Home
About
Archives
Contactenos
Ayuda | Help

24  04 2017

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


19  04 2017

La Build 15205 llega a los Insiders de Windows 10 Mobile en el anillo rapido [News]

Queria compartir con ustedes esta noticia que fue publicada por Javier Gualix en microsoftinsider.es. Muy recomendable y para tener en cuenta. Saludos. Roberto Di Lello

Pese a las especulaciones sobre la muerte de Windows 10 Mobile, Microsoft sigue trabajando para mejorar su sistema operativo móvil. De la misma forma que ocurría en PC y tablets, los Insiders del anillo rápido que cuenten con Windows 10 en su smartphone ya pueden comenzar a descargar la Build 15205. La nueva compilación introduce, en su mayoría, correcciones de errores, aunque debemos estar atentos a los problemas conocidos.

a

Cambios, mejoras y correcciones

  • Solucionado un problema de objetivos que causaba que algunas variantes del Alcatel IDOL 4S no recibiese la Build 15204 la semana pasada. Todas las variantes del Alcatel IDOL 4S deberían recibir la Build 15205.
  • Solucionado un problema en el que Continuum dejaba de funcionar al cerrar la carcasa del HP Exlite X3.
  • Solucionado un problema en el que Continuum se bloquearía o renderizaría de fomra incorrecta después de desconectarse en dispositivos como el Lumia 950.
  • Solucionado un problema con Microsoft Edge por el que podría entrar en estado inestable después de abrir una nueva ventana de Edge y bloquear la pantalla con el proceso JIT suspendido.
  • Solucioando un problema en el que la pantalla del dispositivo podría quedar en negro al desconectarse del dock de Continuum.
  • Solucionado un problema con la copia de seguridad y restauración que afectaba a los usuarios con conexiones de red lentas.
  • Solucionado un error de estabilidad de Microsoft Edge.

Errores conocidos

  • Un pequño porcentaje de los dispositivos podría sufrir pérdidas de mensajes al restaurar su copia de seguridad debido a un problema con la base de datos.
  • Los Insiders que hayan actualizado desde una Build 150xx a esta compilación, podrían no poder abrir la página “Añadir Bluetooth y otros dispositivos” en Configuración.
  • La fecha de copyright no era correcta en Configuración > Sistema > Acerca de. Mostraba 2016 cuando debería ser 2017.
  • Podrían experimentarse reinicios aleatorios en algunos dispositivos.

17  04 2017

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


14  04 2017

Windows 10: Como setear una conexión Ethernet como Metered {Howto}

Windows 10 nos permiten establecer ciertos tipos de conexiones como medidaspara que podamos limitar la cantidad de datos que Windows (y ciertas aplicaciones) pueden usar sin preguntar. Podemos utilizar la interfaz de configuración normal para establecer las conexiones móviles y Wi-Fi como medidas, pero por alguna razón Windows asume que no necesitaremos hacer esto con conexiones Ethernet cableadas. Si nuestro ancho de banda es facturado a medida que lo vamos consumiendo esto es critico. Lo bueno es que podemos forzar a que Windows nos deje modificando un registro.

a01

Algo para tener en cuenta es que si hemos actualizado nuestro equipo a la actualización de Windows 10 Creators, no es necesario realizar esto, ya que viene con esta opcion. En mi caso tuve que hacer un rollback ya que tengo un dispositivo WD TV y con la ultima version no funcionaba, entonces tengo que hacer esto para que Windows Update no me baje las actualizaciones.

Ejecutamos el regedit

a02

y buscamos la entrada HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\DefaultMediaCost

a03

a04

Recordemos que debemos modificar el permiso de la registry para poder cambiar el valor y para evitar el error:

a05

Ahora podemos cerrar el Editor del Registro. Nuestra conexión Ethernet está ahora configurada como medida, lo que significa que los servicios de Windows intensivos en datos, como Windows Update y las descargas automáticas de aplicaciones, no ocurrirán sin pedir primero nuestro permiso. También es posible que algunas aplicaciones se comporten de forma diferente, ya que ciertas aplicaciones de la tienda de Windows pueden estar diseñadas para respetar esta configuración.

Desafortunadamente, la interfaz de Configuración de Windows no se actualizará para mostrarle que la conexión se mide, como ocurre cuando habilita conexiones medidoras para conexiones móviles y Wi-Fi. Para verificarlo, deberá volver al Editor del Registro y comprobar la configuración. Sólo debemos recordar que un ajuste de 2 significa medido, y 1 significa sin medir.

Espero les sirva tanto como a mi. Saludos, Roberto Di Lello.


10  04 2017

Resumen Semanal!

calendario2017Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


04 2017

Azure Active Directory: Como es para la vieja escuela de administración de AD {Teoria}

Hoy es feriado en Argentina, y quería compartir con ustedes esta importante nota publicada en el sitio de MS sobre Azure Active Directory. La misma fue traducida del ingles y pueden ver la original en el sitio Azure Active Directory for the Old-School AD Admin.

espero les sea de interes y utilidad. Saludos, Roberto Di Lello
———

Azure Active Directory for the Old-School AD Admin

¡Saludos!  Hilde aquí desearle un Feliz Año Nuevo y para darle la bienvenida al primer lunes de 2015 y el primer puesto de 2015 para AskPFEPlat!

Como usted puede saber a partir de la lectura de mis entradas aquí, tiendo a recordar.  Bueno, es el Año Nuevo, así que aquí voy de nuevo … ¿Hay alguien allí recuerda la "Guía de sistemas distribuidos" de la serie Kit de recursos de Windows 2000 de los libros?  Es probable que si usted es un administrador de AD de la vieja escuela, se lee de principio a fin más de una vez.  Libra por libra, ese libro es uno de mis libros de la parte superior es que alguna vez (y pesada).  Sigo aprendiendo algo cada vez que lo abro.  Felicitaciones a los numerosos autores que tenían una mano en su creación (algunos de los cuales he tenido el privilegio de trabajar con).  Todavía me gusta tangibles "en mi mano" libros y me gustaría una actualización de esa pero la forma en la edición de libros ha cambiado, yo no creo que eso suceda.

Ok – Ahora, de vuelta al futuro …

Creo que todos hemos visto en la computación en nube ha alterado la forma en que se desarrollaron las aplicaciones.  Hoy en día, es todo acerca de "La App."  Al igual que en ‘una web basada en el acceso, desde cualquier lugar-en-nada-‘ estilo de aplicación – no es el ‘RunMe.MSI-installed-onto-a-single-server-using-a-service-account-and-accessed-via-a-dedicated-client-install’  estilo de aplicación.

Al mismo tiempo, la naturaleza ubicua (frase agradable, ¿eh?) De los teléfonos inteligentes, tabletas y otros dispositivos además de una difuminación de las líneas entre la vida laboral y la vida personal ha cambiado la forma de utilizar / acceder a esas aplicaciones.  Entre dispositivos;  Multiplataforma;  en cualquier momento;  en cualquier lugar – esto es la nueva norma.  O al menos la nueva expectativa.

On-prem dominios y bosques de AD Windows Server son generalmente aislados o aislados del mundo exterior y no llegan a obtener lo que necesitamos para este nuevo modelo.  Tendríamos que volver nuestros servidores de seguridad en queso suizo con una gran cantidad de puertos abiertos y que probablemente tendríamos problemas al DNS de Internet en conflicto con DNS interno.  Sólo por nombrar un par de puntos de dolor obvias.  Qué vamos a hacer?

