Implementar un enfoque en el que lo primero es la nube

Se trata principalmente de una fase basada en los procesos y las directivas para detener, o en le medida de lo posible, la adición de nuevas dependencias a Active Directory e implementar un enfoque "primero en la nube" para la nueva demanda de soluciones de TI.

En este punto es importante identificar los procesos internos que dan lugar a la adición de nuevas dependencias en Active Directory. Por ejemplo, la mayoría de las organizaciones tendrían un proceso de administración de cambios que se debe seguir antes de la implementación de nuevos escenarios, características y soluciones. Se recomienda encarecidamente asegurarse de que estos procesos de aprobación de cambios se actualicen a:

• Incluye un paso para evaluar si con el cambio propuesto se agregarían nuevas dependencias en Active Directory.
• Solicita la evaluación de las alternativas de Microsoft Entra siempre cuando sea posible.

Usuarios y grupos

Puedes enriquecer los atributos de usuario en Microsoft Entra ID para que haya más atributos de usuario disponibles para su inclusión. Algunos ejemplos de escenarios comunes que requieren atributos de usuario enriquecidos son:

• Aprovisionamiento de aplicaciones: el origen de datos del aprovisionamiento de aplicaciones es Microsoft Entra ID y los atributos de usuario necesarios deben estar allí.

• Autorización de aplicaciones: un token que emite Microsoft Entra ID puede incluir notificaciones que se generan a partir de atributos de usuario para que las aplicaciones puedan tomar decisiones de autorización que se basen en las notificaciones del token. También puede contener atributos procedentes de orígenes de datos externos a través de un proveedor de notificaciones personalizado.

• Rellenado y mantenimiento de pertenencias a grupos: los grupos de pertenencia dinámica permiten el relleno dinámico de grupos en función de los atributos de usuario, como la información del departamento.

Estos dos vínculos proporcionan instrucciones sobre cómo realizar cambios de esquema:

• Información sobre el esquema y las expresiones personalizadas de Microsoft Entra

• Atributos sincronizados por Microsoft Entra Connect

Estos vínculos proporcionan más información sobre este tema, pero no son específicos del cambio de esquema:

• Usar atributos de extensión de esquema de Microsoft Entra en notificaciones: plataforma de identidad de Microsoft

• ¿Qué son los atributos de seguridad personalizados en Microsoft Entra ID (versión preliminar)?

• Personalizar asignaciones de atributos de Microsoft Entra en el aprovisionamiento de aplicaciones

• Proporcionar notificaciones opcionales a las aplicaciones de Microsoft Entra: plataforma de identidad de Microsoft

Estos vínculos proporcionan más información sobre los grupos:

• Crear o editar un grupo dinámico y obtener del estado en Microsoft Entra ID

• Uso de grupos de autoservicio para la administración de grupos iniciada por el usuario

• Aprovisionamiento de aplicaciones basadas en atributos con filtros de ámbito o ¿Qué es la administración de derechos de Microsoft Entra? (para el acceso a aplicaciones)

• Comparación de grupos

• Restricción de los permisos de acceso de invitado en Microsoft Entra ID

Es posible que tú y tu equipo se sientan obligados a cambiar el aprovisionamiento actual de los empleados para usar cuentas solo en la nube en esta fase. El esfuerzo no es trivial, pero no proporciona suficiente valor empresarial. Se recomienda planear esta transición en una fase diferente de la transformación.

Dispositivos

Las estaciones de trabajo cliente se unen tradicionalmente a Active Directory y se administran a través de objetos de directiva de grupo (GPO) o soluciones de administración de dispositivos, como Microsoft Configuration Manager. Los equipos establecerán una directiva y un proceso nuevos para evitar que las estaciones de trabajo recién implementadas se unan al dominio. Entre los puntos clave se incluyen:

• Exigir la unión a Microsoft Entra de las nuevas estaciones de trabajo cliente de Windows para lograr que "no haya más uniones a un dominio".

• Administrar las estaciones de trabajo desde la nube mediante el uso de soluciones de administración unificada de puntos de conexión (UEM), como Intune.

Windows Autopilot puede ayudarle a establecer una incorporación y un aprovisionamiento de dispositivos simplificados, que pueden exigir estas directivas.

Windows Local Administrator Password Solution (LAPS) permite que una solución en la nube administre las contraseñas de las cuentas de administrador local.

Para obtener más información, consulta Más información sobre puntos de conexión nativos de nube.

APLICACIONES

Tradicionalmente, los servidores de aplicaciones suelen unirse a un dominio de Active Directory local para que puedan usar la autenticación integrada de Windows (Kerberos o NTLM), las consultas de directorio con LDAP y la administración de servidores a través de GPO o Microsoft Configuration Manager.

La organización consta de un proceso para evaluar las alternativas de Microsoft Entra cuando se consideran nuevos servicios, aplicaciones o infraestructura. Las directivas para un enfoque "primero en la nube" para las aplicaciones deben ser las siguientes. (Cuando no exista ninguna alternativa moderna, las nuevas aplicaciones locales o las aplicaciones heredadas deben ser una excepción poco frecuente).

• Proporcione una recomendación para cambiar la directiva de adquisición y la directiva de desarrollo de aplicaciones para exigir protocolos modernos (OIDC o OAuth2 y SAML) y autenticarse mediante Microsoft Entra ID. Las nuevas aplicaciones también deben admitir el aprovisionamiento de aplicaciones de Microsoft Entra y no tienen ninguna dependencia de las consultas LDAP. Para las excepciones se requiere revisión y aprobación explícitas.

  Importante

  En función de las demandas previstas de las aplicaciones que requieren protocolos heredados, puede optar por implementar Microsoft Entra Domain Services cuando no funcionen las alternativas más actuales.

• Proporcione una recomendación para crear una directiva que clasifique por orden de prioridad el uso de alternativas nativas de nube. La directiva debe limitar la implementación de nuevos servidores de aplicaciones en el dominio. Entre los escenarios nativos de nube comunes para reemplazar los servidores unidos a Active Directory se incluyen:

  • Servidores de archivos:

    • SharePoint o OneDrive proporcionan compatibilidad con la colaboración en soluciones de Microsoft 365, así como gobernanza, riesgo, seguridad y cumplimiento integrados.

    • Azure Files ofrece recursos compartidos de archivos en la nube totalmente administrados, a los que se puede acceder mediante el protocolo SMB o NFS estándar de la industria. Los clientes pueden usar la autenticación nativa de Microsoft Entra para Azure Files a través de Internet sin línea de visión a un controlador de dominio.

    • Microsoft Entra ID funciona con aplicaciones de terceros de la galería de aplicaciones de Microsoft.

  • Servidores de impresión:

    • Si su organización tiene el mandato de adquirir impresoras compatibles con la impresión universal, consulte Integraciones de asociados.

    • Puente con el conector de impresión universal para impresoras incompatibles.

Pasos siguientes

• Introducción
• Posición de la transformación a la nube
• Establecer una superficie de Microsoft Entra
• Transición a la nube