Consideraciones de seguridad para Microsoft Azure y Office 365Security Considerations for Microsoft Azure and Office 365

Integración con AzureIntegration with Azure

El módulo de supervisión de Azure se ejecuta en un agente específico y usa distintas API de Windows Azure para detectar de forma remota y recopilar información de instrumentación sobre una aplicación de Windows Azure especificada.The Azure monitoring pack runs on a specified agent and uses various Windows Azure APIs to remotely discover and collect instrumentation information about a specified Windows Azure application. La comunicación y autenticación seguras con Azure se realizan mediante la autenticación de certificado, que se requiere para supervisar correctamente las cargas de trabajo hospedadas en Azure con Operations Manager.Secure communication and authentication with Azure is performed by certificate authentication, which is required in order to successfully monitor workloads hosted in Azure with Operations Manager.

Si todavía no tiene un certificado de administración, comience por ver Introducción a los certificados para los servicios en la nube de Azure.If you don’t have a management certificate already, begin here by reviewing Certificates overview for Azure Cloud Services.

Para obtener más información, consulte Introducción a la API de administración de servicios de Windows Azure en el blog del equipo de Windows Azure.For more information, see Introducing the Windows Azure Service Management API on the Windows Azure team blog.

El módulo de supervisión para aplicaciones de Windows Azure crea tres perfiles de ejecución:The Monitoring Pack for Windows Azure Applications creates three Run As profiles:

  • Blob de perfil de ejecución de Windows AzureWindows Azure Run As Profile Blob
  • Contraseña del perfil de ejecución de Windows AzureWindows Azure Run As Profile Password
  • Proxy del perfil de ejecución de Windows AzureWindows Azure Run As Profile Proxy

Debe crear cuentas de ejecución para el blob de perfil de ejecución de Windows Azure y para la contraseña del perfil de ejecución de Windows Azure.You must create Run As accounts for Windows Azure Run As Profile Blob and Windows Azure Run As Profile Password. La cuenta para el blob de perfil de ejecución de Windows Azure almacena el certificado con la clave privada para la aplicación de Windows Azure.The account for Windows Azure Run As Profile Blob stores the certificate with the private key for the Windows Azure application. La cuenta de la contraseña del perfil de ejecución de Windows Azure almacena la contraseña para la clave privada.The account for Windows Azure Run As Profile Password stores the password for the private key.

La creación de una cuenta de proxy del perfil de ejecución de Windows Azure es opcional.Creating an account for Windows Azure Run As Profile Proxy is optional. La cuenta del proxy del perfil de ejecución de Windows Azure almacena las credenciales de acceso del servidor proxy HTTP usado para hacer llamadas API a Windows Azure.The account for Windows Azure Run As Profile Proxy stores credentials for access to the HTTP proxy server that is used to make API calls to Windows Azure.

Debe asociar la cuenta de ejecución a un perfil de ejecución adecuado.You must associate the Run As Account with an appropriate Run As profile. El Asistente para agregar monitores asociará los perfiles del blob de perfil de ejecución de Windows Azure y de la contraseña del perfil de ejecución de Windows Azure a las cuentas que especifique.The Add Monitoring Wizard will associate the Windows Azure Run As Profile Blob and Windows Azure Run As Profile Password profiles with the accounts that you specify. Si crea una cuenta de ejecución para el proxy del perfil de ejecución de Windows Azure, debe asociar manualmente el perfil del proxy del perfil de ejecución de Windows Azure a la cuenta que cree.If you create a Run As account for Windows Azure Run As Profile Proxy, you must manually associate the Windows Azure Run As Profile Proxy profile with the account that you create.

Integración con Office 365Integration with Office 365

El módulo de administración de Office 365 usa un enfoque de supervisión sin agente.Office 365 management pack uses agentless monitoring approach. Todos los flujos de trabajo de supervisión que se comunican con las API de supervisión de Office 365 se ejecutan solo en servidores de administración.All monitoring workflows that communicate with Office 365 Monitoring API are being executed on management servers only. Se necesita una cuenta de usuario de Office 365 con permisos de administrador global para la suscripción para la supervisión de una suscripción de O365.An Office 365 user account with Global Administrator permissions for the subscription is required for monitoring of an O365 subscription. Se recomienda agregar una nueva cuenta de usuario dedicada para cada suscripción de Office 365 que quiera supervisar.It is highly recommended to add a new dedicated user account to each Office 365 subscription you want to monitor. Para crear un nuevo usuario con permisos de administrador global con el centro de administración de Office 365:To create a new user with Global Administrator permissions using Office 365 admin center:

  1. Vaya a https://portal.office.com/UserManagement/ActiveUsers.aspx para abrir el centro de administración de Office 365.Go to https://portal.office.com/UserManagement/ActiveUsers.aspx to open Office 365 admin center. Inicie sesión como administrador global de la suscripción.Log in as Subscription Global Administrator.
  2. En la ficha Usuarios y grupos: haga clic en el botón AgregarOn Users and Groups tab: click Add button
  3. Escriba el nombre, apellido, nombre para mostrar y nombre de usuario y seleccione un dominio vinculado a la suscripción.Enter First name, Last name, Display name and User name and select a domain linked to the subscription. Tenga en cuenta que, para la cuenta con el rol de administrador global, es necesario indicar el nombre y apellido.Note that First and Last names are required for account with Global Administrator role.
    Página de detalles de usuario nuevo
  4. En la ficha configuración: seleccione el rol de administrador global que se asignará a la cuenta.On setting tab: select Global administrator role to be assigned to account. Especifique la ubicación del usuario y una dirección de correo electrónico alternativa.Specify alternate email address and user location.
    Página de configuración de usuario nuevo
  5. No es necesario asignar licencias de servicios de Office 365 a la cuenta de supervisión.You are not required to assign Office 365 services licenses to the monitoring account
  6. Especifique una dirección de correo electrónico para recibir una contraseña temporal.Specify an email address to receive a temporary password. Cierre sesión en el centro de administración de Office 365 e inicie sesión nuevamente con las nuevas credenciales recibidas en el correo electrónico.Log out from Office 365 admin center and log in again using new credentials received in the email.
  7. Inicie sesión en el portal de administración de Office 365 mediante las credenciales recién creadas y establezca la contraseña para la cuenta.Login to the Office 365 management portal using newly created credentials and set the password for the account. Recuerde usar contraseñas complejas porque esta cuenta tiene permisos de administrador global.Remember to use strong complex password because this account has Global administrator permissions. > [!NOTE] > Los flujos de trabajo del módulo de administración no pueden obtener datos de supervisión. El monitor de estado de conexión establece el estado de la suscripción en estado "Crítico" y genera una alerta "(401) No autorizado" hasta que se use la nueva cuenta de administrador global para iniciar sesión en el portal de administración de Office 365 al menos una vez.Management Pack workflows are unable to obtain monitoring data, Connection State monitor sets Subscription health to “Critical” state and generates “(401) Unauthorized” Alert until new Global Administrator account is used to login to the Office 365 management portal at least once.

Configurar perfiles de ejecuciónConfigure Run As profiles

El módulo de administración de Office 365 crea dos perfiles de ejecución:The Office 365 management pack creates two Run As Profiles:

  • Referencia segura de la contraseña de suscripción de Office 365Office 365 Subscription Password secure reference

    Office 365 Subscription Password secure reference Run As Profile is used to store Office 365 subscription credentials and shouldn’t be edited manually
    
  • Referencia segura del proxy de suscripción de Office 365Office 365 Subscription Proxy secure reference

    El perfil de ejecución de la referencia segura del proxy de suscripción de Office 365 debe configurarse manualmente.Office 365 Subscription Proxy secure reference Run As Profile should be configured manually. Este perfil lo usan todas las reglas y monitores definidos en este módulo de administración.This profile is used by all rules and monitors defined in this Management Pack. Todas las cuentas de ejecución asignadas a este perfil deben tener los siguientes permisos:All Run As Accounts mapped to this profile should have following permissions:

    • Ser miembro del rol de usuario de System Center Operations Manager "Operadores de Operations Manager".Be a member of “Operations Manager Operators” System Center Operations Manager user role.
    • Ser capaz de establecer una conexión HTTPS del servidor de administración hasta el punto de conexión del portal de Office 365.Be able to establish an HTTPS connection from the Management Server to the Office 365 portal endpoint. Compruebe la configuración de proxy y firewall en su entorno para asegurarse de que se permite la conexión mencionada anteriormente.Please check firewall and proxy settings within your environment to ensure that aforementioned connection is allowed.