Hola Azure Active Directory

Azure Active Directory (AD Azure; AAD) es una escala de Internet de identidades y accesos servicio basado en web alojada en centros de datos Microsoft Azure. Combina servicios de directorio y de identidad y de la gobernabilidad, gestión de acceso a las aplicaciones, auditoría e información, así como la autenticación de múltiples factores y la contraseña de autoservicio (y nuevas características se añaden regularmente).

A pesar de que el nombre es similar, Azure anuncio no es instancias de Windows Active Directory Server que se ejecutan en los países en desarrollo en los centros de datos Azure pero tiene algunos aspectos similares. Hay usuarios, grupos, particiones, la replicación de contenido – Pienso en ello como AD LDS mediante servicios web terminado delanteros / API. No hay sitios de anuncios o unidades organizativas; no hay un dominio de función para equipos unirse tampoco. Hay algo un poco como una combinación de dominio, sin embargo. Registro del dispositivo ( http://msdn.microsoft.com/en-us/library/azure/dn788908.aspx ) es sorta como un dominio mínimo unirse, utilizando Azure, AD FS y certificados para asociar dispositivo personal de un usuario determinado (s) que que le gustaría utilizar para acceder a los datos corporativos. E n el futuro cercano, la gente probablemente será capaz de conectarse a un PC a través de una cuenta AD Azure (similar a la sesión en un PC Windows 8 a través de una cuenta de Microsoft).  ¿Quién sabe qué más espera en el futuro – el conjunto de características de los servicios Azure se está expandiendo rápidamente y con frecuencia.

Hay tres diferentes niveles de Azure Active Directory con juego de características, la escala y las variaciones de costos. Aquí hay dos recursos útiles para romperlo abajo para usted:
http://azure.microsoft.com/en-us/pricing/details/active-directory/
http://msdn.microsoft.com/en-us/library/azure/dn532272.aspx

Un buen artículo técnica con un gran AAD detalles "mecánicas" se puede encontrar aquí (lea los comentarios, también):
http://blogs.technet.com/b/ad/archive/2014/09/02/azure-ad-under-the-hood-of-our-geo-redundant-highly-available-geo-distributed-cloud-directory.aspx

Como un tipo AD desde hace mucho tiempo, Azure AD ha sido rebotando en mi noggin desde hace bastante tiempo.  Para ser honesto, todavía está rebotando.  Una forma llego a un acuerdo con las cosas nuevas es a tomar notas de mis propias maravillas sin rumbo y vaga, luego buscar respuestas.  Hace un tiempo, empecé a uno de estos para la nube ‘cosas’, incluyendo AD Azure.

Luego, recientemente, una ZFP pares y amigo mío presentado AD Azure a través de las lentes de una "vieja escuela de administración de AD" y caí en la cuenta de que nuestros lectores se beneficiarían de este punto de vista y todos ustedes probablemente tenía muchas de las mismas preguntas que yo había perseguido en mi FAQ de la nube.

Una de mis primeras y las entradas más antiguas es FAQ:

¿Por qué debería preocuparme por Azure AD?

Para entender mejor mi propia pregunta, se volteó y se reformuló un par de veces – ahora es: ¿Por qué utilizar las empresas / necesitar un servicio de directorio en la nube?

Como todos sabemos, los negocios está cambiando y también lo es de TI / tecnología.  Antes de la revolución nube, la mayoría de las aplicaciones estaban en la casa, que se ejecuta en los servidores en nuestro centro de datos on-prem, actualizado cada cierto tiempo a través de los medios de CD-ROM que el vendedor enviaría.  Hoy en día, muchos de aquellos proveedores de aplicaciones para alojar sus aplicaciones como "servicios" (usted puede haber oído esto se refería a "software como servicio" o "SaaS").  Nuestra propia Oficina 365 es un ejemplo del modelo de entrega SaaS.

Otro ejemplo podría ser un servicio de viajes corporativos / aplicación que ha evolucionado con el tiempo a partir de ese estilo de cliente / servidor ‘gruesa’, a un sitio de intranet interna.  A continuación, el vendedor comenzó a alojar el servicio en un sitio de Internet, pero cada usuario tenía que ir allí, crear su propio ID / pwd en ese sitio y recordar esas credenciales cada vez que necesitaban para reservar viajes.  El proveedor decide integrar la aplicación en AAD.  Bingo – derecha hay un caso de uso sólida para Azure AD – que web de inicio de sesión ahora puede ser manejado a través de credenciales existentes en AD-prem para todos sus usuarios.  Si un usuario abandona la org, se desactiva la cuenta de AD en Prem y que el cambio va a ser sincronizado a Azure AD – él / ella no será capaz de alto paso para salir de la aplicación de viaje y reservar un vuelo alrededor de la mundo en la moneda de diez centavos empresa.  Su / su acceso a eso, y cualesquiera otras aplicaciones SaaS ahora es controlado por TI a través del mismo conjunto de credenciales que el usuario ya utiliza para acceder a su / su PC.  La aplicación / servicio puede estar disponible en un PC corporativo, una tableta de uso personal, un quiosco de Internet en un hotel o incluso un teléfono inteligente.

Tomar ese ejemplo, y aplicarlo a cualquier número de escenarios de hoy – Aplicaciones MUCHOS se ofrecen como "Servicios" y en lugar de sus usuarios cada creación / gestión de identidades separadas para cada aplicación / servicio, con EA Azure, el usuario controla el acceso del usuario a todos de esos nube aplicaciones / servicios importantes como una extensión de sus credenciales en AD-prem existentes.

¿Tener sentido?
•  Los vendedores gestionar / actualizar las aplicaciones, añadir nuevas funciones, etc.
•  Las credenciales son los mismos que ya se gestiona dentro de su sobre-prem AD.
•  Muchas aplicaciones están disponibles en varios dispositivos / factores de forma – (PC corporativos, smartphone, tablet).

Eso, mis amigos, es un poderoso negocio-habilitador.
•  Sus usuarios pueden hacer sus trabajos / tareas a través de dispositivos / plataformas / ubicaciones y mantener el control de las identidades.

Además, considerar el potencial de ventas un ISV obtiene cuando se certifican su aplicación para la integración de AD Azure?  Como los datos de la OCT 2014, AD Azure tiene 2400 puntos en SaaS aplicaciones pre-integradas, más de 200 millones de usuarios activos y procesa alrededor de 18 mil millones autenticaciones cada semana.  Eso es grande.

Por supuesto, muchas aplicaciones SaaS / servicios pueden estar federados a AD en Prem través de AD FS u otra tecnología de federación.  Sin embargo, como se ha mencionado, el número de estas aplicaciones SaaS está creciendo rápidamente y tener que gestionar la multitud de estas confianzas de federación se convierte rápidamente en una carga.  Sobre todo cuando llega el momento de rodar sobre los certificados si las aplicaciones no controlan la configuración de la federación para los cambios.

Podemos aprovechar AD Azure para ayudarnos aquí y establecer una sola confianza de federación para su anuncio en el prem-y, a continuación, a través de la integración de los proveedores de SaaS con Azure AD en la parte final, los usuarios pueden SSO a esas aplicaciones SaaS.

¿Tienes curiosidad en cuanto a lo AAD aplicaciones integradas están disponibles?  Echa un vistazo a la AD mercado Azure (una lista que siempre está creciendo):

•  Aplicaciones de AAD-integrado – http://azure.microsoft.com/en-us/marketplace/active-directory/
•  En la parte inferior de la página, hay enlaces para sugerir aplicaciones o realizar su aplicación añade a la colección de aplicaciones AAD-integrado

Usted puede preguntarse qué tan grande es el uso "de base" de la nube-aplicaciones para sus usuarios internos.  ¿Cuántas aplicaciones son personas realmente utilizan?  ¿Qué aplicaciones están utilizando?  Puede que se sorprenda.  He leído que es más de 10 veces lo que se estima.

