Planes de implementación de Azure Active DirectoryAzure Active Directory deployment plans

¿Busca una guía de un extremo a otro sobre cómo implementar las funcionalidades de Azure Active Directory (Azure AD)?Looking for end-to-end guidance on deploying Azure Active Directory (Azure AD) capabilities? Los planes de implementación de Azure AD le guían por el valor de negocio, las consideraciones de planeamiento y los procedimientos operativos necesarios para implementar correctamente las funcionalidades comunes de Azure AD.Azure AD deployment plans walk you through the business value, planning considerations, and operational procedures needed to successfully deploy common Azure AD capabilities.

Desde cualquiera de las páginas del plan, use la funcionalidad Imprimir en PDF del explorador para crear una versión sin conexión actualizada de la documentación.From any of the plan pages, use your browser's Print to PDF capability to create an up-to-date offline version of the documentation.

Inclusión de la parte interesada correctaInclude the right stakeholders

Cuando comience a planear la implementación de una nueva funcionalidad, es importante incluir a las partes interesadas que son clave en la organización.When beginning your deployment planning for a new capability, it's important to include key stakeholders across your organization. Es recomendable identificar y documentar a la persona o personas que cumplen cada uno de los siguientes roles y trabajar con ellas para determinar su participación en el proyecto.We recommend that you identify and document the person or people who fulfill each of the following roles, and work with them to determine their involvement in the project.

Entre los roles, se incluyen los siguientes:Roles might include the following

RoleRole DescripciónDescription
Usuario finalEnd-user Un grupo representativo de usuarios para el que se implementará la funcionalidad.A representative group of users for which the capability will be implemented. A menudo previsualiza los cambios en un programa piloto.Often previews the changes in a pilot program.
Administrador de soporte técnico de TIIT Support Manager Un representante de la organización de soporte técnico de TI que puede proporcionar información sobre la compatibilidad de este cambio desde una perspectiva del departamento de soporte técnico.IT support organization representative who can provide input on the supportability of this change from a helpdesk perspective.
Arquitecto de identidades o administrador global de AzureIdentity Architect or Azure Global Administrator Un representante del equipo de administración de identidades responsable de definir cómo este cambio se alinea con la infraestructura de administración de identidades principal de su organización.Identity management team representative in charge of defining how this change is aligned with the core identity management infrastructure in your organization.
Propietario empresarial de la aplicaciónApplication Business Owner El propietario empresarial global de las aplicaciones afectadas, que pueden incluir la administración del acceso.The overall business owner of the affected application(s), which may include managing access.  También puede proporcionar información sobre la experiencia del usuario y la utilidad de este cambio desde la perspectiva del usuario final.  May also provide input on the user experience and usefulness of this change from an end-user's perspective.
Propietario de seguridadSecurity Owner Un representante del equipo de seguridad que puede aprobar que el plan cumplirá los requisitos de seguridad de la organización.A representative from the security team that can sign off that the plan will meet the security requirements of your organization.
Administrador de cumplimientoCompliance Manager La persona de la organización responsable de garantizar el cumplimiento con requisitos corporativos, del sector o gubernamentales.The person within your organization responsible for ensuring compliance with corporate, industry, or governmental requirements.

Los niveles de implicación podrían incluir:Levels of involvement might include:

  • Responsible para implementar el plan del proyecto y el resultadoResponsible for implementing project plan and outcome

  • Aprobación del plan del proyecto y el resultadoApproval of project plan and outcome

  • Colaborador con el plan del proyecto y el resultadoContributor to project plan and outcome

  • Informado del plan del proyecto y el resultadoInformed of project plan and outcome

Procedimientos recomendados para un pilotoBest practices for a pilot

Un piloto le permite probar con un grupo pequeño antes de activar una funcionalidad para todos.A pilot allows you to test with a small group before turning a capability on for everyone. Asegúrese de que, como parte de sus pruebas, cada caso de uso de su organización se prueba de forma exhaustiva.Ensure that as part of your testing, each use case within your organization is thoroughly tested. Es mejor dirigirse a un grupo específico de usuarios piloto antes de implementar esto en su organización como un todo.It's best to target a specific group of pilot users before rolling this out to your organization as a whole.

En su primera oleada, TI de destino, facilidad de uso y otros usuarios adecuados que pueden probar y proporcionar comentarios.In your first wave, target IT, usability, and other appropriate users who can test and provide feedback. Estos comentarios deben usarse para desarrollar aún más las comunicaciones e instrucciones que envía a sus usuarios y proporcionarles información sobre los tipos de problemas que puede ver su personal de soporte técnico.This feedback should be used to further develop the communications and instructions you send to your users, and to give insights into the types of issues your support staff may see.

