Integración de dominios locales de Active Directory con Azure Active DirectoryIntegrate on-premises Active Directory domains with Azure Active Directory

Azure Active Directory (Azure AD) es un directorio multiinquilino basado en la nube y un servicio de identidad.Azure Active Directory (Azure AD) is a cloud-based multi-tenant directory and identity service. Esta arquitectura de referencia muestra procedimientos recomendados para la integración de dominios de Active Directory locales con Azure AD a fin de proporcionar la autenticación de identidades basada en la nube.This reference architecture shows best practices for integrating on-premises Active Directory domains with Azure AD to provide cloud-based identity authentication. Implemente esta solución.Deploy this solution.

Arquitectura de identidad en la nube con Azure Active Directory

Descargue un archivo Visio de esta arquitectura.Download a Visio file of this architecture.

Nota

Para simplificar, este diagrama solo muestra las conexiones relacionadas directamente con Azure AD y el tráfico no relacionado con el protocolo que se puede producir como parte de la federación de la identidad y la autenticación.For simplicity, this diagram only shows the connections directly related to Azure AD, and not protocol-related traffic that may occur as part of authentication and identity federation. Por ejemplo, una aplicación web puede redirigir el explorador web para autenticar la solicitud a través de Azure AD.For example, a web application may redirect the web browser to authenticate the request through Azure AD. Una vez autenticada, la solicitud puede pasarse a la aplicación web, con la información de identidad adecuada.Once authenticated, the request can be passed back to the web application, with the appropriate identity information.

Los usos habituales de esta arquitectura de referencia incluyen:Typical uses for this reference architecture include:

  • Aplicaciones web implementadas en Azure que proporcionan acceso a los usuarios remotos que pertenecen a la organización.Web applications deployed in Azure that provide access to remote users who belong to your organization.
  • La implementación de funcionalidades de autoservicio para usuarios finales, como restablecer sus contraseñas y delegar la administración de grupos.Implementing self-service capabilities for end-users, such as resetting their passwords, and delegating group management. Esto requiere Azure AD Premium Edition.This requires Azure AD Premium edition.
  • Arquitecturas en las que la red local y la red virtual de Azure de la aplicación no están conectadas mediante un túnel VPN o un circuito ExpressRoute.Architectures in which the on-premises network and the application's Azure VNet are not connected using a VPN tunnel or ExpressRoute circuit.

Nota

Azure AD puede autenticar la identidad de usuarios y aplicaciones que existen en el directorio de una organización.Azure AD can authenticate the identity of users and applications that exist in an organization’s directory. Algunas aplicaciones y servicios, como SQL Server, pueden requerir la autenticación de equipo, en cuyo caso esta solución no es adecuada.Some applications and services, such as SQL Server, may require computer authentication, in which case this solution is not appropriate.

Para obtener consideraciones adicionales, consulte elección de una solución para la integración de Active Directory local con Azure.For additional considerations, see Choose a solution for integrating on-premises Active Directory with Azure.

ArquitecturaArchitecture

La arquitectura tiene los siguientes componentes.The architecture has the following components.

  • Inquilino de Azure AD.Azure AD tenant. Una instancia de Azure ad creada por su organización.An instance of Azure AD created by your organization. Actúa como un servicio de directorio de aplicaciones en la nube mediante el almacenamiento de objetos copiados desde la instancia local de Active Directory y proporciona servicios de identidad.It acts as a directory service for cloud applications by storing objects copied from the on-premises Active Directory and provides identity services.

  • Subred de nivel web.Web tier subnet. Esta subred contiene las máquinas virtuales que ejecutan una aplicación web.This subnet holds VMs that run a web application. Azure AD puede actuar como un intermediario de identidad para esta aplicación.Azure AD can act as an identity broker for this application.

  • Servidor local AD DS.On-premises AD DS server. Un directorio local y un servicio de identidad.An on-premises directory and identity service. El directorio AD DS se puede sincronizar con Azure AD para que pueda autenticar a los usuarios locales.The AD DS directory can be synchronized with Azure AD to enable it to authenticate on-premises users.

  • Servidor de Azure AD Connect Sync.Azure AD Connect sync server. Un equipo local que ejecuta el servicio de sincronización de Azure ad Connect .An on-premises computer that runs the Azure AD Connect sync service. Este servicio sincroniza la información contenida en Active Directory local para Azure AD.This service synchronizes information held in the on-premises Active Directory to Azure AD. Por ejemplo, si aprovisiona o desaprovisiona usuarios y grupos locales, estos cambios se propagan a Azure AD.For example, if you provision or deprovision groups and users on-premises, these changes propagate to Azure AD.

    Nota

    Por motivos de seguridad, Azure AD almacena las contraseñas de usuario como un valor hash.For security reasons, Azure AD stores user's passwords as a hash. Si un usuario requiere el restablecimiento de una contraseña, debe hacerse de forma local y el nuevo hash debe enviarse a Azure AD.If a user requires a password reset, this must be performed on-premises and the new hash must be sent to Azure AD. Las ediciones Premium de Azure AD incluyen características que pueden automatizar esta tarea para permitir a los usuarios restablecer sus propias contraseñas.Azure AD Premium editions include features that can automate this task to enable users to reset their own passwords.