Para ayudar a conseguir una manija en esto, Microsoft ha creado una herramienta que se puede utilizar para inventariar lo que la nube aplicaciones están en uso en los sistemas de sus usuarios.  La herramienta tiene que implementarse en los dispositivos de usuario final (o un piloto / muestra de ellos), pero una vez hecho esto, puede utilizar la herramienta para crear gráficos de uso, el volumen de datos intercambiados, mejores aplicaciones, etc.
•  CloudApp Descubrimiento – http://appdiscovery.azure.com/

Por lo tanto, la autorización y la autenticación de aplicaciones SaaS con credenciales en-prem vía Azure AD – consiguieron?

¿Cómo puedo pueblan nuestro directorio AD azul con la información de usuario en AD-prem?

Puede crear usuarios en el directorio de AD Azure uno por uno en el portal (o por medio de alguna de importación CSV, la API de gráficos, o AAD módulo de PowerShell), pero muchos de mis clientes tienen 30k, 90k, 100k o más cuentas de usuario. Microsoft Azure AD ofrece algunas herramientas de sincronización / servicios simples de configuración, pero muy robustas para que pueda llenar rápidamente / mantener su directorio de AD azul con la información de usuario y grupo en el prem partir de uno o varios dominios / bosques.

Amplíe su sobre-prem AD en Azure AD y ‘habilitado nube’ simplemente todos sus documentos de identidad al-prem. Deseo reiterar que: los usuarios pueden acceder a cualquier aplicación asignada a ellos que es (o será) integrado en AD Azure mediante la autenticación a través de un mensaje para proporcionar las mismas credenciales como su inicio de sesión actual en Prem ( "el mismo inicio de sesión" ) o por medio de un proceso federada "single sign-on". Esa frase de marcha en inercia acaba de abrir un sitio World Wide Web de posibilidades.
•  Opciones y detalles de sincronización de AD – http://technet.microsoft.com/en-us/library/jj573653.aspx

Con el servicio disponible autenticación de múltiples factores (MFA) en Azure AD, puede habilitar la autenticación de múltiples factores a cualquiera de estas aplicaciones SaaS para todos los usuarios en el corto plazo. Esto es sorprendente para mí. Lo que solía tomar meses de 40 -50hr semanas de trabajo, coordinación con los proveedores, el intercambio de certificados, la creación de cuentas de servicio, la instalación de la aplicación de autenticación de factores múltiples en un conjunto de servidores, compra, distribución y seguimiento de los costosos dijes físicas / tarjetas para el MFA aplicación, gestión y copia de seguridad del servidores, etc.

Con el servicio de MFA de Azure, podemos obtener esta en marcha y funcionando, literalmente, en cuestión de minutos, el aprovechamiento de los teléfonos móviles de los usuarios (a través de un mensaje de texto, una llamada telefónica o una aplicación en el teléfono).

Sé que todo esto suena un poco ‘ "infommercialish" pero es verdad.

www.radians.com.ar

Figura 1: Información general del acceso al recurso para la sincronización de directorio y federación (imagen a partir de las orientaciones / detalles técnicos aquí: http://technet.microsoft.com/en-us/library/dn761716.aspx )

AD es Azure un directorio compatible con LDAP? ¿Cómo nos relacionamos con AAD mediante programación?

Hay varias interfaces expuestas por Azure AD, pero AAD no soporta LDAP externamente hoy (internamente, es LDAP – véase el gráfico 2).

Para realizar una consulta / lectura / escritura a Azure AD, podemos utilizar AAD PowerShell y / o aprovechar las interfaces API de gráficos basados ​​en REST.

• RESTO = "Transferencia de estado representacional" es un tipo de web-estindar que permite a las aplicaciones web para interactuar con otras aplicaciones web

• La API de gráficos, en concreto, es una forma de interactuar con el contenido de Azure AD mediante GET, PUT, POST, etc.
http://msdn.microsoft.com/en-us/library/azure/hh974476.aspx
• "Gráfico" se refiere a la idea de que los datos de la AAD se estructura y pueden ser lógicamente / acceder predecible – se organiza; no sólo una colección de cosas al azar.

• Un ejemplo de una consulta ad-estilo LDAP familiarizado – "(& (objectCategory = persona) (objectClass = user) (cn = Santa Claus) 
• La misma consulta en el Gráfico sintaxis – GET https://graph.windows.net/contoso.com/Users?$filter=displayName eq ‘Santa Claus’ y api-version = 05/04/2013

www.radians.com.ar

Figura 2: vista general de AD Azure (de este documento excelente, que es una lectura requerida – http://blogs.microsoft.com/cybertrust/2014/09/09/protecting-customer-data-in-our-cloud-through-microsoft-azure/ )

¿Hay directiva de grupo en Azure AD?

Como se ha mencionado antes, la DAA no es Windows Server Active Directory – no hay ninguna funcionalidad de directiva de grupo en Azure AD.

Sin embargo, Microsoft InTune es un servicio de gestión de dispositivos móviles basado en la nube de Azure que permite un cierto control similar de usuarios, dispositivos y configuración y abre la funcionalidad de los dispositivos de plataforma cruzada.

Algunos ejemplos de esto son: gestión teléfono inteligente forzar un PIN, el cifrado del dispositivo, el borrado remoto de datos corporativos, etc. InTune integra fácilmente a la derecha en SCCM para prever tanto en el prem y administración de dispositivos basada en la nube.
•  Para más detalles Intune: http://msdn.microsoft.com/en-us/library/dn879015.aspx

¿Puedo implementar una instancia / réplica del Azure AD en mi centro de datos on-prem?

No hay una manera de replicar el directorio de AAD (s) en una instancia en Prem.  Uno de los valores de Azure es que Microsoft administra las infraestructuras / servicios de Azure y todo lo que necesita para gestionar es su contenido.

Además, recuerde que usted es capaz de sincronizar algunos de sus contenidos AD en prem en una instancia directorio de AD Azure.  He dicho "algo" porque sólo sincronizar usuarios, grupos y contactos;  que no se sincronizan los GPO, los registros DNS, sitios de anuncios, etc. 

¿Puedo implementar una instancia / replica de mi on-prem AD en Azure?

No y sí.

No se puede crear una instancia de la sobre-prem AD en Azure Active Directory fuera de los procesos de creación de directorios y sincronización que hemos estado discutiendo (la primera opción en el siguiente diagrama y el foco principal de este post).

Puede, sin embargo, crear / anfitrión de una máquina virtual en el servicio de Máquinas Virtuales de Azure ( http://azure.microsoft.com/en-us/services/virtual-machines/ ) que está conectado a la red de a Prem y funcionando como una réplica de DC a su sobre-prem AD.  Esto es similar a una sucursal escenario (o DR) pero el ‘sucursal’ en este caso es Azure (la opción de en medio en el siguiente diagrama).  Hemos publicado acerca de esto antes aquí en nuestro blog – http://blogs.technet.com/b/askpfeplat/archive/2014/03/03/connect-an-on-premises-network-to-azure-via-site-to-site-vpn-and-extend-your-active-directory-onto-an-iaas-vm-dc-in-azure.aspx

También puede utilizar Azure VM para configurar dev / prueba "islas" de AD, sin ninguna conexión / conocimiento de que en el prem AD (la opción inferior en el diagrama de abajo).  Es posible que desee comprobar hacia fuera Windows Server vNext AD?  En unos minutos, se puede configurar una máquina virtual que ejecuta la técnica previa y luego promover su nueva máquina virtual a un DC.  Hemos publicado acerca de esto antes aquí en nuestro blog (casi exactamente hace 2 años) – http://blogs.technet.com/b/askpfeplat/archive/2013/01/07/windows-azure-virtualization-a-lab-in-the-clouds-for-every-it-pro.aspx There  es más información y los pasos detallados here: http://azure.microsoft.com/en-us/documentation/articles/active-directory-new-forest-virtual-machine/

www.radians.com.ar

Figura 3: Opciones típicas de alto nivel

El contenido del anuncio se Azure replica a través de las fronteras internacionales?

