Organización de grupos de administración y suscripcionesManagement group and subscription organization

Diagrama que muestra la jerarquía de los grupos de administración.

Figura 1: Jerarquía de los grupos de administración.Figure 1: Management group hierarchy.

Definición de una jerarquía de grupos de administraciónDefine a management group hierarchy

Las estructuras de grupo de administración dentro de un inquilino de Azure Active Directory (Azure AD) son compatibles con la asignación organizativa y deben examinarse a fondo cuando una organización planea adoptar Azure a escala.Management group structures within an Azure Active Directory (Azure AD) tenant support organizational mapping and must be considered thoroughly when an organization plans Azure adoption at scale.

Consideraciones de diseño:Design considerations:

  • Los grupos de administración se pueden usar para agregar asignaciones de directivas e iniciativas a través de Azure Policy.Management groups can be used to aggregate policy and initiative assignments via Azure Policy.
  • Un árbol de grupo de administración puede admitir hasta seis niveles de profundidad.A management group tree can support up to six levels of depth. Este límite no incluye el nivel raíz o de suscripción.This limit doesn't include the tenant root level or the subscription level.
  • Cualquier entidad de seguridad (usuario, entidad de servicio) de un inquilino de Azure AD puede crear nuevos grupos de administración, ya que la autorización del control de acceso basado en rol de Azure (RBAC de Azure) para las operaciones del grupo de administración no está habilitada de forma predeterminada.Any principal (user, service principal) within an Azure AD tenant can create new management groups as Azure role-based access control (Azure RBAC) authorization for management group operations is not enabled by default.
  • De forma predeterminada, todas las suscripciones nuevas se colocarán en el grupo de administración raíz.All new subscription will be placed under the root management group by default.

Recomendaciones de diseño:Design recommendations:

  • Mantenga la jerarquía de los grupos de administración lo más horizontal posible; idealmente, con no más de tres o cuatro niveles.Keep the management group hierarchy reasonably flat with no more than three to four levels, ideally. Esta restricción reduce la sobrecarga y la complejidad de la administración.This restriction reduces management overhead and complexity.
  • Evite duplicar la estructura organizativa en una jerarquía de grupos de administración anidados el uno en el otro.Avoid duplicating your organizational structure into a deeply nested management group hierarchy. Los grupos de administración deben usarse para la asignación de directivas, en lugar de la facturación.Management groups should be used for policy assignment versus billing purposes. Este enfoque requiere el uso de grupos de administración para su fin previsto en la arquitectura de escala empresarial, que es proporcionar directivas de Azure para las cargas de trabajo que precisan el mismo tipo de seguridad y cumplimiento en el mismo nivel de grupo de administración.This approach necessitates using management groups for their intended purpose in enterprise-scale architecture, which is providing Azure policies for workloads that require the same type of security and compliance under the same management group level.
  • Cree grupos de administración en el grupo de administración de nivel raíz para representar los tipos de cargas de trabajo (arquetipos) que hospedará y en otros función de sus requisitos de seguridad, cumplimiento, conectividad y características.Create management groups under your root-level management group to represent the types of workloads (archetype) that you'll host and ones based on their security, compliance, connectivity, and feature needs. Esta estructura de agrupación le permite disponer de un conjunto de directivas de Azure aplicadas en el nivel de grupo de administración para todas las cargas de trabajo que requieran la misma configuración de seguridad, cumplimiento, conectividad y características.This grouping structure allows you to have a set of Azure policies applied at the management group level for all workloads that require the same security, compliance, connectivity, and feature settings.
  • Use etiquetas de recursos, que se pueden aplicar o anexar a través de Azure Policy, para consultar y explorar de forma horizontal la jerarquía de grupos de administración.Use resource tags, which can be enforced or appended through Azure Policy, to query and horizontally navigate across the management group hierarchy. Luego, puede agrupar los recursos según sus requisitos de búsqueda sin necesidad de usar una jerarquía de grupos de administración compleja.Then you can group resources for search needs without having to use a complex management group hierarchy.
  • Cree un grupo de administración de espacio aislado general para que los usuarios puedan experimentar inmediatamente con Azure.Create a top-level sandbox management group to allow users to immediately experiment with Azure. Los usuarios pueden experimentar después con recursos que quizás aún no se han permitido en entornos de producción.Users can then experiment with resources that might not yet be allowed in production environments. El espacio aislado proporciona aislamiento de los entornos de desarrollo, prueba y producción.The sandbox provides isolation from your development, test, and production environments.
  • Use un nombre de entidad de seguridad de servicio (SPN) dedicado para ejecutar operaciones de administración de grupos de administración, operaciones de administración de suscripciones y asignaciones de roles.Use a dedicated service principal name (SPN) to execute management group management operations, subscription management operations, and role assignment. El uso de una SPN reduce el número de usuarios que tienen derechos elevados y sigue las instrucciones con privilegios mínimos.Using an SPN reduces the number of users who have elevated rights and follows least-privilege guidelines.
  • Asigne el rol User Access Administrator de Azure en el ámbito del grupo de administración raíz (/) para conceder al SPN mencionado anteriormente acceso en el nivel raíz.Assign the User Access Administrator Azure role at the root management group scope (/) to grant the SPN just mentioned access at the root level. Una vez concedidos los permisos al SPN, el rol User Access Administrator se puede quitar de forma segura.After the SPN is granted permissions, the User Access Administrator role can be safely removed. De esta manera, solo el SPN forma parte del rol User Access Administrator.In this way, only the SPN is part of the User Access Administrator role.
  • Asigne el permiso Contributor al SPN mencionado anteriormente en el ámbito del grupo de administración raíz (/), que permite las operaciones de nivel de inquilino.Assign Contributor permission to the SPN previously mentioned at the root management group scope (/), which allows tenant-level operations. Este nivel de permisos permite usar el SPN para implementar y administrar los recursos en cualquier suscripción de una organización.This permission level ensures that the SPN can be used to deploy and manage resources to any subscription within your organization.
  • Cree el grupo de administración Platform en el grupo de administración raíz para admitir la directiva de plataforma común y la asignación de roles de Azure.Create a Platform management group under the root management group to support common platform policy and Azure role assignment. Esta estructura de agrupación permite aplicar distintas directivas a las suscripciones utilizadas para la base de Azure.This grouping structure ensures that different policies can be applied to the subscriptions used for your Azure foundation. También centraliza la facturación de los recursos comunes en un conjunto de suscripciones fundamentales.It also ensures that the billing for common resources is centralized in one set of foundational subscriptions.
  • Limite el número de asignaciones de Azure Policy realizadas en el ámbito del grupo de administración raíz (/).Limit the number of Azure Policy assignments made at the root management group scope (/). Esta limitación reduce a un mínimo la depuración de directivas heredadas en grupos de administración de nivel inferior.This limitation minimizes debugging inherited policies in lower-level management groups.
  • Use las directivas disponibles para las zonas de aterrizaje a escala empresarial para aplicar los requisitos de cumplimiento en el ámbito del grupo de administración o la suscripción.Use the policies available for enterprise-scale landing zones to enforce compliance requirements either at management group or subscription scope. Consulte las instrucciones de la sección sobre el Gobernanza controlada mediante directivas para obtener más información sobre los requisitos de gobernanza que se pueden detallar.Refer to guidance in the policy-driven governance section to learn more about the governance requirements that can be addressed.
  • Asegúrese de que solo los usuarios con privilegios puedan trabajar con grupos de administración en el inquilino habilitando la autorización mediante el control de acceso basado en roles de Azure en la configuración de jerarquía del grupo de administración (de forma predeterminada, todos los usuarios tienen autorización para crear sus propios grupos de administración en el grupo de administración raíz).Ensure that only privileged users can operate management groups in the tenant by enabling Azure RBAC authorization in the management group hierarchy settings (by default, all users are authorized to create their own Management Groups under the root management group).
  • Configure un grupo de administración predeterminado y dedicado para nuevas suscripciones para asegurarse de que no haya ninguna suscripción en el grupo de administración raíz.Configure a default, dedicated management group for new subscriptions to ensure no subscriptions are placed under the root management group. Esto es especialmente importante si hay usuarios aptos para beneficiarse de las ventajas y suscripciones de MSDN o Visual Studio.This is especially important if there are users eligible for MSDN or Visual Studio benefits and subscriptions. Un buen candidato para este grupo de administración es un grupo de administración de Sandbox.A good candidate for such management group is a Sandbox management group.

Organización y gobernanza de las suscripcionesSubscription organization and governance

Las suscripciones son una unidad de administración, facturación y escalado en Azure.Subscriptions are a unit of management, billing, and scale within Azure. Desempeñan un papel fundamental cuando se lleva a cabo el diseño para la adopción de Azure a gran escala.They play a critical role when you're designing for large-scale Azure adoption. Esta sección le ayuda a comprender los requisitos de suscripción y a diseñar suscripciones de destino basadas en factores críticos.This section helps you capture subscription requirements and design target subscriptions based on critical factors. Estos factores son el tipo de entorno, la propiedad y el modelo de gobierno, la estructura de la organización y las carteras de aplicaciones.These factors are environment type, ownership and governance model, organizational structure, and application portfolios.

