Implementar un enfoque en el que lo primero es la nube

Es principalmente un proceso y una fase controlada por directivas para detener, o limitar tanto como sea posible, agregar nuevas dependencias a Active Directory Domain Services (AD DS) e implementar un enfoque primero en la nube para la nueva demanda de soluciones de TI.

Es clave en este punto identificar los procesos internos que darían lugar a agregar nuevas dependencias en AD DS. Por ejemplo, la mayoría de las organizaciones tendrían un proceso de administración de cambios que se debe seguir antes de la implementación de nuevos escenarios, características y soluciones. Se recomienda encarecidamente asegurarse de que estos procesos de aprobación de cambios se actualicen a:

• Incluya un paso para evaluar si el cambio propuesto agregaría nuevas dependencias en AD DS.
• Evalúe las alternativas de Microsoft Entra siempre que sea posible.

Atributos

Puedes enriquecer los atributos de usuario en Microsoft Entra ID para que haya más atributos de usuario disponibles para su inclusión. Algunos ejemplos de escenarios comunes que requieren atributos de usuario enriquecidos son:

• Aprovisionamiento de aplicaciones: el origen de datos del aprovisionamiento de aplicaciones es Microsoft Entra ID y los atributos de usuario necesarios deben estar allí.

• Autorización de aplicaciones: un token que emite Microsoft Entra ID puede incluir notificaciones que se generan a partir de atributos de usuario para que las aplicaciones puedan tomar decisiones de autorización que se basen en las notificaciones del token. También puede contener atributos procedentes de orígenes de datos externos a través de un proveedor de notificaciones personalizado.

• Rellenado y mantenimiento de pertenencias a grupos: los grupos de pertenencia dinámica permiten el relleno dinámico de grupos en función de los atributos de usuario, como la información del departamento.

Estos dos vínculos proporcionan instrucciones sobre cómo realizar cambios de esquema:

• Información sobre el esquema y las expresiones personalizadas de Microsoft Entra

• Atributos sincronizados por Microsoft Entra Connect

Estos vínculos proporcionan más información sobre este tema, pero no son específicos del cambio de esquema:

• Usar atributos de extensión de esquema de Microsoft Entra en notificaciones: plataforma de identidad de Microsoft

• ¿Qué son los atributos de seguridad personalizados en Microsoft Entra ID (versión preliminar)?

• Personalizar asignaciones de atributos de Microsoft Entra en el aprovisionamiento de aplicaciones

• Proporcionar notificaciones opcionales a las aplicaciones de Microsoft Entra: plataforma de identidad de Microsoft

• Aprovisionamiento de aplicaciones basado en atributos con filtros de ámbito o ¿Qué es la administración de derechos de Microsoft Entra (para el acceso a aplicaciones)

Grupos

Un enfoque primero en la nube para grupos implica la creación de nuevos grupos en la nube. Si los necesita de forma local, aprovisione grupos en Active Directory Domain Services (AD DS) mediante Microsoft Entra Cloud Sync. Convierta el origen de grupo de autoridad (SOA) de los grupos locales existentes para administrarlos desde Microsoft Entra.

Estos vínculos proporcionan más información sobre los grupos:

• Crear o editar un grupo dinámico y obtener del estado en Microsoft Entra ID

• Uso de grupos de autoservicio para la administración de grupos iniciada por el usuario

• Aprovisionamiento de aplicaciones basadas en atributos con filtros de ámbito o ¿Qué es la administración de derechos de Microsoft Entra? (para el acceso a aplicaciones)

• Comparación de grupos

• Restricción de los permisos de acceso de invitado en Microsoft Entra ID

Usuarios

Si hay usuarios de su organización que no tienen dependencias de aplicación en Active Directory, puede adoptar un enfoque primero en la nube mediante el aprovisionamiento de esos usuarios directamente en el identificador de Microsoft Entra. Si hay usuarios que no requieren acceso a Active Directory, pero tienen cuentas de Active Directory aprovisionadas para ellos, se puede cambiar su origen de autoridad, lo que le permite limpiar su cuenta de Active Directory.