Otra pregunta que tuve fue ‘¿qué pasa con las leyes de privacidad de datos por país / región que restringen donde los datos pueden / no pueden residir?’

En Azure AD, el contenido / datos se replican para la tolerancia a fallos y la recuperación construido en aspectos (DR) pero la replicación de datos está restringido a / desde / en ciertas regiones.  La figura 4 muestra la interfaz de usuario actual para crear un DAA – Anuncio de especificar el país / región.

www.radians.com.ar
Figura 4: La interfaz de usuario de portal de Azure para añadir un nuevo directorio

www.radians.com.ar 
Figura 5: Un mapa de punto en el tiempo de los centros de datos de Azure que le da una idea de las regiones

Más detalles se pueden encontrar aquí acerca de lugares y regiones de datos de los clientes:
http://azure.microsoft.com/en-us/support/trust-center/privacy/

¿Existen relaciones padre / hijo si tengo más de un directorio AAD (como los de un bosque de AD de Windows Server)?

En realidad, no – AD Azure es plana;  no es el mismo tipo de jerarquía relacional como un anuncio en-Prem.  Cada directorio AAD se crea es una entidad separada, sino un directorio de AD Azure puede tener varios espacios de nombres DNS de Internet configuradas una vez que demostrar que son propiedad de la empresa (es decir, contoso.com; mycompany.org, etc).  Estos son los llamados "dominios personalizados ‘en Azure AD.

Tenga en cuenta, sin embargo, hay un problema potencial relacionado con dominios principal / secundario en-Prem y el orden en que se configura para la integración de AD Azure.  Véase el siguiente KB y pensar a través de la orden que se desee vincular sus dominios en-prem a AD Azure para la mayoría de la flexibilidad (es decir, usted podría considerar el establecimiento de dominio (s hijo) en primer lugar en su mayor flexibilidad): http: // support .microsoft.com / kb / 2174324

¿Cómo administro AD Azure? ¿Hay un equivalente a los Usuarios y equipos de AD ( "A-pato" para que los administradores de AD de la vieja escuela)?

  • El ADUC de Azure AD es la sección "Directorio Activo" del portal web Azure (que tiene características añadidas / mejorado / actualizado con frecuencia)
  • Se puede realizar la administración AAD desde casi cualquier dispositivo habilitado para la Web
  • Existe un módulo rica Azure AD PowerShell
  • Sin embargo, otra razón para obtener competentes en PowerShell (nota – No he dicho "gurú" o "experto" – acaba de obtener funcional)
  • Existen las API de gráficos
  • Los Intune y Office 365 portales también se pueden utilizar para gestionar ciertos aspectos de la EA Azure
  • Por supuesto, si usted tiene la configuración de sincronización desde el-prem en Azure AD, muchas actividades de gestión que realice en-prem se sincronizarán (es decir, se puede utilizar ADUC para editar la descripción de un usuario y que se refleja en la copia de AAD de ese usuario. )
  • Nota – el intervalo predeterminado para la sincronización de directorios es cada 3 horas y hash de la contraseña de sincronización es cada 2 minutos.

www.radians.com.ar 
Figura 6: opciones de acceso de gestión de publicidad Azure

Por qué seguimos utilizando Kerberos, NTLM, LDAP, ADSI, y otros protocolos que estoy familiarizado?

On-prem, sí (obviamente).  Sin embargo, recuerde, la nube es un mundo centrado en la web (a través del dispositivo / multiplataforma / cross-el-mundo) y la interfaz con DAA exige que usamos un lenguaje centrado en la web – SAML 2.0, WS-Federation, OAuth, OpenID, RESTO gráfico, etc.
•  Para más detalles acerca de los protocolos de autenticación compatibles con AD Azure: http://msdn.microsoft.com/en-us/library/azure/dn151124.aspx
•  Para más detalles acerca de la especificación API de gráficos: http://msdn.microsoft.com/en-us/library/azure/hh974476.aspx

¿Lo que hay en un nombre?

"¿Qué tan importante son las decisiones que tomo cuando el primer ajuste de Microsoft servicios en línea tales como Azure, InTune, Office365, etc?"
•  En una palabra, MUY.  Las opciones iniciales que se hacen cuando la creación de servicios de Microsoft Online (Azure, Intune, O365, etc) son muy importantes y pueden tener graves consecuencias y de larga duración.  Piense en esto de manera similar a la selección de la selva de la raíz para su FQDN en Prem AD.  Como se ha mencionado, se puede añadir nombres DNS públicos que su compañía posee pero no se puede cambiar el original <entry> .onmicrosoft.com nombre que usted fija.
• Al igual que todas las decisiones de TI, es fundamental para planificar y pensar a través de sus puntos de decisión actuales y posibles / futuro de la nube antes de saltar. He visto clientes que querían "poner un pie" en el mundo Azure y el proceso de registro, eligieron el nombre a ser algo así como INTUNE-MYBIZ.ONMICROSOFT.COM (es decir, para probar InTune).  El problema se presentó cuando querían otros servicios Azure / O365 light-up, que inicial "nombre INTUNE-MyBiz era siempre alrededor. Esto causó mucha confusión cuando se trabaja con SharePoint Online, Exchange Online, Lync Online, DAA, etc. realmente recomiendo con lo que en algunos recursos de Microsoft para ayudar a planificar sus opciones de implementación y documento algunos de los puntos clave de decisión para su infraestructura de nube, d o una vez;. hacerlo bien.

•  Trabajar con su administrador técnico de cuentas (si usted es un cliente Premier) y / o en la cabeza aquí para obtener alguna ayuda – https://deploy.office.com/ Roma no se construyó en un día, pero imaginar si tuvieran que construirlo dos veces?

He estado haciendo trabajo de administración de AD desde los albores de la EA con Windows 2000 – es mi profesión en peligro?

En cierto modo, lo es.  Esta es la tecnología – las cosas siempre están cambiando.  Esto no es una sorpresa para cualquiera que lea esto.  Todos hemos tenido que aprender a seguir aprendiendo;  la próxima versión de un producto, un nuevo a usted característica / aspecto, PowerShell o lo que sea.  Esta carrera que hemos elegido es todo acerca de la adaptabilidad y la capacidad de uno para prosperar con el cambio.  Como siempre que se pueda adaptar, el rol de administrador de AD no va a desaparecer … es solamente cambiando.  Como hemos dicho, la DAA se sincroniza de AD en Prem.  Alguien tiene que instalar / ejecutar / gestionar / supervisar las herramientas de sincronización;  alguien tiene que gestionar / supervisar los servicios de configuración / run / federación;  PKI y gestión de certificados es de importancia crítica en la nube del mundo que nos encontramos ahora.  También hay "trabajo" que hacer dentro de Azure AD – el contenido / portal / etc.

Por lo tanto, si usted está listo en todos tus caminos y es ‘on-prem AD o la muerte’, es posible que se dirigen hacia unos tiempos difíciles.  Por otro lado, si estás dispuesto (Sé que eres capaz) para añadir "nube AD" a su conjunto de habilidades técnicas, los años de experiencia y madurez que ha desarrollado seguirán siendo de valor en el mundo nube.  Ser capaz de comunicarse de manera efectiva;  desarrollar y entregar la documentación de calidad;  siendo orientada al proceso y que posee un sistema flexible, "se puede hacer" actitud siempre será muy codiciados habilidades.