Consideraciones de diseño:Design considerations:

  • Las suscripciones funcionan como límites para la asignación de directivas de Azure.Subscriptions serve as boundaries for assigning Azure policies. Por ejemplo, las cargas de trabajo seguras, como las cargas de trabajo de la industria de tarjetas de pago (PCI), suelen requerir directivas adicionales para lograr el cumplimiento.For example, secure workloads such as Payment Card Industry (PCI) workloads typically require additional policies to achieve compliance. En lugar de usar un grupo de administración para agrupar las cargas de trabajo que requieren el cumplimiento del PCI, puede obtener el mismo aislamiento con una suscripción.Instead of using a management group to group workloads that require PCI compliance, you can achieve the same isolation with a subscription. De esta forma, no necesita tener demasiados grupos de administración con pocas suscripciones.This way, you don't have too many management groups with a small number of subscriptions.
  • Las suscripciones funcionan como una unidad de escalado para que las cargas de trabajo de componentes puedan escalarse dentro de los límites de suscripción de la plataforma.Subscriptions serve as a scale unit so that component workloads can scale within the platform subscription limits. Asegúrese de tener en cuenta los límites de recursos de la suscripción durante las sesiones de diseño de la carga de trabajo.Make sure to consider subscription resource limits during your workload design sessions.
  • Las suscripciones proporcionan un límite de administración para la gobernanza y el aislamiento, lo que crea una separación clara de los intereses.Subscriptions provide a management boundary for governance and isolation, which creates a clear separation of concerns.
  • Hay un proceso manual, la automatización futura planeada, que se puede llevar a cabo para limitar un inquilino de Azure AD para que use solo las suscripciones inscritas en un Contrato Enterprise.There's a manual process, planned future automation, that can be conducted to limit an Azure AD tenant to use only Enterprise Agreement enrollment subscriptions. Este proceso evita la creación de suscripciones de Microsoft Developer Network en el ámbito del grupo de administración raíz.This process prevents creation of Microsoft Developer Network subscriptions at the root management group scope.

Recomendaciones de diseño:Design recommendations:

  • Trate las suscripciones como una unidad democratizada de administración en consonancia con las necesidades y prioridades de la empresa.Treat subscriptions as a democratized unit of management aligned with business needs and priorities.
  • Informe a los propietarios de la suscripción de sus roles y responsabilidades:Make subscription owners aware of their roles and responsibilities:
    • Realice una revisión de acceso en Azure AD Privileged Identity Management cada trimestre o dos veces al año para asegurarse de que los privilegios no se propaguen a medida que los usuarios se mueven dentro de la organización del cliente.Perform an access review in Azure AD Privileged Identity Management quarterly or twice a year to ensure that privileges don't proliferate as users move within the customer organization.
    • Hágase cargo por completo de los gastos presupuestarios y del uso de recursos.Take full ownership of budget spending and resource utilization.
    • Garantice el cumplimiento de la directiva y las correcciones, cuando sean necesarias.Ensure policy compliance and remediate when necessary.
  • Use los siguientes principios durante la identificación de requisitos para nuevas suscripciones:Use the following principles when identifying requirements for new subscriptions:
    • Límites de escalado: Las suscripciones funcionan como una unidad de escalado para que las cargas de trabajo de componentes se escalen dentro de los límites de suscripción de la plataforma.Scale limits: Subscriptions serve as a scale unit for component workloads to scale within platform subscription limits. Por ejemplo, con las cargas de trabajo especializadas de gran tamaño (como la informática de alto rendimiento, IoT y SAP), resulta más adecuado usar suscripciones independientes para evitar las limitaciones (como el límite de 50 integraciones de Azure Data Factory).For example, large, specialized workloads such as high-performance computing, IoT, and SAP are all better suited to use separate subscriptions to avoid limits (such as a limit of 50 Azure Data Factory integrations).
    • Límite de administración: Las suscripciones proporcionan un límite de administración para la gobernanza y el aislamiento, lo que permite separar claramente los intereses.Management boundary: Subscriptions provide a management boundary for governance and isolation, which allows for a clear separation of concerns. Por ejemplo, los distintos entornos, como los de desarrollo, prueba y producción, suelen estar aislados desde una perspectiva administrativa.For example, different environments such as development, test, and production are often isolated from a management perspective.
    • Límite de la directiva: Las suscripciones funcionan como límite para la asignación de directivas de Azure.Policy boundary: Subscriptions serve as a boundary for the assignment of Azure policies. Por ejemplo, las cargas de trabajo seguras, como las del sector de las tarjetas de pago (PCI), suelen requerir directivas adicionales para lograr el cumplimiento.For example, secure workloads such as PCI typically require additional policies to achieve compliance. No es necesario que esta sobrecarga adicional se considere holísticamente si se usa una suscripción independiente.This additional overhead doesn't need to be considered holistically if a separate subscription is used. Del mismo modo, los entornos de desarrollo pueden tener requisitos de directiva más flexibles en relación con los entornos de producción.Similarly, development environments might have more relaxed policy requirements relative to production environments.
    • Topología de la red de destino: Las redes virtuales no se pueden compartir entre suscripciones, pero pueden conectarse con distintas tecnologías, como el emparejamiento de redes virtuales o Azure ExpressRoute.Target network topology: Virtual networks can't be shared across subscriptions, but they can connect with different technologies such as virtual network peering or Azure ExpressRoute. Tenga en cuenta qué cargas de trabajo deben comunicarse entre sí cuando decida si se requiere una nueva suscripción.Consider which workloads must communicate with each other when you decide whether a new subscription is required.
  • Agrupe las suscripciones en grupos de administración en consonancia con la estructura del grupo de administración y los requisitos de directiva a escala.Group subscriptions together under management groups aligned within the management group structure and policy requirements at scale. La agrupación permite que las suscripciones con el mismo conjunto de directivas y asignaciones de roles de Azure puedan heredarlas de un grupo de administración, lo que evitará las asignaciones duplicadas.Grouping ensures that subscriptions with the same set of policies and Azure role assignments can inherit them from a management group, which avoids duplicate assignments.
  • Configure una suscripción de administración dedicada en el grupo de administración Platform para admitir funcionalidades de administración globales como las áreas de trabajo de Azure Monitor Log Analytics y los runbooks de Azure Automation.Establish a dedicated management subscription in the Platform management group to support global management capabilities such as Azure Monitor Log Analytics workspaces and Azure Automation runbooks.
  • Configure una suscripción de identidad dedicada en el grupo de administración Platform para hospedar los controladores de dominio de Windows Server Active Directory, cuando sea necesario.Establish a dedicated identity subscription in the Platform management group to host Windows Server Active Directory domain controllers, when necessary.
  • Establezca una suscripción de conectividad dedicada en el grupo de administración Platform para hospedar un centro de conectividad de Azure Virtual WAN, un sistema de nombres de dominio (DNS) privado, un circuito ExpressRoute y otros recursos de red.Establish a dedicated connectivity subscription in the Platform management group to host an Azure Virtual WAN hub, private Domain Name System (DNS), ExpressRoute circuit, and other networking resources. Una suscripción dedicada garantiza que todos los recursos de la red de base se facturen juntos y se aíslen de otras cargas de trabajo.A dedicated subscription ensures that all foundation network resources are billed together and isolated from other workloads.
  • Evite un modelo de suscripción rígida y, en su lugar, opte por un conjunto de criterios flexibles para agrupar las suscripciones en toda la organización.Avoid a rigid subscription model, and opt instead for a set of flexible criteria to group subscriptions across the organization. Esta flexibilidad garantiza que, a medida que la estructura de la organización y la composición de la carga de trabajo cambien, pueda crear nuevos grupos de suscripciones en lugar de usar un conjunto fijo de las suscripciones existentes.This flexibility ensures that as your organization's structure and workload composition changes, you can create new subscription groups instead of using a fixed set of existing subscriptions. Un tamaño no se ajusta a todas las suscripciones.One size doesn't fit all for subscriptions. Lo que funciona para una unidad de negocio podría no funcionar para otra.What works for one business unit might not work for another. Algunas aplicaciones pueden coexistir en la misma suscripción de zona de aterrizaje, mientras que otras pueden requerir su propia suscripción.Some applications might coexist within the same landing zone subscription while others might require their own subscription.

Configuración de la capacidad y la cuota de suscripciónConfigure subscription quota and capacity

Cada región de Azure contiene un número finito de recursos.Each Azure region contains a finite number of resources. A la hora de considerar una adopción de Azure a escala empresarial que implique grandes cantidades de recursos, asegúrese de que haya suficiente capacidad y SKU disponibles, y de que la capacidad obtenida se pueda conocer y supervisar.When you consider an enterprise-scale Azure adoption that involves large resource quantities, ensure that sufficient capacity and SKUs are available and the attained capacity can be understood and monitored.

Consideraciones de diseño:Design considerations:

  • Tenga en cuenta los límites y las cuotas de la plataforma de Azure para cada uno de los servicios que requieran las cargas de trabajo.Consider limits and quotas within the Azure platform for each service that your workloads require.
  • Tenga en cuenta la disponibilidad de las SKU necesarias dentro de las regiones de Azure seleccionadas.Consider the availability of required SKUs within chosen Azure regions. Por ejemplo, las características nuevas podrían estar disponibles solo en determinadas regiones.For example, new features might be available only in certain regions. La disponibilidad de ciertas SKU para recursos concretos, como las máquinas virtuales, puede cambiar de una región a otra.The availability of certain SKUs for given resources such as VMs might be different from one region to another.
  • Tenga en cuenta que las cuotas de suscripción no son garantías de capacidad y se aplican en cada región.Consider that subscription quotas aren't capacity guarantees and are applied on a per-region basis.

