Consideraciones de seguridad para Microsoft Azure y Microsoft 365

  • Artículo

Importante

Esta versión de Operations Manager ha llegado al final del soporte técnico. Se recomienda actualizar a Operations Manager 2022.

Integración con Azure

El módulo de supervisión de Azure se ejecuta en un agente específico y usa distintas API de Windows Azure para detectar de forma remota y recopilar información de instrumentación sobre una aplicación de Windows Azure especificada. La comunicación y autenticación seguras con Azure se realizan mediante la autenticación de certificado, que se requiere para supervisar correctamente las cargas de trabajo hospedadas en Azure con Operations Manager.

Si todavía no tiene un certificado de administración, comience por ver Introducción a los certificados para los servicios en la nube de Azure.

El módulo de supervisión para aplicaciones de Windows Azure crea tres perfiles de ejecución:

  • Blob de perfil de ejecución de Windows Azure
  • Contraseña del perfil de ejecución de Windows Azure
  • Proxy del perfil de ejecución de Windows Azure

Debe crear cuentas de ejecución para el blob de perfil de ejecución de Windows Azure y para la contraseña del perfil de ejecución de Windows Azure. La cuenta para el blob de perfil de ejecución de Windows Azure almacena el certificado con la clave privada para la aplicación de Windows Azure. La cuenta de la contraseña del perfil de ejecución de Windows Azure almacena la contraseña para la clave privada.

La creación de una cuenta de proxy del perfil de ejecución de Windows Azure es opcional. La cuenta del proxy del perfil de ejecución de Windows Azure almacena las credenciales de acceso del servidor proxy HTTP usado para hacer llamadas API a Windows Azure.

Debe asociar la cuenta de ejecución a un perfil de ejecución adecuado. El Asistente para agregar monitores asociará los perfiles del blob de perfil de ejecución de Windows Azure y de la contraseña del perfil de ejecución de Windows Azure a las cuentas que especifique. Si crea una cuenta de ejecución para el proxy del perfil de ejecución de Windows Azure, debe asociar manualmente el perfil del proxy del perfil de ejecución de Windows Azure a la cuenta que cree.

Integración con Microsoft 365

El módulo de administración de Microsoft 365 usa el enfoque de supervisión sin agente. Todos los flujos de trabajo de supervisión que se comunican con las API de supervisión de Microsoft 365 se ejecutan solo en servidores de administración. Se necesita una cuenta de usuario con permisos de administrador global para la suscripción para la supervisión de una suscripción de Microsoft 365. Se recomienda agregar una nueva cuenta de usuario dedicada a cada suscripción que quiera supervisar. Para crear un nuevo usuario con permisos de administrador global con el centro de administración de Microsoft 365:

  1. Vaya a https://portal.office.com/Adminportal/ para abrir el centro de administración. Inicie sesión como administrador global de suscripciones.
  2. En la pestaña Usuarios y grupos: seleccione el botón Agregar.
  3. Escriba Nombre, Apellidos, Nombre para mostrar y Nombre de usuario y seleccione un dominio vinculado a la suscripción. Tenga en cuenta que, para la cuenta con el rol de administrador global, es necesario indicar el nombre y apellido.
    Captura de pantalla de la página Nuevos detalles del usuario.
  4. En la pestaña de configuración, seleccione Administrador global rol que se va a asignar a la cuenta. Especifique la ubicación del usuario y una dirección de correo electrónico alternativa.
    Captura de pantalla de la página Nueva configuración de usuario.
  5. No es necesario asignar licencias de servicios de Microsoft 365 a la cuenta de supervisión.
  6. Especifique una dirección de correo electrónico para recibir una contraseña temporal. Cierre sesión de Centro de administración de Microsoft 365 e inicie sesión de nuevo con las nuevas credenciales recibidas en el correo electrónico.
  7. Inicie sesión en el portal de administración de Microsoft 365 con las credenciales recién creadas y establezca la contraseña de la cuenta. Recuerde usar una contraseña compleja segura porque esta cuenta tiene permisos de Administrador global.

    Nota

    Los flujos de trabajo del módulo de administración no pueden obtener datos de supervisión, el monitor de estado de conexión establece el estado de la suscripción en estado "Crítico" y genera una alerta "(401) No autorizado" hasta que se use la nueva cuenta de administrador global para iniciar sesión en el portal de administración de Microsoft 365 al menos una vez.

Configurar perfiles de ejecución

El módulo de administración de Microsoft 365 crea dos perfiles de ejecución:

  • Referencia segura de la contraseña de suscripción de Microsoft 365

    El perfil de ejecución de referencia segura de la contraseña de suscripción de Microsoft 365 se usa para almacenar las credenciales de la suscripción y no debe editarse manualmente.

  • Referencia segura del proxy de suscripción de Microsoft 365

    El perfil de ejecución de la referencia segura del proxy de suscripción de Microsoft 365 debe configurarse manualmente. Este perfil lo usan todas las reglas y monitores definidos en este módulo de administración. Todas las cuentas de ejecución asignadas a este perfil deben tener los siguientes permisos:

    • Ser miembro del rol de usuario de System Center Operations Manager "Operadores de Operations Manager".
    • Ser capaz de establecer una conexión HTTPS del servidor de administración hasta el punto de conexión del portal de Microsoft 365. Compruebe la configuración del firewall y del proxy en su entorno para asegurarse de que se permite la conexión mencionada anteriormente.