Ok – Resolución de mi Año Nuevo es aprender más sobre Azure, Azure AD, centros de datos Azure, etc – donde puedo conseguir más información?

Aquí están algunas más enlaces para que te va:
•  El enlace principal de AD administración Azul – http://msdn.microsoft.com/en-us/library/azure/hh967611.aspx

•  La página de inicio para la documentación Azure (echa un vistazo a la "Documentación a través del servicio ‘lista en la parte inferior de la página) – http://azure.microsoft.com/en-us/documentation/
•  Los centros de datos son la ingeniería hazañas Azure – este enlace es un tesoro de información increíble tecnología – http://www.microsoft.com/en-us/server-cloud/cloud-os/global-datacenters.aspx
•También hay una gran información en estos documentos técnicos: http://www.microsoft.com/en-us/download/details.aspx?id=36391
• Un gráfico útil puede ser descargado aquí para ver la mayor parte de los elementos que implican AD Azul – http://go.microsoft.com/fwlink/?linkid=399120&clcid=0x409

Espero que este post ayudó a arrojar un poco más de luz sobre lo que Azure Active Directory es – y no lo es.

Un agradecimiento especial a mi amigo y compañero, JD, por compartir su conocimiento y comprensión de Azure AD.  Su presentación se solidificó mis pensamientos acerca de esta entrada y provocó uno de los temas principales.

Su forma de trabajo a través de la información y los enlaces aquí y cuando haya terminado, te prometo que tendrá una mejor comprensión de Azure, Azure AD y su futuro en la era de la nube de la tecnología.

¡Aclamaciones!  Michael Hildebrand


04 2017

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


31  03 2017

Azure Active Directory: cuando debemos pensar en utilizar Azure AD Connector for FIM

En el mes de Azure Active Directory, hoy revisaremos cuando el Azure AD Connector para FIM debe ser considerado para diferentes escenarios. Para el escenario de varios bosques, Azure AD Connector está siendo obsoleto en favor de la herramienta Azure AD Connect.

En términos generales, y como hemos visto anteriormente, el uso de la herramienta Azure AD Connect debería ser la solución preferida. Las razones principales son:

  • La herramienta Azure AD Connect se ha diseñado para ser fácil de implementar y su configuración está completamente automatizada a través de un asistente.
  • En caso de problemas con la sincronización de directorios, la resolución de problemas de la herramienta Azure AD Connect normalmente será más fácil. La implementación de Azure AD Connector es una tarea personalizada, que es más compleja y puede asociarse con errores de configuración. El despliegue y el mantenimiento son más intensivos en esfuerzo y por lo tanto más costosos.
  • No se aplican requisitos de licencia para la herramienta Azure AD Connect, mientras que se requiere una licencia de servidor FIM y posiblemente licencias de Visual Studio para el Azure AD Connector.

El uso del conector Azure AD con FIM 2010 R2 sigue estando disponible para los clientes existentes. Las organizaciones pueden así continuar controlando completamente la partición de información entre locales y la nube, soportan entornos multi-forestales de AD (como Azure AD Connect) y soportan otros directorios y fuentes de datos que no sean AD, por ejemplo OpenLDAP o SAP (como Azure AD Connect).

El conector esta disponible en el sitio de descarga de Microsoft: Microsoft Download Center

Se recomienda implementar Azure AD Connector en una instancia FIM dedicada. Si bien la implementación de Azure AD en un servidor FIM 2010 R2 existente es posible (pero no es compatible), también aumentará la complejidad de la configuración y dificultará la resolución de problemas y el mantenimiento.

Otras opciones para considerar potencialmente

Como ya saben, el Módulo AD de Azure para Windows PowerShell nos permite realizar una variedad de tareas de administración desde la línea de comandos, incluida la administración de usuarios, la administración de licencias de grupos y grupos y la administración de licencias.

El Azure AD Graph API permite funciones similares, a través de interfaces API basadas en REST. Asimismo, nos permite acceder a las propiedades más comunes de todos los tipos de objetos en el directorio. La documentación de MSDN describe estas propiedades y muestra las que son escritura. Es compatible con la administración de todos los objetos de directorio, incluidos Usuarios, Grupos, Contactos (eliminar / actualizar), asignación de licencias de usuario y gestión del administrador del usuario y las relaciones de informe directo.

A través de estas dos interfaces, podemos automatizar operaciones de aprovisionamiento tales como la creación, modificación o eliminación de objetos en su inquilino de directorio de Azure AD.

Para los clientes de Office 365, aunque también permite la creación de buzones de Exchange a través de la asignación de licencias, no permite la creación de grupos o contactos habilitados para correo. La gestión de objetos de Exchange no está cubierta. Los objetos habilitados el correo deben crearse a través de PowerShell remoto de Exchange Online, después de que los objetos se hayan replicado desde el directorio AD de Azure al directorio de Exchange Online.

Con Exchange PowerShell remoto en línea, podemos administrar objetos y propiedades de Exchange Online, ya sea para fines de automatización o para administrar elementos que de lo contrario no están expuestos a través del portal.

Tengamos en cuenta que estas interfaces no proporcionan el mismo conjunto de capacidades que las herramientas de sincronización de directorios previamente discutidas proporcionadas por Microsoft. Más específicamente:

  • Estas interfaces sólo proporcionan acceso a un subconjunto de atributos que se pueden administrar mediante la herramienta Azure AD Sync (o la herramienta DirSync o el conector Azure AD de FIM).
  • El control del lado del servicio se aplica en estas interfaces para proteger el servicio y los clientes contra lotes grandes de comandos. Esto puede ralentizar el aprovisionamiento / sincronización de los usuarios, y cada ciclo de sincronización completo puede tardar mucho tiempo en completarse.
  • Azure AD Module para Windows PowerShell no proporciona mecanismos para enumerar los cambios que ocurrieron en el inquilino del directorio, por lo que no es adecuado para los procesos de sincronización de directorios. (El Azure AD Graph API admite la consulta diferencial desde noviembre de 2012.)
  • Desde una perspectiva de servicio, los objetos aprovisionados a través de los cmdlets de Azure AD Module para Windows PowerShell no aparecerán como objetos "sincronizados".

En consecuencia, el uso de interfaces para la provisión de objetos debe limitarse actualmente a escenarios donde:

  • Es necesario gestionar un número limitado de objetos.
  • Exchange Híbrido ("rich coexistence") no es necesario para los clientes de Office 365. La sincronización de directorios sólo está disponible a través de la herramienta DirSync o el Azure AD Connector. La sincronización de directorios es obligatoria para admitir determinadas características, como la coexistencia híbrida de Exchange.

Como tal, el módulo Azure AD para Windows PowerShell (y potencialmente el portal de administración de Azure) se puede recomendar a los clientes que sólo necesitan identidades de nube y no requieren una solución de sincronización en absoluto, perteneciendo a la categoría "zero on-premises hardware".

La siguiente tabla sintetiza las opciones disponibles para los escenarios individuales o multi-forest AD local:

www.radians.com.ar

Saludos, Roberto Di Lello.


30  03 2017

Azure Active Directory: Analizando Azure AD Connect tool y cuando debemos pensar en utilizar Azure AD Connector for FIM

Como hablamos anteriormente, la herramienta DirSync estaba destinada a escenarios de un solo bosque de AD locales. Sin embargo, muchos clientes están operando con más de un bosque de Active Directory local para una variedad de razones, tales como:

  • • Bosques de cuentas múltiples, donde existen cuentas de usuario en varios bosques de Active Directory;
  • • Bosques de cuentas y recursos, donde la organización de Exchange normalmente se aloja en un modelo de bosque de recursos.