La ampliación de la implementación en grupos de usuarios más grandes debe llevarse a cabo aumentando el ámbito de los grupos objetivo.Widening the rollout to larger groups of users should be carried out by increasing the scope of the group(s) targeted. Esto puede hacerse a través de la pertenencia dinámica a grupos o agregando usuarios manualmente a los grupos objetivo.This can be done through dynamic group membership, or by manually adding users to the targeted group(s).

Implementación de la autenticaciónDeploy authentication

CapacidadCapability DescripciónDescription
Multi-Factor AuthenticationMulti-Factor Authentication Azure Multi-Factor Authentication (MFA) es la solución de Microsoft de comprobación de dos pasos.Azure Multi-Factor Authentication (MFA) is Microsoft's two-step verification solution. El uso de métodos de autenticación aprobados por un administrador permite a Azure MFA ayudar a proteger el acceso a sus datos y aplicaciones, además de satisfacer la exigencia de un proceso de inicio de sesión simple.Using admin-approved authentication methods, Azure MFA helps safeguard access to your data and applications while meeting the demand for a simple sign-in process.
Acceso condicionalConditional Access Con Acceso condicional, puede implementar decisiones de control de acceso automatizado sobre quién puede acceder a las aplicaciones en nube, en función de condiciones.With Conditional Access, you can implement automated access control decisions for who can access your cloud apps, based on conditions.
Restablecimiento de la contraseña de autoservicioSelf-service password reset El autoservicio de restablecimiento de contraseñas proporciona a los usuarios la capacidad de restablecer sus contraseñas, sin intervención de ningún administrador, en el momento y el lugar donde se precisa.Self-service password reset helps your users reset their passwords without administrator intervention, when and where they need to.
Inicio de sesión sin contraseñaPasswordless Implementación de la autenticación sin contraseña mediante la aplicación Microsoft Authenticator o las claves de seguridad de FIDO2 de su organizaciónImplement passwordless authentication using the the Microsoft Authenticator app or FIDO2 Security keys in your organization

Implementación de la administración de aplicaciones y dispositivosDeploy application and device management

CapacidadCapability DescripciónDescription
Inicio de sesión únicoSingle sign-on El inicio de sesión único ayuda a los usuarios a acceder a las aplicaciones y los recursos que necesitan para hacer negocios, iniciando sesión una sola vez.Single sign-on helps your users access the apps and resources they need to do business while signing in only once. Una vez iniciada la sesión, pueden ir de Microsoft Office a SalesForce, a Box y a aplicaciones internas sin necesidad de escribir credenciales una segunda vez.After they've signed in, they can go from Microsoft Office to SalesForce to Box to internal applications without being required to enter credentials a second time.
Panel de accesoAccess panel Proporcione a sus usuarios un lugar centralizado y sencillo desde el que puedan acceder a todas las aplicaciones.Offer your users a simple hub to discover and access all their applications. Favorezca la productividad con funcionalidades de autoservicio, como la solicitud de acceso a aplicaciones y grupos, o la administración del acceso a recursos en nombre de otros usuarios.Enable them to be more productive with self-service capabilities, like requesting access to apps and groups, or managing access to resources on behalf of others.
DispositivosDevices Este artículo le ayuda a evaluar los métodos para integrar el dispositivo con Azure AD, elegir el plan de implementación y proporciona vínculos clave a las herramientas de administración de dispositivos compatibles.This article helps you evaluate the methods to integrate your device with Azure AD, choose the implementation plan, and provides key links to supported device management tools.

