Examen de Microsoft Entra ID
Los alumnos deben estar familiarizados con Active Directory Domain Services (AD DS o simplemente "Active Directory"). AD DS es un servicio de directorio que proporciona los métodos para almacenar datos de directorio, como cuentas de usuario y contraseñas, y hace que estos datos estén disponibles para usuarios de red, administradores y otros dispositivos y servicios. Se ejecuta como un servicio en Windows Server denominado controlador de dominio.
Microsoft Entra ID forma parte de la oferta de plataforma como servicio (PaaS) y funciona como un servicio de directorio administrado por Microsoft en la nube. No forma parte de la infraestructura básica que los clientes poseen y administran, ni tampoco es una oferta de infraestructura como servicio. Aunque esto implica que se tiene menos control sobre su implementación, también significa que no se tienen que dedicar recursos a su implementación o mantenimiento.
Gracias a Microsoft Entra ID, también tiene acceso a un conjunto de características que no están disponibles de forma nativa en AD DS, como la compatibilidad con la autenticación multifactor, la protección de identidades y el autoservicio de restablecimiento de contraseña.
Puede usar Microsoft Entra ID con el fin de proporcionar un acceso más seguro a los recursos basados en la nube para organizaciones y usuarios mediante lo siguiente:
- Configuración del acceso a las aplicaciones
- Configuración del inicio de sesión único (SSO) en aplicaciones SaaS basadas en la nube
- Administración de usuarios y grupos
- Aprovisionamiento de usuarios
- Habilitación de la federación entre organizaciones
- Suministro de una solución de administración de identidades
- Identificación de la actividad de inicio de sesión irregular
- Configuración de la autenticación multifactor
- Ampliación de las implementaciones locales de Active Directory existentes a Microsoft Entra ID
- Configuración de Application Proxy para aplicaciones locales y en la nube
- Configuración del acceso condicional para usuarios y dispositivos
Microsoft Entra constituye un servicio de Azure independiente. Su forma más elemental, que incluye automáticamente cualquier nueva suscripción de Azure, no incurre en ningún costo adicional y se conoce como el nivel Gratis. Si se suscribe a alguno de los servicios de negocio de Microsoft Online (por ejemplo, Microsoft 365 o Microsoft Intune), recibirá automáticamente Microsoft Entra ID con acceso a todas las características del nivel Gratis.
Nota:
De forma predeterminada, al crear una nueva suscripción de Azure mediante una cuenta de Microsoft, la suscripción incluye automáticamente un nuevo inquilino de Microsoft Entra denominado Directorio predeterminado.
Algunas de las características de administración de identidades más avanzadas requieren versiones de pago de Microsoft Entra ID, las cuales se ofrecen en los niveles Básico y Premium. Algunas de estas características también se incluyen automáticamente en las instancias de Microsoft Entra generadas como parte de las suscripciones a Microsoft 365. Las diferencias entre las versiones de Microsoft Entra se describen más adelante en este módulo.
Implementar Microsoft Entra ID no es lo mismo que implementar máquinas virtuales en Azure, agregar AD DS y después implementar algunos controladores de dominio para un nuevo bosque y dominio. Microsoft Entra ID es un servicio diferente mucho más centrado en proporcionar servicios de administración de identidades a aplicaciones basadas en web, a diferencia de AD DS, que se centra más en las aplicaciones locales.
Inquilinos de Microsoft Entra
A diferencia de AD DS, Microsoft Entra ID es multiinquilino por diseño y se implementa de forma específica para garantizar el aislamiento entre sus instancias de directorio individuales. Es el directorio multiinquilino más grande del mundo: hospeda más de un millón de instancias de servicios de directorio, con miles de millones de solicitudes de autenticación por semana. En este contexto, el término inquilino normalmente representa una empresa u organización que se ha registrado para una suscripción a un servicio de Microsoft basado en la nube, como Microsoft 365, Intune o Azure, cada uno de los cuales usa Microsoft Entra ID. En cambio, desde un punto de vista técnico, el término "inquilino" representa una instancia individual de Microsoft Entra. En una suscripción de Azure, se pueden crear varios inquilinos de Microsoft Entra. Tener varios inquilinos de Microsoft Entra puede ser conveniente si desea probar la funcionalidad de Microsoft Entra en un inquilino sin afectar a los demás.