Las topologías de varios bosques pueden ser soportadas a través de la herramienta Azure AD Sync. Esta herramienta que se consideró como el sucesor de DirSync es flexible y puede acomodar la mayoría de los escenarios de varios bosques de Active Directory y Exchange:

  • Bosques de cuenta única, bosque de recursos de intercambio único o múltiple.
  • Bosques de cuentas múltiples, sin intercambio local.
  • Bosque de cuenta múltiple, bosque de recursos de intercambio único o múltiple.

Esta es una característica esperada que anteriormente sólo estaba disponible con el conector Azure AD y Microsoft Forefront Identity Manager (FIM) 2010 R2. Más allá de esta característica clave, Azure AD Connect incluye un rico conjunto de funciones de sincronización y retroactividad:

  • Permita que los usuarios realicen el restablecimiento de la contraseña de autoservicio en la nube con la devolución de escritura a AD local.
  • Habilitar el aprovisionamiento desde la nube con el usuario escribiendo de nuevo a AD local.
  • Habilitar la escritura de "Grupos en Office 365" a grupos de distribución locales en un bosque con Exchange.
  • Habilite la escritura del dispositivo de manera que sus políticas de control de acceso en locales aplicadas por AD FS puedan reconocer dispositivos que se registraron con Azure AD. Esto incluye el soporte anunciado recientemente para Azure AD Join en Windows 10.

www.radians.com.ar

Azure AD Connect está reemplazando la herramienta DirSync y la herramienta Azure AD Sync (descarga), y permite en este contexto actualizar o migrar su implementación existente de DirSync o Azure AD Sync rápida y fácilmente con poco o ningún impacto. Azure AD Sync es el motor de sincronización de Azure AD Connect y Azure AD Connect es ahora la ventanilla única para conectar sus directorios locales a Azure AD, ya sea evaluando, pilotando o en producción.

En términos generales, y teniendo en cuenta lo anterior, Azure AD Connect debería ser la solución preferida para la sincronización de directorios.

La configuración de la sincronización de directorios para los dominios de su inquilino del directorio de Azure AD con Azure AD Connect requiere realizar algunos pasos como se describe en la sección DIRECTORy INTEGRATION para el directorio seleccionado en el portal de administración de Azure.

www.radians.com.ar

El primer paso consiste en activar la sincronización de directorios haciendo clic en ACTIVATED y luego en SAVE en la parte inferior de la bandeja. Esto debe considerarse como un compromiso a largo plazo para los escenarios de coexistencia entre su WSAD en el local y su inquilino del directorio AD de Azure en la nube.

www.radians.com.ar

Esta primera operación da como resultado la habilitación del punto final de DirSync Web Service (conocido como AWS). Este punto final proporciona soporte para los métodos por lotes, así como funciones de sincronización propietarias. Por tanto, sólo está disponible para Azure AD Connect (así como la herramienta DirSync mencionada anteriormente, la herramienta Azure AD Sync y Azure AD Connector para FIM). Esta interfaz no está disponible para admitir soluciones de sincronización personalizadas.

Una vez activada la sincronización de directorios, deberá agregar al menos un dominio personalizado. Este es el segundo paso. Los objetos sincronizados se dominan en el local y solo se pueden editar utilizando aplicaciones locales. Los objetos en línea son una copia de los objetos en premisa con los que se sincronizan.

www.radians.com.ar

Después de asegurarse de que tanto los entornos locales como de la nube están listos para la sincronización de directorios como en el paso dos, consulte el artículo de Microsoft TechNet PREPARE FOR DIRECTORY SYNCHRONIZATION, puede descargar el paquete de instalación Azure AD Connect (AzureADConnect.msi) e instalarlo . Este es el tercer paso. Especifique en el asistente Azure AD Connect todos los parámetros de configuración relacionados con su propia configuración.

www.radians.com.ar

Una vez que se haya completado la configuración, podemos verificar que la sincronización inicial esté completa y administrar la sincronización de directorios a lo largo del tiempo.

www.radians.com.ar

Saludos. Roberto Di Lello


28  03 2017

Azure Active Directory: Sincronizacion de nuestro directorio con los directorios locales

azureADEn el mes de Azure Active Directory vamos a seguir hablando del tema, y hoy vamos a hablar de la sincronizacion de nuestro directorio con los directorios locales, y como se hace. Dicho esto comenzamos:

Si nuestra organización utiliza un servicio de directorio local, podemos sincronizarlo con nuestro Azure AD para simplificar las tareas administrativas basadas en la nube e incluso proporcionarle a nuestros usuarios una mejor experiencia de inicio de sesión.

En términos generales, el aprovisionamiento de identidad y la sincronización es un espacio complejo. Esto ha generado en el pasado una cierta carga para que las organizaciones mantengan en sincronización todos sus silos de las identidades que resultan del deployment de varias soluciones de la línea de negocio (LOB).

La sincronización de directorios es la primera capacidad de integración que ofrece Azure AD con nuestras instalaciones. Como una oferta de IdMaaS, Azure AD proporciona, como cualquiera puede imaginar, muchas opciones, para soportar configuraciones de clientes -desde las más sencillas hasta las más complejas-. Azure AD habilita de hecho el soporte de ambientes mono y multi-forest de Windows Server Active Directory (WSAD) on-premises, así como entornos de directorios que no son de Active Directory. Por lo tanto, disponemos de múltiples opciones técnicas para acomodar mejor los entornos locales existentes y para mantener adecuadamente el posterior aprovisionamiento y sincronización de identidad:

  • Herramienta de sincronización de directorios (DirSync)
  • Herramienta Azure de sincronización de Active Directory (Azure AD Sync)
  • Motor de sincronización de Microsoft Forefront Identity Manager (FIM) (hotfix 4.1.3493.0 o posterior) con el Azure AD Connector (obsoleto)
  • Módulo Azure Active Directory para Windows PowerShell (consulte anteriormente en este documento)
  • API de gráfico de Azure AD

El Azure Active Connect Connect (Azure AD Connect), nos proporciona un asistente único y unificado que agiliza y automatiza el proceso de integración global para la sincronización de directorios con entornos locales mono-forestal y multi-forestal de AD (incluida la contraseña Hash)) y el inicio de sesión único si lo deseamos.

az1

El aprovisionamiento de directorios se refiere a la creación y gestión de entradas de directorio. En el contexto de Azure AD, el aprovisionamiento de directorios es diferente de la sincronización de directorios, ya que los objetos que se aprovisionan se dominan en el AD de Azure y se pueden editar en línea. El aprovisionamiento de directorios puede realizarse a través de las interfaces de administración o programación de Azure AD, como el portal de administración de Azure, la carga masiva mediante archivos .csv, los cmdlets Azure AD Module para Windows PowerShell o Azure AD Graph API.

Aunque se puede implementar alguna forma de sincronización de directorios utilizando estas interfaces, esto sigue siendo diferente de la sincronización de directorio de Azure AD donde los objetos se dominan localmente y el objeto en línea es una copia del objeto local y no se puede editar en línea.

Sincronizar nuestro directorio con Active Directory on-premises

Herramienta DirSync
Es la forma mas sencilla de hacerlo, Azure AD (y Office 365) llegaron inicialmente con un motor de sincronización de identidad pre-empaquetado llamado DirSync, basado en el producto FIM y personalizado para un único escenario que permite la sincronización con un directorio activo Entorno mono-forestal: era y puede ser utilizado para replicar cuentas de usuario WSAD (y otros objetos de Active Directory).

