contoso en la nube de implementar la nube de microsoft...

Método de una organización global

ficticia, aunque representativa, para

implementar la nube de Microsoft

Contoso en la

nube de

Microsoft 1 2 3 4 5Este es el tema 1 de una serie de 6

Contoso Corporation

Organización mundial de Contoso

Elementos de la implementación de Contoso de la nube de Microsoft

Redes

Las redes incluyen conectividad con las

ofertas de la nube de Microsoft y ancho

de banda suficiente para soportar cargas

máximas. Algunos tipos de conectividad

se ofrecerán a través de conexiones de

Internet locales y otras a través de la

infraestructura de red privada de

Contoso.

Identidad

Contoso usa un bosque de Windows Server AD

para su proveedor de identidades interno y

también se federa con proveedores de terceros

para obtener clientes y partners. Contoso debe

aprovechar su conjunto de cuentas interno

para las ofertas de nube de Microsoft. El

acceso a aplicaciones basadas en la nube para

clientes y partners debe aprovechar también

los proveedores de identidades de terceros.

Seguridad

La seguridad de datos e identidades

basados en la nube debe incluir

protección de datos, administración de

privilegios administrativos,

reconocimiento de amenazas e

implementación de directivas de control

y seguridad de datos.

Administración

La administración de aplicaciones basadas

en la nube y las cargas de trabajo de SaaS

necesitarán la capacidad para mantener

opciones de configuración, datos,

cuentas, directivas y permisos, así como

para supervisar el estado y el rendimiento

continuos. Las herramientas de

administración del servidor existentes se

usarán para administrar máquinas

virtuales en IaaS de Azure.

Los arquitectos de TI de Contoso han identificado los siguientes elementos al planear la adopción de las ofertas de nube de Microsoft.

Identidad de nube de Microsoft

para arquitectos de empresa

Identidad de nube de Microsoft

para arquitectos de empresa

Microsoft Cloud Networking

para arquitectos profesionales



Seguridad en la nube de

Microsoft para arquitectos

profesionales

Seguridad en la nube de

Microsoft para arquitectos

profesionales

Las oficinas de Contoso en todo el mundo siguen un diseño de tres niveles.

Contoso Corporation es una empresa global con sede en París, Francia. Es una organización conglomerada de fabricación, ventas y soporte técnico con más de 100 000 productos.

Septiembre de 2016 © 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].

Oficinas satéliteHubs regionalesOficina centralOficina central

La sede de Contoso Corporation se

encuentra en unas grandes

instalaciones corporativas en las

afueras de París con decenas de

edificios de instalaciones

administrativas, de ingeniería y

fabricación. Todos los centros de

datos de Contoso y su presencia en

Internet se albergan en la sede de

París.

La sede cuenta con 15 000

empleados.

Las oficinas del hub regional sirven

a una región específica del mundo

con un 60 % del personal de ventas

y soporte técnico. Todos los hubs

están conectados a la sede de París

con un vínculo WAN de ancho de

banda alto.

Cada hub regional tiene un

promedio de 2000 trabajadores.

Las oficinas satélite hospedan un

80 % del personal de ventas

y soporte técnico, y proporcionan

presencia física e in situ para los

clientes de Contoso en ciudades

importantes o subregiones. Cada

oficina satélite está conectada a un

hub regional con un vínculo WAN de

ancho de banda alto.

Cada oficina satélite tiene un

promedio de 250 trabajadores.

El 25 % de la plantilla de

Contoso es

exclusivamente móvil,

con un porcentaje más

alto de trabajadores

exclusivamente móviles

en los hubs regionales

y las oficinas satélite.

Proporcionar soporte

técnico mejorado para

los trabajadores

exclusivamente móviles

es un objetivo

empresarial importante

para Contoso.

6

http://aka.ms/cloudarchidentity


http://aka.ms/cloudarchnetworking


http://aka.ms/cloudarchsecurity


mailto:[email protected]





Contoso en

la nube de

Microsoft

Infraestructura y necesidades de TI de Contoso

Asignación de las necesidades empresariales de Contoso a las ofertas de nube de Microsoft

Infraestructura de TI existente de Contoso

SaaSSoftware como servicio

PaaS de AzurePlataforma como servicio

IaaS de AzureInfraestructura como servicio

Contoso usa una infraestructura de TI local mayoritariamente centralizada, con centros de datos de

aplicaciones en la sede de París.

