Contenido
- Los diferentes entornos de Azure AD y Server AD
- Los puntos en común entre Azure AD y Server AD
- Cómo son diferentes
- Sin errores, sin estrés: su guía paso a paso para crear software que cambie su vida sin destruir su vida
- Azure AD facilita la vida de todos los usuarios a través de IDaaS
Fuente: Rvlsoft / Dreamstime.com
Para llevar:
En este artículo discutimos las similitudes y diferencias entre Microsoft Azure y Server AD, y cómo Azure AD puede mejorar las capacidades de su AD local en esta era de la nube y sus múltiples ofertas de servicios.
El otro día estaba hablando con el director de tecnología de un sistema de escuela pública de bastante buen tamaño, quien transmitía su frustración por el Microsoft Azure Active Directory. Recientemente se les asignó un equipo de PYME sobre el tema para ayudarlos a guiarlos a través de una implementación de Azure AD. Después de varias llamadas en conferencia, el director abandonó la asociación con los "expertos", ya que descubrió que no sabían mucho más de lo que él ya sabía. "Puedo leer los artículos de TechNet tan fácilmente como pueden", bromeó.
Esto no es tan sorprendente, ya que existe mucha confusión con respecto a la integración de Azure AD y AD local en un entorno de nube híbrida. Por lo general, la suposición inicial es que Azure AD es simplemente una versión de réplica del Servidor AD tradicional que simplemente reside en la nube. Es por eso que hay tantos clichés sobre asumir cosas. (Para una comparación de los servicios en la nube, vea Los cuatro principales jugadores en la nube: pros y contras).
Los diferentes entornos de Azure AD y Server AD
El hecho es que estas dos versiones de AD tienen casi tantas diferencias como similitudes. Eso se debe a que cada uno está construido en torno a un entorno diferente.
Cuando los profesionales de TI se refieren a AD, se refieren a la AD tradicional a la que todos nos hemos acostumbrado a lo largo de los años que reside en el plano físico. Server AD se basa en los principios de organización, capacidad de administración y política. Tomamos nuestro dominio y lo separamos en unidades organizativas más pequeñas y manejables donde residen los usuarios y las computadoras que comparten elementos comunes. Quizás su AD esté dividida por ubicaciones físicas o por función laboral. Tanto los usuarios como sus respectivas computadoras participan en el proceso de autorización cuando inician sesión en los controladores de dominio mediante LDAP y acceden a los recursos físicos mediante tickets Kerberos. Las aplicaciones nacen de archivos ISO y la Política de grupo bloquea los escritorios y las configuraciones para los usuarios.
Y luego está Azure. Azure fue construido para la nube, lo que significa que está diseñado específicamente para admitir servicios web. La nube se trata de elasticidad, agilidad y alteración perpetua. Azure es una estructura plana sin unidades organizativas y objetos de directiva de grupo, una estructura en la que la ubicación es irrelevante. De hecho, Azure es un vasto océano de objetos todos congregados en un contenedor enorme. Es un lugar en el que las aplicaciones son servicios, extensiones de los propios usuarios. Las aplicaciones en este entorno simplemente se asignan en lugar de instalarse. Si bien AD tradicional es conocido por hacer que la experiencia del usuario sea tan administrada y controlada como sea posible, Azure AD se trata de hacer que la experiencia del usuario sea lo más fluida posible.
Los puntos en común entre Azure AD y Server AD
Por lo tanto, Azure AD no está destinado a ser la versión en la nube de Server AD. Fue construido para aumentarlo como AD tradicional nunca fue construido para soportar el mundo de los servicios de internet basados en la web. Entonces, comencemos con las similitudes entre los dos.
Al igual que su predecesor, Azure AD aloja usuarios y grupos. En un entorno de nube híbrida, los administradores de AD pueden crear usuarios dentro de su AD local local y hacer que se sincronicen con Azure mediante una herramienta intermedia llamada Azure AD Connect que ofrece algunas excelentes funciones adicionales.
- Sincronización de contraseña - Dado que los usuarios y grupos están sincronizados con Azure AD, los usuarios pueden iniciar sesión tanto en las instalaciones como en la nube, ya que las contraseñas se sincronizan entre los dos. Dado que en las instalaciones se designa como la autoridad, Azure AD también utiliza la política de contraseña local.