  • Máquinas virtuales para aplicación de N niveles.VMs for N-tier application. La implementación incluye la infraestructura para una aplicación con n niveles.The deployment includes infrastructure for an N-tier application. Para obtener más información acerca de estos recursos, consulte ejecución de máquinas virtuales para una arquitectura de N niveles.For more information about these resources, see Run VMs for an N-tier architecture.

RecomendacionesRecommendations

Las siguientes recomendaciones sirven para la mayoría de los escenarios.The following recommendations apply for most scenarios. Sígalas a menos que tenga un requisito concreto que las invalide.Follow these recommendations unless you have a specific requirement that overrides them.

Cuenta del servicio de sincronización Azure AD ConnectAzure AD Connect sync service

El servicio de sincronización de Azure AD Connect garantiza que la información de identidad almacenada en la nube sea coherente con la que se mantiene en local.The Azure AD Connect sync service ensures that identity information stored in the cloud is consistent with that held on-premises. Este servicio se instala con el software de Azure AD Connect.You install this service using the Azure AD Connect software.

Antes de implementar la sincronización de Azure AD Connect, determine los requisitos de sincronización de la organización.Before implementing Azure AD Connect sync, determine the synchronization requirements of your organization. Por ejemplo, lo que se debe sincronizar, de qué dominios y con qué frecuencia.For example, what to synchronize, from which domains, and how frequently. Para obtener más información, consulte determinación de los requisitos de sincronización de directorios.For more information, see Determine directory synchronization requirements.

Puede ejecutar el servicio de sincronización de Azure AD Connect en una máquina virtual o un equipo hospedado en local.You can run the Azure AD Connect sync service on a VM or a computer hosted on-premises. Según la volatilidad de la información en el directorio de Active Directory, es probable que la carga en el servicio de sincronización de Azure AD Connect sea alta después de la sincronización inicial con Azure AD.Depending on the volatility of the information in your Active Directory directory, the load on the Azure AD Connect sync service is unlikely to be high after the initial synchronization with Azure AD. La ejecución del servicio en una máquina virtual facilita escalar el servidor, si es necesario.Running the service on a VM makes it easier to scale the server if needed. Supervise la actividad en la máquina virtual tal como se describe en la sección de consideraciones de supervisión, para determinar si el escalado es necesario.Monitor the activity on the VM as described in the Monitoring considerations section to determine whether scaling is necessary.

Si tiene varios dominios locales en un bosque, se recomienda almacenar y sincronizar la información para todo el bosque en un único inquilino de Azure AD.If you have multiple on-premises domains in a forest, we recommend storing and synchronizing information for the entire forest to a single Azure AD tenant. Filtre la información de identidades que se produce en más de un dominio, por lo que cada identidad aparece una sola vez en Azure AD, en lugar de duplicarse.Filter information for identities that occur in more than one domain, so that each identity appears only once in Azure AD, rather than being duplicated. La duplicación puede provocar incoherencias cuando se sincronizan los datos.Duplication can lead to inconsistencies when data is synchronized. Para más información, consulte la sección Topología, a continuación.For more information, see the Topology section below.

Use un filtro para que solo se almacenen en Azure AD los datos necesarios.Use filtering so that only necessary data is stored in Azure AD. Por ejemplo, a la organización podría no convenirle almacenar información sobre las cuentas inactivas en Azure AD.For example, your organization might not want to store information about inactive accounts in Azure AD. El filtrado puede basarse en grupos, en dominios, en unidades organizativa (OU) o en atributos.Filtering can be group-based, domain-based, organization unit (OU)-based, or attribute-based. Puede combinar filtros para generar reglas más complejas.You can combine filters to generate more complex rules. Por ejemplo, puede sincronizar objetos que se encuentren en un dominio y que tengan un valor específico en un atributo seleccionado.For example, you could synchronize objects held in a domain that have a specific value in a selected attribute. Para obtener información detallada, consulte Sincronización de Azure AD Connect: Configureel filtrado.For detailed information, see Azure AD Connect sync: Configure Filtering.

Para implementar la alta disponibilidad para el servicio de sincronización de AD Connect, ejecute un servidor provisional secundario.To implement high availability for the AD Connect sync service, run a secondary staging server. Para más información, consulte la sección Recomendaciones de topología.For more information, see the Topology recommendations section.

