Identidad de nube de Lo que los arquitectos de TI necesitan saber sobre el

Microsoft para
diseño de la identidad para las organizaciones que
usan plataformas y servicios en la nube de Microsoft

arquitectos de empresa Este es el tema 1 de una serie de 5 1 2 3 4 5

Introducción a la identidad
SaaS
PaaS de Azure IaaS de Azure
Software como servicio

con la nube de Microsoft

Su aplicación LOB en
Microsoft Intune Su aplicación LOB
máquinas virtuales

Dynamics CRM Aplicación

Office 365 Su aplicación móvil
La integración de las identidades con la nube de Microsoft proporciona acceso a LOB
una amplia gama de servicios y aplicaciones.

La integración de Azure Active Directory (Azure AD) proporciona:

 Administración de identidades para aplicaciones en todas las categorías de la
nube de Microsoft (SaaS, PaaS e IaaS).
Extienda sus
 Administración de identidades consolidada para aplicaciones en la nube de Integración de Azure AD Servicios
servicios de
terceros de su cartera. de
directorio locales
dominio
 Colaboración con asociados. a sus máquinas
virtuales de Azure
 Administración de identidades de clientes.

 Integración con aplicaciones basadas en web ubicadas localmente.

Su centro de datos local
Para las aplicaciones de línea de negocio (LOB) hospedadas en máquinas
virtuales de IaaS de Azure, puede usar Servicios de dominio de Azure AD. O bien,
puede extender su entorno local de Windows Server Active Directory (AD).

Usar Azure Active Directory como proveedor de Identidad como servicio (IDaaS)
AD Azure es un proveedor líder de Identidad como
servicio (IDaaS) basada en la nube, que proporciona
una amplia gama de funcionalidades para las
organizaciones empresariales. Haga clic en cada
cuadro para obtener más información.
Azure Active Directory

Integración de la Cuentas de Dispositivos Colaboración de Administración Integración de Administración

infraestructura usuario asociados de cuentas de aplicaciones
local cliente

Sincronización o Administración de Colaboración Registro Integración previa

Panel Mis
federación de dispositivos móviles segura con sus automático para sus con miles de Informes
aplicaciones
identidades con Intune asociados clientes mediante aplicaciones SaaS
comerciales una identidad única
mediante la o una identidad Integración
Restablecimiento
Autenticación Azure AD Join y colaboración B2B social existente con profunda con las Telemetría global
de contraseña de
multifactor (MFA) SSO de Windows 10 de Azure AD B2C de Azure AD características de machine learning
autoservicio con
Office 365
reescritura en los
directorios locales
Acceso condicional Registro y Cloud App
Escala empresarial
a recursos y administración de Discovery
Proxy de aplicación aplicaciones dispositivos que no
web para la son Windows (iOS, Integración de Disponibilidad
autenticación en Comportamiento y Android y Mac) aplicaciones PaaS mundial
aplicaciones control de acceso
basadas en web basado en el riesgo
locales Servicios de
con Connect Health
dominio
Azure AD Identity
Protection
Integración con otros
proveedores de nube,
como Amazon Web
Services

Ediciones de Azure Active Directory

Gratuita Básica Premium
Todas las características de las ediciones gratuita
 Sincronización o federación con directorios locales Todas las características de la edición gratuita, y básica, además de:
a través de Azure AD Connect (motor de además de:  Administración de grupos y aplicaciones de
sincronización)  Aprovisionamiento y administración de accesos autoservicio, adiciones de aplicaciones de
 Objetos del directorio basados en grupo autoservicio, grupos dinámicos
 Administración de usuarios o grupos (agregar,  Restablecimiento de contraseña de autoservicio  Restablecimiento, cambio y desbloqueo de
actualizar o eliminar), aprovisionamiento basado en para los usuarios de la nube contraseña de autoservicio con reescritura local
el usuario, registro de dispositivos  Personalización de marca de la empresa (páginas  Autenticación multifactor (en la nube y local,
 Inicio de sesión único (SSO) de inicio de sesión, personalización del panel de servidor MFA)
 Cambio de contraseña de autoservicio para los acceso)  CAL de MIM + servidor MIM
usuarios de la nube  Proxy de aplicación  Cloud App Discovery
 Informes de seguridad y uso  SLA empresarial del 99,9 %  Connect Health
Más información: Ediciones de Azure Active Directory  Sustitución automática de contraseñas para las
cuentas de grupo
Consulte los temas 2 a 5 para obtener más información y recursos.
Azure Hybrid Identity Design
Vídeo: Getting Started with Microsoft Infografía: Administración de acceso e Considerations Guide (Guía de
Azure Active Directory identidad en la nube consideraciones sobre diseño de
Más información https://mva.microsoft.com/en-US/training- http://go.microsoft.com/fwlink/p/ identidad híbrida de Azure)
courses/getting-started-with-microsoft-azure- ?LinkId=524282 https://gallery.technet.microsoft.com/
active-directory-8448?l=hvlTSEWz_5704984382 Azure-Hybrid-Identity-b06c8288

© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a
Agosto de 2016 ITSPdocs@microsoft.com.
 Identidad de nube de Lo que los arquitectos de TI necesitan saber sobre el

Microsoft para
diseño de la identidad para las organizaciones que
usan plataformas y servicios en la nube de Microsoft

arquitectos de empresa Este es el tema 2 de una serie de 5 1 2 3 4 5

Funcionalidades de integración con Azure Active Directory

Azure Active Directory (AD) proporciona una amplia gama de funcionalidades En este tema se proporciona más información acerca de algunas de estas
que permiten centralizar y simplificar la administración de identidades funcionalidades.
durante la integración de aplicaciones con entornos y con asociados
y clientes.

Integración a través de la nube de Microsoft Azure AD Join de Windows 10

Los pasos de arquitectura básicos que se realizan con Office 365 para la integración Una los dispositivos Windows 10 a Azure Active Directory y proporcióneles
de identidades proporcionan una arquitectura única para la adopción de las cargas de servicios y aplicaciones de Office 365 en cuestión de minutos al preparar el
trabajo en la nube de Microsoft, incluidas las cargas de trabajo de PaaS en Azure dispositivo durante la configuración rápida.
y otras cargas de trabajo de SaaS, como Dynamics CRM Online.

Con esta base, puede agregar otras aplicaciones a la nube de Microsoft y aplicar el
mismo conjunto de características de seguridad de identidad y autenticación para
acceder a estas aplicaciones. Por ejemplo, puede desarrollar nuevas aplicaciones de
línea de negocio (LOB) mediante las características nativas de la nube de Microsoft
Azure e integrar dichas aplicaciones con el inquilino de Azure AD. Incluye los
complementos de SharePoint personalizados.

SaaS
PaaS de Azure
Software como servicio

Su complemento de
SharePoint hospedado por
el proveedor
Office 365

Microsoft Intune
Su aplicación LOB

Dynamics CRM Windows 10 se autentica automáticamente con Azure AD y el directorio local,

lo cual proporciona inicio de sesión único sin necesidad de AD FS.

Windows 10
Su inquilino de Azure AD
Su inquilino de Azure AD

Su directorio local
Su centro de datos local

Inicio de sesión único para otras Panel Mis aplicaciones de Azure AD

aplicaciones SaaS del entorno
Puede simplificar enormemente la administración de identidad en toda la
organización mediante la configuración del inicio de sesión único en otras
aplicaciones SaaS de su entorno. Consulte Active Directory Marketplace para
averiguar qué aplicaciones están integradas. De este modo, podrá
administrar todas las identidades en el mismo lugar y aplicar el mismo
conjunto de directivas de seguridad y acceso en toda la organización como,
por ejemplo, la autenticación multifactor (MFA).
El panel de acceso de https://myapps.microsoft.com es un portal web que
permite a los usuarios con una cuenta de la organización en Azure AD ver
e iniciar aplicaciones basadas en la nube para las cuales se les concedió
acceso. Si tiene Azure AD Premium, también puede usar las funcionalidades
de administración de grupos de autoservicio a través del panel de acceso.
El panel de acceso es independiente del portal de Azure y no requiere que
los usuarios tengan una suscripción de Azure.

