Planes de implementación de Microsoft Entra

Azure Active Directory ahora es Microsoft Entra ID, que puede proteger su organización con la administración de identidades y el acceso en la nube. La solución conecta a los empleados, clientes y asociados a sus aplicaciones, dispositivos y datos.

Use las instrucciones de este artículo para ayudar a crear el plan para implementar Microsoft Entra ID. Obtenga información sobre los conceptos básicos de creación de planes y, a continuación, use las secciones siguientes para la implementación de autenticación, aplicaciones y dispositivos, escenarios híbridos, identidad de usuario, etc.

Partes interesadas y roles

Al comenzar los planes de implementación, incluya las principales partes interesadas. Identifique y documente a las partes interesadas, los roles afectados y las áreas de propiedad y responsabilidades que permitan una implementación eficaz. Los títulos y roles difieren de una organización a otra, pero las áreas de propiedad son similares. Consulte la tabla siguiente para ver los roles comunes e influyentes que afectan a cualquier plan de implementación.

Rol	Responsabilidad
Patrocinador	Director sénior de una empresa con autoridad para aprobar o asignar presupuesto y recursos. El patrocinador es la conexión entre los responsables y el equipo ejecutivo.
Usuarios finales	Las personas para las que se implementa el servicio. Los usuarios pueden participar en un programa piloto.
Administrador de soporte técnico de TI	Proporciona información sobre la compatibilidad de los cambios propuestos.
Arquitecto de identidades o administrador global de Azure	Define cómo se alinea el cambio con la infraestructura de administración de identidades.
Propietario empresarial de la aplicación	Posee las aplicaciones afectadas, que pueden incluir la administración del acceso. Proporciona información sobre la experiencia del usuario.
Propietario de la seguridad	Confirma que el plan de cambios cumple los requisitos de seguridad.
Administrador de cumplimiento	Garantiza el cumplimiento de los requisitos corporativos, industriales o gubernamentales.

RACI

Responsable, Encargado, Consultado e Informado (RACI) es un modelo para la participación de varios roles para completar tareas o entregas para un proyecto o proceso empresarial. Use este modelo para ayudar a garantizar que los roles de la organización comprendan las responsabilidades de implementación.

• Responsable: personas encargadas de la finalización correcta de la tarea.
  • Hay al menos un rol responsable, aunque puede delegar a otros usuarios para ayudar a entregar el trabajo.
• Encargado: quien en última instancia responde para la corrección y finalización de la entrega o tarea. El rol Encargado garantiza que se cumplan los requisitos previos de la tarea y los delegados trabajen en roles responsables. El rol Encargado aprueba el trabajo que proporciona Responsable. Asigne una cuenta para cada tarea o entrega.
• Consultado: el rol Consultado proporciona orientación, normalmente un experto en la materia (SME).
• Informado: las personas se mantienen al día sobre el progreso, generalmente tras la finalización de una tarea o entrega.

Implementación de autenticación

Use la siguiente lista para planear la implementación de la autenticación.

• Autenticación multifactor (MFA) de Microsoft Entra: gracias al uso de métodos de autenticación aprobados por un administrador, la autenticación multifactor ayuda a proteger el acceso a sus datos y aplicaciones, además de satisfacer la exigencia de un inicio de sesión sencillo:

  • Vea el vídeo, Cómo configurar y aplicar la autenticación multifactor en un inquilino
  • Vea, Planeación de la implementación de autenticación multifactor

• Acceso condicional: implemente decisiones de control de acceso automatizado para que los usuarios accedan a las aplicaciones en nube, en función de ciertas condiciones:

  • Consulte ¿Qué es el acceso condicional?
  • Consulte Planeamiento de la implementación del acceso condicional

• Autoservicio de restablecimiento de contraseña (SSPR): Ayude a los usuarios a restablecer una contraseña sin la intervención del administrador:

  • Vea, Opciones de autenticación sin contraseña para Microsoft Entra ID

  • Consulte Planeación de la implementación de autoservicio de restablecimiento de contraseña de Microsoft Entra

• Autenticación sin contraseña: implementación de la autenticación sin contraseña mediante la aplicación Microsoft Authenticator o las claves de seguridad de FIDO2:

  • Consulte Habilitación del inicio de sesión sin contraseña con Microsoft Authenticator
  • Vea, Planeación de la implementación de autenticación sin contraseña en Microsoft Entra ID

Aplicaciones y dispositivos

Use la siguiente lista como ayuda para implementar aplicaciones y dispositivos.

• Inicio de sesión único (SSO): habilite el acceso de usuario a aplicaciones y recursos con un inicio de sesión, sin tener que volver a escribir las credenciales:
  • Vea, ¿Qué es SSO en Microsoft Entra ID?
  • Consulte Planeamiento de una implementación de inicio de sesión único
• Portal Mis aplicaciones: detecte y acceda a aplicaciones. Habilite la productividad del usuario con autoservicio; por ejemplo, solicite acceso a grupos o administre el acceso a los recursos en nombre de otros usuarios.
  • Consulte Introducción al portal Aplicaciones
• Dispositivos: Evalúe los métodos de integración de dispositivos con Microsoft Entra ID, elija el plan de implementación, etc.
  • Vea, Planeación de la implementación de dispositivos de Microsoft Entra

Escenarios híbridos

En la lista siguiente se describen las características y los servicios en escenarios híbridos.