Recomendaciones de seguridadSecurity recommendations

Administración de contraseñas de usuario.User password management. Las ediciones Premium de Azure AD admiten la escritura diferida de contraseñas, permitiendo a los usuarios locales realizar restablecimientos de contraseñas de autoservicio desde dentro de Azure Portal.The Azure AD Premium editions support password writeback, enabling your on-premises users to perform self-service password resets from within the Azure portal. Esta característica debe habilitarse solo después de revisar la Directiva de seguridad de contraseñas de la organización.This feature should be enabled only after reviewing your organization's password security policy. Por ejemplo, puede restringir qué usuarios pueden cambiar sus contraseñas y personalizar la experiencia de su administración.For example, you can restrict which users can change their passwords, and you can tailor the password management experience. Para obtener más información, consulte Personalización de la administración de contraseñas para ajustarse a las necesidades de su organización.For more information, see Customizing Password Management to fit your organization's needs.

Proteja las aplicaciones locales que sean accesibles externamente.Protect on-premises applications that can be accessed externally. Utilice el Proxy de aplicación de Azure AD para proporcionar acceso controlado a las aplicaciones web locales para los usuarios externos a través de Azure AD.Use the Azure AD Application Proxy to provide controlled access to on-premises web applications for external users through Azure AD. Solo los usuarios que tienen credenciales válidas en su directorio de Azure tienen permiso para usar la aplicación.Only users that have valid credentials in your Azure directory have permission to use the application. Para obtener más información, consulte el artículo habilitación del proxy de aplicación en el Azure portal.For more information, see the article Enable Application Proxy in the Azure portal.

Supervise activamente Azure AD en busca de indicios de actividad sospechosa.Actively monitor Azure AD for signs of suspicious activity. Considere el uso de la edición Premium P2 de Azure AD, que incluye Azure AD Identity Protection.Consider using Azure AD Premium P2 edition, which includes Azure AD Identity Protection. Identity Protection utiliza algoritmos de aprendizaje automático adaptables y heurísticos para detectar anomalías y eventos de riesgo que pueden indicar que se ha puesto en peligro una identidad.Identity Protection uses adaptive machine learning algorithms and heuristics to detect anomalies and risk events that may indicate that an identity has been compromised. Por ejemplo, puede detectar actividad inusual como actividades irregulares de inicio de sesión, inicios de sesión de orígenes desconocidos o de direcciones IP con actividad sospechosa, o inicios de sesión desde dispositivos que pueden estar infectados.For example, it can detect potentially unusual activity such as irregular sign-in activities, sign-ins from unknown sources or from IP addresses with suspicious activity, or sign-ins from devices that may be infected. Con estos datos, Identity Protection genera informes y alertas que permiten investigar estos eventos de riesgo y tomar las acciones de corrección adecuadas.Using this data, Identity Protection generates reports and alerts that enables you to investigate these risk events and take appropriate action. Para obtener más información, consulte Azure Active Directory Identity Protection.For more information, see Azure Active Directory Identity Protection.

Puede usar la característica de informes de Azure AD en Azure Portal para supervisar las actividades relacionadas con la seguridad que se producen en el sistema.You can use the reporting feature of Azure AD in the Azure portal to monitor security-related activities occurring in your system. Para obtener más información sobre el uso de estos informes, vea Azure Active Directory guía de informes.For more information about using these reports, see Azure Active Directory Reporting Guide.

Recomendaciones de topologíaTopology recommendations

Configure Azure AD Connect para implementar la topología que mejor se ajuste a los requisitos de su organización.Configure Azure AD Connect to implement a topology that most closely matches the requirements of your organization. Entre las topologías que Azure AD Connect admite se incluyen:Topologies that Azure AD Connect supports include:

  • Un único bosque, un único directorio de Azure AD.Single forest, single Azure AD directory. En esta topología, Azure AD Connect sincroniza los objetos y la información de identidad de uno o varios dominios de un único bosque local en un solo inquilino de Azure AD.In this topology, Azure AD Connect synchronizes objects and identity information from one or more domains in a single on-premises forest into a single Azure AD tenant. Se trata de la topología predeterminada implementada por la instalación rápida de Azure AD Connect.This is the default topology implemented by the express installation of Azure AD Connect.

    Nota

    No use varios servidores de sincronización de Azure AD Connect para conectarse a dominios diferentes en el mismo bosque local para el mismo inquilino de Azure AD, a menos que esté ejecutando un servidor en modo de almacenamiento provisional, según se describe a continuación.Don't use multiple Azure AD Connect sync servers to connect different domains in the same on-premises forest to the same Azure AD tenant, unless you are running a server in staging mode, described below.

  • Varios bosques, un único directorio de Azure AD.Multiple forests, single Azure AD directory. En esta topología, Azure AD Connect sincroniza la información de identidad y los objetos desde varios bosques en un solo inquilino de Azure AD.In this topology, Azure AD Connect synchronizes objects and identity information from multiple forests into a single Azure AD tenant. Use esta topología si su organización tiene más de un bosque local.Use this topology if your organization has more than one on-premises forest. Puede consolidar la información de identidad para que cada usuario único se represente una vez en el directorio de Azure AD, aunque exista el mismo usuario en más de un bosque.You can consolidate identity information so that each unique user is represented once in the Azure AD directory, even if the same user exists in more than one forest. Todos los bosques usar el mismo servidor de sincronización de Azure AD Connect.All forests use the same Azure AD Connect sync server. El servidor de sincronización de Azure AD Connect no tiene que formar parte de ningún dominio, pero debe ser accesible desde todos los bosques.The Azure AD Connect sync server does not have to be part of any domain, but it must be reachable from all forests.