Recomendaciones de diseño:Design recommendations:

  • Use las suscripciones como unidades de escalado y escale horizontalmente los recursos y las suscripciones según sea necesario.Use subscriptions as scale units, and scale out resources and subscriptions as required. La carga de trabajo puede usar los recursos necesarios para el escalado horizontal, cuando sea necesario, sin alcanzar los límites de suscripción en la plataforma Azure.Your workload can then use the required resources for scaling out, when needed, without hitting subscription limits in the Azure platform.
  • Use las instancias reservadas para clasificar la capacidad reservada en las regiones necesarias.Use reserved instances to prioritize reserved capacity in required regions. La carga de trabajo tendrá la capacidad necesaria, aunque haya una alta demanda de ese recurso en una región específica.Then your workload will have the required capacity even when there's a high demand for that resource in a specific region.
  • Establezca un panel con vistas personalizadas para supervisar los niveles de capacidad usados.Establish a dashboard with custom views to monitor used capacity levels. Configure alertas si el uso de la capacidad está alcanzando niveles críticos (por ejemplo, un 90 % de uso de la CPU).Set up alerts if capacity utilization is reaching critical levels (for example, 90 percent CPU utilization).
  • Genere solicitudes de soporte técnico para aumentar la cuota como parte del aprovisionamiento de suscripciones (por ejemplo, el total de núcleos de máquina virtual disponibles en una suscripción).Raise support requests for quota increase as a part of subscription provisioning (for example, total available VM cores within a subscription). Con este enfoque, los límites de cuota se configuran antes de que las cargas de trabajo requieran superar los límites predeterminados.This approach ensures your quota limits are set before your workloads require going over the default limits.
  • Asegúrese de que los servicios y las características necesarios están disponibles en las regiones de implementación seleccionadas.Ensure required services and features are available within the chosen deployment regions.

Establecimiento de la administración de costosEstablish cost management

La transparencia de costos en el inmueble técnico es un desafío de administración crítico al que se enfrentan todas las organizaciones empresariales de gran tamaño.Cost transparency across a technical estate is a critical management challenge faced by every large enterprise organization. En esta sección se exploran los aspectos clave de la transparencia de los costos en los entornos de gran tamaño de Azure.This section explores key aspects associated with how cost transparency can be achieved across large Azure environments.

Consideraciones de diseño:Design considerations:

  • Es posible que se necesiten modelos de contracargo en las ubicaciones relacionadas con recursos compartidos de plataforma como servicio (PaaS), como Azure App Service Environment y Azure Kubernetes Service, que pueden requerir compartirse para lograr una mayor densidad.Potential need for chargeback models where shared platform as a service (PaaS) resources are concerned, such as Azure App Service Environment and Azure Kubernetes Service, which might need to be shared to achieve higher density.
  • Use una programación de apagado para las cargas de trabajo que no sean de producción, a fin de optimizar los costos.Use a shutdown schedule for nonproduction workloads to optimize costs.
  • Use Azure Advisor para comprobar las recomendaciones de optimización de costos.Use Azure Advisor to check cost optimization recommendations.

Recomendaciones de diseño:Design recommendations:

  • Use Azure Cost Management + Billing para ver los costos agregados.Use Azure Cost Management + Billing for cost aggregation. Ponga esta información a disposición de los propietarios de la aplicación.Make it available to application owners.
  • Use las etiquetas de recursos de Azure para categorizar los costos y agrupar los recursos.Use Azure resource tags for cost categorization and resource grouping. El uso de etiquetas le permite disponer de un mecanismo de contracargo para las cargas de trabajo que comparten una suscripción, o bien para una carga de trabajo determinada que abarque varias suscripciones.Using tags allows you to have a chargeback mechanism for workloads that share a subscription or for a given workload that spans across multiple subscriptions.

Gobernanza controlada mediante directivasPolicy-driven Governance

Las directivas de Azure a escala empresarial se pueden usar para aplicar los siguientes requisitos de gobernanza.Enterprise-scale Azure policies can be used to enforce following governance requirements.

  • Impedir servicios basados en IP públicasPrevent Public IP-based services

    La mayoría de los servicios de Plataforma como servicio (PaaS) de Azure se crean con una dirección IP pública asignada.Most of the Azure Platform-as-a-service (PaaS) services are created with a public IP address assigned to them. Esta opción es adecuada para los desarrolladores que quieren empezar a trabajar rápidamente con estos servicios.This option is good for developers who want to quickly get started with these services. El punto de conexión público acelera la curva de aprendizaje y es ideal para desarrollar proyectos piloto e implementaciones de prueba de concepto (PoC) a pequeña escala.Public endpoint accelerates learning curve and is ideal when developing pilots and small-scale Proof Of Concept (PoC) implementations.

    Sin embargo, cuando estos proyectos piloto o elementos PoC hacen la transición a aplicaciones empresariales listas para la producción, a veces se pasa por alto el uso que hacen de direcciones IP públicas.However, when these pilots/PoCs make transition to production-ready enterprise applications, their use of public IP addresses is sometimes overlooked.

    Las cargas de trabajo de producción que usan direcciones IP públicas sin las medidas de seguridad adecuadas pueden aumentar los riesgos de seguridad.Production workloads using public IPs without proper security measures in place can increase security risks. Así pues, los actores malintencionados pueden usar la dirección IP pública como puerta de enlace para iniciar un ataque.Malicious actors can potentially use public IP as a gateway to launch an attack. Muchas directivas de cumplimiento de empresa no permiten el uso de una dirección IP pública solo para evitar la exposición a estos riesgos de seguridad.Many enterprise compliance policies do not allow use of public IP just to avoid exposure to such security risks.

    Es más, existe una directiva personalizada para denegar la creación de una dirección IP pública, lo que impide que esta se cree en un ámbito de destino de la directiva.There's a custom policy on denying creation of public IP address, which prevents public IP getting created in a scope targeted by policy. Las empresas pueden evitar fácilmente que se creen máquinas virtuales (VM) con direcciones IP públicas mediante esta directiva.Enterprises can easily prevent Virtual Machines (VMs) getting created with public IP using this policy.

    Del mismo modo, existe una iniciativa de directiva o elemento PolicySet personalizado, que en primer lugar ayuda a las empresas a evitar que los servicios de Azure se creen con una dirección IP pública.Similarly there's a custom Policy Initiative / PolicySet, which helps enterprises prevent Azure services getting created with a public IP address in the first place.

  • Exigir la recopilación de información de auditoría y registroEnforce audit and log information collection

    La falta de información de auditorías y diagnósticos en el nivel granular puede afectar a las prácticas operativas.Lack of auditing and diagnostics information at granular level can affect operational practices. La información de auditoría incompleta dificulta la correlación de los registros de varios servicios de Azure y crea una experiencia de depuración coherente.Incomplete audit information makes it difficult to correlate logs from multiple Azure services and create a coherent debugging experience.

    Una vez que se aprovisionan los servicios de Azure, estos deben proporcionar información detallada sobre la plataforma de Azure con la que interactúan.Once Azure services are provisioned, they should provide detailed information about Azure platform they interact with. Tal información se puede dividir ampliamente en registros y métricas.Such information can be broadly divided into logs and metrics. Cada servicio de Azure se puede clasificar aún más en sus subcomponentes; por ejemplo, un recurso de IP pública de Azure tiene DDoSProtectionNotifications, DDoSMitigationReports y DDoSMitigationFlowLogs como subcomponentes.Each Azure service can be further categorized into its sub-components (e.g. An Azure Public IP resource has DDoSProtectionNotifications, DDoSMitigationReports, and DDoSMitigationFlowLogs as its sub-components. Asimismo, la recopilación de información de diagnóstico en estas subcategorías puede mejorar considerablemente la experiencia de auditoría y depuración.Collecting diagnostic information at these sub-categories can greatly enhance auditing and debugging experience.

    Tiene disponible una iniciativa de directivas personalizadas para aplicar registros y recopilar métricas en un nivel más profundo, lo que ayuda a las empresas a recopilar registros y métricas por servicio de Azure.A custom Policy Initiative is available to enforce logs and metrics collection at a deeper level, which helps enterprises gather logs and metrics per Azure Service. Esta iniciativa incluye una directiva para cada servicio de Azure.This initiative includes a policy for every Azure service. Recuerde que las categorías de registro clave de cada servicio de Azure y todas las métricas se recopilan automáticamente mediante estas directivas.Key log categories for each Azure service and all metrics are collected automatically through these policies.

  • Proporcionar una seguridad completa para las bases de datos SQLProvide comprehensive security for SQL Databases

    Las bases de datos SQL son un servicio de Azure común en la mayoría de las implementaciones de Azure.SQL databases are a common Azure service in most Azure deployments. Desafortunadamente, también son el objetivo principal de actividades malintencionadas dentro y fuera de una empresa.Unfortunately, they are also prime target for malicious activities from within and outside of an enterprise.

    Una iniciativa de directiva personalizada específica para las bases de datos de SQL le permitirá implementar las siguientes prácticas clave de gobierno.A custom Policy Initiative specifically fo SQL Databases helps implement following key governance practices.

    • Cifrado de los datos SQL en reposoEncrypt SQL data at rest

      La base de datos SQL y sus copias de seguridad corren el riesgo de caer en manos de actores malintencionados.SQL database and its backups are prone to risks of getting into hands of malicious actors. Es fácil restaurar la base de datos SQL desde archivos de base de datos o desde una copia de seguridad.It's easy to restore SQL database from either database files or backup. Sin un sistema de defensa adecuado, los actores malintencionados pueden tener acceso a todos los datos.Without proper defense system in place, malicious actors can have access to all the data.