- Reescritura de contraseña - Los usuarios pueden cambiar sus contraseñas dentro de Azure AD y hacer que se vuelvan a escribir en las instalaciones. Esta es una característica fantástica para una organización como un sistema escolar donde las contraseñas de maestros y personal caducan durante el verano. En lugar de quedar bloqueado de su acceso a Internet y hasta que puedan volver a trabajar para cambiar su contraseña en su escritorio, pueden hacerlo desde su hogar en Azure AD en cualquier momento.
- Sincronización de filtro - Esto permite a los administradores elegir exactamente qué objetos están sincronizados con la nube y cuáles no.
Cómo son diferentes
Si bien los usuarios y grupos pueden coexistir en Azure AD y Server AD simultáneamente, ese no es el caso de las cuentas de computadora. Azure no ofrece la función de "unión de dominio" a la que nos hemos acostumbrado. Esto se debe a que Azure se trata de la web, un entorno sin los protocolos de autenticación tradicionales como LDAP y Kerberos, sino que se basa en protocolos de autenticación web como SAML, WS, Graph API y OAuth 2.0. Las computadoras están conectadas a Azure. Lo que esto significa es que las cuentas de computadora pueden residir en las instalaciones o en la nube, pero no en ambas. (Para conocer algunos de los mayores problemas en la administración de Active Directory, consulte Los cinco puntos críticos de administración de Active Directory).
Sin errores, sin estrés: su guía paso a paso para crear software que cambie su vida sin destruir su vida
No puede mejorar sus habilidades de programación cuando a nadie le importa la calidad del software.
Sin embargo, esto no es tan importante como parece, ya que muchas organizaciones tienen actualmente dos tipos de flotas de computadoras, como computadoras de escritorio y dispositivos móviles. En este escenario, los dispositivos móviles podrían residir dentro de Azure mientras que los escritorios residen en las instalaciones. Las instituciones educativas de K – 12 que ofrecen aprovisionamiento individual de computadoras portátiles para los estudiantes también son una buena opción para Azure, ya que miles de computadoras portátiles son reimpresas al final de cada año, por lo que son candidatos ideales para Azure.
Como se mencionó, Azure AD no tiene funcionalidad de directiva de grupo, sin embargo, Microsoft Intune puede administrar los dispositivos de Azure, que ofrece características como la administración de actualizaciones y la eliminación remota en caso de que un dispositivo se vea comprometido. Además, Intune se puede integrar con Microsoft SCCM para proporcionar una administración de dispositivos más granular.
Azure AD facilita la vida de todos los usuarios a través de IDaaS
La conclusión es esta: Server AD es ante todo una solución de servicio de directorio, mientras que Azure AD, que tiene algunas capacidades de servicio de directorio, es una solución de identidad. La administración de identidades no fue un problema cuando se concibió Server AD, pero es un elemento crítico para las organizaciones actuales.
Los usuarios de casi cualquier organización hoy en día utilizan numerosas aplicaciones en la nube, como Office 365, Saleforce.com, Dropbox, etc. Cuando las aplicaciones en la nube llegaron a buen término, los usuarios tuvieron que autenticarse en todas y cada una de las aplicaciones, lo que demostró ser muy ineficiente e introdujo seguridad vulnerabilidades ya que los usuarios tuvieron que administrar múltiples contraseñas en algunos casos, ya que los proveedores de aplicaciones en la nube aplicaron diferentes políticas de contraseñas.
Luego vinieron los Servicios Federados que ofrecían inicio de sesión único o SSO. Inicialmente, esto significaba que la aplicación en la nube desviaría el proceso de autenticación al AD local del usuario, donde un servidor federado configurado autenticaría al usuario de acuerdo con sus credenciales locales de AD. Esto facilitó la tarea del usuario, pero requirió una gran cantidad de configuración manual para los equipos de TI, ya que había que establecer una relación federada para todos y cada uno de los proveedores de aplicaciones.
Y luego vino Identity as a Service (IDaaS), que es de lo que se trata Azure AD.Azure AD maneja la federación para cientos de aplicaciones, lo que permite a los usuarios de Azure AD la posibilidad de saltar sin problemas de una aplicación a otra casi tan fácilmente como atravesar aplicaciones en su escritorio. En cierto sentido, Azure AD es un centro de federación.
Además, Azure AD ofrece a las organizaciones la capacidad de alojar un controlador de dominio virtual en la nube, ofreciendo a los usuarios autenticación móvil y redundancia en el caso de una falla total en las instalaciones. Sí, Azure AD y Server AD no se replican entre sí, sino que los complementan, ofreciendo lo mejor de ambos mundos a los usuarios de hoy.