A diferencia de las cuentas creadas manualmente, las cuentas creadas por la herramienta DirSync se llenan completamente con información de cuentas de usuario de Active Directory. Esto permite a los administradores de servicio mantener actualizados los objetos AD de Azure con los cambios realizados en el WSAD local.

Además, a partir de la versión 1.0.6385.0012 de DirSync, se puede proporcionar una sincronización de contraseña (hash of hash). La sincronización de directorios no es algo nuevo para Azure AD. La herramienta DirSync está construida sobre la FIM. La configuración de la sincronización de directorios se ha simplificado para el entorno Azure AD. No hay ninguna configuración manual que tengamos que realizar, todo se hace mediante asistentes y son todos bastante simples.

Algunos clientes pueden tener en este contexto un requisito para determinar qué objetos se sincronizan desde el Active Directory local a Azure AD directory, como ser:

  • La capacidad de excluir un dominio de Active Directory del ámbito,
  • La capacidad de excluir una unidad organizativa (OU) del ámbito de aplicación,
  • La capacidad de excluir objetos específicos del ámbito, basados ​​en el filtrado a nivel de atributo.

El scope de sincronización de directorios través de la herramienta DirSync en los siguientes niveles:

  • Dominio. para administrar las propiedades del agente de administración de AD de origen (conector) en la herramienta DirSync. Este tipo nos permite seleccionar qué dominios pueden sincronizarse con la nube.
  • Unidad de organización: para administrar las propiedades del agente de administración de AD de origen (conector) en la herramienta DirSync. Este tipo de filtrado nos permite seleccionar qué OUs pueden sincronizar con la nube.
  • Atributos de Usuario: para especificar filtros basados ​​en atributos para objetos de usuario (y sólo para objetos de usuario). Esto nos permite controlar qué objetos no deben sincronizarse con la nube.

Mañana estaremos viendo como utilizar la herramienta:  Azure AD Connect tool.

Espero les sea de interes y utilidad. Saludos a todos. Roberto Di Lello


27  03 2017

Resumen Semanal!

calendario2017Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean; he tenido varios problemas con la cuenta vieja ya que como era una cuenta youtube no se podía linkear al nuevo formato desde que fue adquirida por google; funciono bastante bien durante un tiempo pero últimamente traía muchos problemas por lo que fue migrada a :

http://www.youtube.com/user/radilello
https://www.youtube.com/channel/UCdOZP-ULQ19HnKlVr9jqWMQ

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


24  03 2017

Azure Active Directory: Administrando los dominios de Internet

azureADHoy vamos a ver como administrar nuestros dominios de Internet en nuestro Azure Active Directory.

Después de inscribirse en Azure AD (o para un servicio de Microsoft como Office 365, Dynamics CRM Online y otros), el único dominio asociado con nuestra cuenta de suscripción y creado con el directorio tennant, es el dominio .onmicrosoft.com elegido durante el registro, por ejemplo corpfabrikam.onmicrosoft.com.

Este es el dominio predeterminado. Cuando creamos un nuevo usuario, el nombre de inicio de sesión y la dirección de correo electrónico del usuario se asignan a este dominio predeterminado.

Por supuesto, podemos agregar uno o más dominios de Internet a un directorio en lugar de conservar el dominio onmicrosoft.com y, a continuación, asignar a los usuarios iniciar sesión con cualquiera de los dominios validados.

Podemos registrar varios nombres de dominio de Internet para un directorio, por ejemplo fabrikam.com, además del dominio predeterminado inicial, por ejemplo, corpfabrikam.onmicrosoft.com. Un directorio nos permite registrar un dominio de Internet sólo después de demostrar que nuestra organización es propietaria del espacio de nombres DNS en el DNS de Internet pública. A partir de esta escritura, podemos alojar hasta 600 dominios de Internet registrados en su directorio, cada uno representado por un espacio de nombres DNS diferente.

Un dominio puede ser un dominio de nube (estándar) o un dominio federado (de inicio de sesión único), lo que significa que todos los usuarios de un dominio DEBEN utilizar el mismo sistema de identidad: la identidad de la nube o la identidad federada como se ha cubierto anteriormente.

Por ejemplo, podriamos tener un grupo de usuarios que sólo necesita una identidad de la nube porque no tiene una cuenta en el establecimiento y / o acceso a sistemas locales y otro grupo de usuarios que tiene una cuenta en el establecimiento y/o utilizar aplicaciones en la nube y sistemas locales. Se podría utilizar agregar dos dominios al directorio, como contractors.fabrikam.com y ftes.fabrikam.com, y sólo configuraría la federación para uno de ellos.

Un dominio se puede convertir de nube a federado para sostener identidades federadas en lugar de identidades de nube o de federado a nube.

Para registrar un dominio de Internet, debemos seguir los siguientes pasos:

1. Abrimos una sesión de navegación, vamos al portal de administración de Azure y accedemos como administrador del directorio para configurarlo.

2. Hacemos clic en ACTIVE DIRECTORY y, a continuación, hacemos clic en el nombre del directorio de la organización para el que se debe agregar un dominio de Internet.

qw1

3. Hacemos clic en ADD A CUSTOM DOMAIN si no se ha agregado ningún dominio de Internet hasta ahora o ADD en la parte inferior y aparecerá un cuadro de dialogo ADD DOMAIN.

qw2

4. En la página Specify a domain name, escribimos el nombre de dominio que deseamos agregar. I plan to configure this domain for single sign-on with my local Active Directory debe estar activado para preparar la configuración como un dominio de Internet federado. Por el momento, no marquemos esta opción.

5. Hacemos clic en añadir.

qw3

6. Hacemos clic en el icono de flecha en la parte inferior derecha.

qw4

8. Una vez que se haya agregado el registro TXT a su registrador de dominio DNS, hacemos clic en Verificar para completar el registro.

9. Si el dominio se ha verificado correctamente, hacemos clic en la marca de verificación situada en la parte inferior derecha para cerrar el cuadro de diálogo.

Como ilustración de los cmdlets de módulo de Azure AD mencionados anteriormente, veamos cómo agregar y verificar un dominio de Internet personalizado con Windows PowerShell.

Al igual que para los pasos anteriores 4 a 6, el cmdlet New-MsolDomain nos permite agregar un dominio de Internet estándar (en la nube). Después de ejecutar este comando, debe probar que su organización posee el espacio de nombres DNS en el DNS de Internet pública.

Para ello, y para verificar el nombre de dominio DNS, debemos utilizar el cmdlet Get-MsolDomainVerificationDns para obtener la información de registro DNS necesaria para crear el nuevo dominio de nube.

Una vez que se agrega el registro TXT dado en su registro de dominio DNS, finalmente debemos probar nuestro control del espacio de nombres DNS ejecutando el cmdlet Confirm-MsolDomain.

Del mismo modo, puede utilizar el cmdlet New-MsolFederatedDomain para crear el dominio personalizado federado (inicio de sesión único) en su directorio. Por último, el cmdlet Set-MsolDomainAuthentication permite convertir un dominio estándar en un solo signo en el dominio.

Cuando un dominio está federado, ya no tendremos la opción de agregar el sufijo de dominio a las cuentas de usuario. Los usuarios tendrán que ser creados en las instalaciones para que tengan el nombre de dominio federado disponible para ellos. Todavía podemos crear cuentas directamente en la nube, pero no podemos asignarle el nombre de dominio federado a menos que se creen en el local. Recordemos el escenario de integración de directorios Sincronización de directorios con inicio de sesión único que hablamos anteriormente.

