Seleccionar un modelo de integración de Microsoft Entra
Microsoft Entra ID es un servicio de directorio diseñado para aplicaciones basadas en la nube y en la Web, que comparte algunas funcionalidades con las implementaciones tradicionales de AD DS. El equipo de TI de Contoso puede implementar Microsoft Entra ID y sincronizar sus identidades locales con la nube. Estos pasos permitirían al personal de Contoso usar SSO para acceder a los recursos locales y a los relacionados en su inquilino de Azure.
El equipo de TI puede usar Microsoft Entra ID para aumentar la productividad de los empleados, optimizar los procesos de TI y mejorar la seguridad a fin de adoptar varios servicios en la nube. Los empleados de Contoso pueden acceder a aplicaciones en línea mediante una sola cuenta de usuario. Contoso también puede realizar la administración central de usuarios mediante cmdlets conocidos de Windows PowerShell. También merece la pena tener en cuenta que, dado que Microsoft Entra ID es muy escalable y de alta disponibilidad por diseño, el equipo de TI no tendrá que mantener la infraestructura relacionada ni preocuparse por la recuperación ante desastres.
Microsoft Entra ID, como componente de Azure, puede admitir la autenticación multifactor como parte de una estrategia de acceso general para los servicios en la nube, lo que proporciona una capa de seguridad adicional. El control de acceso basado en rol (RBAC), la contraseña de autoservicio, la administración de grupos y el registro de dispositivos proporcionan soluciones de administración de identidades listas para la empresa. Microsoft Entra ID también proporciona protección de identidad avanzada, además de alertas e informes mejorados, que pueden ayudar a reconocer las amenazas de forma más eficaz.
Información general de Microsoft Entra ID
Microsoft Entra ID forma parte de la oferta de plataforma como servicio (PaaS) y funciona como un servicio de directorio administrado por Microsoft en la nube. No forma parte de la infraestructura básica que los clientes poseen y administran, ni tampoco es una oferta de IaaS. Aunque esto implica que se tiene menos control sobre su implementación, también significa que no se tienen que dedicar recursos a su implementación o mantenimiento.
Gracias a Microsoft Entra ID, también tiene acceso a un conjunto de características que no están disponibles de forma nativa en AD DS, como la compatibilidad con la autenticación multifactor, la protección de identidades y el autoservicio de restablecimiento de contraseña. Puede usar Microsoft Entra ID con el fin de proporcionar un acceso más seguro a los recursos basados en la nube para organizaciones y usuarios mediante lo siguiente:
- Configuración del acceso a las aplicaciones
- Configuración del inicio de sesión único en aplicaciones de SaaS basadas en la nube
- Administración de usuarios y grupos
- Aprovisionamiento de usuarios
- Habilitación de federación entre organizaciones
- Suministro de una solución de administración de identidades
- Identificación de la actividad de inicio de sesión irregular
- Configuración de la autenticación multifactor.
- Ampliación de las implementaciones locales de Active Directory existentes a Microsoft Entra ID.
- Configuración de Application Proxy para aplicaciones locales y en la nube
- Configuración del acceso condicional para usuarios y dispositivos
Inquilinos de Microsoft Entra
A diferencia de AD DS local, Microsoft Entra ID es multiinquilino de forma predeterminada y se implementa de forma específica para garantizar el aislamiento entre sus instancias de directorio individuales. Es el directorio multiinquilino más grande del mundo: hospeda más de un millón de instancias de servicios de directorio, con miles de millones de solicitudes de autenticación por semana. En este contexto, el término inquilino suele representar una empresa u organización que se ha registrado para una suscripción a un servicio basado en la nube de Microsoft, como Microsoft 365, Microsoft Intune o Azure, cada uno de los cuales usa Microsoft Entra ID.
Sin embargo, desde el punto de vista técnico, el término inquilino representa una instancia individual de Microsoft Entra. En una suscripción de Azure, se pueden crear varios inquilinos de Microsoft Entra. Tener varios inquilinos de Microsoft Entra puede ser conveniente si desea probar la funcionalidad de Microsoft Entra en un inquilino sin afectar a los demás.
Nota:
En todo momento, una suscripción de Azure debe estar asociada a un inquilino de Microsoft Entra, y solo a uno. Sin embargo, se puede asociar el mismo inquilino de Microsoft Entra con varias suscripciones de Azure.
A cada inquilino de Microsoft Entra se le asigna el nombre de dominio DNS predeterminado, que consiste en un prefijo único. El prefijo se deriva del nombre de la cuenta Microsoft que se usa para crear una suscripción de Azure, o bien se proporciona de forma explícita al crear un inquilino de Microsoft Entra, y va seguido del sufijo onmicrosoft.com. Agregar, al menos, un nombre de dominio personalizado al mismo inquilino de Microsoft Entra es posible y habitual. Este nombre utiliza el espacio de nombres de dominio DNS que posee la compañía u organización correspondiente; por ejemplo, Contoso.com. El inquilino de Microsoft Entra actúa como el límite de seguridad y un contenedor para objetos de Microsoft Entra, tales como usuarios, grupos y aplicaciones.