Contoso está en proceso de transición de una infraestructura de TI centralizada local a una infraestructura de nube

inclusiva que incorpora las cargas de trabajo de productividad del personal, las aplicaciones y los escenarios híbridos basados en la nube.

Necesidades empresariales de Contoso

Cumplir los requisitos normativos regionales

Para evitar multas y mantener buenas relaciones con

los gobiernos locales, Contoso debe garantizar el

cumplimiento de las normas de almacenamiento y

cifrado de datos.

1 Mejorar la administración de proveedores y

partners

La extranet de partners está quedando anticuada y

es cara de mantener. Contoso quiere reemplazarla

por una solución basada en la nube que use la

autenticación federada.

2 Mejorar la productividad de los empleados

móviles, la administración de dispositivos y el

acceso

El personal exclusivamente móvil de Contoso se

está expandiendo y se requiere la administración de

dispositivos para garantizar la protección de la

propiedad intelectual y un acceso más eficiente a los

recursos.

3

Reducir la infraestructura de acceso remoto

Al mover a la nube recursos a los que los

trabajadores remotos acceden con frecuencia,

Contoso ahorrará dinero gracias a la reducción de

los costos de mantenimiento

y soporte técnico de su solución de acceso remoto.

4 Reducir verticalmente los centros de datos

locales

Los centros de datos de Contoso contienen

cientos de servidores, algunos de los cuales

ejecutan funciones de archivo o heredadas que

desvían la atención del personal de TI del

mantenimiento de unas cargas de trabajo de alto

valor empresarial.

5 Escalar verticalmente los recursos informáticos

y de almacenamiento para el procesamiento

de fin de trimestre

El procesamiento de la contabilidad financiera de fin

de trimestre y la proyección, junto con la

administración del inventario, requiere aumentos a

corto plazo en servidores y almacenamiento.

6


InternetInternetRed perimetralRed perimetral

Extranet de

partners

Extranet de

partners

Acceso remoto/

proxy

Acceso remoto/

proxy

Sitio web públicoSitio web público

Trabajadores

remotos y

exclusivamente

móviles

Trabajadores

remotos y

exclusivamente

móviles

Firewall internoFirewall interno Firewall externoFirewall externo

En la red perimetral de Contoso, los

distintos conjuntos de servidores

proporcionan lo siguiente:

Acceso remoto al proxy web y a la

intranet de Contoso para los

trabajadores de la sede de París.

Hospedaje del sitio web público de

Contoso, desde el cual los clientes

pueden solicitar productos, piezas

o suministros.

Hospedaje de la extranet de partners de

Contoso para la colaboración

y comunicación de los partners.

Oficina centralOficina central

Centros de datos

de aplicaciones

Centros de datos

de aplicaciones

Trabajadores

locales

Trabajadores

locales

Office 365: aplicaciones de

productividad personal y de

grupo principales en la nube.

Dynamics 365: use la

administración de clientes y

proveedores basada en la

nube. Quite la extranet de

partners en la red perimetral.

Intune/EMS: administre

dispositivos iOS y Android.

Hospede sistemas de

información y documentos

de ventas y soporte técnico

mediante aplicaciones

basadas en la nube.

Las aplicaciones móviles

están basadas en la nube, en

lugar de en el centro de

datos de París.

Muevas los sistemas de archivo

y heredados a servidores basados

en la nube.

Migre las aplicaciones que se usan

poco fuera de los centros de datos

locales.

Agregue almacenamiento

y servidores temporales para

satisfacer las necesidades de

procesamiento de fin de trimestre.