    Nota

    En esta topología, no utilice servidores independientes de sincronización de Azure AD Connect para conectar cada bosque local a un único inquilino de Azure AD.In this topology, don't use separate Azure AD Connect sync servers to connect each on-premises forest to a single Azure AD tenant. Esto puede dar lugar a información de identidad duplicada en Azure AD si los usuarios están presentes en más de un bosque.This can result in duplicated identity information in Azure AD if users are present in more than one forest.

  • Varios bosques: topologías independientes.Multiple forests, separate topologies. Esta topología combina la información de identidad de bosques independientes en un solo inquilino de Azure AD, tratando a todos los bosques como entidades independientes.This topology merges identity information from separate forests into a single Azure AD tenant, treating all forests as separate entities. Esta topología es útil si se combinan bosques de organizaciones diferentes y se mantiene en un solo bosque la información de identidad para cada usuario.This topology is useful if you are combining forests from different organizations and the identity information for each user is held in only one forest.

    Nota

    Si se sincronizan las listas globales de direcciones (GAL) de cada bosque, un usuario de un bosque puede estar presente en otro como un contacto.If the global address lists (GAL) in each forest are synchronized, a user in one forest may be present in another as a contact. Esto puede ocurrir si su organización ha implementado GALSync con Forefront Identity Manager 2010 o Microsoft Identity Manager 2016.This can occur if your organization has implemented GALSync with Forefront Identity manager 2010 or Microsoft Identity Manager 2016. En este escenario, puede especificar que los usuarios deben identificarse por su atributo Mail.In this scenario, you can specify that users should be identified by their Mail attribute. También puede hacer coincidir las identidades mediante los atributos ObjectSID y msExchMasterAccountSID.You can also match identities using the ObjectSID and msExchMasterAccountSID attributes. Resulta de utilidad si tiene uno o varios bosques de recursos con las cuentas deshabilitadas.This is useful if you have one or more resource forests with disabled accounts.

  • Servidor provisional.Staging server. En esta configuración, ejecuta una segunda instancia del servidor de sincronización de Azure AD Connect en paralelo con la primera.In this configuration, you run a second instance of the Azure AD Connect sync server in parallel with the first. Esta estructura es compatible con escenarios como:This structure supports scenarios such as:

    • Alta disponibilidad.High availability.

    • Prueba e implementación de una nueva configuración del servidor de sincronización de Azure AD Connect.Testing and deploying a new configuration of the Azure AD Connect sync server.

    • Introducción a un nuevo servidor y retirada de una configuración anterior.Introducing a new server and decommissioning an old configuration.

      En estos casos, la segunda instancia se ejecuta en modo de almacenamiento provisional.In these scenarios, the second instance runs in staging mode. El servidor registra los objetos importados y los datos de sincronización en su base de datos, pero no pasa los datos a Azure AD.The server records imported objects and synchronization data in its database, but does not pass the data to Azure AD. Si deshabilita el modo de almacenamiento provisional, el servidor comienza a escribir datos en Azure AD y también realiza escrituras diferidas de contraseñas en los directorios locales cuando corresponda.If you disable staging mode, the server starts writing data to Azure AD, and also starts performing password write-backs into the on-premises directories where appropriate. Para más información, consulte Sincronización de Azure AD Connect: Tareas y consideracionesoperativas.For more information, see Azure AD Connect sync: Operational tasks and considerations.

  • Varios directorios de Azure AD.Multiple Azure AD directories. Se recomienda crear un solo directorio de Azure AD para una organización, pero puede haber situaciones en las que necesite dividir la información en directorios de Azure AD diferentes.It is recommended that you create a single Azure AD directory for an organization, but there may be situations where you need to partition information across separate Azure AD directories. En este caso, evite los problemas de la escritura diferida de las contraseñas y la sincronización asegurándose de que cada objeto del bosque local aparece en un único directorio de Azure AD.In this case, avoid synchronization and password write-back issues by ensuring that each object from the on-premises forest appears in only one Azure AD directory. Para implementar este escenario, configure servidores independientes de sincronización de Azure AD Connect y use el filtrado para que cada servidor de sincronización de Azure AD Connect funcione en un conjunto de objetos mutuamente excluyentes.To implement this scenario, configure separate Azure AD Connect sync servers for each Azure AD directory, and use filtering so that each Azure AD Connect sync server operates on a mutually exclusive set of objects.

Para obtener más información sobre estas topologías, vea topologías para Azure ad Connect.For more information about these topologies, see Topologies for Azure AD Connect.

