Windows Active Directory o Azure AD, ¿qué hacer?

By on
Windows Active Directory o Azure AD

Hubo una vez profesionales de TI que creían que los riesgos de una brecha de seguridad y credenciales comprometidas eran lo suficientemente altos como para retrasar la migración de datos a la nube. Después de todo, ninguna organización quiere ser la primera en probarlo y anunciar otro fallo de seguridad al mundo. Pero, con el paso del tiempo y tras una seguridad mejorada, una adaptación más amplia y una mayor confianza, la ansiedad por la tecnología ha disminuido y la ejecución de aplicaciones basadas en la nube, como el servicio de suscripción de Microsoft Office 365, se convierte en el siguiente paso natural.

Una vez que los usuarios comienzan a emplear Office 365, ¿cómo pueden administrar Active Directory, Windows Server AD o Azure AD? ¿En qué se parecen AD y Azure AD y en qué se diferencian?

Qué sabemos de Windows Active Directory

Lanzado por primera vez con la edición de Windows 2000 Server, Active Directory es esencialmente una base de datos que ayuda a organizar los usuarios, los ordenadores y más servicios de la empresa. Proporciona autenticación y autorización para aplicaciones, servicios de archivos, impresoras y otros recursos locales. Utiliza protocolos como Kerberos y NTLM para la autenticación y LDAP para consultar y modificar elementos en las bases de datos de AD.

También existe la maravillosa función de política de grupo para simplificar la configuración de usuarios y ordenadores en toda la red.

Con tantos grupos de seguridad, cuentas de usuario y administrador y contraseñas almacenadas en Active Directory, así como los derechos de identidad y acceso administrados allí, la protección de AD es clave para salvaguardar los activos de una organización.

Ahora, con los correos electrónicos, los archivos, los sistemas de CRM e incluso las aplicaciones almacenadas en la nube, ¿cómo podemos saber si están tan seguros en la nube como cuando estaban en los propios servidores de la empresa?

Servicio de Active Directory en la nube

A medida que las nuevas organizaciones crean sus empresas, lo más probable es que no tengan datos locales y que tampoco tengan que crear bosques y dominios en AD.

Pero las organizaciones con infraestructura existente ya han hecho una inversión significativa en equipamiento local y tendrán que visualizar una nueva forma de amortizar su negocio.

Azure AD, probablemente, será una parte clave del futuro de Microsoft. Por lo tanto, si ya estás utilizando cualquiera de los servicios en línea de Microsoft, como Office 365, Sharepoint Online y Exchange Online, tendrás que descubrir qué camino tomar. Las organizaciones están adoptando rápidamente aplicaciones basadas en la nube y las están ejecutando casi el 50% del tiempo.

¿Qué es diferente en Azure Active Directory?

Azure Active Directory fue diseñado para admitir servicios basados en la web que usan interfaces API REST (Representational State Transfer). A diferencia del Active Directory simple, utiliza protocolos completamente diferentes (Adiós a Kerberos y NTLM) que funcionan con estos servicios, como SAML y OAuth 2.0.

 

 

Con Azure AD no estarás creando bosques y dominios. En cambio, serás un inquilino, que representa una organización completa. De hecho, una vez que te registres en Office 365, Sharepoint o Exchange Online, automáticamente serás un inquilino de Azure AD, donde podrás administrar a todos los usuarios de la empresa, así como las contraseñas, permisos, datos de usuario, etcétera.

Además de conectarse sin problemas a cualquier servicio en línea de Microsoft, Azure AD puede enlazarse a cientos de aplicaciones SaaS utilizando un inicio de sesión único. Esto permite que los empleados accedan a los datos de la organización sin necesidad de iniciar sesión repetidamente. El token de acceso se almacena localmente en el dispositivo del empleado. Además, puede limitar el acceso creando fechas de vencimiento del token.

Preparación para Azure AD Connect

En las organizaciones que están listas para integrar su estructura de AD local con Azure AD, Azure AD Connect proporciona un mecanismo de sincronización automática.

Al sincronizar las cuentas de usuario en su Active Directory local y en Azure Active Directory, los usuarios pueden usar un conjunto unificado de credenciales para acceder a Office365 y a los recursos de la red local.

Por necesidad, este proyecto requiere de una comprensión profunda de la configuración de permisos y Active Directory, que en muchas organizaciones se ha enredado gradualmente con los permisos superpuestos, las cuentas de usuario obsoletas y los roles innecesarios, por lo que es casi imposible avanzar con Azure AD Connect.