• Servicios de federación de Active Directory (AD FS): migre la autenticación de usuario de la federación a la nube con autenticación transferida o sincronización de hash de contraseñas:
  • Vea, ¿Qué es la federación con Microsoft Entra ID?
  • Consulte Migración de la federación a la autenticación en la nube
• Proxy de aplicación de Microsoft Entra: permite a los empleados ser productivos desde un dispositivo. Obtenga información sobre las aplicaciones de software como servicio (SaaS) en la nube y las aplicaciones corporativas locales. El proxy de aplicación de Microsoft Entra permite el acceso sin redes privadas virtuales (VPN) ni zonas desmilitarizadas (DMZ):
  • Vea, Acceso remoto a aplicaciones locales a través del proxy de aplicación de Microsoft Entra
  • Vea, Planeación de la implementación de proxy de la aplicación Microsoft Entra
• Inicio de sesión único de conexión directa (SSO de conexión directa): use SSO de conexión directa para el inicio de sesión de usuario, en dispositivos corporativos conectados a una red corporativa. Los usuarios no necesitan contraseñas para iniciar sesión en Microsoft Entra ID y, por lo general, no necesitan escribir nombres de usuario. Los usuarios autorizados acceden a las aplicaciones basadas en la nube sin componentes locales adicionales:
  • Vea, SSO de Microsoft Entra: Inicio rápido
  • Vea, SSO fluido de Microsoft Entra: Análisis técnico profundo

Usuarios

• Identidades de usuario: obtenga información sobre el uso de la automatización para crear, mantener y quitar identidades de usuario en aplicaciones en la nube, como Dropbox, Salesforce, ServiceNow, etc.
  • Vea, Planeación de la implementación de aprovisionamiento automático de usuarios en Microsoft Entra ID
• Gobierno de Microsoft Entra ID: cree gobernanza de identidades y mejore los procesos empresariales que dependen de los datos de identidad. Con los productos de RR. HH., como Workday o Successfactors, administre el ciclo de vida de la identidad de los empleados y del personal contingente con reglas. Estas reglas asignan procesos de Joiner-Mover-Leaver (JLM), como Nueva contratación, Terminar o Transferir, a acciones de TI como Crear, Habilitar o Deshabilitar. Vea la siguiente sección para obtener más información.
  • Vea, Planeación de la aplicación de recursos humanos en la nube para el aprovisionamiento de usuarios de Microsoft Entra
• Colaboración B2B de Microsoft Entra: Mejora de la colaboración de usuarios externos con acceso seguro a las aplicaciones:
  • Vea Introducción a la colaboración B2B.
  • Más información: Planeación de la implementación de colaboración B2B de Microsoft Entra

Gobernanza e informes de identidades

Microsoft Entra ID Governance permite a las organizaciones mejorar la productividad, reforzar la seguridad y cumplir con más facilidad los requisitos normativos y de cumplimiento. Use Microsoft Entra ID Governance para garantizar que las personas adecuadas tengan el acceso adecuado a los recursos adecuados. Mejore la automatización de procesos de identidad y acceso, la delegación a grupos empresariales y una mayor visibilidad. Use la siguiente lista para obtener información sobre la gobernanza e informes de identidades.

Más información:

• Protección del acceso a un mundo conectado: conozca Microsoft Entra

• Control del acceso de las aplicaciones de su entorno

• Privileged Identity Management (PIM): Administre roles administrativos privilegiados en Microsoft Entra ID, recursos de Azure y otros servicios en línea de Microsoft. Úselo para el acceso Just-In-Time (JIT), solicite flujos de trabajo de aprobación y revisiones de acceso integradas para ayudar a evitar actividades malintencionadas:

  • Consulte Empiece a usar Privileged Identity Management
  • Consulte Planeamiento de una implementación de Privileged Identity Management

• Informes y supervisión: El diseño de la solución de supervisión y generación de informes de Microsoft Entra tiene dependencias y restricciones: legales, de seguridad, de operaciones, ambientales y de procesos.

  • Vea, Microsoft Entra informa y supervisa las dependencias de implementación

• Revisiones de acceso: conozca y administre el acceso a los recursos:

  • Consulte ¿Qué son las revisiones de acceso?
  • Consulte Planeamiento de una implementación de revisiones de acceso de Microsoft Entra

Procedimientos recomendados para un piloto

Antes de hacer un cambio para grupos más grandes o para todos, use pilotos para probar con un grupo pequeño. Asegúrese de que se prueba cada caso de uso de la organización.

Piloto: fase 1

En la primera fase, el TI de destino, la facilidad de uso y otros usuarios que pueden probar y proporcionar comentarios. Use estos comentarios para obtener información sobre posibles problemas para el personal de soporte técnico y para desarrollar las comunicaciones y las instrucciones que envíe a todos los usuarios.

Piloto: fase 2

Amplíe el piloto a grupos de usuarios mayores mediante la pertenencia dinámica o agregando manualmente usuarios a los grupos de destino.

Obtenga más información: Reglas de membresía dinámica para grupos en Microsoft Entra ID