2

1 3

3

3

3 4

5

5

6

5

1 2 3 4 5Este es el tema 2 de una serie de 6

6



Instalaciones de ParísInstalaciones de París

Hub regionalHub regional

Contoso en la

nube de

Microsoft

Redes

Infraestructura de red de Contoso

Para adoptar una infraestructura de nube inclusiva, los ingenieros de red de Contoso se dieron cuenta

del cambio fundamental en el modo en que el tráfico de red se desplaza a los servicios basados en la

nube. En lugar de optimizar solo el tráfico a los servidores y centros de datos locales, debe prestarse la

misma atención a la hora de optimizar el tráfico a la red perimetral de Internet y en Internet.




Infraestructura de aplicaciones

de Contoso

Contoso tiene la siguiente infraestructura de red.

Red local

Los vínculos WAN conectan la sede de París con las oficinas regionales, y las oficinas regionales con las oficinas satélite en una configuración radial.

Dentro de cada oficina, los enrutadores entregan el tráfico a los hosts o a los puntos de acceso inalámbrico en las subredes, que usan el espacio de direcciones IP privadas.

Conectividad de Internet

Cada oficina tiene su propia conectividad de Internet a través de un servidor proxy.

Suele implementarse como un vínculo WAN a un ISP local que también proporciona direcciones IP públicas para el servidor proxy.

Presencia de Internet

Contoso posee el nombre de dominio público contoso.com.

El sitio web público de Contoso para pedir productos es un conjunto de servidores en un centro de datos conectado a Internet en las instalaciones de París.

Contoso usa un intervalo de direcciones IP públicas /24 en Internet.

Servidores de

aplicaciones

regionales

Servidores de

aplicaciones

regionales

Centros de datos

de aplicaciones

centrales

Centros de datos

de aplicaciones

centrales

Oficina satéliteOficina satélite

Servidor de

almacenamiento

en caché

Servidor de

almacenamiento

en caché

Contoso ha diseñado su infraestructura de servidores

y aplicaciones para lo siguiente:

Las oficinas satélite usan servidores de almacenamiento

en caché locales para almacenar documentos y sitios web

internos a los que se accede frecuentemente.

Los hubs regionales usan servidores de aplicaciones

regionales para las oficinas regionales y satélite. Estos

servidores se sincronizan con los de la sede de París.

Las instalaciones de París tienen los centros de datos que

contienen los servidores de aplicaciones centralizados

que sirven a toda la organización.

Para los usuarios de oficinas de hubs regionales o satélite, el

60 % de los recursos que necesitan los empleados pueden

obtenerse de los servidores de oficinas de hubs regionales

o satélite. El 40 % adicional de solicitudes de recursos debe

realizarse a través del vínculo WAN en las instalaciones de

París.

60 %

100 %

Continúa en la página siguiente

1 2 3 4 5Este es el tema 3

de una serie de 66



http://aka.ms/tune

http://aka.ms/tune

http://aka.ms/expressrouteoffice365







Recursos de

redes en la nube

Uso de ExpressRoute por parte de ContosoExpressRoute es una conexión WAN dedicada desde su ubicación en una

ubicación de emparejamiento de Microsoft que conecta su red a la red en la

nube de Microsoft. Las conexiones de ExpressRoute proporcionan un

rendimiento predecible y un SLA de tiempo de actividad del 99,9 %.

Con una conexión de ExpressRoute, se conecta a la red en la nube de Microsoft

y a todas las ubicaciones de centros de datos de Microsoft del mismo

continente. El tráfico entre la ubicación de emparejamiento en la nube y el

centro de datos de Microsoft de destino se realiza a través de la red en la nube

de Microsoft.

Con ExpressRoute Premium, puede llegar a cualquier centro de datos de

Microsoft de cualquier continente y desde cualquier ubicación de

emparejamiento de Microsoft de cualquier continente. El tráfico entre

continentes se transmite a través de la red en la nube de Microsoft.

Optimizar los equipos de los empleados

para el acceso a Internet

Se comprobarán los equipos individuales para

garantizar que la pila de TCP/IP más reciente,el

explorador, los controladores NIC

y las actualizaciones de seguridad y del sistema

operativo estén instalados.

1 Analizar el uso de la conexión a Internet en

cada oficina y aumentarlo según sea

necesario

Se analizarán todas las oficinas para conocer el

uso actual de Internet y el ancho de banda del

vínculo WAN aumentará si funciona con un uso

del 70 % o superior.

