Posición de la transformación a la nube
Active Directory, Microsoft Entra ID y otras herramientas de Microsoft constituyen el núcleo de la Administración de identidad y acceso (IAM). Por ejemplo, Active Directory Domain Services (AD DS) y Microsoft Configuration Manager proporcionan la administración de dispositivos en Active Directory. En Microsoft Entra ID, Intune proporciona la misma funcionalidad.
Como parte de la mayoría de las iniciativas de modernización, migración o Confianza cero, las organizaciones cambian las actividades de IAM y, en vez de usar soluciones locales o soluciones de infraestructura como servicio (IaaS), usan soluciones integradas para la nube. En el caso de los entornos de TI con productos y servicios de Microsoft, Active Directory y Microsoft Entra ID desempeñan un papel importante.
Muchas empresas que migran de Active Directory a Microsoft Entra ID comienzan con un entorno similar al del diagrama siguiente. En el diagrama se superponen tres pilares:
Aplicaciones: incluye las aplicaciones, los recursos y sus servidores unidos a un dominio subyacentes.
Dispositivos: se centra en los dispositivos cliente unidos a un dominio.
Usuarios y grupos: representa identidades y atributos humanos y de carga de trabajo para el acceso a recursos y la pertenencia a grupos para la gobernanza y la creación de directivas.
Microsoft ha modelado cinco estados de transformación que normalmente se alinean con los objetivos empresariales de los clientes. Los objetivos de los clientes maduran, por lo que es habitual que pasen de un estado al siguiente a un ritmo que se adapta tanto a sus recursos como a su cultura.
Los cinco estados tienen criterios de salida para ayudarle a determinar dónde reside su entorno en la actualidad. Algunos proyectos, como la migración de aplicaciones, abarcan los cinco estados. Otros proyectos abarcan un único estado.
A continuación, el contenido proporciona instrucciones más detalladas organizadas de tal forma que ayudan con cambios intencionados en personas, procesos y tecnología. Las instrucciones pueden ayudarle a:
Establecer una superficie de Microsoft Entra.
Implementar un enfoque de tipo "primero en la nube".
Iniciar la migración fuera del entorno de Active Directory.
Las instrucciones están organizadas por administración de usuarios, administración de dispositivos y administración de aplicaciones, según los pilares indicados anteriormente.
Las organizaciones que se forman en Microsoft Entra, en lugar de Active Directory, no tienen el entorno local heredado al que deben enfrentarse las organizaciones más establecidas. Tanto ellas como los clientes que vuelven a crear todo su entorno de TI en la nube pueden girar completamente en torno a la nube en cuanto se establezca el nuevo entorno de TI.
Los clientes que tienen una funcionalidad de TI local establecida, el proceso de transformación presenta una complejidad que requiere una meticulosa planeación. Además, dado que Active Directory y Microsoft Entra ID son productos independientes destinados a entornos de TI diferentes, no tienen características similares. Por ejemplo, Microsoft Entra ID no tiene la noción de confianzas de dominio y de bosque de Active Directory.
Cinco estados de transformación
En las organizaciones empresariales, la transformación de IAM, o incluso la transformación de Active Directory en Microsoft Entra ID, suele ser una labor de varios años con varios estados. Analice el entorno para determinar el estado actual y, después, establezca un objetivo para el siguiente estado. Dicho objetivo puede eliminar completamente la necesidad de Active Directory, o bien usted puede decidir no migrar parte de la funcionalidad a Microsoft Entra ID y dejarla en el entorno local.
Los estados agrupan iniciativas de forma lógica en proyectos, con el fin de completar una transformación. Durante las transiciones de estado, se ponen en práctica soluciones provisionales. Estas soluciones permiten que el entorno de TI admita operaciones de IAM tanto en Active Directory como en Microsoft Entra ID. Además, deben habilitar los dos entornos para interoperar.
En el diagrama siguiente, se muestran los cinco estados:
Nota:
Los estados de este diagrama representan una progresión lógica de la transformación en la nube. La capacidad de pasar de un estado al siguiente depende de la funcionalidad que haya implementado y de las capacidades de esa funcionalidad para moverse a la nube.
Estado 1: conectado a la nube
En el estado "conectado a la nube", las organizaciones han creado un inquilino de Microsoft Entra para habilitar las herramientas de productividad y colaboración de los usuarios. El inquilino está totalmente operativo.
La mayoría de las empresas que usan productos y servicios de Microsoft en su entorno de TI ya están en este estado, o incluso lo han superado. En este estado, los costos operativos pueden ser elevados, ya que hay un entorno local y un entorno en la nube que deben mantenerse y ser interactivos. Las personas deben tener experiencia en ambos entornos para dar soporte a sus usuarios y a la organización.