      Por ello, debe asegurarse de que la base de datos SQL está cifrada en reposo, ya que este es uno de los primeros pasos para poder crear una estrategia de defensa para la base de datos SQL.Ensuring that SQL database is encrypted at rest is one of the first steps towards building SQL database defense strategy. El Cifrado de datos transparente (TDE) de Azure SQL Database garantiza que los datos se cifren en reposo sin necesidad de realizar ningún cambio en el nivel de código de la aplicación.Azure SQL database Transparent Data Encryption (TDE) ensures that data is encrypted at rest without needing any application code level change.

      Una base de datos SQL con el TDE habilitado dificulta el proceso que los actores malintencionados deben realizar para obtener acceso a los datos que esta contiene, incluso si ya está en peligro.A SQL database with TDE enabled makes it hard for malicious actors to get access to data it holds even if its compromised.

      A medida que aumentan las implementaciones de bases de datos SQL de Azure en una empresa, es importante que se creen con el TDE habilitado.As Azure SQL database deployments within an enterprise increases, it is important they are created with TDE enabled.

      Asimismo, existe una directiva personalizada que le permitirá asegurarse de que las bases de datos SQL de Azure tienen habilitado el TDE.There's a custom policy to ensure that Azure SQL databases have TDE enabled.

    • Exigir alertas para actividades sospechosasEnforce alerts for suspicious activity

      Los actores malintencionados están buscando obtener acceso constantemente y aprovechar las bases de datos SQL de Azure que son críticas para el negocio.Bad actors are on the constant lookout to access and exploit business-critical Azure SQL databases. El riesgo de que esos intentos pasen desapercibidos puede reducir la capacidad de una empresa para detectarlos y responder a ellos.Risk of such attempts going unnoticed can reduce an enterprise's ability to detect and respond to them. En el peor de los casos, es posible que una empresa nunca sepa si su base de datos SQL se ha puesto en peligro.In worst case scenario, an enterprise may never know if its SQL database has been compromised.

      Por ello, la base de datos de Azure SQL proporciona una manera de configurar alertas de seguridad que pueden informar de actividades sospechosas en SQL Server.Azure SQL database provides way to set up security alerts that can report suspicious activities on SQL server. Dicha alerta envía un correo electrónico a direcciones de correo electrónico preconfiguradas y, opcionalmente, a los administradores y propietarios de la suscripción de Azure.Such alert sends email to a pre-configured email addresses and optionally to Azure subscription admins and owners.

      Existe una directiva personalizada para hacer cumplir la habilitación de alertas de seguridad en las bases de datos de Azure SQL.There's a custom policy to enforce enabling of security alerts on Azure SQL databases. Gracias a ella, las empresas pueden beneficiarse de la identificación de actividades maliciosas como ataques por inyección de código SQL o ataques de fuerza bruta, entre otros, a través de estas alertas.Enterprise can benefit from identifying malicious activities such as SQL injection attack, brute force attack, etc. though these alerts. Las alertas de seguridad proporcionan información detallada sobre cada incidente.Security alerts provide detailed information about every incident. Esta información detallada aparece en Azure Portal, aunque también se desencadena un mensaje de correo electrónico.This detailed information is surfaced in Azure portal and also an email message is triggered.

    • Exigir la pista de auditoría de las operacionesEnforce audit trail of operations

      Una base de datos SQL de Azure que sea crítica para la empresa puede estar sujeta a un gran número de comandos de lenguaje de manipulación de datos (DML), de lenguaje de control de datos (DCL) y de lenguaje de definición de datos (DDL) como parte de sus operaciones cotidianas.A business-critical Azure SQL database can be subject to large number of Data Manipulation Language (DML), Data Control Language (DCL) and Data Definition Language (DDL) commands as part of day to day operations. Si no tiene un control claro e información sobre estas actividades operativas, es difícil distinguir entre las operaciones legítimas y las sospechosas.Without a clear control and insight into these operational activities, it's challenging to distinguish between legitimate and suspicious operations.

      Por ello, habilitar la auditoría de SQL puede ayudarle a recopilar información importante acerca de todas las actividades de la base de datos.Enabling SQL Auditing can help in gathering important information about all database activities. También es algo necesario para muchos requisitos de cumplimiento normativo del sector o regional.It's also a requirement for many industry/regional regulatory compliance requirements. La auditoría de SQL permite generar los eventos de la base de datos e informar a la pista de auditoría de ellos.SQL Auditing helps generating and reporting audit trail of database events.

      Asimismo, las empresas pueden usar una directiva personalizada para aplicar la auditoría de Azure SQL Database.Enterprises can use a custom policy to enforce Azure SQL Database Auditing. Esta directiva audita y notifica eventos de base de datos clave como cambios de propiedad, inicios de sesión correctos o erróneos, cambios de pertenencia a roles y cambios de esquema, entre otros. Igualmente, las empresas pueden usar esta directiva y la pista de auditoría que se genera para obtener información detallada sobre las operaciones de base de datos y cumplir los requisitos normativos del sector o regionales.This policy audits and reports key database events like ownership changes, successful/failed logins, role membership changes, schema changes, etc. Enterprises can use this policy and audit trail it generates to gain rich insights into database operations and comply with industry or regional regulatory requirements.

  • Exigir una evaluación frente a los procedimientos recomendados probadosEnforce evaluation against proven best practices

    A lo largo de su ciclo de vida, la base de datos de Azure SQL sufre un gran número de cambios en el esquema, el permiso y la configuración.Throughout its lifecycle, Azure SQL database undergoes large number of schema, permission, and configuration changes. Por ello, siempre existe el riesgo de que estos cambios resulten en la desviación de los procedimientos recomendados.There's always a risk of such changes resulting in deviation from best practices. Así pues, los actores malintencionados pueden aprovecharse de permisos excesivos, roles huérfanos y muchos otros desplazamientos de la configuración.Excessive permissions, orphaned roles, and many such configurational drifts can be exploited by malicious actors.

    La base de datos de Azure SQL tiene un servicio de evaluación de vulnerabilidades integrado.Azure SQL database has built-in vulnerability assessment service. El estado de la base de datos de Azure SQL a través de los procedimientos recomendados de Microsoft para la base de datos SQL se puede evaluar mediante la evaluación de vulnerabilidades.State of Azure SQL database through the lens of Microsoft's best practices for SQL database can be evaluated using vulnerability assessment. Un examen de evaluación de vulnerabilidad identifica los riesgos de seguridad de nivel de servidor y de la base de datos.A vulnerability assessment scan identifies database and server level security risks. También se puede generar una tarea de corrección en el escenario aplicable para corregir la vulnerabilidad.A remediation task in applicable scenario may be also generated to fix the vulnerability.

    Asimismo, implementar una directiva personalizada garantiza que las bases de datos de Azure SQL estén configuradas con la evaluación de vulnerabilidades.A custom policy deployed in ensures that Azure SQL databases are configured with vulnerability assessment. Los análisis de evaluación se realizan periódicamente y los informes se almacenan en la cuenta de almacenamiento de Azure.The assessment scans are done periodically and reports are stored in Azure storage account. La dirección de correo electrónico predefinida se usa para compartir los resultados de los exámenes periódicos con fines informativos.Pre-defined email address is used to share the results of periodic scan results for reporting purposes.

  • Protección contra la eliminación de secretos de forma intencional o accidentalProtect against intentional/unintentional secret deletion

    Azure Key Vault es un servicio que sirve para almacenar información confidencial como claves, certificados, contraseñas, etc. Un usuario malintencionado puede usar el servicio de Azure Key Vault de forma abusiva eliminando los secretos almacenados en él.Azure Key Vault is a service to store confidential information such as keys, certificates, passwords, etc. A malicious user can potentially abuse Azure Key Vault service by deleting secrets stored inside it. También es muy probable que un usuario elimine accidentalmente información confidencial almacenada en Azure Key Vault.It's also quite likely that a user may accidentally delete sensitive information stored in Azure Key Vault. Así pues, sin las disposiciones adecuadas, la eliminación accidental o malintencionada de contenido en Azure Key Vault puede provocar un daño importante en la empresa.Without proper provisions in place, either malicious or accidental deletion in Azure Key Vault can cause significant business harm.

    Para evitarlo, Azure Key Vault proporciona protección contra la eliminación intencional o accidental del contenido almacenado, mediante la característica de eliminación temporal.Azure Key Vault provides protection against intentional or unintentional deletion of contents stored inside it through soft-delete feature. Cuando la eliminación temporal está habilitada, las claves eliminadas se conservan durante un período de tiempo preconfigurado.When soft-delete is enabled, deleted keys will be retained for a pre-configured time period. Si la operación de eliminación no era intencionada, la clave eliminada se puede restaurar en una ventana de tiempo configurada previamente.If the delete operation was unintentional then deleted key can be restored within pre-configured time window. Si la operación de eliminación fue intencional, el contenido de la clave se puede eliminar hasta que se realice otra operación de purga, normalmente por parte de alguien con privilegios más altos.If the delete operation was intentional then key content can be deleted until an another purge operation is done - typically by someone with higher privileges.

    Existe una directiva personalizada para asegurarse de que Azure Key Vault tiene habilitada la característica de eliminación temporal de forma predeterminada.There's a custom policy to ensure Azure Key vault is enabled with soft-delete feature by default. Gracias a ello, las empresas mejoran el control de la eliminación de contenido de Azure Key Vault para las operaciones involuntarias.Enterprises get better control on deletion of Azure Key Vault content for unintentional operations. Esta directiva también proporciona un nivel de seguridad adicional para la eliminación malintencionada de contenido de Azure Key Vault.This policy also provides an extra security layer for malicious deletion of Azure Key Vault content.