2 Analizar los sistemas de red perimetral en

todas las oficinas para conseguir un

rendimiento óptimo

Se analizarán los firewall, los IDS y otros

sistemas de la ruta de acceso de Internet para

conseguir un rendimiento óptimo. Los

servidores proxy se actualizarán según sea

necesario.

3

Ruta de acceso de Contoso para la preparación de redes en la nube

Estos son los resultados del análisis de Contoso de los cambios necesarios en su red para

adaptarse a las diferentes categorías de ofertas de nube de Microsoft.

Una adopción satisfactoria de los servicios SaaS por parte de los usuarios depende de una conectividad a Internet (o directamente a los servicios en la nube de Microsoft) de alto rendimiento y disponibilidad.

En el caso de los usuarios móviles, se supone que disponen de un acceso a Internet adecuado.

Para los usuarios de la intranet de Contoso, cada oficina debe analizarse y optimizarse para la producción en Internet y los tiempos de retorno para el centro de datos europeo de Microsoft que hospeda los inquilinos de Office 365, EMS y Dynamics 365.

Ofertas de nube de SaaSOffice 365, EMS y Dynamics 365

Para mejorar el soporte técnico para los trabajadores móviles, las aplicaciones heredadas y algunos sitios de uso compartido de archivos se están rediseñando e implementando como aplicaciones PaaS de Azure. Para conseguir un rendimiento óptimo, Contoso planea implementar las nuevas aplicaciones de varios centros de datos de Azure en todo el mundo. Azure Traffic Manager envía solicitudes de aplicaciones cliente, tanto si provienen de un usuario móvil o de un equipo en la oficina, al centro de datos de Azure más cercano que hospeda la aplicación.

El departamento de TI deberá agregar rendimiento de aplicaciones PaaS y distribución del tráfico a su solución de supervisión del estado de la red.

PaaS de AzureAplicaciones móviles

Para mover algunos servidores heredados y de archivo fuera de las instalaciones de París y agregar servidores según sea necesario para el procesamiento de fin de trimestre, Contoso planea usar máquinas virtuales que se ejecutan en servicios de infraestructura de Azure.

Las redes virtuales de Azure que contienen estos servidores deben diseñarse para espacios de direcciones que no se superponen, enrutamiento y DNS integrado.

El departamento de TI debe incluir estos nuevos servidores en su sistema de administración y supervisión de la red.

IaaS de AzureCargas de trabajo basadas en servidor

Análisis de red de Contoso

De acuerdo con el análisis del tráfico actual y futuro para las ofertas de nube de Microsoft y sus

requisitos de alta calidad de servicio para las comunicaciones basadas en Skype, Contoso ha

realizado una evaluación de la red e implementado una conexión ExpressRoute Premium universal

(basada en MPLS) desde la sede de París para la ubicación de emparejamiento de Microsoft en

Europa.

Rendimiento constante del

personal de las instalaciones de

París para las aplicaciones SaaSCon 15 000 empleados en las instalaciones

de París que acceden simultáneamente a

Office 365, Intune y Dynamics 365,

Contoso quiere asegurarse de que dicho

acceso sea constante y no compita con el

tráfico de Internet regional.

Rendimiento coherente para la

administración de aplicaciones PaaS

de Azure distribuidasTodos de los desarrolladores de aplicaciones y los

administradores de TI de la infraestructura básica de

Contoso se encuentran en las instalaciones de París.

Con las aplicaciones PaaS de Azure distribuidas a

distintos centros de datos de Azure de todo el

mundo, Contoso necesita un rendimiento constante

en las instalaciones de París para administrar las

aplicaciones y sus recursos de almacenamiento, que

contienen TB de documentos.

Rendimiento constante para la

administración de servidores en IaaS

de Azure

Los administradores de centros de datos de

Contoso están en las instalaciones de París y los

servidores que deben implementarse en Azure

son una extensión del centro de datos de París.