En este estado:
- Los dispositivos se unen a Active Directory y se administran a través de directiva de grupo o herramientas de administración de dispositivos locales.
- Los usuarios se administran en Active Directory, se aprovisionan mediante sistemas de administración de identidades (IDM) locales y se sincronizan con Microsoft Entra ID a través de Microsoft Entra Connect.
- Las aplicaciones se autentican en Active Directory y en servidores de federación como Servicios de federación de Active Directory (AD FS) a través de una herramienta de administración de acceso web (WAM), Microsoft 365 u otras herramientas, como SiteMinder y Oracle Access Manager.
Estado 2: híbrido
En el estado híbrido, las organizaciones empiezan a mejorar su entorno local a través de las funcionalidades de la nube. Se pueden planear soluciones que reduzcan la complejidad, aumenten la posición de seguridad y reduzcan la superficie del entorno local.
Durante la transición y mientras funcionen en este estado, las organizaciones aumentan sus habilidades y conocimientos con Microsoft Entra ID para soluciones de IAM. Dado que tanto las cuentas de usuario como los dispositivos conectados son relativamente fáciles y forman parte común de las operaciones de TI diarias, este es el enfoque que han usado la mayoría de las organizaciones.
En este estado:
Los clientes Windows tienen una unión híbrida a Microsoft Entra.
Las plataformas basadas en software como servicio (SaaS) que no son de Microsoft comienzan a integrarse con Microsoft Entra ID. Algunos ejemplos son Salesforce y ServiceNow.
Las aplicaciones heredadas se autentican en Microsoft Entra ID a través de Application Proxy o de soluciones de asociados que ofrecen acceso híbrido seguro.
Están habilitados tanto el autoservicio de restablecimiento de contraseña (SSPR) como la protección mediante contraseña.
Algunas aplicaciones heredadas se autentican en la nube a través de Microsoft Entra Domain Services y Application Proxy.
Estado 3: primero en la nube
En el estado "primero en la nube", los equipos de la organización crean un registro de seguimiento de las cosas que funcionan y empiezan a planear el traslado de cargas de trabajo más difíciles a Microsoft Entra ID. Normalmente, este estado es en el que más tiempo suelen estar las organizaciones. A medida que la complejidad, el número de cargas de trabajo y el uso de Active Directory crecen con el tiempo, una organización debe aumentar su esfuerzo y su número de iniciativas para cambiar a la nube.
En este estado:
- Los nuevos clientes Windows se unen a Microsoft Entra ID y se administran a través de Intune.
- Los conectores de ECMA se usan para aprovisionar usuarios y grupos para aplicaciones locales.
- Todas las aplicaciones que antes usaban un proveedor de identidades federado integrado en AD DS, como AD FS, se actualizan para que usen Microsoft Entra ID para la autenticación. Si usaba la autenticación con contraseña a través de ese proveedor de identidades para Microsoft Entra ID, se migra a la sincronización de hash de contraseña.
- Se desarrollan planes para cambiar los servicios de archivo y de impresión a Microsoft Entra ID.
- Microsoft Entra ID proporciona una funcionalidad de colaboración de negocio a negocio (B2B).
- Los nuevos grupos se crean y administran en Microsoft Entra ID.
Estado 4: Active Directory minimizado
Microsoft Entra ID proporciona la mayor parte de la funcionalidad de IAM, mientras que los casos perimetrales y las excepciones siguen usando la instancia local de Active Directory. Un estado de minimización de Active Directory es más difícil de lograr, especialmente para las organizaciones más grandes que tienen una deuda técnica local significativa.
Microsoft Entra ID sigue evolucionando a medida que madura la transformación de la organización, e incorpora nuevas características y herramientas que puede usar. Las organizaciones deben dejar de usar funcionalidades o crear otras nuevas que las reemplacen.
En este estado:
Los nuevos usuarios aprovisionados con la funcionalidad de aprovisionamiento de RR. HH. se crean directamente en Microsoft Entra ID.
Se ejecuta un plan para mover aplicaciones que dependen de Active Directory y que forman parte de la visión del estado futuro del entorno de Microsoft Entra. Se ha implementado un plan para reemplazar los servicios que no se van a mover (servicios de archivo, de impresión o de fax).
Las cargas de trabajo locales se han reemplazado por alternativas en la nube, como Windows Virtual Desktop, Azure Files o Universal Print. Azure SQL Managed Instance reemplaza a SQL Server.