SaaS
Software como servicio

Office 365

Su inquilino de Azure AD

Continúa en la página siguiente

Colaboración B2B de Azure AD Colaboración B2C de Azure AD

La colaboración B2B de Azure AD permite a los asociados colaborar de
manera segura entre empresas. Estas nuevas funcionalidades permiten a las
organizaciones entablar relaciones de confianza fácilmente entre inquilinos
de Azure AD, para que puedan compartir fácilmente aplicaciones
empresariales en varias empresas sin tener que administrar directorios
adicionales y sin la sobrecarga que implica la administración de identidades
de asociado.
B2C de Azure Active Directory es un servicio de administración de
identidades global de alta disponibilidad para aplicaciones destinadas
a consumidores, que se escala a cientos de millones de identidades. Se
puede integrar fácilmente en plataformas web y móviles. Los consumidores
pueden iniciar sesión en todas las aplicaciones a través de experiencias
totalmente personalizables mediante sus cuentas sociales existentes o
creando nuevas credenciales.

Con 6 millones de organizaciones que ya usan Azure AD, es muy probable A continuación se muestra un ejemplo de organización ficticia de Proseware.
que su organización asociada ya tenga un inquilino de Azure AD, lo que le
permitirá empezar a colaborar de forma instantánea. Si no es así, las
funcionalidades B2B de Azure AD le permitirá enviarles una invitación
automatizada para poner en funcionamiento Azure AD en cuestión de
PaaS de Azure
minutos.
SaaS
Software como servicio
Sitio web para Inquilino B2C
Relación de clientes de de Azure AD
colaboración B2B Proseware de Proseware
de Azure AD
Salesforce

Inquilino de Azure
Su inquilino de El inquilino de AD de Proseware
Azure AD Azure AD de su Clientes
asociado

Proxy de aplicación Servicios de dominio

El proxy de aplicación de Microsoft Azure Active Directory permite publicar
aplicaciones, como sitios de SharePoint, Outlook Web Access y aplicaciones
basadas en IIS en su red privada. También proporciona acceso seguro a los
usuarios fuera de la red. Los empleados pueden iniciar sesión en las
aplicaciones desde su casa en sus propios dispositivos y autenticarse a través
de este proxy basado en la nube.
El proxy de Azure AD permite proteger las aplicaciones locales con los
mismos requisitos que otras aplicaciones basadas en la nube con MFA,
requisitos de dispositivos y otros requisitos de acceso condicional. También
dispone de informes de seguridad, uso y administración integrados.
El proxy de aplicación funciona con la instalación de un pequeño servicio de
Windows denominado Conector en su red. El Conector mantiene una
conexión saliente desde su red al servicio de proxy. Cuando los usuarios
acceden a una aplicación publicada, el proxy usa esta conexión para
proporcionar acceso a la aplicación.
Servicios de domino de Azure AD proporciona servicios de dominio
administrados basados en la nube, como la unión a dominio, la directiva de
grupo, y la autenticación LDAP y Kerberos o NTLM en IaaS de Azure, que son
totalmente compatibles con Windows Server AD. Puede unir máquinas
virtuales de Azure a este dominio sin necesidad de implementar
controladores de dominio. Dado que Servicios de dominio de Azure AD
forma parte del inquilino de Azure AD existente, los usuarios pueden iniciar
sesión con las mismas credenciales que usan para Azure AD.
Este dominio administrado es un dominio independiente y no una extensión
de la infraestructura de dominio o bosque local de una organización. Sin
embargo, todas las cuentas de usuario, pertenencias a grupos y credenciales
del directorio local están disponibles en este dominio administrado.
Blog: Use Azure AD as a cloud domain controller (Usar Azure AD
como un controlador de dominio de la nube)
IaaS de Azure

Red virtual
Proxy de aplicación
Azure AD

Su aplicación LOB en
máquinas virtuales

Red de la
Conector Conector
organización
Servicios de dominio Azure AD
Aplicación Aplicación

Su centro de datos local

Más recursos de Opciones de Almacenamiento

Seguridad Identidad
TI en la nube de plataforma y
servicios
Microsoft aka.ms/cloudarchoptions aka.ms/cloudarchsecurity aka.ms/cloudarchidentity aka.ms/cloudarchstorage

© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a
Agosto de 2016 ITSPdocs@microsoft.com.
 Identidad de nube de Lo que los arquitectos de TI necesitan saber sobre el

Microsoft para
diseño de la identidad para las organizaciones que
usan plataformas y servicios en la nube de Microsoft

arquitectos de empresa Este es el tema 2 de una serie de 5 1 2 3 4 5

Funcionalidades de integración con Azure Active Directory

Azure Active Directory (AD) proporciona una amplia gama de funcionalidades En este tema se proporciona más información acerca de algunas de estas
que permiten centralizar y simplificar la administración de identidades funcionalidades.
durante la integración de aplicaciones con entornos y con asociados
y clientes.

Integración a través de la nube de Microsoft Azure AD Join de Windows 10

Los pasos de arquitectura básicos que se realizan con Office 365 para la integración Una los dispositivos Windows 10 a Azure Active Directory y proporcióneles
de identidades proporcionan una arquitectura única para la adopción de las cargas de servicios y aplicaciones de Office 365 en cuestión de minutos al preparar el
trabajo en la nube de Microsoft, incluidas las cargas de trabajo de PaaS en Azure dispositivo durante la configuración rápida.
y otras cargas de trabajo de SaaS, como Dynamics CRM Online.

Con esta base, puede agregar otras aplicaciones a la nube de Microsoft y aplicar el
mismo conjunto de características de seguridad de identidad y autenticación para
acceder a estas aplicaciones. Por ejemplo, puede desarrollar nuevas aplicaciones de
línea de negocio (LOB) mediante las características nativas de la nube de Microsoft
Azure e integrar dichas aplicaciones con el inquilino de Azure AD. Incluye los
complementos de SharePoint personalizados.

SaaS
PaaS de Azure
Software como servicio

Su complemento de
SharePoint hospedado por
el proveedor
Office 365

Microsoft Intune
Su aplicación LOB

Dynamics CRM Windows 10 se autentica automáticamente con Azure AD y el directorio local,

lo cual proporciona inicio de sesión único sin necesidad de AD FS.

Windows 10
Su inquilino de Azure AD
Su inquilino de Azure AD

Su directorio local
Su centro de datos local

Inicio de sesión único para otras Panel Mis aplicaciones de Azure AD

aplicaciones SaaS del entorno
Puede simplificar enormemente la administración de identidad en toda la
organización mediante la configuración del inicio de sesión único en otras
aplicaciones SaaS de su entorno. Consulte Active Directory Marketplace para
averiguar qué aplicaciones están integradas. De este modo, podrá
administrar todas las identidades en el mismo lugar y aplicar el mismo
conjunto de directivas de seguridad y acceso en toda la organización como,
por ejemplo, la autenticación multifactor (MFA).
El panel de acceso de https://myapps.microsoft.com es un portal web que
permite a los usuarios con una cuenta de la organización en Azure AD ver
e iniciar aplicaciones basadas en la nube para las cuales se les concedió
acceso. Si tiene Azure AD Premium, también puede usar las funcionalidades
de administración de grupos de autoservicio a través del panel de acceso.
El panel de acceso es independiente del portal de Azure y no requiere que
los usuarios tengan una suscripción de Azure.

SaaS
Software como servicio

Office 365

Su inquilino de Azure AD

Colaboración B2B de Azure AD Colaboración B2C de Azure AD

La colaboración B2B de Azure AD permite a los asociados colaborar de
manera segura entre empresas. Estas nuevas funcionalidades permiten a las
organizaciones entablar relaciones de confianza fácilmente entre inquilinos
de Azure AD, para que puedan compartir fácilmente aplicaciones
empresariales en varias empresas sin tener que administrar directorios
adicionales y sin la sobrecarga que implica la administración de identidades
de asociado.
B2C de Azure Active Directory es un servicio de administración de
identidades global de alta disponibilidad para aplicaciones destinadas
a consumidores, que se escala a cientos de millones de identidades. Se
puede integrar fácilmente en plataformas web y móviles. Los consumidores
pueden iniciar sesión en todas las aplicaciones a través de experiencias
totalmente personalizables mediante sus cuentas sociales existentes o
creando nuevas credenciales.