Dispositivos

Las estaciones de trabajo cliente se unen tradicionalmente a Active Directory y se administran a través de objetos de directiva de grupo (GPO) o soluciones de administración de dispositivos, como Microsoft Configuration Manager. Los equipos establecerán una directiva y un proceso nuevos para evitar que las estaciones de trabajo recién implementadas se unan al dominio. Entre los puntos clave se incluyen:

• Exigir la unión a Microsoft Entra de las nuevas estaciones de trabajo cliente de Windows para lograr que "no haya más uniones a un dominio".

• Administrar las estaciones de trabajo desde la nube mediante el uso de soluciones de administración unificada de puntos de conexión (UEM), como Intune.

Windows Autopilot puede ayudarle a establecer una incorporación y un aprovisionamiento de dispositivos simplificados, que pueden exigir estas directivas.

Windows Local Administrator Password Solution (LAPS) permite que una solución en la nube administre las contraseñas de las cuentas de administrador local.

Para obtener más información, consulta Más información sobre puntos de conexión nativos de nube.

APLICACIONES

Tradicionalmente, los servidores de aplicaciones suelen unirse a un dominio de Active Directory local para que puedan usar la autenticación integrada de Windows (Kerberos o NTLM), las consultas de directorio con LDAP y la administración de servidores a través de GPO o Microsoft Configuration Manager.

La organización consta de un proceso para evaluar las alternativas de Microsoft Entra cuando se consideran nuevos servicios, aplicaciones o infraestructura. Las directivas para un enfoque "primero en la nube" para las aplicaciones deben ser las siguientes. (Cuando no exista ninguna alternativa moderna, las nuevas aplicaciones locales o las aplicaciones heredadas deben ser una excepción poco frecuente).

• Proporcione una recomendación para cambiar la directiva de adquisición y la directiva de desarrollo de aplicaciones para exigir protocolos modernos (OIDC o OAuth2 y SAML) y autenticarse mediante Microsoft Entra ID. Las nuevas aplicaciones también deben admitir el aprovisionamiento de aplicaciones de Microsoft Entra y no tienen ninguna dependencia de las consultas LDAP. Para las excepciones se requiere revisión y aprobación explícitas.

  Importante

  En función de las demandas previstas de las aplicaciones que requieren protocolos heredados, puede optar por implementar Microsoft Entra Domain Services cuando no funcionen las alternativas más actuales.

• Proporcione una recomendación para crear una directiva que clasifique por orden de prioridad el uso de alternativas nativas de nube. La directiva debe limitar la implementación de nuevos servidores de aplicaciones en el dominio. Entre los escenarios comunes nativos de la nube para reemplazar los servidores miembros de dominio se incluyen:

  • Servidores de archivos:

    • SharePoint o OneDrive proporcionan compatibilidad con la colaboración en soluciones de Microsoft 365, así como gobernanza, riesgo, seguridad y cumplimiento integrados.

    • Azure Files ofrece recursos compartidos de archivos en la nube totalmente administrados, a los que se puede acceder mediante el protocolo SMB o NFS estándar de la industria. Los clientes pueden usar la autenticación nativa de Microsoft Entra para Azure Files a través de Internet sin línea de visión a un controlador de dominio.

    • Microsoft Entra ID funciona con aplicaciones de terceros de la galería de aplicaciones de Microsoft.

  • Servidores de impresión:

    • Si su organización tiene el mandato de adquirir impresoras compatibles con la impresión universal, consulte Integraciones de asociados.

    • Puente con el conector de impresión universal para impresoras incompatibles.

Pasos siguientes

• Introducción
• Posición de la transformación a la nube
• Establecer una superficie de Microsoft Entra
• Transición a la nube