Además, y como era de esperar, cuando el usuario inicia sesión en Azure AD con su cuenta federada, se le invita a autenticarse en la infraestructura de identidad local. Si el inicio de sesión único está configurado correctamente, de hecho notará que el usuario ni siquiera puede escribir una contraseña en la página web de inicio de sesión del servicio de inicio de sesión de Azure AD. La contraseña estará realmente sombreada. El usuario será redireccionado al proveedor de identidad local declarado.

Espero que les sea de interés y utilidad. Saludos, Roberto Di Lello.


23  03 2017

Azure Active Directory: Administrando la configuración del directorio

azureADAzure AD nos permite comenzar a usar las características IdMaaS sin nada on-premise. En consecuencia, Azure AD proporciona identidades alojadas (en la nube) en las que los clientes pueden crear usuarios, grupos y otros directores para su organización. Las identidades de nube se dominan directamente en un inquilino de directorio de Azure AD.

Con las identidades de nube, los usuarios reciben, por firmar en Azure AD y cualquier aplicación basada en la nube que esté integrada en Azure AD, las credenciales de nube (que están separadas de otras credenciales de escritorio o corporativas, si las hubiera).

De esta manera, muchos clientes empresariales desean extender su infraestructura de identidad local para sincronizar perfectamente las identidades locales existentes con la nube y así establecer una plataforma de identidad corporativa híbrida. Este enfoque (también soportado por Azure AD) es más sofisticado.

Ampliación de su infraestructura de identidad local con Azure

Si nuestra organización utiliza una infraestructura de identidad local (basada en AD o en otros directorios basados ​​en LDAP), Azure AD nos permite ampliarlo para simplificar nuestras tareas administrativas basadas en la nube e incluso proporcionar a nuestros usuarios un proceso de sign-in más simplificado.

Azure AD soporta los siguientes tres escenarios de integración de directorios:

1. Sincronización de directorios. Este escenario permite sincronizar objetos de directorio locales (usuarios, grupos, contactos, etc.) con la nube para ayudar a reducir la sobrecarga administrativa. Una vez configurada la sincronización de directorios, los administradores podemos administrar objetos de directorio desde la infraestructura de identidad local de nuestra organización y esos cambios se sincronizarán con el directorio relacionado.

2. Sincronización de directorios con sincronización de contraseñas. Este escenario se utiliza cuando deseamos habilitar a nuestros usuarios para iniciar sesión en Azure AD y otras aplicaciones basadas en la nube utilizando el mismo nombre de usuario y la misma contraseña que utilizan para iniciar sesión en su red corporativa local. Este escenario está disponible para entornos Active Directory on-premises mono-forest o multi-forest.

Dicha capacidad proporciona una experiencia de "inicio de sesión único", en la que los usuarios se conectan a su máquina corporativa y Azure AD / Office 365 con las mismas credenciales.

Con la capacidad de sincronización de contraseñas, este escenario de integración proporciona una experiencia de usuario de inicio de sesión sin interrupciones al tiempo que requiere una inversión mínima desde una perspectiva administrativa. Con tal compensación, constituye la opción preferida para la mayoría de las organizaciones que esperan una experiencia de inicio de sesión perfecta.

3. Sincronización de directorios con inicio de sesión único. Este escenario permite proporcionar a los usuarios la experiencia de autenticación más transparente a medida que acceden a los servicios en la nube de Microsoft y/o a otras aplicaciones SaaS basadas en la nube mientras están conectados a la red corporativa.

La identidad del usuario se domina localmente en la infraestructura de identidad y se sincroniza con el AD de Azure en forma de una identidad federada.

Para configurar el inicio de sesión único, las organizaciones deben implementar Servicios de federación de Active Directory (AD FS) en sitio u otros servicios de token de seguridad de terceros (STS) para federar entre los directorios locales y en la nube. Una vez que se ha configurado un STS compatible, los usuarios pueden utilizar sus credenciales corporativas locales (nombre de usuario y contraseña y / o cualquier factor de autenticación adicional) para acceder a los servicios de la nube ya sus recursos existentes en las instalaciones.

aa1

aa2

Espero les sea de interes. Saludos. Roberto Di Lello


21  03 2017

Azure Active Directory: utilizando un directorio existente

azureAD_thumb[1]Hoy vamos a seguir hablando de Active Directory en la nueve, y como hacemos para eliminar un directorio especifico en Azure AD.

Cualquier directorio que ya no se utilice puede eliminarse con la garantía de que no eliminará accidentalmente un directorio que controla el acceso a recursos importantes o se basa en suscripciones.

Para eliminar un directorio existente, debemos seguir los siguientes pasos:

1. Abrimos una sesión de navegación, y vamos al portal de administración de Azure y accedemos con las credenciales de nuestra cuenta de Microsoft.

2. En el portal de administración, hacemos clic en ACTIVE DIRECTORY, seleccionamos el directorio que deseamos eliminar y, a continuación, hacemos clic en DELETE. Aparecerá un cuadro de diálogo con el mensaje Delete directory.

q1_thumb[1]

Para proteger y evitar que elimine accidentalmente un directorio importante, Azure AD requiere que solo haya un usuario en el directorio, que no haya aplicaciones en el directorio, que no haya suscripciones a Azure, Office 365 u otros servicios de Microsoft Online para organizaciones que dependen de ESTE directorio, etc.

q2_thumb[1]

3. Marcamos la casilla de verificación para confirmar que deseamos eliminar ese directorio y, a continuación, hacemos clic en el icono de marca de verificación situado en la parte inferior derecha del cuadro de diálogo.

Espero les sea de interes. Saludos. Roberto Di Lello


20  03 2017

Azure Active Directory: utilizando un directorio existente

azureADHoy vamos a seguir hablando de Active Directory en la nueve, y como hacemos para utilizar un directorio ya existente. Si accedemos al portal de administración de Azure con una cuenta de Microsoft, podemos configurar nuestra cuenta de Microsoft para administrar un Active Directory existente de Azure que se utilice para Office 365 u otro servicio, incluso si nuestra cuenta de Microsoft ya administra un inquilino de directorio de Azure AD.

Para configurar una cuenta de Microsoft para administrar un directorio existente, debemos hacer los pasos siguientes:

1. Abrimos una sesión de navegación, navegamos hasta el portal de administración clásico de Azure e iniciamos sesión con las credenciales de nuestra cuenta de Microsoft.

2. En el portal de gestión, hacemos clic en NEW en la bandeja de la parte inferior y, a continuación, seleccionamos APP SERVICES, ACTIVE DIRECTORY, DIRECTORY y luego CUSTOM CREATE. Aparecerá un cuadro de diálogo que dice Add Directory.

a1

3. En el cuadro de diálogo Add Directory, cambiamos la lista desplegable DIRECTORY desde la opción predeterminada Create new directory a Use existing directory.

4. Hacemos clic en I am ready to be signed out now.

a2

6. Hacemos clic en el icono de marca de verificación situado en la parte inferior derecha del cuadro de diálogo para continuar.

7. Al salir, veremos la pantalla de inicio de Azure AD. Ingresamos nuestro nombre de usuario y contraseña para la cuenta de administrador global en el inquilino del directorio AD de Azure que deseamos administrar usando nuestra cuenta de Microsoft.

8. Una vez que hayamos iniciado sesión, veremos el diálogo a continuación.
a3

Hacemos clic en continuar para agregar nuestra cuenta de Microsoft como administrador global del directorio existente.

9. Una vez que se haya completado, hacemos clic en el enlace para salir de nuestra cuenta de organización. A continuación, podemos iniciar sesión en el portal de administración de Azure con nuestro usuario de cuenta de Microsoft y podemos administrar el directorio al que agregamos la cuenta de Microsoft. Podemos administrar este inquilino de directorio como otros directorios para los que somos administradores globales.

Espero les sea de interes. Saludos. Roberto Di Lello


Next Page »