  • Exigir la aplicación del firewall de aplicaciones web (WAF)Enforce Web Application Firewall (WAF)

    Las aplicaciones web que se ejecutan en Azure son objetivos potenciales de cierto número de ataques malintencionados.Web applications running on Azure are potential targets of number of malicious attacks. Los 10 ataques más comunes, como la inyección o el scripting entre sitios, intentan aprovechar las vulnerabilidades conocidas que normalmente se asocian a las aplicaciones web.Top 10 common attacks - such as - injection, cross-site scripting, etc. try to exploit known vulnerabilities typically associated with web applications. Las consecuencias de un ataque exitoso pueden ser costosas y pueden afectar negativamente al valor de la marca.Consequences of a successful attack can be costly and may impact brand value negatively.

    El Firewall de aplicaciones web (WAF) de Azure Application Gateway proporciona protección a las aplicaciones web contra estos ataques comunes.Azure Application Gateway Web Application Firewall (WAF) provides protection against common attacks on web applications. Implementa Core Rule Set (CRS) 3.1, 3.0 o 2.2.9 según lo que haya recomendado Open Web Application Security Project (OWASP).It implements Core Rule Set (CRS) 3.1, 3.0 or 2.2.9 as recommended by the Open Web Application Security Project (OWASP). Las directivas de WAF se pueden asociar a Azure Application Gateway en un modo de prevención o de detección.WAF policies can be associated with Azure Application Gateway either in Prevention or Detection mode.

    Existe una directiva personalizada para ayudarle a prevenir los posibles errores de configuración en Azure Application Gateway.There's a custom policy to help in preventing potential misconfiguration on Azure Application Gateway. Gracias a ella, la instancia de Azure Application Gateway no se puede crear sin un Firewall de aplicaciones web (WAF).It enforces Azure Application Gateway can't be created without a Web Application Firewall (WAF). El Firewall de aplicaciones web (WAF) se encarga de proteger en Azure Application Gateway las aplicaciones web que se ejecutan en Azure y usan Azure Application Gateway.Web Applications running on Azure and using Azure Application Gateway are protected by Web Application Firewall (WAF) on Azure Application Gateway.

  • Impedir el reenvío de direcciones IP en VMPrevent IP forwarding on VMs

    El reenvío IP permite a la VM de Azure enrutar el tráfico que recibe a otros destinos.IP forwarding enables Azure VM to route traffic it receives to other destinations. A menos que se requiera explícitamente, este enrutamiento podría exponer una VM a una dirección IP pública como enrutador.Unless explicitly required, such routing may potentially expose a VM with public IP address as a router. Igualmente, se puede obtener acceso a otras redes no deseadas a través de un enrutador activado mediante VM con reenvío IP.Other unintended networks can be reached via VM-turned-router with IP forwarding.

    Azure ofrece una opción para configurar el reenvío IP en máquinas virtuales (VM).Azure provides an option to configure IP forwarding on Virtual Machines (VMs). Esta opción permite que el software especializado, como firewalls o equilibradores de carga, se implemente mediante Azure Marketplace.This option enables specialized software such as firewalls, load balancers, etc. to be deployed via Azure Marketplace. Cualquier aplicación que pueda usar estos servicios podrá usarlos a través de una transacción de Azure Marketplace.Any application that may need to use these services, can use them via Azure Marketplace transaction.

    Sin embargo, fuera de las necesidades específicas, el reenvío de IP en las VM puede convertirse en una responsabilidad de seguridad.However, outside of specific needs, IP forwarding on VMs may become a security liability. Existe una directiva personalizada para evitar que las VM actúen como enrutadores de reenvío IP.There's a custom policy to prevent VMs acting as IP forwarding routers. Esta directiva se aplica explícitamente en el ámbito de la zona de aterrizaje.This policy is explicitly applied at landing zone scope. Recuerde que las VM de la zona de aterrizaje deben ser destinos finales para las solicitudes de los usuarios.VMs in landing zone should be final destinations for user requests. Asimismo, cualquier enrutamiento debe implementarse en la suscripción de conectividad.Any routing should be implemented in the connectivity subscription.

  • Exigir la administración centralizada de registros DNSEnforce centralized DNS record management

    Las zonas de DNS privado de Azure le permitirán crear y administrar registros de DNS para los recursos de Azure.Azure Private DNS Zones help create and manage DNS records for Azure resources. Tenga en cuenta que la proliferación incontrolada de las zonas privadas de Azure puede dar lugar a problemas de administración y de depuración de la conectividad de red.Uncontrolled proliferation of Azure Private Zones can result in management & network connectivity debugging issues. En entornos híbridos en los que se necesita obtener conectividad desde sitios locales a los recursos de Azure, las zonas DNS fragmentadas pueden provocar que se dupliquen los registros DNS y los desafíos de mantenimiento asociados a ellos.In hybrid environments where connectivity from on-premise sites to Azure resources is needed, fragmented DNS zones can result in duplication of DNS records and associated maintenance challenges.

    Igualmente, la zona de DNS privado de Azure puede implementarse de forma centralizada para facilitar la administración de los registros DNS.Azure Private DNS Zone can be deployed centrally for easier management of DNS records. La red virtual de Azure que está vinculada a la zona privada de Azure puede ejecutar controladores de dominio, lo que le permite simplificar la conectividad desde sitios locales.Azure Virtual Network linked with Azure Private Zone can potentially run domain controllers, which helps streamlined connectivity from on-premise sites. Los servicios de Azure, que admiten el vínculo o el punto de conexión privado, pueden usar la zona privada de Azure que se administra centralmente y así evitar tener que crearla según la implementación de aplicaciones.Azure services, which support Private Link/Endpoint can use centrally managed Azure Private Zone and prevent having to create them per application deployment.

    Se puede implementar una directiva personalizada para impedir la creación de una zona de DNS privado de Azure en el ámbito en el que se aplica.A custom policy can be deployed to prevent creation of Azure Private DNS Zone in the scope over which its applied. Las empresas pueden ver el estado de cumplimiento de esta directiva incluso cuando la aplicación de la directiva está deshabilitada.Enterprises can view compliance status against this policy even when the policy enforcement is disabled. Recuerde que esta directiva le ayuda a simplificar la conectividad desde sitios locales y el acceso a los servicios PaaS de Azure mediante un vínculo o un punto de conexión privado.This policy helps in streamlining connectivity from on-premise sites and access to Azure PaaS services using Private Link/Endpoint.

  • Exigir el control de tráfico de la redEnforce network traffic control

    La red virtual de Azure (VNet) se puede segmentar en varias subredes.An Azure Virtual Network (VNet) can be segmented into multiple Subnets. De forma predeterminada, no hay ningún control de acceso a la red entre estas subredes.By default, there's no network access control between these subnets. La falta de control de acceso a la red puede provocar que el tráfico de red no solicitado llegue a una subred.Lack of network access control can result in unsolicited network traffic arriving inside a subnet.

    El grupo de seguridad de red (NSG) de Azure le permite filtrar el tráfico entrante hacia y desde una subred.Azure Network Security Group (NSG) helps is filtering incoming traffic to and from a subnet. Los NSG pueden permitir o denegar el tráfico de red en función de la inspección de paquetes con estado.NSGs can allow or deny network traffic based on stateful packet inspection. Todos los recursos dentro de la subred pueden recibir tráfico solo de intervalos de direcciones IP permitidos.Any resources inside subnet can receive traffic from only allowed IP address range(s).

    Hay una directiva personalizada para aplicar en cada subred que tenga un NSG asociado.There's a custom policy to enforce every subnet has a NSG associated with it. Una combinación de subredes y NSG garantiza que un conjunto predeterminado de reglas controle el tráfico hacia y desde una subred.A combination of subnet and NSG ensures that a default set of rules controls traffic to and from a subnet. Las empresas pueden agregar o modificar las reglas para controlar el tráfico en función de las necesidades.Enterprises can add/modify rules to control traffic further based on the needs.

  • Detección de amenazas y protección frente a ellas mediante Azure Security Center.Detect and protect against security threats by using Azure Security Center

    Una suscripción de Azure puede contener varios tipos de recursos, como VM o imágenes de contenedor, y estos recursos se exponen a riesgos como el malware o la instalación de software no deseado, el acceso sin control a los puertos de administración en una VM, etc. Como los ataques de seguridad se han sofisticado y ahora hay un número limitado de profesionales de seguridad experimentados, la detección de vulnerabilidades de seguridad y la protección de cargas de trabajo es un desafío extremadamente difícil.An Azure subscription can hold multiple types of resource like VMs, Container Images, etc. These resources are exposed to risks such as malware/unwanted software installation, uncontrolled access to management ports on a VM, etc. With security attacks getting ever sophisticated and a limited-supply of experienced security professionals, detecting security vulnerabilities and protecting workloads is extremely challenging.

    Por ello, tiene a su disposición Azure Security Center, que es un sistema de administración de seguridad nativo de Azure que evalúa los recursos de Azure para garantizar la seguridad en función de los procedimientos recomendados de seguridad.Azure Security Center is Azure's native security management system, which assesses Azure resources for their security posture against security best practices. Azure Security Center le permite detectar y evitar amenazas contra los servicios de datos y aplicaciones.Azure security center helps to detect and prevent threats against data and application services. Como cuenta con varios puntos de integración, Azure Security Center se puede implementar rápidamente.With multiple integration points, Azure Security center can be deployed quickly.