Con 6 millones de organizaciones que ya usan Azure AD, es muy probable A continuación se muestra un ejemplo de organización ficticia de Proseware.
que su organización asociada ya tenga un inquilino de Azure AD, lo que le
permitirá empezar a colaborar de forma instantánea. Si no es así, las
funcionalidades B2B de Azure AD le permitirá enviarles una invitación
automatizada para poner en funcionamiento Azure AD en cuestión de
PaaS de Azure
minutos.
SaaS
Software como servicio
Sitio web para Inquilino B2C
Relación de clientes de de Azure AD
colaboración B2B Proseware de Proseware
de Azure AD
Salesforce

Inquilino de Azure
Su inquilino de El inquilino de AD de Proseware
Azure AD Azure AD de su Clientes
asociado

Proxy de aplicación Servicios de dominio

El proxy de aplicación de Microsoft Azure Active Directory permite publicar
aplicaciones, como sitios de SharePoint, Outlook Web Access y aplicaciones
basadas en IIS en su red privada. También proporciona acceso seguro a los
usuarios fuera de la red. Los empleados pueden iniciar sesión en las
aplicaciones desde su casa en sus propios dispositivos y autenticarse a través
de este proxy basado en la nube.
El proxy de Azure AD permite proteger las aplicaciones locales con los
mismos requisitos que otras aplicaciones basadas en la nube con MFA,
requisitos de dispositivos y otros requisitos de acceso condicional. También
dispone de informes de seguridad, uso y administración integrados.
El proxy de aplicación funciona con la instalación de un pequeño servicio de
Windows denominado Conector en su red. El Conector mantiene una
conexión saliente desde su red al servicio de proxy. Cuando los usuarios
acceden a una aplicación publicada, el proxy usa esta conexión para
proporcionar acceso a la aplicación.
Servicios de domino de Azure AD proporciona servicios de dominio
administrados basados en la nube, como la unión a dominio, la directiva de
grupo, y la autenticación LDAP y Kerberos o NTLM en IaaS de Azure, que son
totalmente compatibles con Windows Server AD. Puede unir máquinas
virtuales de Azure a este dominio sin necesidad de implementar
controladores de dominio. Dado que Servicios de dominio de Azure AD
forma parte del inquilino de Azure AD existente, los usuarios pueden iniciar
sesión con las mismas credenciales que usan para Azure AD.
Este dominio administrado es un dominio independiente y no una extensión
de la infraestructura de dominio o bosque local de una organización. Sin
embargo, todas las cuentas de usuario, pertenencias a grupos y credenciales
del directorio local están disponibles en este dominio administrado.
Blog: Use Azure AD as a cloud domain controller (Usar Azure AD
como un controlador de dominio de la nube)
IaaS de Azure

Red virtual
Proxy de aplicación
Azure AD

Su aplicación LOB en
máquinas virtuales

Red de la
Conector Conector
organización
Servicios de dominio Azure AD
Aplicación Aplicación

Su centro de datos local

Más recursos de Opciones de Almacenamiento

Seguridad Identidad
TI en la nube de plataforma y
servicios
Microsoft aka.ms/cloudarchoptions aka.ms/cloudarchsecurity aka.ms/cloudarchidentity aka.ms/cloudarchstorage

© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a
Agosto de 2016 ITSPdocs@microsoft.com.
 Identidad de nube de Lo que los arquitectos de TI necesitan saber sobre el

Microsoft para
diseño de la identidad para las organizaciones que
usan plataformas y servicios en la nube de Microsoft

arquitectos de empresa Este es el tema 3 de una serie de 5 1 2 3 4 5

Integrar las cuentas de Windows Server AD local con Azure AD

 Proporciona acceso a todos los servicios SaaS de Microsoft. Se recomiendan dos enfoques (véase a continuación).

 Proporciona opciones de identidad basada en la nube para las No se recomienda el uso de cuentas solo en la nube para organizaciones de
aplicaciones PaaS e IaaS de Azure. escala empresarial, salvo que no se use Windows Server AD localmente.