Autenticación de usuariosUser authentication

De forma predeterminada, el servidor de sincronización de Azure AD Connect configura la sincronización de hash de contraseñas entre el dominio local y Azure AD, y el servicio de Azure AD da por supuesto que los usuarios se autentican proporcionando la misma contraseña que usan en local.By default, the Azure AD Connect sync server configures password hash synchronization between the on-premises domain and Azure AD, and the Azure AD service assumes that users authenticate by providing the same password that they use on-premises. Para muchas organizaciones, esto es apropiado, pero debe tener en cuenta las directivas existentes y la infraestructura de su organización.For many organizations, this is appropriate, but you should consider your organization's existing policies and infrastructure. Por ejemplo:For example:

  • La directiva de seguridad de una organización podría prohibir la sincronización de hash de contraseñas en la nube.The security policy of your organization may prohibit synchronizing password hashes to the cloud. En este caso, la organización debe tener en cuenta la autenticación de paso a través.In this case, your organization should consider pass-through authentication.
  • Podría requerir que los usuarios experimenten un inicio de sesión único (SSO) fluido al tener acceso a recursos en la nube desde máquinas unidas a un dominio en la red corporativa.You might require that users experience seamless single sign-on (SSO) when accessing cloud resources from domain-joined machines on the corporate network.
  • Es posible que su organización ya tenga implementado Servicios de federación de Active Directory (AD FS) (AD FS) o un proveedor de Federación de terceros.Your organization might already have Active Directory Federation Services (AD FS) or a third-party federation provider deployed. Puede configurar Azure AD para usar esta infraestructura e implementar la autenticación y SSO, en lugar de utilizar la información de contraseñas que se mantiene en la nube.You can configure Azure AD to use this infrastructure to implement authentication and SSO rather than by using password information held in the cloud.

Para obtener más información, consulte Azure ad Connect opciones de inicio de sesión de usuario.For more information, see Azure AD Connect User Sign-on options.

Proxy de aplicación de Azure ADAzure AD application proxy

Use Azure AD para permitir el acceso a aplicaciones locales.Use Azure AD to provide access to on-premises applications.

Exponga las aplicaciones web locales mediante los conectores de proxy de aplicación administrados por el componente de proxy de aplicación de Azure AD.Expose your on-premises web applications using application proxy connectors managed by the Azure AD application proxy component. El conector de proxy de aplicación abre una conexión de red de salida para el proxy de aplicación de Azure AD y las solicitudes de los usuarios remotos se enrutan desde Azure AD a través de esta conexión a las aplicaciones web.The application proxy connector opens an outbound network connection to the Azure AD application proxy, and remote users' requests are routed back from Azure AD through this connection to the web apps. Así se evita tener que abrir los puertos entrantes en el firewall local y se reduce la superficie expuesta a ataques de la organización.This removes the need to open inbound ports in the on-premises firewall and reduces the attack surface exposed by your organization.

Para obtener más información, consulte publicación de aplicaciones mediante Azure ad proxy de aplicación.For more information, see Publish applications using Azure AD Application proxy.

Sincronización de objetosObject synchronization

La configuración predeterminada de Azure AD Connect sincroniza los objetos del directorio local de Active Directory en función de las reglas especificadas en el artículo Sincronización de Azure AD Connect: Descripción de la configuraciónpredeterminada.Azure AD Connect's default configuration synchronizes objects from your local Active Directory directory based on the rules specified in the article Azure AD Connect sync: Understanding the default configuration. Los objetos que cumplen estas reglas se sincronizan mientras que se pasan por alto todos los demás.Objects that satisfy these rules are synchronized while all other objects are ignored. Algunas reglas de ejemplo:Some example rules:

  • Los objetos de usuario deben tener un único atributo sourceAnchor y el atributo accountEnabled debe estar relleno.User objects must have a unique sourceAnchor attribute and the accountEnabled attribute must be populated.
  • Los objetos de usuario deben tener un atributo sAMAccountName y no se puede iniciar con el texto Azure AD_ ni MSOL_ .User objects must have a sAMAccountName attribute and cannot start with the text Azure AD_ or MSOL_.

Azure AD Connect aplica varias reglas a los objetos User, Contact, Group, ForeignSecurityPrincipal y Computer.Azure AD Connect applies several rules to User, Contact, Group, ForeignSecurityPrincipal, and Computer objects. Utilice el Editor de reglas de sincronización instalado con Azure AD Connect, si tiene que modificar el conjunto predeterminado de reglas.Use the Synchronization Rules Editor installed with Azure AD Connect if you need to modify the default set of rules. Para más información, consulte Sincronización de Azure AD Connect: Descripción de la configuraciónpredeterminada).For more information, see Azure AD Connect sync: Understanding the default configuration).

También puede definir sus propios filtros para limitar los objetos que se van a sincronizar por dominio o unidad organizativa.You can also define your own filters to limit the objects to be synchronized by domain or OU. Como alternativa, puede implementar un filtrado personalizado más complejo como el que se describe en Sincronización de Azure AD Connect: Configureel filtrado.Alternatively, you can implement more complex custom filtering such as that described in Azure AD Connect sync: Configure Filtering.