Contoso necesita un rendimiento constante para

estos nuevos servidores a fin de tener acceso a

aplicaciones heredadas y al almacenamiento de

archivo, así como para el procesamiento de fin

de trimestre.

Agregar ExpressRoute Premium para las

instalaciones de París

Proporciona acceso constante a las ofertas de

nube de SaaS para los empleados de las

instalaciones París y la administración de cargas

de trabajo de PaaS e IaaS de Azure en todo el

mundo.

4 Crear y probar un perfil de Azure Traffic

Manager para aplicaciones PaaS

de Azure

Pruebe un perfil de Azure Traffic Manager que

use el método de enrutamiento del rendimiento

para obtener experiencia en la distribución de

tráfico de Internet

a ubicaciones regionales.

5 Reservar espacio de direcciones privadas

para redes virtuales de Azure

Según el número de servidores proyectados a

corto y largo plazo en IaaS de Azure, reserve el

espacio de direcciones privadas para las redes

virtuales de Azure

y sus subredes.

6

http://aka.ms/tune

Planes de red y ajuste del

rendimiento para Office 365

http://aka.ms/tune

Planes de red y ajuste del

rendimiento para Office 365ExpressRoute para Office 365


ExpressRoute para Office 365












http://aka.ms/tune

http://aka.ms/tune







Contoso en la

nube de

Microsoft

Identidad

Bosque de Windows Server AD de Contoso

Microsoft proporciona una Identidad como servicio (IDaaS) en sus ofertas de nube. Para adoptar una

infraestructura de nube inclusiva, la solución IDaaS de Contoso debe aprovechar su proveedor de

identidades local e incluir la autenticación federada con sus proveedores de identidades de terceros de

confianza existentes.




InternetInternetRed perimetralRed perimetral

Extranet de

partners

Extranet de

partners

Sitio web

público

Sitio web

público

Clientes y

partners

Clientes y

partners

Firewall externoFirewall externo

Infraestructura de autenticación federada de Contoso

AD FSAD FS

Contoso usa un único bosque de Windows Server Active Directory (AD) para contoso.com con siete dominios, uno para cada región del mundo. La sede, las

oficinas de hubs regionales y las oficinas satélite contienen controladores de dominio para la autenticación local y la autor ización.

Contoso quiere usar las cuentas y los grupos del bosque contoso.com para la autenticación y la autorización de sus aplicaciones y cargas de trabajo basadas

en la nube.

Contoso permite lo siguiente:

Que los clientes usen sus cuentas de Microsoft,

Facebook o Google Mail para iniciar sesión en su sitio

web público.

Que los proveedores y partners usen sus cuentas de

LinkedIn, Salesforce o Google Mail para iniciar sesión en

la extranet de partners.

Los servidores de los Servicios de federación de Active

Directory (AD FS) de la red perimetral autentican las

credenciales de cliente para el acceso al sitio web público

y las credenciales de partner para el acceso a la extranet de

partners.

Cuando Contoso realiza la transición de su sitio web público

a una aplicación web de Azure y de la extranet de partners

a Dynamics 365, su objetivo es seguir usando estos

proveedores de identidades de terceros para sus clientes

y partners.

Esto se logrará mediante la configuración de la federación

entre los inquilinos de Azure AD de Contoso y estos

proveedores de identidades de terceros.Continúa en la página siguiente


de una serie de 6 6



https://azure.microsoft.com/services/expressroute/




http://go.microsoft.com/fwlink/p/?LinkId=524282







Recursos de

identidad

de nube

Sincronización de directorios para el bosque de Windows Server AD de Contoso

Contoso ha implementado la herramienta Azure AD Connect en un

clúster de servidores en su centro de datos de París. Azure AD Connect

sincroniza los cambios en el bosque de Windows Server AD de

contoso.com con el inquilino de Azure AD compartido por Office 365,

EMS, Dynamics 365 y las suscripciones a Azure de Contoso. Para obtener

más información acerca de suscripciones, licencias, cuentas de usuario

e inquilinos, consulte el tema 5.