    Asimismo, una directiva personalizada le permite inscribir suscripciones de Azure con el modo estándar de Azure Security Center, así que las suscripciones de Azure pueden obtener protección y contar con la detección de amenazas de seguridad que ofrece Azure Security Center.A custom policy helps in enrolling Azure subscription(s) with Azure Security Center Standard mode, which enables Azure subscription(s) to start getting security threat detection and protection which are offered by Azure Security Center. Esta directiva garantiza que los servicios clave de Azure, como las VM, las cuentas de almacenamiento y otros siete servicios, se incluyen automáticamente en Azure Security Center.This policy ensures key Azure services such as VMs, Storage Accounts and seven other services are automatically covered by Azure Security Center. Las empresas se benefician de la evaluación continua de la seguridad y las recomendaciones útiles en caso de que se produzca alguna desviación del procedimiento recomendado de seguridad.Enterprises benefits from continuous security assessment and actionable recommendations should there be any deviation from security best practice.

  • Protección contra ataques de ransomware y otros problemas relacionados con la pérdida de datosProtect against ransomware attacks and other data-loss related issues

    La frecuencia cada vez mayor de los ataques de ransomware y de intrusión plantea otra preocupación para las empresas.Increasing frequency of ransomware & intrusion attacks pose yet another concern for enterprises. Un ataque de ransomware realizado correctamente puede afectar a las aplicaciones y a los procesos críticos de la empresa.A successful ransomware attack can disrupt business-critical processes and applications. Se sabe que los atacantes mantienen a las empresas como rehenes para obtener enormes cantidades de dinero.Attackers are known to hold enterprises as hostage for huge amounts of money.

    Azure Backup proporciona protección para las VM de Azure contra la destrucción accidental o intencionada de datos.Azure Backup provides protection for Azure VMs against accidental or intentional data destruction. Las instancias de Azure Backup son fáciles de configurar y escalar.Azure Backups are easy to configure and scale. Asimismo, se realiza una copia de seguridad de los datos en Azure Recovery Vault para poder administrarlos y protegerlos fácilmente.Data is backed up in Azure Recovery Vault for easy management and protection.

    Existe una directiva personalizada que protege las VM de Azure mediante la configuración de Azure Backup en ellas.There's a custom policy that protects Azure VMs by configuring Azure Backup for them. Esta directiva aprovisiona automáticamente el almacén de Azure Recovery Services y crea un contenedor de copia de seguridad para cada VM de Azure que se crea.This policy automatically provisions Azure Recovery Services Vault and creates backup container for every Azure VM that gets created.

  • Protección contra ataques de DDosProtect against DDoS attacks

    Cualquier recurso de Azure accesible públicamente se expone a la amenaza de un ataque de denegación de servicio distribuido (DDoS).Any publically reachable Azure resource is exposed to threat of Distributed Denial of Service (DDoS) attack. Un ataque DDoS correcto puede afectar a la disponibilidad de la aplicación para los usuarios previstos.A successful DDoS attack can affect the application's availability to it's intended users. Asimismo, un ataque de DDoS prolongado puede agotar todos los recursos disponibles y provocar un tiempo de inactividad de las aplicaciones críticas para la empresa.A prolonged DDoS attack can exhaust all available resources and result in downtime for business-critical application(s).

    Puede usar el servicio Azure DDoS Protection para proteger los recursos de Azure contra ataques de DDoS.Azure DDoS Protection service defends Azure resources against DDoS attacks. Azure DDoS Protection supervisa de forma continua el tráfico entrante para identificar posibles indicios de un ataque de DDoS.Azure DDoS Protection continuously monitors incoming traffic to identify potential indications of a DDoS attack. Las empresas se benefician de trabajar con el equipo de respuesta rápida de DDoS de Microsoft (DRR) durante un ataque activo.Enterprises benefit from working with Microsoft's DDoS Rapid Response (DRR) team during an active attack.

    Existe una directiva personalizada que aprovisiona automáticamente el plan estándar de DDoS de Azure en todas las suscripciones de Azure de su ámbito.There's a custom policy that automatically provisions Azure DDoS Standard plan on all Azure subscriptions under its scope. La misma directiva también permite a las empresas seleccionar las regiones de Azure que se tratarán como parte de la asignación.Same policy also enables enterprises to select the Azure regions to be covered as part of the assignment.

  • Aprovisionamiento automático de vínculo o punto de conexión privado con la zona DNS privadoAuto-provision Private Link/Endpoint with Private DNS Zone

    Azure Private Link y Azure Private Endpoint proporcionan acceso a los servicios de Plataforma como servicio (PaaS) de Azure mediante direcciones IP privadas.Azure Private Link and Azure Private Endpoint provide access to Azure Platform-as-a-service (PaaS) services using private IP addresses. Sin embargo, la zona de DNS privado de Azure es necesaria para realizar la resolución de registros DNS.However, Azure Private DNS Zone is needed for DNS record resolution. La creación de zonas privadas de Azure para cada aplicación que necesita acceder a los servicios de Azure PaaS es un desafío de administración y mantenimiento.Creation of Azure Private Zones for every application that needs to access Azure PaaS services is a management and maintenance challenge.

    El grupo de zona de DNS privado de Azure le permite agrupar las conexiones de Private Link en función de servicios de Azure como un blob, una cola, una tabla, sql, etc.,Azure Private DNS Zone Group helps is grouping the Private Link connections by Azure Services like blob, queue, table, sql, etc. mediante una zona privada de Azure por servicio.using an Azure Private Zone per service.

    Las empresas pueden crear zonas privadas de Azure central, y las directivas personalizadas aprovisionarán automáticamente las conexiones entre Private Link, el punto de conexión y la zona de DNS privado de los servicios de Azure.Enterprises can create central Azure Private Zones and custom policies will auto-provision connections between Private Link/Endpoint and Private DNS Zone for Azure services.

  • Administrar de forma centralizada las reglas de firewallCentrally manage firewall rules

    Las reglas de firewall fragmentadas pueden conducir a rutas de acceso de tráfico de red no controladas y ambiguas.Fragmented firewall rules can lead to uncontrolled and ambiguous network traffic paths. Los cambios continuos en las reglas de firewall de cada instancia de firewall dificultan la evaluación de la postura de seguridad de red.Continuous changes in the firewalls rules for every instance of firewall makes it difficult to assess the network security posture. Varias reglas hacen imposible distinguir entre el conjunto de reglas básico administrado de forma central y las reglas de ruta de acceso de red específicas de la carga de trabajo.Multiple rules make it impossible to distinguish between centrally managed basic set of rules and workload-specific network path rules.

    La directiva de Azure Firewall le permite definir un conjunto mínimo básico de reglas aplicables en toda la empresa.Azure Firewall Policy helps to define basic minimum set of rules applicable throughout an enterprise. Las directivas específicas de la aplicación se pueden heredar de las reglas básicas para permitir la creación de reglas jerárquicas y así satisfacer los requisitos de las reglas de firewall específicas de la aplicación y de la empresa.Application-specific policy can inherit from basic rules to allow creation of hierarchical rules to meet both enterprise and application-specific firewall rule requirements. Cuando las reglas se configuran a través de directivas, se pueden administrar y supervisar de forma centralizada.When rules are configured through policies then they can be centrally managed and monitored.

    Una directiva personalizada permite a las empresas definir de forma centralizada las directivas de Azure Firewall.A custom policy enables enterprises to define Azure Firewall policies centrally. Las empresas pueden definir las reglas y prioridades para satisfacer sus requisitos de enrutamiento del tráfico de red.Enterprises are in control of defining rules and priority to meet their network traffic routing requirements. Al definir las directivas de firewall de forma centralizada, las empresas pueden aplicarlas a Azure Virtual WAN o a la topología de red en estrella tipo hub-and-spoke de Azure en función de sus necesidades.By defining firewall policies centrally, enterprises can apply them to either Azure Virtual WAN or Azure Hub and Spoke Networking topology depending upon needs.

  • Aprovisionamiento de la topología de red en estrella tipo hub-and-spokeProvision Hub and Spoke Network topology

    A medida que se empiecen a implementar más cargas de trabajo en Azure, comenzarán a usar un conjunto común de servicios como el firewall o las puertas de enlace de VPN. Si no se planea cuidadosamente, la implementación de servicios comunes se replica en función de la implementación de la aplicación, lo que resultará en costos innecesarios y en una sobrecarga operativa.As more workloads start to get deployed in Azure, they start to use a common set of services such as Firewall, VPN gateways, etc. If not carefully planned, common services deployment gets replicated per application deployment resulting not only in unnecessary costs but also operational overhead. En escenarios en los que se necesita conectividad local desde Azure, la topología de red es difícil de mantener, ya que esta conectividad se establece en función de la implementación de la aplicación.In scenarios where on-premise connectivity is needed from Azure, network topology becomes difficult to maintain as this connectivity is established per application deployment.

    El Centro de Azure y la topología de red en estrella tipo hub-and-spoke simplifican las necesidades de conectividad de red.Azure Hub and Spoke network topology streamlines the network connectivity needs. Un Centro de red virtual (VNet) puede hospedar los servicios compartidos, mientras que las redes virtuales radiales pueden hospedar los recursos de Azure específicos de la aplicación.A Hub Virtual Network (VNet) can host the shared services while spoke VNets can host application-specific Azure resources. Las redes virtuales radiales están conectadas entre sí mediante el emparejamiento de VNet.Hub and Spoke VNets are connected with each other via VNet Peering. La topología de red en estrella tipo hub-and-spoke fomenta un diseño de red limpio, una administración más sencilla y una optimización de costos.Hub and Spoke network topology promotes clean network design, easier management, and cost optimization.