En todo momento, una suscripción de Azure debe estar asociada a un inquilino de Microsoft Entra, y solo a uno. Esta asociación le permite conceder permisos para recursos de la suscripción de Azure (mediante RBAC) a usuarios, grupos y aplicaciones que existen en ese inquilino de Microsoft Entra concreto.
Nota:
Puede asociar el mismo inquilino de Microsoft Entra con varias suscripciones de Azure. Esto le permite usar los mismos usuarios, grupos y aplicaciones para administrar los recursos de varias suscripciones de Azure.
A cada inquilino de Microsoft Entra se le asigna el nombre de dominio DNS (Sistema de nombres de dominio) predeterminado, que consiste en un prefijo único. El prefijo se deriva del nombre de la cuenta Microsoft que se usa para crear una suscripción de Azure, o bien se proporciona de forma explícita al crear un inquilino de Microsoft Entra, y va seguido del sufijo onmicrosoft.com. Agregar, al menos, un nombre de dominio personalizado al mismo inquilino de Microsoft Entra es posible y habitual. Este nombre usa el espacio de nombres de dominio DNS que posee la compañía u organización correspondiente. El inquilino de Microsoft Entra actúa como el límite de seguridad y un contenedor para objetos de Microsoft Entra, tales como usuarios, grupos y aplicaciones. Un solo inquilino de Microsoft Entra puede admitir varias suscripciones de Azure.
Esquema de Microsoft Entra
El esquema de Microsoft Entra contiene menos tipos de objeto que los de AD DS. En particular, no incluye una definición de la clase de equipo, aunque incluye la clase de dispositivo. El proceso de unión de dispositivos a Microsoft Entra difiere considerablemente del proceso de unión de equipos a AD DS. El esquema de Microsoft Entra también es fácilmente extensible y sus extensiones son totalmente reversibles.
La falta de compatibilidad con la pertenencia a dominios de equipos tradicionales significa que no puede usar Microsoft Entra ID para administrar equipos o configuraciones de usuario mediante técnicas de administración tradicionales, como objetos de directiva de grupo (GPO). En su lugar, Microsoft Entra ID y sus servicios definen un concepto de administración moderna. La principal fortaleza de Microsoft Entra ID consiste en proporcionar servicios de directorio; almacenar y publicar datos de usuario, dispositivo y aplicación; y controlar la autenticación y autorización de los usuarios, los dispositivos y las aplicaciones. La eficacia y la eficacia de estas características son evidentes en función de las implementaciones existentes de servicios en la nube, como Microsoft 365, que se basan en Microsoft Entra ID como proveedor de identidades y admiten millones de usuarios.
Microsoft Entra ID no incluye la clase de unidad organizativa (UO), lo que significa que no se pueden organizar sus objetos en una jerarquía de contenedores personalizados, que suele usarse en implementaciones de AD DS locales. Pero esto no es un problema importante, ya que las unidades organizativas de AD DS se usan principalmente para el ámbito y la delegación de la directiva de grupo. Puede conseguir organizaciones equivalentes si categoriza los objetos en función de su pertenencia a grupos.
Los objetos de las clases Application y servicePrincipal representan aplicaciones en Microsoft Entra ID. Un objeto de la clase Application contiene una definición de aplicación, y un objeto de la clase servicePrincipal constituye su instancia en el inquilino actual de Microsoft Entra. La separación de estos dos conjuntos de características permite definir una aplicación en un inquilino y usarla en varios inquilinos mediante la creación de un objeto de entidad de servicio para esta aplicación en cada inquilino. Microsoft Entra ID crea el objeto de entidad de servicio al registrar la aplicación correspondiente en ese inquilino de Microsoft Entra.