Comprender las opciones de Office 365 y Azure Active Directory

Puede elegir entre tres modelos de identidad principales en Office 365 cuando configura y administra cuentas de usuario:

Es importante considerar cuidadosamente qué modelo de identidad utilizar para ponerse en marcha. Piense en el tiempo, la complejidad existente y el costo. Estos factores son diferentes para cada organización; En este tema se revisarán estos conceptos clave para cada modelo de identidad con el fin de ayudarle a elegir la identidad que desea usar para la implementación.

También puede cambiar a un modelo de identidad diferente si sus requisitos cambian.

Identidad en Office 365 para empresas

Identidad en la nube

En este modelo, los usuarios se crean y administran en el portal de Microsoft Office y se almacenan las cuentas en Azure AD. Azure AD verifica las contraseñas. Azure AD es el directorio de nube que utiliza Office 365. No se requieren servidores locales: Microsoft administra todo eso por usted. Cuando la identidad y la autenticación se manejan completamente en la nube, puede administrar las cuentas de usuario y las licencias de usuario a través del Portal en línea de Microsoft o los cmdlets de Windows PowerShell.

El siguiente gráfico resume cómo administrar usuarios en el modelo de identidad en la nube.

1. El administrador se conecta al portal en línea de Microsoft en la plataforma de nube de Microsoft para crear o administrar usuarios.

2. Las solicitudes de creación o administración se transfieren a Azure AD.

3. Si se trata de una solicitud de cambio, el cambio se realiza y se vuelve a copiar en el portal de Microsoft Office

4. Las cuentas de usuario nuevas y los cambios en las cuentas de usuario existentes se copian nuevamente en el portal de Microsoft Office.

¿Cuándo utilizaría la identidad en la nube? La identidad en la nube es una buena opción si:

• No tiene ningún otro directorio de usuario en las instalaciones.
• Tiene un directorio en las instalaciones muy complejo y simplemente desea evitar el trabajo de integración con él.
• Tiene un directorio local existente, pero desea ejecutar una prueba piloto de Office 365. Más adelante, puede hacer coincidir los usuarios de la nube con los usuarios locales cuando esté listo para conectarse a su directorio local

Integración de Office 365 con un servicio de directorio existente

Si tiene un entorno de directorio existente en el entorno local, puede integrar Office 365 con el directorio mediante el uso de la identidad sincronizada o el inicio de sesión único y la identidad federada para crear y administrar los usuarios en Office 365.

Identidad sincronizada

En este modelo, se administra la identidad del usuario en un servidor local y se sincronizan las cuentas y, opcionalmente, las contraseñas en la nube. El usuario escribe la misma contraseña en el entorno local que en la nube y, al iniciar sesión, Azure AD verifica la contraseña. Este modelo usa una herramienta de sincronización de directorios para sincronizar la identidad local con Office 365.

Para configurar el modelo de identidad sincronizada, debe tener un directorio local desde el que sincronizarse e instalar una herramienta de sincronización de directorios. Ejecutará algunas comprobaciones de coherencia en el directorio local antes de sincronizar las cuentas.

Cuándo usar identidades sincronizadas o federadas:

En el siguiente diagrama se muestra un escenario de identidad sincronizada con una sincronización de contraseñas. La herramienta de sincronización mantiene sincronizadas las identidades de usuario corporativo en las instalaciones y en la nube.

1. Se instala Microsoft Azure Active Directory Connect.

2. Los usuarios nuevos se crean en el directorio local.

3. La herramienta de sincronización comprobará periódicamente el directorio local en busca de nuevas identidades que haya creado. A continuación, aprovisiona estas identidades en Azure AD, vincula las identidades locales y en la nube entre sí, sincroniza las contraseñas y las hace visibles a través del portal de Microsoft Office.

4. A medida que realiza cambios en los usuarios del directorio local, esos cambios se sincronizan con Azure AD y se ponen a su disposición a través del portal de Microsoft Office.

Identidad federada

Este modelo requiere una identidad sincronizada, pero con un cambio en ese modelo: el proveedor de identidades local verifica la contraseña del usuario. Esto significa que no es necesario sincronizar el hash de contraseña con Azure AD. Este modelo utiliza Active Directory Federation Services (AD FS) o un proveedor de identidades de terceros.

Entre las razones para usar una identidad federada, se incluyen las siguientes:

Infraestructura existente

• Si ya tiene AD FS implementado por algún otro motivo, es probable que también desee usarlo para Office 365.
• Si ya utiliza algún otro proveedor de identidades, querrá usar la identidad federada con Office 365.
• Si usa Forefront Identity Manager, también querrá usar la identidad federada con Office 365.

Requisitos técnicos

• Tiene varios bosques en los Servicios de dominio de Active Directory (AD DS) locales.
• Tiene una solución de tarjeta inteligente integrada en las instalaciones.
• Tiene una aplicación híbrida personalizada existente, por ejemplo, con SharePoint o Microsoft Exchange Server.

Requisitos de la política

• Necesita una auditoría de inicio de sesión o una deshabilitación inmediata.
• Necesita Single Sign On.
• Tiene restricciones de inicio de sesión por ubicación de red u horas de trabajo.
• Tiene otras políticas implementadas que requieren identidad federada.

En el siguiente diagrama se muestra un escenario de identidad federada con una implementación híbrida en las instalaciones y en la nube. El directorio local de este ejemplo es AD FS. La herramienta de sincronización mantiene sincronizadas las identidades de usuario corporativo en las instalaciones y en la nube.

1. Instale Azure Active Directory Connect La herramienta de sincronización ayuda a mantener Azure AD actualizado con los cambios más recientes que realice en el directorio local. Deberá usar una instalación personalizada de Azure AD Connect para configurar el inicio de sesión único.

2. Los usuarios nuevos se crean en Active Directory local.

3. La herramienta de sincronización comprobará periódicamente el servidor de Active Directory local en busca de nuevas identidades que haya creado. A continuación, aprovisiona estas identidades en Azure AD, vincula las identidades locales y en la nube entre sí y las hace visibles a través del portal de Microsoft Office.

4. A medida que se realizan cambios en la identidad en Active Directory local, esos cambios se sincronizan con Azure AD.

5. Estos cambios están disponibles para usted a través del portal de Microsoft Office.

6. Los usuarios federados inician sesión con su AD FS.

7. AD FS genera un token de seguridad y ese token se pasa a Azure AD. El token se verifica y valida y, a continuación, los usuarios se autorizan para Office 365.