Implementación de escenarios híbridosDeploy hybrid scenarios

CapacidadCapability DescripciónDescription
ADFS para sincronización de hash de contraseñaADFS to Password Hash Sync Con la sincronización de hash de contraseña, los valores de hash de las contraseñas de usuario se sincronizan desde Active Directory local a Azure AD, lo que permite a Azure AD autenticar a los usuarios sin interacción con Active Directory local.With Password Hash Synchronization, hashes of user passwords are synchronized from on-premises Active Directory to Azure AD, letting Azure AD authenticate users with no interaction with the on-premises Active Directory
Autenticación de ADFS para paso a travésADFS to Pass Through Authentication La autenticación de paso a través de Azure AD ayuda a los usuarios a iniciar sesión en aplicaciones basadas en la nube y locales con las mismas contraseñas.Azure AD Pass-through Authentication helps your users sign in to both on-premises and cloud-based applications using the same passwords. Esta característica proporciona a los usuarios una mejor experiencia (una contraseña menos que recordar) y reduce los costos del departamento de soporte técnico de TI dado que es menos probable que olviden cómo iniciar sesión.This feature provides users with a better experience - one less password to remember - and reduces IT helpdesk costs because users are less likely to forget how to sign in. Cuando los usuarios inician sesión con Azure AD, esta característica valida sus contraseñas directamente con la instancia de Active Directory local.When people sign in using Azure AD, this feature validates users' passwords directly against your on-premises Active Directory.
Azure AD Application ProxyAzure AD Application Proxy Hoy en día, los empleados desean ser productivos en cualquier lugar, en cualquier momento y con cualquier dispositivo.Employees today want to be productive at any place, at any time, and from any device. Tienen que acceder a aplicaciones SaaS en la nube y a aplicaciones corporativas locales.They need to access SaaS apps in the cloud and corporate apps on-premises. El proxy de aplicación de Azure AD permite este acceso sólido sin redes privadas virtuales (VPN) costosas y complejas ni zonas desmilitarizadas (DMZ).Azure AD Application proxy enables this robust access without costly and complex virtual private networks (VPNs) or demilitarized zones (DMZs).
SSO de conexión directaSeamless SSO El inicio de sesión único de conexión directa de Azure Active Directory (SSO de conexión directa de Azure AD) permite iniciar sesión automáticamente a los usuarios en dispositivos corporativos conectados a la red de la empresa.Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) automatically signs users in when they are on their corporate devices connected to your corporate network. Con esta característica, los usuarios no tendrán que escribir la contraseña para iniciar sesión en Azure AD ni en general el nombre de usuario.With this feature, users won't need to type in their passwords to sign in to Azure AD and usually won't need to enter their usernames. Esta característica proporciona a los usuarios autorizados un acceso sencillo a las aplicaciones en la nube sin necesidad de componentes locales adicionales.This feature provides authorized users with easy access to your cloud-based applications without needing any additional on-premises components.

Implementación del aprovisionamiento de usuariosDeploy user provisioning

CapacidadCapability DescripciónDescription
Aprovisionamiento de usuariosUser provisioning Azure AD le ayuda a automatizar la creación, el mantenimiento y la eliminación de identidades de usuario en aplicaciones en la nube (SaaS) como Dropbox, Salesforce y muchas otras.Azure AD helps you automate the creation, maintenance, and removal of user identities in cloud (SaaS) applications, such as Dropbox, Salesforce, ServiceNow, and more.
Aprovisionamiento de usuarios de RR. HH. en la nubeCloud HR user provisioning El aprovisionamiento de usuarios de RR. HH. en la nube para Active Directory establece las bases de una gobernanza continua de identidades y mejora la calidad de los procesos de negocio que se basan en datos de identidades fidedignos.Cloud HR user provisioning to Active Directory creates a foundation for ongoing identity governance and enhances the quality of business processes that rely on authoritative identity data. Si usa esta característica con el producto de RR. HH. en la nube, como Workday o SuccessFactors, puede administrar fácilmente el ciclo de vida de las identidades de los empleados y los trabajadores temporales configurando reglas que asignen procesos de tipo alta, baja o traslado (como Nueva contratación, Fin de contrato y Traslado) a las acciones de aprovisionamiento de TI (como Crear, Habilitar y Deshabilitar).Using this feature with your cloud HR product, such as Workday or Successfactors, you can seamlessly manage the identity lifecycle of employees and contingent workers by configuring rules that map Joiner-Mover-Leaver processes (such as New Hire, Terminate, Transfer) to IT provisioning actions (such as Create, Enable, Disable)

Implementación de la gobernanza y los informesDeploy governance and reporting

CapacidadCapability DescripciónDescription
Privileged Identity ManagementPrivileged Identity Management Azure AD Privileged Identity Management (PIM) le permite administrar roles con privilegios administrativos en Azure AD, los recursos de Azure y otros servicios de Microsoft Online Services.Azure AD Privileged Identity Management (PIM) helps you manage privileged administrative roles across Azure AD, Azure resources, and other Microsoft Online Services. Asimismo, PIM ofrece soluciones como acceso de tipo Just-In-Time, flujos de trabajo de aprobación de solicitudes y revisiones de acceso completamente integradas para que pueda identificar, detectar y evitar en tiempo real las actividades malintencionadas de roles con privilegios.PIM provides solutions like just-in-time access, request approval workflows, and fully integrated access reviews so you can identify, uncover, and prevent malicious activities of privileged roles in real time.
Creación de informes y supervisiónReporting and Monitoring El diseño de la solución de creación de informes y supervisión de Azure AD depende de sus requisitos legales, de seguridad y operativos, así como del entorno y los procesos existentes.The design of your Azure AD reporting and monitoring solution depends on your legal, security, and operational requirements as well as your existing environment and processes. En este artículo se presentan las distintas opciones de diseño y se le guía para que elija la estrategia de implementación adecuada.This article presents the various design options and guides you to the right deployment strategy.