Estado 5: 100 % nube
En el estado "100 % nube", Microsoft Entra ID y otras herramientas de Azure proporcionan toda la funcionalidad de IAM. Este estado es la aspiración a largo plazo de muchas organizaciones.
En este estado:
No se requiere ninguna superficie de IAM local.
Todos los dispositivos se administran en Microsoft Entra ID y otras soluciones en la nube, como Intune.
El ciclo de vida de la identidad de los usuarios se administra a través de Microsoft Entra ID.
Todos los usuarios y grupos son nativos de la nube.
Se reubican los servicios de red que usan Active Directory.
Analogía de transformación
La transformación entre los estados es una operación similar a la de mover ubicaciones:
Establecer una nueva ubicación: se compra el destino y se establece la conectividad entre la ubicación actual y la nueva. Estas actividades le permiten mantener su productividad y capacidad de operar. Para obtener más información, consulte Establecer una superficie de Microsoft Entra. Los resultados le pasan al estado 2.
Limitar los nuevos elementos en la ubicación antigua: deje de invertir en la ubicación antigua y establezca una directiva para agregar al "stage" nuevos elementos en la nueva ubicación. Para más información, consulte Implementación de un enfoque primero en la nube. Estas actividades establecen la base para migrar a escala y alcanzar el estado 3.
Mover los elementos existentes a una nueva ubicación: los elementos se mueven de la ubicación anterior a la nueva. Evalúe el valor empresarial de los elementos para determinar si los va a mover tal cual, a actualizar, a reemplazar o a dejar en desuso. Para más información, consulte Transición a la nube.
Estas actividades le permiten completar el estado 3 y alcanzar los estados 4 y 5. En función de los objetivos empresariales, decida a qué estado final desea llegar.
La transformación en la nube no solo es responsabilidad del equipo de identidades. La organización necesita coordinación entre equipos para definir directivas que incluyan cambios de personas y procesos, junto con la tecnología. El uso de un enfoque coordinado ayuda a garantizar un progreso constante y reduce el riesgo de regresar a soluciones locales. Implique a los equipos que administran:
- Dispositivos o puntos de conexión
- Redes
- Seguridad/riesgo
- Propietarios de la aplicación
- Recursos humanos
- Colaboración
- Adquisiciones
- Operations
Recorrido de alto nivel
Cuando las organizaciones inician una migración de IAM a Microsoft Entra ID, deben determinar la prioridad de los trabajos en función de sus necesidades específicas. El personal de operaciones y el personal de soporte técnico deben formarse para realizar sus trabajos en el nuevo entorno. En el gráfico siguiente se muestra en líneas generales el recorrido para la migración de Active Directory a Microsoft Entra ID:
Establecimiento de la superficie de Microsoft Entra: inicialice el nuevo inquilino de Microsoft Entra para sustentar la visión de la implementación final. Adopte un enfoque de Confianza cero y un modelo de seguridad que ayude a proteger al inquilino de los peligros de un entorno local al principio del recorrido.
Implementación de un enfoque "primero en la nube": establezca una directiva que exija que todos los nuevos dispositivos, aplicaciones y servicios usen en primer lugar la nube. Las nuevas aplicaciones y servicios que usan protocolos heredados (por ejemplo, NTLM, Kerberos o LDAP) solo deben ser la excepción.
Transición a la nube: aleje la administración e integración de usuarios, aplicaciones y dispositivos del entorno local y llévelos a alternativas en las que la nube sea lo primero. Optimice el aprovisionamiento de usuarios aprovechando la funcionalidad de aprovisionamiento del enfoque de "primero en la nube" que se integra con Microsoft Entra ID.
La transformación cambia no solo la forma en que los usuarios realizan las tareas, sino también la forma en que los equipos de soporte técnico proporcionan soporte al usuario. La organización debe diseñar e implementar iniciativas o proyectos de forma que minimice el impacto en la productividad del usuario.
Como parte de la transformación, la organización presenta funcionalidades de IAM de autoservicio. Algunas partes de la fuerza de trabajo se adaptan más fácilmente al entorno de usuario de autoservicio, que es el que prevalece en las empresas basadas en la nube.
Las aplicaciones antiguas pueden requerir cierta actualización o reemplazo para funcionar bien en entornos de TI basados en la nube. Las actualizaciones o reemplazos de aplicaciones pueden ser caros y lentos. La planeación y otras agregaciones al "stage" también deben tener en cuenta la antigüedad y la capacidad de las aplicaciones que usa una organización.