Características de Microsoft Entra ID
Aunque Microsoft Entra ID tiene muchas semejanzas con AD DS, también hay muchas diferencias. Es importante tener presente que el uso de Microsoft Entra ID no es lo mismo que implementar un controlador de dominio de AD DS en una máquina virtual de Azure y, después, agregarlo a su dominio local.
Al comparar Microsoft Entra ID con AD DS, es importante tener en cuenta las características de Microsoft Entra que difieren de AD DS:
- Microsoft Entra ID es principalmente una solución de identidad y está diseñado para aplicaciones basadas en Internet mediante el uso de las comunicaciones HTTP (puerto 80) y HTTPS (puerto 443).
- Microsoft Entra ID es un servicio de directorio multiinquilino.
- Los usuarios y grupos de Microsoft Entra se crean en una estructura plana y no hay unidades organizativas (UO) ni objetos de directiva de grupo (GPO).
- No se puede consultar Microsoft Entra ID mediante LDAP; en su lugar, Microsoft Entra ID usa la API de REST a través de HTTP y HTTPS.
- Microsoft Entra ID no utiliza la autenticación Kerberos; en su lugar, usa los protocolos de HTTP y HTTPS como, por ejemplo, Lenguaje de marcado de aserción de seguridad (SAML), Web Services Federation (WS-Federation) y OpenID Connect, para la autenticación. También usa Open Authorization (OAuth) para la autorización.
- Microsoft Entra ID incluye servicios de federación, y muchos servicios de terceros se federan con Microsoft Entra ID y confían en este servicio.
Opciones de integración de Microsoft Entra
Las organizaciones pequeñas que no tienen un directorio local, como AD DS, pueden confiar totalmente en Microsoft Entra ID como servicio de autenticación y autorización. Sin embargo, el número de este tipo de organización sigue siendo pequeño, por lo que la mayoría de las empresas buscan una manera de integrar instancias de AD DS local con Microsoft Entra ID. Microsoft ofrece administración de identidad y acceso de escala en la nube a través de Microsoft Entra ID, que ofrece varias opciones para integrar AD DS con Azure. Se describen en la siguiente tabla.
| Opciones | Descripción |
|---|---|
| Ampliación de AD DS local a Azure | Con esta opción, se hospedan máquinas virtuales en Azure que luego se promueven para ser controladores de dominio en la instancia de AD DS local. |
| Sincronización de AD DS local con Microsoft Entra ID | La sincronización de directorios propaga información de usuarios, grupos y contactos a Microsoft Entra ID, y mantiene la información sincronizada. En este escenario, los usuarios utilizan contraseñas diferentes para acceder a los recursos locales y en la nube, y los procesos de autenticación son independientes. |
| Sincronización de AD DS con Microsoft Entra ID mediante la sincronización de hash de contraseña | En este enfoque, AD DS local sincroniza los objetos con Microsoft Entra ID, pero también envía los hash de contraseñas para los objetos de usuario a Microsoft Entra ID. Gracias a esta opción, los usuarios pueden acceder a las aplicaciones y los recursos compatibles con Microsoft Entra ID, proporcionando la misma contraseña que en el inicio de sesión local actual. En el caso de los usuarios finales, este enfoque proporciona la misma experiencia de inicio de sesión. |
| Implementación de SSO entre AD DS local y Microsoft Entra ID | Esta opción admite el mayor abanico de características de integración y permite que un usuario inicie sesión en Azure después de autenticarse a través de la instancia de AD DS local. La tecnología que proporciona esta función se denomina federación, que se puede implementar mediante Servicios de federación de Active Directory (AD FS). AD FS se basa en un conjunto de servidores de federación y servidores proxy, que adoptan la forma del servicio de rol del servidor Proxy de aplicación web. Como alternativa a la implementación de AD FS, también puede usar la tecnología de autenticación de paso a través, que proporciona casi los mismos resultados que AD FS. Sin embargo, no usa un Proxy de aplicación web y requiere una infraestructura menos compleja que AD FS. |
El directorio de Microsoft Entra no es una extensión de un directorio local. Por el contrario, es una copia que contiene los mismos objetos e identidades. Los cambios realizados en estos elementos en las instalaciones se copian en Microsoft Entra ID, pero los cambios realizados en Microsoft Entra ID no se replican en el dominio local.
Sugerencia
También puede usar Microsoft Entra ID sin utilizar un directorio local. En este caso, Microsoft Entra ID actúa como el origen principal de toda la información de identidad, en lugar de contener los datos replicados desde un directorio local.