Elegir una opción

Comience con la opción más sencilla que satisfaga sus necesidades. Puede alternar entre estas opciones, si es necesario.

Sincronización de directorio y contraseña Federación

Su centro de datos en la nube privado o local Su centro de datos en la nube privado o local

Active Herramienta Proxy de Servidor de AD Controlador de Herramienta

Directory Azure AD aplicación web FS dominio de Azure AD
Connect Windows Server Connect
AD

Esta es la opción más simple, además de la recomendada para la mayoría de
las organizaciones empresariales.
 Las cuentas de usuario se sincronizan desde el directorio local con el
inquilino de Azure AD. El directorio local sigue siendo el origen de
autoridad de las cuentas.
 Azure AD lleva a cabo la autenticación de los servicios y aplicaciones
basados en la nube.
 Admite la sincronización de varios bosques.
Sincronización de contraseñas
 Los usuarios escriben la misma contraseña para los servicios en la nube
y locales.
 Las contraseñas de usuario nunca se envían a Azure AD. En su lugar, se
sincroniza un hash de cada contraseña. No es posible descifrar o aplicar
ingeniería inversa a un hash de una contraseña ni obtener la contraseña
propiamente.
Autenticación multifactor (MFA)
 Puede aprovechar las características básicas de MFA que se ofrecen con
Office 365.
 Las aplicaciones de Azure pueden aprovechar el servicio Azure Multi-
Factor Authentication.
 La sincronización de directorios no proporciona integración con
soluciones MFA locales.
Azure AD Connect en el entorno de desarrollo y prueba de
Office 365
La federación ofrece funcionalidades empresariales adicionales. También es
más compleja y presenta más dependencias para acceder a los servicios en la
nube.
 Toda la autenticación en Azure AD se realiza en el directorio local a través
de los Servicios de federación de Active Directory (AD FS) u otro proveedor
de identidades federado.
 Funciona con proveedores de identidades que no son de Microsoft.
 La sincronización de hash de contraseña agrega la capacidad de actuar
como una copia de seguridad de inicio de sesión para el inicio de sesión
federado (si se produce un error en la solución de federación).
Use la federación si:
 Ya se ha implementado AD FS.
 Usa un proveedor de identidades de terceros.
 Tiene una tarjeta inteligente integrada local u otra solución MFA.
 Requiere la auditoría de inicio de sesión o la deshabilitación de cuentas.
 Cumple con el Estándar federal de procesamiento de información (FIPS).
La autenticación federada requiere una mayor inversión en
la infraestructura local.
 Los servidores locales deben ser accesibles desde Internet a través de un
firewall corporativo. Microsoft recomienda el uso de servidores proxy de
federación implementados en una red perimetral o subred filtrada.
 Requiere hardware, licencias y operaciones para servidores de AD FS,
servidores proxy de AD FS o servidores proxy de aplicación web, firewalls
y equilibradores de carga.
 La disponibilidad y el rendimiento son importantes para garantizar que los
usuarios puedan acceder a Office 365 y otras aplicaciones en la nube.

Si usa la federación, asegúrese de crear cuentas administrativas en línea para

poder administrar Azure AD si su solución de identidad local no está
disponible.

Más Synchronizing your directory with

Office 365 is easy
Definición de una estrategia de
adopción de identidad híbrida
Multi-Factor Authentication for
Office 365
información http://go.microsoft.com/fwlink/p/
?LinkId=524281
htt ps://azu re.microsoft .com/en-us/documentation/
articles/active-directory-hybrid-identit y-design-
http://go.microsoft.com/fwlink/p/
?LinkID=392012
considerations-identit y-adoption-strategy/

Preparar el aprovisionamiento de Ignite 2015: Extending On-Premises Azure Multi-Factor Authentication

usuarios a Office 365 mediante la Directories to the Cloud Made Easy http://go.microsoft.com/fwlink/p/
sincronización de directorios https://channel9.msdn.com/Events/ ?LinkId=524285
http://go.microsoft.com/fwlink/p/ Ignite/2015/BRK3862
?LinkId=524284

© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a
Agosto de 2016 ITSPdocs@microsoft.com.
 Identidad de nube de Lo que los arquitectos de TI necesitan saber sobre el
diseño de la identidad para las organizaciones que
Microsoft para usan plataformas y servicios en la nube de Microsoft

arquitectos de empresa Este es el tema 4 de una serie de 5 1 2 3 4 5

Ejecución de componentes de directorio en IaaS de Azure

Implementación de componentes de directorio en Azure ¿Qué componentes se pueden colocar en Azure?
Considere las ventajas de implementar componentes de directorio a IaaS de Azure,  Herramienta Azure AD Connect
especialmente si planea extender Windows Server AD local a las máquinas virtuales  Servicios de federación de Active Directory (AD FS) de Windows más la herramienta
de Azure para sus aplicaciones de línea de negocio. Azure AD Connect
 Entornos Windows Server AD independientes en IaaS de Azure

Herramienta Azure AD Connect Flujo de tráfico

La herramienta AD Connect se sincroniza
con Office 365
La herramienta Azure AD Connect se puede hospedar en la nube mediante La herramienta AD Connect solicita
IaaS de Azure. cambios de Windows Server AD

 Aprovisionamiento potencialmente más rápido y menor costo de las

operaciones Red local IaaS de Azure

 Mayor disponibilidad

La arquitectura que se muestra en los detalles de la derecha muestra cómo

Red virtual
ejecutar la herramienta Azure AD Connect en una máquina virtual en IaaS de VPN de
Azure. sitio a
Servidor sitio
Esta solución proporciona un método de integración con Azure AD sin proxy
implementar componentes adicionales localmente.

Para obtener más información, consulte Implementar Sincronización de directorios Express

Máquina
(DirSync) de Office 365 en Microsoft Azure. Route virtual
que ejecuta
la herramienta
Azure AD
Windows Server AD Connect

AD FS + herramienta AD Connect SaaS PaaS Otras aplicaciones de nube

Azure AD
Si todavía no ha implementado AD FS local, tenga en cuenta si las ventajas
de implementar esta carga de trabajo en Azure valen la pena para su Conexión directa para Solo conexión
organización. autenticación con proxy saliente

 Proporciona autonomía para la autenticación en servicios en la nube (sin Red local IaaS de Azure
dependencias locales).
 Reduce los servidores y las herramientas hospedados localmente.
 Usa una puerta de enlace de VPN de sitio a sitio en un clúster de
LB
conmutación por error de dos nodos para conectarse a Azure (nuevo).
 Usa ACL para asegurarse de que los servidores proxy de aplicación web Servidores
proxy de
solo pueden comunicarse con AD FS, no con controladores de dominio Nodo 2 de aplicación web
u otros servidores directamente. VPN
de sitio a
sitio
Esta solución funciona con: LB
 Aplicaciones que requieren Kerberos Servidores de
 Todos los servicios SaaS de Microsoft Nodo 1 de
AD FS
 Aplicaciones de Azure accesibles desde Internet VPN
Controladores de dominio de sitio a Controladores de Herramienta
 Aplicaciones IaaS o PaaS de Azure que requieren autenticación en el sitio dominio AD
entorno Windows Server AD de su organización Replicación

Para obtener más información, consulte Directrices para implementar Windows

Server Active Directory en máquinas virtuales de Azure.

Entorno Windows Server AD independiente en IaaS de Azure

No siempre es necesario integrar una aplicación en la nube con el entorno
IaaS de Azure
local. Un dominio de Windows Server AD independiente en Azure admite
aplicaciones de acceso público, como sitios de Internet.
Esta solución funciona con: Su red virtual
 Aplicaciones que requieren autenticación NTLM o Kerberos
Windows Server AD y DNS Su aplicación IaaS
 Aplicaciones que requieren Windows Server AD
 Entornos de desarrollo y prueba en IaaS de Azure
Tenga en cuenta también si se pueden usar Servicios de dominio de Azure
AD en su lugar.
Para obtener más información, consulte Directrices para implementar Windows
Server Active Directory en máquinas virtuales de Azure.

© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a
Agosto de 2016 ITSPdocs@microsoft.com.
 Identidad de nube de Lo que los arquitectos de TI necesitan saber sobre el
diseño de la identidad para las organizaciones que
Microsoft para usan plataformas y servicios en la nube de Microsoft

arquitectos de empresa Este es el tema 5 de una serie de 5 1 2 3 4 5

Diseñar servicios de dominio para cargas de trabajo en IaaS de Azure

Muchas soluciones LOB que se ejecutan en máquinas virtuales requieren Actualmente, Microsoft recomienda dos soluciones.
Windows Server AD para las siguientes funciones:
 Soporte técnico para la autenticación basada en NTLM, Kerberos o LDAP
 Máquinas virtuales unidas a dominio
 Directiva de grupo

Usar Servicios de dominio de Azure AD Extender Windows Server AD a sus

Servicios de dominio de AD se puede habilitar en el inquilino de Azure AD
existente. No es necesario implementar y administrar controladores de
máquinas virtuales de Azure
dominio. Esta configuración es una implementación híbrida de Windows Server AD
local y en Azure. Requiere lo siguiente:
Este dominio administrado es un dominio independiente y no una extensión
de la infraestructura de dominio o bosque local de una organización. Sin  Una red virtual en IaaS de Azure.
embargo, todas las cuentas de usuario, pertenencias a grupos y credenciales  Una conexión VPN de sitio a sitio o una conexión ExpressRoute.
del directorio local están disponibles en este dominio administrado. Los  La extensión del intervalo de direcciones IP privadas local a las máquinas
usuarios inician sesión con las mismas credenciales corporativas que usan virtuales de la red virtual.
para Azure AD.  La implementación de uno o más controladores de dominio en la red
 Servicios de dominio está conectado a una red virtual en IaaS de Azure. virtual de Azure designados como servidores de catálogo global (lo que
reduce el tráfico de salida en la conexión VPN).
 Esta instancia de Servicios de dominio pueden usarla otras redes virtuales
que estén conectados a la red virtual configurada con Servicios de
dominio. IaaS de Azure
IaaS de Azure
Red virtual
Red virtual Red virtual Red virtual
Su aplicación LOB Windows Server AD y DNS Puerta de
enlace VPN
Aplicación LOB Aplicación LOB Aplicación LOB

Conexión VPN o ExpressRoute

Servicios de
Azure AD dominio Implementación híbrida de
Windows Server AD

Determinar la solución que se debe usar en cada momento

Use Servicios de dominio de Azure AD cuando sus aplicaciones requieran
compatibilidad con servicios de dominio para: Su centro de datos local
o de nube privada
 Administración de aplicaciones de servidor.
Windows Server AD Enrutador/dispositivo
 Inicio de sesión de servidor. VPN

 Autenticación de usuario a través de Kerberos, NTLM o LDAP.

 Búsqueda en el directorio a través de LDAP o LDAPS.

Consulte: Escenarios y casos de uso de implementación.
Extienda su dominio de Windows Server AD local a Azure cuando necesite:
Opciones de conectividad
 Extensibilidad de esquema. Red privada virtual (VPN) ExpressRoute
 Capacidad para escribir en las identidades de directorio existentes.
De sitio a sitio Vínculo privado dedicado para
 Compatibilidad con aplicaciones en redes virtuales de Azure donde el Conecte de 1 a 10 sitios (incluidas IaaS de Azure mediante un
aislamiento de red es un requisito. otras redes virtuales de Azure) intercambio de nube, Ethernet
 Soporte técnico en varias suscripciones de Azure. a una sola red virtual de Azure. punto a punto o proveedor
 Autenticación de certificado o basada en tarjeta inteligente para universal (IP VPN).
aplicaciones. De punto a sitio
Consulte: Directrices para implementar Windows Server Active Directory en Conecte una sola máquina a una  Rendimiento predecible
máquinas virtuales de Azure red virtual de Azure.  Latencias más bajas

Más recursos de Opciones de

plataforma y Seguridad Identidad Almacenamiento
TI en la nube de servicios
Microsoft aka.ms/cloudarchoptions aka.ms/cloudarchsecurity aka.ms/cloudarchidentity aka.ms/cloudarchstorage

© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a
Agosto de 2016 ITSPdocs@microsoft.com.