Implementación y administración de Microsoft Entra Domain Services para proveedores de soluciones en la nube de Azure
Proveedores de soluciones en la nube (CSP) de Azure es un programa para asociados de Microsoft y proporciona un canal de licencias para varios servicios en la nube de Microsoft. Azure CSP permite a los asociados administrar ventas, controlar la relación de facturación, proporcionar soporte técnico y asistencia para la facturación y ser el único punto de contacto de los clientes. Además, Azure CSP proporciona un conjunto completo de herramientas, incluido un portal de autoservicio y API complementarias. Estas herramientas permiten a los asociados de CSP aprovisionar y administrar recursos de Azure fácilmente, así como proporcionar una facturación para sus clientes y suscripciones.
El portal del Centro de partners es el punto de entrada para todos los asociados de CSP de Azure y proporciona funciones de administración de clientes enriquecidas, procesamiento automatizado y mucho más. Los asociados de Azure CSP pueden utilizar las funciones de Centro de partners mediante una UI basada en web o mediante PowerShell y diversas llamadas API.
El siguiente diagrama ilustra cómo funciona el modelo de CSP en un nivel superior. Aquí, Contoso tiene un inquilino de Microsoft Entra. Tienen una asociación con un CSP, que implementa y administra los recursos de su suscripción a Azure CSP. Contoso también puede tener suscripciones regulares (directas) a Azure, que se facturan directamente a Contoso.
El inquilino del asociado de CSP tiene tres grupos de agentes especiales: agentes de administración, agentes del departamento de soporte técnico y agentes de ventas.
El grupo de agentes de administración se asigna al rol de administrador de inquilinos en el inquilino de Microsoft Entra de Contoso. Como resultado, un usuario que pertenezca al grupo de agentes de administración del asociado de CSP tiene privilegios de administrador de inquilinos en el inquilino de Microsoft Entra de Contoso.
Cuando el asociado de CSP aprovisiona una suscripción a Azure CSP para Contoso, su grupo de agentes de administración se asigna al rol de propietario de dicha suscripción. Como resultado, los agentes de administración del asociado de CSP tienen los privilegios necesarios para aprovisionar recursos de Azure, como máquinas virtuales, redes virtuales y Microsoft Entra Domain Services en nombre de Contoso.
Para más información, consulte Azure CSP overview (Introducción a Azure CSP)
Ventajas de usar Domain Services en una suscripción a Azure CSP
Microsoft Entra Domain Services (Microsoft Entra DS) proporciona servicios de dominio administrado, como unión a dominio, política de grupo, LDAP, autenticación Kerberos/NTLM que es totalmente compatible con Windows Server Active Directory Domain Services. A lo largo de décadas, muchas aplicaciones se han compilado para funcionar con AD con estas funcionalidades. Muchos proveedores de software independientes (ISV) han creado e implementado aplicaciones en las instalaciones de sus clientes. El soporte técnico de estas aplicaciones resulta difícil, ya que, a menudo, requiere acceso a los distintos entornos en que están implementadas las aplicaciones. Con las suscripciones a Azure CSP, tiene una alternativa más sencilla gracias al escalado y la flexibilidad de Azure.
Domain Services admite suscripciones a Azure CSP. Puede implementar la aplicación en una suscripción a Azure CSP enlazada al inquilino de Microsoft Entra de su cliente. Como resultado, los empleados (personal de soporte técnico) pueden administrar y realizar el mantenimiento de las máquinas virtuales en las que se implementa la aplicación mediante credenciales corporativas de la organización.
También puede implementar un dominio administrado de Domain Services en el inquilino de Microsoft Entra del cliente. La aplicación está conectada entonces al dominio administrado del cliente. Las funciones de la aplicación que dependen de Kerberos/NTLM, LDAP o la API System.DirectoryServices funcionan sin problemas en el dominio de su cliente. Los clientes finales se beneficiarán de consumir la aplicación como servicio sin tener que preocuparse del mantenimiento de la infraestructura en que se implementó la aplicación.
Se le cobrará la facturación de todos los recursos de Azure que consuma en dicha suscripción, incluido Domain Services. Tiene control completo sobre la relación con el cliente en lo que respecta a ventas, facturación, soporte técnico, etc. Con la flexibilidad de la plataforma Azure CSP, un pequeño equipo de agentes de soporte técnico puede ofrecer servicio a muchos clientes que tengan instancias de la aplicación implementadas.
Modelos de implementación de CSP para Domain Services
Hay dos maneras de usar Domain Services con una suscripción a Azure CSP. Seleccione el adecuado en función de las consideraciones de seguridad y simplicidad de los clientes.