    Existe una directiva personalizada que aprovisiona la red virtual del centro con Azure Firewall, VPN Gateway y la puerta de enlace de ExpressRoute (ER).There's a custom policy that provisions Hub VNet with Azure Firewall, VPN Gateway, and ExpressRoute (ER) Gateway. Las empresas pueden configurar todas las opciones de firewall, VPN y puerta de enlace de ER como parte de la asignación de directiva.Enterprises can configure all the options for Firewall, VPN, and ER gateway as part of the policy assignment. Esta directiva simplifica el proceso de implementación del Centro de Azure y la topología de red en estrella tipo hub-and-spoke.This policy simplifies the process to deploy Azure Hub and Spoke network topology.

    Otra directiva personalizada evita que dos redes virtuales (Vnet) estén emparejadas entre sí, ya que pueden comunicarse entre sí a través de la red virtual del centro de conectividad.Another custom policy prevents two Virtual Networks (VNets) getting peered with each other as they can communicate with each other via Hub VNet. Al exigir que las redes virtuales se comuniquen entre sí a través del centro de conectividad, esto le permite controlar y supervisar las conexiones de red.When forcing VNets to communicate with each other through Hub, makes it possible to control and monitor network connections. La topología de red se simplifica también desde la perspectiva de mantenimiento general.Network topology is simplified from overall maintenance perspective as well.

  • Aprovisionamiento de la configuración predeterminada para Azure MonitorProvision default configuration for Azure Monitor

    No es posible identificar y visualizar la relación entre la plataforma de Azure, los servicios de Azure y las aplicaciones de Azure, por lo que puede crearse una interrupción o un rendimiento degradado que no se detecte.Inability to identify and visualize relationship between Azure platform, Azure service(s), and Azure application(s) may result into an outage or degraded performance going undetected. Es posible que el equipo de operaciones o de soporte técnico pierda la oportunidad de tomar medidas correctivas en una condición específica.Operations or Support team may miss an opportunity to take corrective action to a specific condition. Es posible que una aplicación de Azure no se escale a sí misma para responder a las sobrecargas o se desplome en la demanda.An Azure application may not scale itself to respond to either surge or slump in the demand.

    Los registros de Azure Monitor junto con el área de trabajo de Azure Log Analytics ayudan a las empresas a tratar con condiciones críticas mediante alertas.Azure Monitor Logs along with Azure Log Analytics Workspace help enterprises in dealing with critical conditions using Alerts. Gracias a los registros de Azure Monitor y el área de trabajo de Log Analytics, las empresas pueden visualizar e interactuar con un conjunto completo de información de registro a través de paneles, libros y Power BI.Azure Monitor Logs and Log Analytics Workspace together, empower enterprises to visualize and interact with rich set of log information through dashboards, workbooks, and Power BI. Las empresas pueden usar los registros de Azure Monitor y el área de trabajo de Log Analytics para configurar el escalado automático en VM para agregar o quitar instancias adicionales automáticamente.Enterprises can use Azure Monitor Logs and Log Analytics Workspace together to configure auto-scaling on VMs to automatically adding or removing extra instances.

    Una directiva personalizada le permitirá configurar el área de trabajo de Log Analytics con Azure Monitor.A custom policy helps in configuring Log Analytics Workspace with Azure Monitor. Esta directiva implementa informes de paneles empaquetados previamente que se denominan Soluciones de Azure Monitor para servicios específicos de Azure, como Azure SQL Database o Azure Active Directory.This policy deploys pre-packaged dashboard reports referred as Azure Monitor Solutions for specific Azure services such as Azure SQL Database or Azure Active Directory. También configura orígenes de datos como las métricas de rendimiento de VM de Linux y Windows con Azure Monitor.It also configures data sources such as Linux and Windows VM Performance metrics with Azure Monitor.

  • Habilitar el almacenamiento de registros y las consultasEnable Log Storage and Querying

    Si no se planea cuidadosamente, la información de registro procedente de varios orígenes de Azure se puede volver difícil de administrar.If not carefully planned, log information coming from multiple sources is Azure can easily become unwieldy. La captura, el almacenamiento y la administración de registros pueden consumir gran cantidad de recursos y tiempo y generar bastantes gastos.Capturing, storing, and managing logs can consume plenty of resources, time, and costs. Por ello, la identificación de tendencias o patrones a lo largo de un período prolongado de tiempo y de una cantidad enorme de registros puede resultar todo un desafío.Identifying trends or patterns over a long period of time and over huge amount of logs can become challenging.

    Azure Log Analytics permite que las empresas almacenen y administren de forma eficaz los registros de varios orígenes.Azure Log Analytics enables enterprises to store and manage logs from multiple sources efficiently. La consulta de los datos almacenados en Azure Log Analytics para el análisis de tendencias o patrones es fácil con Azure Log Analytics.Querying the data stored in Azure Log Analytics for trend or pattern analysis is easy with Azure Log Analytics. Las alertas o los informes interactivos se pueden crear mediante consultas de Azure Log Analytics.Alerts or interactive reports can be created using Azure Log Analytics queries.

    Existe una directiva personalizada, que crea un área de trabajo de Log Analytics de Azure que actúa como repositorio para almacenar los datos de registro.There's a custom policy, which creates Azure Log Analytics Workspace that acts as a repository to store log data. También se crea una cuenta de Azure Automation y se vincula con el área de trabajo de Log Analytics para automatizar tareas o implementar soluciones de Azure Monitor, que pueden depender del área de trabajo de Log Analytics.An Azure Automation Account is also created and linked with Log Analytics Workspace for automating tasks or deploying Azure Monitor Solutions, which may have dependency on Log Analytics Workspace. También puede resultarle de ayuda configurar propiedades como el período de retención del registro, la región de Azure, etc.It also helps in configuring properties such as log retention period, Azure region, etc.

  • Aprovisionamiento de registros para servidores habilitados para Azure ArcProvision logging for Azure-Arc enabled servers

    Con departamentos de TI que abarcan varias nubes, sitios locales y ubicaciones perimetrales, muchas empresas pueden tener problemas para administrar y controlar los servidores que están dispersos en entornos y ubicaciones geográficas.With IT estates spanning multiple clouds, on-premise sites and edge locations, many enterprises may be struggling to manage and govern servers, which are scattered across environments and geographic locations. El uso de multitud de productos para supervisar servidores puede ser una experiencia tediosa.Using multitude of products to monitor servers can be a jarring experience. Colocar servidores en varios entornos con una única solución de administración de identidades y acceso unificado puede ser algo difícil de configurar y administrar.Putting servers in multiple environments under a single unified access and identity management solution can be challenging to set up and manage.

    Azure Arc simplifica la gobernanza y la administración de recursos como servidores, clústeres de Kubernetes y servicios de datos en entornos heterogéneos.Azure Arc simplifies governance and management of resources such as servers, kubernetes clusters, and data services across heterogeneous environments. Al proyectar recursos híbridos como recursos de Azure nativos, Azure Arc proporciona un único panel de control para realizar la administración de recursos nativos e híbridos.By projecting hybrid resources as native Azure resources, Azure Arc provides a single pane of control for management of native and hybrid resources. Azure Arc aporta recursos nativos e híbridos en una única solución RBAC unificada.Azure Arc brings native and hybrid resources under a single unified RBAC solution.

    Un par de directivas personalizadas permite que las empresas configuren el agente de Log Analytics en los servidores de Linux y Windows con Azure Arc habilitado.A pair of custom policies helps enterprises setting up Log Analytics agent on Azure Arc enabled Linux & Windows servers. También se configura un área de trabajo de Log Analytics para almacenar y administrar registros.A Log Analytics Workspace is also configured to store and manage logs. Cuando se asigna correctamente, la directiva devuelve el nombre de los servidores en el ámbito de esa directiva, que a la vez se configura con el agente de Log Analytics en ella.When assigned successfully, policy returns the name of server(s) within the scope of policy, which is configured with Log Analytics agent on it.

  • Exigir la recopilación de registros del tráfico de redEnforce Network Traffic Log collection

    Aunque la red virtual (VNet) y la subred de Azure proporcionan un límite de red privado y lógico, sigue siendo esencial supervisar el tráfico de red en Azure.While Azure Virtual Network (VNet) and Subnet provide a logical private network boundary, it is still essential to monitor the network traffic in Azure. Si no se realiza una supervisión de red adecuada, las empresas están expuestas al tráfico no deseado o desconocido que llega a las redes de Azure desde direcciones IP en peligro.Without proper network monitoring, enterprises are exposed to the risk of undesired or unknown traffic coming to Azure networks from compromised IP addresses. Así pues, es todo un desafío aprovisionar la capacidad adicional para poder hacer frente a cualquier aumento del tráfico de red sin comprender el tráfico actual.It becomes challenging to provision extra capacity for any increase in the network traffic without understanding the current traffic.

    Azure Network Watcher le proporciona una manera de supervisar y, si es necesario, reparar cualquier problema de red relacionado con los servicios de IaaS en Azure.Azure Network Watcher provides a way to monitor and if necessary repair any network issue related to IaaS services in Azure. Los registros de flujo del Grupo de seguridad de red (NSG) proporcionan una manera de capturar información sobre el recorrido del tráfico de red a través de NSG.Network Security Group (NSG) flow logs provides a way to capture information about network traffic traversing through NSG. Las empresas pueden beneficiarse del análisis del tráfico y los patrones, predecir las futuras necesidades de capacidad y exigir el cumplimiento de las directivas de gobernanza corporativas.Enterprises can benefit from traffic analysis & patterns, forecast future capacity needs and enforce compliance against corporate governance policies.

