Sincronizar contraseñas de Directorio Activo con Office 365 / Azure

Los escenarios de configuración puede ser diversos, en muchos de ellos han ido pasando diferentes administradores con todo lo que ello conlleva. A continuación describiré un escenario simplificado habitual: un directorio activo bajo Windows Server (será necesario actualizar o migrar a 2012 R2 previamente) con un directorio heredado de la empresa con dominio «.local» que debemos sincronizar contraseñas con el correo de Office 365 en Azure.

Lo más habitual es que no todos los usuarios locales tengan cuenta de correo, la compartan, etc. aunque sea esta la tendencia actual en pequeñas empresas.

1.- Descargamos Microsoft Azure Active Directory Connect  y avanzamos en el asistente habitual

2.- En este caso solo vamos a sincronizar contraseñas:

3.- Introducimos las credenciales del usuario administrador de nuestra cuenta Office 365

4.- A continuación las de un usuario con permisos sobre el directorio activo local

5.- En el caso habitual nuestro nombre del directorio local no coincidirá con el del dominio, es posible utilizar para sincronizar otro campo, el más habitual la dirección de email de la cuenta del usuario en el directorio activo local.

6.- Utilizaremos la siguiente opción para filtrar y limitar la sincronización en ambas direcciones, crearemos un grupo llamado «CorreoNube» por ejemplo en el que incluimos los usuarios con cuentas en local y correo en Office 365 y pulsamos en Resolver para rellenar automáticamente la cadena

7.- Finalizamos el asistente y acaba la instalación.

En este punto aunque tengamos usuarios dentro del grupo y la sincronización activa y funcionando, no será posible iniciar sesión. En el paso 5 ya nos advertía que no había un dominio en local que fuera igual a los dominios validados en el panel de Office 365. Para corregirlo debemos añadir un nuevo sufijo UPN.

8.- Desde «Dominios y confianzas de Active Directory» pulsamos sobre las propiedades:

9.- Añadimos el nombre de nuestro dominio verificado de Office 365 en la lista, y seleccionamos en la cuenta del usuario:

10.- Ahora si ya podemos utilizar las credenciales en los servicios Cloud, en este caso Office/Outlook y en nuestro ordenador local. Podemos forzar la sincronización en ambos sentidos desde «Syncronization Service Manager»

 

Si algún usuario posee alias de correo electrónico, debes añadirlas a las propiedades de su cuenta del directorio para sincronizarlas igualmente. Recuerda puede demorar hasta 30 minutos, o puedes forzar a iniciar la sincronización.

 

 

Una nube pública segura

El boom alcanzado estos últimos años en los entornos cloud debe ir acompañado de las garantías de seguridad necesarias para el buen funcionamiento y seguridad de la información. Según la normativa ISO/IEC 27018:2014 deben cumplirse y garantizarse varias aspectos a tener en cuenta:

  • El cliente es quien controla sus datos: solo personas autorizadas tienen acceso a la información.
  • Transparencia: conocer donde están alojados los datos, así como cualquier otra tercera empresa que pudiera tener acceso a los data centers, por ejemplo en labores de mantenimiento. En caso de perdida, alteración o revelación de información debe informarse con al información detallada.
  • Alta seguridad: todos los empleados deben cumplir con la mayor confidencialidad asi como los medios técnicos de transmisión sobre redes públicas u otros medios de transporte
  • Tus datos no se usarán para publicidad
  • En caso de petición de un gobierno de acceso a los datos, este debe ser informado
Seguridad Cloud

PING desde Azure

Si ya dispones de máquinas en entornos Cloud habrás notado que en la plataforma de Azure al realizar un ping a una dirección externa, nunca hay respuesta. En efecto las conexiones ICMP están bloqueadas en este caso. En un entorno hibrido con servidores on-premise si es posible llegar a las máquinas locales, al encontrarse el conjunto (según configuración) dentro de la misma red híbrida.

Una manera de poder realizar una monitorización básica de máquinas sería a través de programas como TCPING, que añaden la posibilidad de realizar ping de forma similar pero mediante un puerto TCP, por ejemplo:

tcping.exe 8.8.8.8 53