Modelo de implementación directa
En este modelo de implementación, Domain Services se habilita en una red virtual que pertenece a la suscripción a Azure CSP. Los agentes de administración del asociado de CSP tienen los privilegios siguientes:
- Privilegios de administrador global en el inquilino de Microsoft Entra del cliente.
- Privilegios de propietario de la suscripción en la suscripción a Azure CSP.
En este modelo de implementación, los agentes de administración del proveedor de CSP pueden administrar identidades para el cliente. Estos agentes de administración pueden realizar tareas como aprovisionar nuevos usuarios o grupos o agregar aplicaciones en el inquilino de Microsoft Entra del cliente.
Este modelo de implementación puede ser adecuado para organizaciones pequeñas que no tienen un administrador de identidades dedicado o prefieren que el asociado de CSP administre identidades en su nombre.
Modelo de implementación emparejado
En este modelo de implementación, Domain Services se habilita en una red virtual que pertenece al cliente, es decir, una suscripción directa a Azure que paga el cliente. El asociado de CSP puede implementar aplicaciones en una red virtual que pertenece a la suscripción a CSP del cliente. A continuación, las redes virtuales se pueden conectar mediante el emparejamiento de redes virtuales de Azure.
Con esta implementación, las cargas de trabajo o aplicaciones que implementa el asociado de CSP en la suscripción a Azure CSP pueden conectar con el dominio administrado del cliente aprovisionado en la suscripción a Azure directa del cliente.
Este modelo de implementación proporciona una separación de privilegios y permite a los agentes del departamento de soporte técnico del asociado de CSP administrar la suscripción a Azure, e implementar y administrar los recursos que contiene. Sin embargo, los agentes del departamento de soporte técnico del asociado de CSP no necesitan tener privilegios de administrador global en el directorio de Microsoft Entra del cliente. Los administradores de identidades del cliente pueden seguir administrando identidades para su organización.
Este modelo de implementación puede ser adecuado para escenarios en que un ISV proporciona una versión hospedada de su aplicación local, que también se debe poder conectar a la instancia de Microsoft Entra ID del cliente.
Administración de Domain Services en suscripciones de CSP
Cuando se administra un dominio administrado en una suscripción a Azure CSP, se aplican las siguientes consideraciones importantes:
Los agentes de administración de CSP pueden aprovisionar un dominio administrado con sus credenciales: Domain Services admite suscripciones a Azure CSP. Los usuarios que pertenecen al grupo de agentes de administración del asociado de CSP pueden aprovisionar un nuevo dominio administrado.
Los CSP pueden generar scripts de creación de nuevos dominios administrados para sus clientes con PowerShell: vea Habilitación de Domain Services mediante PowerShell para obtener más información.
Los agentes de administrador de CSP no pueden realizar tareas de administración continuas en el dominio administrado con sus credenciales: Los usuarios administradores de CSP no pueden llevar a cabo tareas de administración de rutina dentro del dominio administrado mediante el uso de sus credenciales. Estos usuarios son externos al inquilino de Microsoft Entra del cliente y sus credenciales no están disponibles en el inquilino de Microsoft Entra del cliente. Domain Services no tiene acceso a los hash de contraseña de Kerberos y NTLM para estos usuarios, por lo que los usuarios no se pueden autenticar en dominios administrados.
Advertencia
Debe crear una cuenta de usuario en el directorio del cliente para realizar tareas de administración en curso en el dominio administrado.
No puede iniciar sesión en el dominio administrado usando credenciales de usuario administrador de CSP. Para ello, use las credenciales de una cuenta de usuario que pertenezca al inquilino de Microsoft Entra. Necesita estas credenciales para tareas como unir máquinas virtuales al dominio administrado, administrar DNS o administrar directivas de grupo.
La cuenta de usuario creada para la administración continua se debe agregar al grupo Administradores de controladores de dominio de AAD: El grupo Administradores de controladores de dominio de AAD tiene privilegios para realizar ciertas tareas de administración delegada en el dominio administrado. Estas tareas incluyen la configuración de DNS, la creación de unidades organizativas y la administración de directivas de grupos.
Para que un asociado de CSP realice estas tareas en un dominio administrado, es necesario crear una cuenta de usuario en el inquilino de Microsoft Entra del cliente. Las credenciales para esta cuenta se deben compartir con los agentes de administración del asociado de CSP. Además, esta cuenta de usuario debe agregarse al grupo Administradores de controladores de dominio de AAD para permitir que las tareas de configuración del dominio administrado se realicen mediante esta cuenta de usuario.
Pasos siguientes
Para empezaer, inscríbase en el programa CSP de Azure. A continuación, puede habilitar Microsoft Entra Domain Services mediante el centro de administración de Microsoft Entra o Azure PowerShell.