuviese acceso a la información corporativa, siempre lo conectábamos por VPN
- Correo: esto ya hace mucho tiempo que ya no es así tal cual, pero bueno, seguro que todos hemos alguna instalación de Exchange On-Premises la cual luego hemos hibridado o migrado a Exchange Online
- Escritorio Remoto: los configurábamos para estas aplicaciones que no estaban (ni lo están) preparadas para acceder vía LAN y mucho menos vía VPN, las “virtualizábamos” con servidores de Escritorio Remoto
- SharePoint: en las empresas más “avanzadas tecnológicamente” se les instalaba una versión de SharePoint en función de las licencias que tuvieran disponibles.
- Firewall: siempre hemos contado con algún firewall de algún fabricante el cual nos permitía realizar ciertas configuraciones de seguridad:
- Filtrado de puertos (con nulo o escaso valor de seguridad a día de hoy)
- Publicación de servicios para ser accesibles desde Internet
- Terminador de VPN
- Segmentar las VLAN internas
- Reverse-Proxy: los utilizamos para publicar sobre todos los diferentes servicios web que teníamos internamente (SharePoint, Intranets, OWA, etc…)
- VoIP: para los más avanzados, llevamos años utilizando los servicios de VoIP tradicionales (teléfonos IP físicos) y para los top ya nos hemos ido a Lync, Skype, Jabber, etc..
Creo que todos podemos reconocer escenarios parecidos, iguales o con más o menos tecnología, pero seguro que tienen algunas connotaciones parecidas. Dicho esto, os voy a mostrar la topología sobre la que iré trabajando/comentando en los siguientes artículos:
En la infografía hay varios escenarios:
- On-Premises: todos los servicios que tenemos implementados localmente
- Híbrido: “básicamente” un híbrido de Exchange y AzureAD para tener los equipos unidos al dominio en un ambiente híbrido, lo que nos permitirá administrar con Intune todos los dispositivos inscritos en AzureAD
- Cloud: hacia donde queremos llevar a nuestros usuarios, evitando en la medida de lo posible las ubicaciones físicas estancas, las VPN y todos los servicios que no se ajustan a un entorno de movilidad para los usuarios
Iré poco a poco comentando las configuraciones que tendremos que ir creando, como ir migrando nuestros dispositivos y aplicaciones para que estén disponibles en el cloud de Azure. Haré mucho hincapié en que podamos unir nuestros equipos directamente al Azure Active Directory y los beneficios de ello. Además, de las configuraciones que podemos ir realizando con Intune (EndPoint Management), lo que nos permitirá:
- Securizar el puesto de trabajo
- Configurar diferentes secciones del sistema operativo a nivel de dispositivo y usuario
- Instalaciones remotas de aplicaciones
Iremos poco a poco viendo como podemos ir “retirando” nuestro ADDS o como relevarlo a los servicios más del back-end (LDAP, NTLM, etc..) que la exposición que puedan necesitar los usuarios. Comentaremos nuevamente algunas configuraciones de WVD (Windows Virtual Desktop) y como solucionará alguno de los retos de la “movilidad segura” para nuestros usuarios. Ofreciendo no solo la solución de acceso a datos, sino también los servicios de Voz con Microsoft Teams.
Como siempre, trataré de ir describiendo lo máximo posible las nuevas configuraciones y, tirando del artículos que ya tengo publicados para cosas que ya hemos comentado en alguna ocasión. Y aquí os dejo algunos de los artículos publicados que sería bueno que ya tuviéramos presentes:
- Active Directory (Sincronización de Directorio): Azure AD: Gobernanza de Office 365 y Recursos de Azure (Parte 2)
- VPN (opcional):
- Moviendo nuestros servicios y máquinas virtuales a Azure (Parte IX)
- Conexión VPN + RADIUS + AzureMFA + Enrutamiento IP
- Conexión VPN con autenticación RADIUS + AzureMFA
- Acceso Remoto: Topología y Servicios
- Windows Server 2012: DirectAccess (Actualizado 15-02-2013)
- Windows Server 2012: DirectAccess en un clúster con Windows NLB
- Cómo unir un equipo a un dominio sin conexión y además configurarlo para DirectAccess
- Como denegar el acceso a la red a equipos conectados vía DirectAccess
- Migrar Nuestro Servidor de DirectAccess de Windows Server 2012 R2 a Windows Server 2016
- Microsoft Azure: Always On VPN + Windows 10 Pro + GPO
- Moviendo nuestros servicios y máquinas virtuales a Azure (Parte II)
- Microsoft Azure: VPN S2S en Alta Disponibilidad desde On-Premises ajustando Pesos de Rutas en Azure
- MFA y Acceso Condicional:
- Microsoft Teams [VoIP]
- Microsoft Teams: Configuración de Direct Routing vía SBC de AnyNode en Azure
- Direct Routing: Normalización de Teléfonos de Usuario en Llamadas Entrantes
- Microsoft Teams: Direct Routing + Auto Attendant + Cuentas de Recursos
- Microsoft Teams: Configuración de tu SBC con Múltiples Tenants e ITSP
- Microsoft Teams: Tres detalles a tener en cuenta en la migración a Direct Routing
Sería de vital importancia tener esto técnicamente claro, puesto que, todas las configuraciones posteriores irán en base a que estas configuraciones las tengamos aplicadas de una u otra forma.
De momento, esto es todo, pero en el siguiente artículo ya entraremos en nuestra primera configuración para conectar nuestros EndPoint y manejarlos vía Intune!!