Configurar la sincronización entre un Directorio Activo on-premises y Azure Active Directory
Muchas empresas se empiezan a plantear el subir su directorio activo a Azure, es decir su directorio (On-premises) a Azure Active Directory. Esto trae muchas ventajas a la hora de flexibilidad. Ya que un usuario del dominio podría acceder con su extensión de dominio (@dominio.onmicrosoft.com). Desde cualquier parte fuera de la empresa.
Para este proceso, se requiere tener un Active directory en una maquina local y un servicio llamado «Azure Active directory»
La herramienta de Microsoft dedicada a la sincronización del directorio es «Azure AD Connect». Esta herramienta se instala en la maquina local y se va configurando con nuestra suscripción de Azure, donde tenemos el directorio.
Azure Active Directory Connect tiene tres componentes principales: los servicios de sincronización, el componente opcional de los servicios de federación de Active Directory y el componente de supervisión denominado Azure AD Connect Health.
- Sincronización: este componente es responsable de la creación de usuarios, grupos y otros objetos. También es responsable de asegurarse de que la información de identidad de los usuarios y los grupos de su entorno local coincide con la de la nube.
- AD FS: la federación es una parte opcional de Azure AD Connect y puede utilizarse para configurar un entorno híbrido. Mediante una infraestructura local de AD FS. Las organizaciones pueden utilizar esto para abordar implementaciones complejas como un inicio de sesión único de unión a dominio, la aplicación de la directiva de inicio de sesión de AD y MFA mediante tarjeta inteligente o de terceros.
- Supervisión de estado: Azure AD Connect Health puede ofrecer una sólida supervisión. Ademas proporcionar una ubicación central en el Portal de Azure para ver esta actividad. Para más información, consulte Supervisión de la infraestructura de identidad local y los servicios de sincronización en la nube.
Azure AD Connect
Azure AD Connect es una herramienta que conecta funcionalidades de sus dos predecesores: Windows Azure Active Directory Sync. Azure AD Connect será ahora la única herramienta de sincronización de directorios admitida por Microsoft.
Ventajas:
- Una de las grandes ventajas es poder usar tu cuenta de usuario donde quieras dentro de tu directorio.
- Sincronizar usuarios con Azure AD es una característica gratuita.
Desventajas:
- La eliminación de las cuentas de usuario que han sido creadas previamente en local. No se pueden eliminar desde el portal de azure.
- El active directory de azure sincronizado con el active directory on-premises, funciona únicamente si el active directory on-premises está funcional.
Actualmente tenemos nuestro servidor de Dominio local con WS 2008 R2, Sabemos que el soporte se termina en Enero de 2020. hemos visto la posibilidad de Pasar nuestro Dominio totalmente independiente en la Nube. Crees que se una buena opción hacerlo, refiriéndome a que hay que ver que toda aplicación todo acceso va conectado al Dominio. No se si me puedas asesorar si es una buena opción migrarlo todo o si solamente con el Servicio de AD de Microsoft Azure en un entorno hibrido sea la mejor opción..
Buenas tardes Carlos,
En este post, explicamos la utilidad de Azure Ad connect, esta utilidad, se usa generalmente para «expandir» nuestro ad on-premises a nuestro azure ad.
Con esta funcionalidad conseguimos expandir todo nuestro árbol de usuarios, grupos etc.. A azure.
Como explico en las desventajas, no es una forma de «migrar» es su totalidad todas las funcionalidades de un DC, ya que, si configuramos esta utilidad, y destruimos nuestro DC on-premises, esto dejará de funcionar.
Como recomendación, actualmente la mayoría de servicios que provee un actual DC on-premises, Las tienes en Azure, pero no todas, solo las que «generalmente» se usan.
Como puede ser la gestión de usuarios y directivas de grupo.
Como buena práctica, es muy aconsejable usar Azure active directory como zona secundaria, de un DC que pueda estar montado on-premises o en cloud..
Espero haberte ayudado.
Un saludo.
buenas tardes y esto lo puedo usar en MAC ya q mi empresa usa pura mac