    Existe una directiva personalizada que le permitirá configurar los registros de flujo de NSG de Azure Network Watcher.There is a custom policy, which helps in setting up Azure Network Watcher NSG flow logs. Una cuenta de Azure Storage se aprovisiona como repositorio para almacenar los registros de flujo de NSG.An Azure Storage Account is provisioned as repository to store NSG flow logs. Esta directiva también configura el período de retención para almacenar los registros de flujo de NSG.This policy also configuring the retention period to store the NSG flow logs.

  • Aprovisionamiento de una solución de conectividad de red a escalaProvision at-scale network connectivity solution

    Los requisitos de conectividad de red de una empresa pueden ser complejos.Network connectivity requirements for an enterprise can be complex. Las solicitudes constantes para agregar nuevos sitios, dispositivos y usuarios a una red en constante expansión son muy difíciles de aprovisionar y administrar.Constant requests for adding New sites, devices, and users to ever-expanding network are very challenging to provision and manage. El ancho de banda de red y las demandas de rendimiento de varios puntos de entrada en una empresa pueden ser muy exigentes.Network bandwidth and throughput demands by multiple touch-points within an enterprise can be very demanding.

    Azure Virtual WAN (vWAN) es un servicio de red de nivel empresarial destinado a abordar cualquier desafío de conectividad.Azure Virtual WAN (vWAN) is an enterprise-grade network service aimed towards addressing any-to-any connectivity challenges. Azure vWAN proporciona un mayor rendimiento además de una conectividad de red.Azure vWAN provides higher aggregate throughput with network connectivity. También proporciona un enrutamiento óptimo a través de la red troncal de Azure y una experiencia de administración unificada de Azure.It provides optimal routing over Azure backbone and a unified management experience from Azure.

    Una directiva personalizada le permite configurar una instancia de Azure vWAN.A custom policy enables setting up an Azure vWAN. Esta directiva le ayudará a aprovisionar el centro de conectividad de Azure vWAN en la instancia de vWAN.This policy helps in provisioning Azure vWAN hub inside vWAN. Las empresas pueden implementar un centro de conectividad virtual, para que actúe como punto central de las conexiones de varios orígenes y destinos.Enterprises can deploy a Virtual Hub, which acts as a central point for connections from multiple sources and destinations. ExpressRoute, las puertas de enlace de VPN y Azure Firewall también se aprovisionan para satisfacer los requisitos de conectividad de red.ExpressRoute, VPN gateways and Azure Firewall is also provisioned to address any-to-any network connectivity requirements.

  • Aprovisionamiento de copias de seguridad para VM de AzureProvision backup for Azure VMs

    A medida que aumenta la adopción de la nube, las empresas se enfrentan al desafío de garantizar que las cargas de trabajo que se ejecutan en Azure tengan una copia de seguridad.As cloud adoption increases, enterprise face challenges of ensuring that workloads running in Azure are backed up. El modelo de soporte técnico de TI convencional en el equipos independientes administran equipos de desarrollo de aplicaciones y operaciones de TI, deja abierta la posibilidad de una propiedad poco clara de las copias de seguridad de VM.Conventional IT support model where app development and IT operations are managed by separate Teams, sometimes leaves the door open for unclear ownership of VM backups. En un escenario intencional o involuntario, que requiere realizar copias de seguridad de VM para la restauración de la carga de trabajo, el proceso de copia de seguridad que falta puede producir consecuencias costosas.In either intentional or unintentional scenario, which requires VM backups for workload restoration, missing backup process can result in costly consequences.

    Azure Backup proporciona una opción perfecta, sencilla e integrada para realizar copias de seguridad de VM que se ejecutan en Azure o en sitios locales.Azure Backup provides a seamless, easy, and integrated option for backing up VMs running either in Azure or in on-premise sites. Azure Backup usa el almacenamiento de escalabilidad en la nube y libera a las empresas de tener que adquirir y administrar constantemente el almacenamiento necesario para las copias de seguridad.Azure Backup uses cloud scale storage and frees enterprises from having to constantly procure and manage storage needed for backups. Azure Backup proporciona un repositorio para almacenar de forma segura los datos en tránsito y en reposo.Azure Backup provides a repository to store data securely in transit and at-rest.

    Existe una directiva personalizada que configura automáticamente la protección de copias de seguridad de Azure para VM de Windows y Linux.There is a custom policy that automatically configures Azure backup protection for Windows and Linux VMs. Un almacén de Recovery Services se configura para almacenar las copias de seguridad, ya que almacena los datos de forma segura y proporciona protección contra la eliminación malintencionada de las copias de seguridad gracias a la eliminación temporal.A Recovery Service Vault is configured for storing backup, which securely stores data and provides protection against malicious deletion of backup through soft delete. Asimismo, se crea una directiva de copia de seguridad predeterminada que se asigna con valores preconfigurados para la programación de copias de seguridad, el período de retención de copias de seguridad, etc.A default backup policy is created and assigned with pre-configured values for backup schedule, backup retention period, etc.

  • Aprovisionamiento de la conectividad entre redes virtuales (VNets)Provision connectivity between Virtual Networks (VNets)

    Es habitual tener cargas de trabajo distribuidas entre varias suscripciones o redes virtuales (Vnet) en una empresa.It is common to have workloads scattered across multiple subscriptions or virtual networks (VNets) in an enterprise. Sin una conectividad de red dedicada y segura entre ellas, las aplicaciones empresariales críticas tendrán dificultades con el intercambio de datos.Without a dedicated and secure network connectivity between them, critical business applications will struggle with data exchange. Una conectividad de red basada en Internet supondrá tener un ancho de banda de red y un rendimiento incoherentes.An internet-based network connectivity will pose inconsistent network bandwidth and performance. La alta latencia de red puede afectar negativamente a la experiencia del usuario.Potential high network latency may impact user experience adversely.

    El emparejamiento de red virtual de Azure proporciona conectividad de red entre dos redes virtuales (Vnet) a través de la red troncal de Microsoft.Azure Virtual Network Peering provides network connectivity between two virtual networks (VNets) over Microsoft backbone network. El emparejamiento de Azure habilita la conectividad de red de baja latencia y de ancho de banda alto.Azure Peering enables high-bandwidth low-latency network connectivity. Gracias a ello, los datos pueden intercambiarse de forma segura entre suscripciones independientes de Azure, inquilinos o regiones de Azure.Data can be exchanged securely between separate Azure subscriptions, tenants, or Azure regions.

    Una directiva personalizada proporciona una plantilla para configurar el emparejamiento de redes virtuales.A custom policy provides a template for setting up Virtual Network Peering. Un diseño de red expresado en la definición de la plantilla de ARM se puede pasar como un parámetro.A network layout expressed in ARM template definition can be passed as a parameter. Esta directiva pondrá en marcha las redes virtuales y configurará el emparejamiento de VNet entre ellas, junto con dependencias como NSG, UDR, etc.This policy will spin up Virtual Networks and configure VNet Peering between them along with dependencies such as NSG, UDR, etc.

  • Exigir que las VM de Windows se unan al dominio de ADEnforce Windows VMs to join AD Domain

    Las empresas han estado usando VM unidas a un dominio para obtener una experiencia de administración coherente.Enterprises have been using domain joined VMs for a consistent management experience. Cuando se crean operaciones como la directiva de contraseñas corporativas o la autenticación central como parte de las directivas de dominio, una VM que no se une al dominio se expone a riesgos como tener una contraseña que no es segura o la imposibilidad de conectarse a aplicaciones o a dispositivos de la empresa.When operations such as corporate password policy, central authentication, etc. are created as part of domain policies, a VM that does not join the domain, is exposed to risks such as weak password, inability to connect with corporate devices, applications, etc. Las aplicaciones heredadas que se basan en protocolos de autenticación como NTLM o Kerberos, pueden sufrir problemas de autenticación cuando se implementan en VM que no están unidas a un dominio.Legacy applications that rely upon authentication protocols such as NTLM, Kerberos may face authentication issues when deployed on VMs that are not domain joined.

    Azure proporciona soluciones administradas y no administradas para implementar servicios de dominio.Azure provides managed as well as unmanaged solutions for implementing domain services. Con la instancia autoadministrada de Active Directory Domain Services (AD DS) en Azure, las empresas obtienen un control completo sobre la instalación, la configuración y las operaciones, igual que sucede en un entorno local.With self-managed Active Directory Domain Services (AD DS) in Azure, enterprises get complete control on the setup, configuration, and operations same as in an on-premise environment. Azure Active Directory Domain Services (AAD DS) elimina toda la sobrecarga de administración de las empresas al mismo tiempo que proporciona servicios de dominio esenciales.Azure Active Directory Domain Service (AAD DS) takes away all the management overhead away from enterprises while still providing essential domain services.

    Una directiva personalizada que garantiza que cualquier VM de Windows recién creada se une automáticamente al dominio.A custom policy that ensures any newly created Windows VM automatically joins the domain. Una extensión - JsonADDomainExtension - se implementa en la VM, que usa otras opciones de configuración, como el nombre de usuario, el dominio o el valor OUPath, para asegurarse de que la VM se une al dominio especificado.An extension - JsonADDomainExtension - is deployed on the VM that uses other configuration settings such as username, domain, OUPath, etc. to ensure that VM joins the specified domain. Esta directiva usa Azure KeyVault para administrar información confidencial, como el nombre de usuario y la contraseña del dominio.This policy uses Azure KeyVault to manage confidential information such as domain username and password.