SupervisiónMonitoring

La supervisión de estado se realiza mediante los siguientes agentes instalados de forma local:Health monitoring is performed by the following agents installed on-premises:

  • Azure AD Connect instala un agente que captura información acerca de las operaciones de sincronización.Azure AD Connect installs an agent that captures information about synchronization operations. Utilice la hoja Azure AD Connect Health en Azure Portal para supervisar su estado y rendimiento.Use the Azure AD Connect Health blade in the Azure portal to monitor its health and performance. Para obtener más información, consulte uso de Azure ad Connect Health para la sincronización.For more information, see Using Azure AD Connect Health for sync.
  • Para supervisar el estado de los dominios de AD DS y los directorios de Azure, instale el agente de Azure AD Connect Health para AD DS en una máquina, dentro del dominio local.To monitor the health of the AD DS domains and directories from Azure, install the Azure AD Connect Health for AD DS agent on a machine within the on-premises domain. Utilice la hoja de Azure Active Directory Connect Health en Azure Portal para la supervisión de estado.Use the Azure Active Directory Connect Health blade in the Azure portal for health monitoring. Para obtener más información, consulte uso de Azure ad Connect Health con AD DSFor more information, see Using Azure AD Connect Health with AD DS
  • Instale Azure AD Connect Health para el agente de AD FS a fin de supervisar el estado de los servicios que se ejecutan en local y use la hoja de Azure Active Directory Connect Health en Azure Portal para supervisar AD FS.Install the Azure AD Connect Health for AD FS agent to monitor the health of services running on on-premises, and use the Azure Active Directory Connect Health blade in the Azure portal to monitor AD FS. Para obtener más información, consulte uso de Azure ad Connect Health con AD FSFor more information, see Using Azure AD Connect Health with AD FS

Para obtener más información sobre la instalación de los agentes de mantenimiento de AD Connect y sus requisitos, consulte Azure ad Connect Health la instalación del agente.For more information on installing the AD Connect Health agents and their requirements, see Azure AD Connect Health Agent Installation.

Consideraciones sobre escalabilidadScalability considerations

El servicio de Azure AD permite la escalabilidad en función de las réplicas, con una única réplica principal que controla las operaciones de escritura y varias réplicas secundarias de solo lectura.The Azure AD service supports scalability based on replicas, with a single primary replica that handles write operations plus multiple read-only secondary replicas. Azure AD redirige de forma transparente los reintentos de escritura realizados en las réplicas secundarias a la réplica principal, y proporciona la coherencia final.Azure AD transparently redirects attempted writes made against secondary replicas to the primary replica and provides eventual consistency. Todos los cambios realizados en la réplica principal se propagan a las secundarias.All changes made to the primary replica are propagated to the secondary replicas. Esta arquitectura se escala bien porque la mayoría de las operaciones en Azure AD son lecturas en lugar de escrituras.This architecture scales well because most operations against Azure AD are reads rather than writes. Para más información, consulte Azure AD: Bajo el capó de nuestro directorioen la nube distribuido, de alta disponibilidad y con redundancia geográfica.For more information, see Azure AD: Under the hood of our geo-redundant, highly available, distributed cloud directory.

Para el servidor de sincronización de Azure AD Connect, determine la cantidad de objetos que es probable que se sincronicen desde su directorio local.For the Azure AD Connect sync server, determine how many objects you are likely to synchronize from your local directory. Si tiene menos de 100.000 objetos, puede usar el software LocalDB de SQL Server Express predeterminado proporcionado con Azure AD Connect.If you have less than 100,000 objects, you can use the default SQL Server Express LocalDB software provided with Azure AD Connect. Si tiene un mayor número de objetos, debe instalar una versión de producción de SQL Server y realizar una instalación personalizada de Azure AD Connect, especificando que debería usar una instancia existente de SQL Server.If you have a larger number of objects, you should install a production version of SQL Server and perform a custom installation of Azure AD Connect, specifying that it should use an existing instance of SQL Server.

Consideraciones sobre disponibilidadAvailability considerations

El servicio de Azure AD se distribuye geográficamente y se ejecuta en varios centros de bits distribuidos por todo el mundo con conmutación por error automatizada.The Azure AD service is geo-distributed and runs in multiple datacenters spread around the world with automated failover. Si un centro de datos deja de estar disponible, Azure AD garantiza que los datos del directorio están disponibles para el acceso a la instancia en al menos dos centros de datos más dispersos por regiones.If a datacenter becomes unavailable, Azure AD ensures that your directory data is available for instance access in at least two more regionally dispersed datacenters.

Nota

El Acuerdo de Nivel de Servicio (SLA) para los servicios de Azure AD Basic y Premium garantiza al menos un 99,9 % de disponibilidad.The service level agreement (SLA) for Azure AD Basic and Premium services guarantees at least 99.9% availability. No hay ningún SLA para el nivel gratuito de Azure AD.There is no SLA for the Free tier of Azure AD. Para obtener más información, consulte acuerdo de nivel de servicio para Azure Active Directory.For more information, see SLA for Azure Active Directory.

Considere la posibilidad de aprovisionar una segunda instancia del servidor de sincronización de Azure AD Connect en modo provisional para aumentar la disponibilidad, como se describe en la sección de recomendaciones de topología.Consider provisioning a second instance of Azure AD Connect sync server in staging mode to increase availability, as discussed in the topology recommendations section.

Si no utiliza la instancia de LocalDB de SQL Server Express que viene con Azure AD Connect, considere el uso de clústeres SQL para lograr una alta disponibilidad.If you are not using the SQL Server Express LocalDB instance that comes with Azure AD Connect, consider using SQL clustering to achieve high availability. En Azure AD Connect, no se admiten soluciones como la creación de reflejo y Always On.Solutions such as mirroring and Always On are not supported by Azure AD Connect.

Para consideraciones adicionales acerca de cómo lograr la alta disponibilidad del servidor de sincronización de Azure AD Connect y también de cómo recuperarse después de un error, consulte Sincronización de Azure AD Connect: Tareas y consideraciones operativas: recuperaciónante desastres.For additional considerations about achieving high availability of the Azure AD Connect sync server and also how to recover after a failure, see Azure AD Connect sync: Operational tasks and considerations - Disaster Recovery.

Consideraciones sobre la manejabilidadManageability considerations

Hay dos aspectos importantes para la administración de Azure AD:There are two aspects to managing Azure AD:

  • La administración de Azure AD en la nube.Administering Azure AD in the cloud.
  • El mantenimiento de los servidores de sincronización de Azure AD Connect.Maintaining the Azure AD Connect sync servers.

Azure AD proporciona las siguientes opciones para la administración de dominios y directorios en la nube:Azure AD provides the following options for managing domains and directories in the cloud:

  • Módulo PowerShell de Azure Active Directory.Azure Active Directory PowerShell Module. Use este módulo si necesita crear scripts para tareas administrativas de Azure ad comunes como la administración de usuarios, la administración de dominios y la configuración del inicio de sesión único.Use this module if you need to script common Azure AD administrative tasks such as user management, domain management, and configuring single sign-on.
  • Hoja de administración de Azure AD en Azure Portal.Azure AD management blade in the Azure portal. Esta hoja proporciona una vista de administración interactiva del directorio y le permite controlar y configurar la mayoría de los aspectos de Azure AD.This blade provides an interactive management view of the directory, and enables you to control and configure most aspects of Azure AD.

Azure AD Connect instala las siguientes herramientas para mantener los servicios de sincronización de Azure AD Connect de las máquinas locales:Azure AD Connect installs the following tools to maintain Azure AD Connect sync services from your on-premises machines:

  • Consola de Microsoft Azure Active Directory Connect.Microsoft Azure Active Directory Connect console. Esta herramienta permite modificar la configuración del servidor de sincronización de Azure AD, personalizar el modo en que se produce la sincronización, habilitar o deshabilitar el modo de almacenamiento provisional y cambiar el modo de inicio de sesión del usuario.This tool enables you to modify the configuration of the Azure AD Sync server, customize how synchronization occurs, enable or disable staging mode, and switch the user sign-in mode. Puede habilitar el inicio de sesión de Active Directory FS mediante la infraestructura local.You can enable Active Directory FS sign-in using your on-premises infrastructure.
  • Synchronization Service Manager.Synchronization Service Manager. Use la pestaña Operaciones de esta herramienta para administrar el proceso de sincronización y detectar si alguna parte del proceso ha dado error.Use the Operations tab in this tool to manage the synchronization process and detect whether any parts of the process have failed. Puede desencadenar las sincronizaciones manualmente mediante esta herramienta.You can trigger synchronizations manually using this tool. La pestaña Conectores le permite controlar las conexiones para los dominios a los que se asocia el motor de sincronización.The Connectors tab enables you to control the connections for the domains that the synchronization engine is attached to.
  • Editor de reglas de sincronización.Synchronization Rules Editor. Utilice esta herramienta para personalizar la forma en que se transforman los objetos cuando se copian entre un directorio local y Azure AD.Use this tool to customize the way objects are transformed when they are copied between an on-premises directory and Azure AD. Le permite especificar atributos y objetos adicionales para la sincronización y, a continuación, ejecutar los filtros para determinar qué objetos deben o no sincronizarse.This tool enables you to specify additional attributes and objects for synchronization, then executes filters to determine which objects should or should not be synchronized. Para más información, consulte la sección Editor de reglas de sincronización del documento Sincronización de Azure AD Connect: Descripción de la configuraciónpredeterminada.For more information, see the Synchronization Rule Editor section in the document Azure AD Connect sync: Understanding the default configuration.

Para más información y sugerencias para la administración de Azure AD Connect, consulte Sincronización de Azure AD Connect: Prácticas recomendadas para cambiar la configuraciónpredeterminada.For more information and tips for managing Azure AD Connect, see Azure AD Connect sync: Best practices for changing the default configuration.

Consideraciones sobre la seguridadSecurity considerations

Use el control de acceso condicional para denegar las solicitudes de autenticación de orígenes inesperados:Use conditional access control to deny authentication requests from unexpected sources:

  • Active Azure multi-factor Authentication (MFA) si un usuario intenta conectarse desde una ubicación que no es de confianza, por ejemplo, a través de Internet en lugar de una red de confianza.Trigger Azure Multi-Factor Authentication (MFA) if a user attempts to connect from a nontrusted location such as across the Internet instead of a trusted network.

  • Utilice el tipo de plataforma de dispositivo del usuario (iOS, Android, Windows Mobile, Windows) para determinar la directiva de acceso a las aplicaciones y las características.Use the device platform type of the user (iOS, Android, Windows Mobile, Windows) to determine access policy to applications and features.

  • Registre el estado habilitado o deshabilitado de los dispositivos de los usuarios e incorpore dicha información en las comprobaciones de la directiva de acceso.Record the enabled/disabled state of users' devices, and incorporate this information into the access policy checks. Por ejemplo, si la pérdida o el robo del teléfono de un usuario se debe registrar como deshabilitado para evitar que se use para obtener acceso.For example, if a user's phone is lost or stolen it should be recorded as disabled to prevent it from being used to gain access.

  • Controle el acceso de los usuarios a los recursos según la pertenencia al grupo.Control user access to resources based on group membership. Use Azure ad reglas de pertenencia dinámica para simplificar la administración de grupos.Use Azure AD dynamic membership rules to simplify group administration. Para obtener una breve descripción de cómo funciona, vea Introducción a la pertenencia dinámica a grupos.For a brief overview of how this works, see Introduction to Dynamic Memberships for Groups.

  • Use directivas de riesgo del acceso condicional con Azure AD Identity Protection, a fin de proporcionar protección avanzada en función de actividades de inicio de sesión inusuales u otros eventos.Use conditional access risk policies with Azure AD Identity Protection to provide advanced protection based on unusual sign-in activities or other events.

Para obtener más información, vea Azure Active Directory el acceso condicional.For more information, see Azure Active Directory conditional access.

Implementación de la soluciónDeploy the solution

En GitHub, se puede encontrar una implementación de una arquitectura de referencia que implementa estas recomendaciones y consideraciones.A deployment for a reference architecture that implements these recommendations and considerations is available on GitHub. Esta arquitectura de referencia implementa una red local simulada en Azure que puede usar para realizar pruebas y experimentar.This reference architecture deploys a simulated on-premises network in Azure that you can use to test and experiment. La arquitectura de referencia se puede implementar con máquinas virtuales Windows o Linux siguiendo estas instrucciones:The reference architecture can be deployed with either with Windows or Linux VMs by following the directions below:

  1. Haga clic en el vínculo siguiente para implementar la solución.Click the link below to deploy the solution.

    Implementación en AzureDeploy to Azure

  2. Una vez abierto el vínculo en Azure Portal, debe especificar los valores de algunas de las opciones:Once the link has opened in the Azure portal, you must enter values for some of the settings:

    • El nombre del Grupo de recursos ya está definido en el archivo de parámetros, así que seleccione Crear nuevo y escriba ra-aad-onpremise-rg en el cuadro de texto.The Resource group name is already defined in the parameter file, so select Create New and enter ra-aad-onpremise-rg in the text box.
    • Seleccione la región en el cuadro desplegable Ubicación .Select the region from the Location drop-down box.
    • No modifique los cuadros de texto URI raíz de plantilla o URI raíz de parámetro.Do not edit the Template Root Uri or the Parameter Root Uri text boxes.
    • Seleccione Windows o Linux en el sistema operativo, escriba el cuadro desplegable.Select windows or linux in the Os Type the drop-down box.
    • Revise los términos y condiciones, y haga clic en la casilla Acepto los términos y condiciones indicados anteriormente.Review the terms and conditions, then click the I agree to the terms and conditions stated above checkbox.
    • Haga clic en el botón Comprar.Click the Purchase button.
  3. Espere a que la implementación se complete.Wait for the deployment to complete.

  4. Los archivos de parámetros incluyen nombres de usuario y contraseñas de administrador codificados de forma rígida, y debe cambiar inmediatamente ambos en todas las máquinas virtuales.The parameter files include hard-coded administrator user names and passwords, and you should immediately change both on all the VMs. Haga clic en cada máquina virtual en el Azure Portal haga clic en Restablecer contraseña en la hoja soporte técnico y solución de problemas .Click each VM in the Azure portal then click on Reset password in the Support + troubleshooting blade. Seleccione Restablecer contraseña en el cuadro desplegable Modo, seleccione un nuevo valor de Nombre de usuario y de Contraseña.Select Reset password in the Mode drop down box, then select a new User name and Password. Haga clic en el botón Actualizar para conservar el nuevo nombre de usuario y contraseña.Click the Update button to persist the new user name and password.