Contoso ha configurado la autenticación federada, que proporciona un

inicio de sesión único para los trabajadores de Contoso. Cuando un

usuario que ha iniciado sesión en el bosque de Windows Server AD de

contoso.com accede a un recurso de nube SaaS o PaaS de Microsoft,

no se le pide ninguna contraseña.

El tráfico de la sincronización de directorios se transmite a través de la

conexión ExpressRoute Premium desde las instalaciones de la sede hasta

la red en la nube de Microsoft.

Oficina regional 1 Oficina regional 2 Oficina regional 3

Arrendamien o

de Office 365

en Europa

Servidores de autenticación


Servidor de

Azure AD

Connect

Servidor de

Azure AD

Connect

Nube de Microsoft

ExpressRoute

Premium

ExpressRoute

Premium

Inquilino deAzure AD



Distribución geográfica del tráfico de autenticación de ContosoPara ofrecer mejor soporte a los empleados móviles y remotos, Contoso ha implementado conjuntos de servidores de autenticació n en sus oficinas regionales.

Esta infraestructura distribuye la carga y proporciona redundancia y un rendimiento superior al autenticar las credenciales d e usuario para acceder a las ofertas

de nube de Microsoft que usan el inquilino común de Azure AD.

Para distribuir la carga de las solicitudes de autenticación, Contoso ha configurado Azure Traffic Manager con un perfil que usa el método de enrutamiento del

rendimiento, que se refiere a la autenticación de clientes para el conjunto más próximo de servidores de autenticación de la región.

Redundancia de la infraestructura de autenticación de la sede en IaaS de Azure

Traffic ManagerTraffic Manager

5. El equipo cliente envía una solicitud de autenticación a un servidor proxy

de aplicación web, que reenvía la solicitud a un servidor de AD FS.

6. El servidor de AD FS solicita las credenciales de usuario desde el equipo

cliente.

7. El equipo cliente envía las credenciales de usuario sin preguntar al

usuario.

8. El servidor de AD FS valida las credenciales con un controlador de

dominio de Windows Server AD en la oficina regional y devuelve un token

de seguridad al equipo cliente.

9. El equipo cliente envía el token de seguridad a Office 365.

10. Tras la validación correcta, Office 365 almacena en caché el token de

seguridad y envía la página web solicitada en el paso 1 al equipo cliente.

1. El equipo cliente inicia la comunicación con una página web en el

arrendamiento de Office 365 en Europa (como sharepoint.contoso.com).

2. Office 365 devuelve una solicitud para enviar la prueba de la

autenticación. La solicitud contiene la dirección URL de contacto para la

autenticación.

3. El equipo cliente intenta resolver el nombre DNS de la dirección URL

en una dirección IP.

4. Azure Traffic Manager recibe la consulta DNS y responde al equipo

cliente con la dirección IP de un servidor de proxy de aplicación web en

la oficina regional más próxima al equipo cliente.

Ejemplo de proceso de autenticación:

Red perimetral

Servidores

proxy de

aplicaciones

web

Servidores

proxy de

aplicaciones

web

Servidores de

AD FS

Servidores de

AD FS

Oficina regional

Firewall internoFirewall interno

Controladores

de dominio de

Windows Server

AD

Controladores

de dominio de

Windows Server

AD

Solicitud de

autorización

Red perimetral

Servidores

proxy de

aplicaciones

web

Servidores

proxy de

aplicaciones

web

Servidores de

AD FS

Servidores de

AD FS


Centros de datos

de aplicaciones

centrales

Centros de datos

de aplicaciones

centrales

Firewall

interno

Firewall

interno

Red virtual

ExpressRoute

Premium

ExpressRoute

Premium

Servidores

proxy de

aplicaciones

web

Servidores

proxy de

aplicaciones

web

Servidores de

AD FS

Servidores de

AD FS



Para proporcionar redundancia para los trabajadores móviles y remotos de la sede de París

que tiene 15 000 trabajadores, Contoso ha implementado un segundo conjunto de servidores

proxy de aplicaciones y servidores de AD FS en IaaS de Azure.

Cuando los servidores de autenticación principales de la red perimetral de la sede dejan de

estar disponibles, el personal de TI cambia al conjunto redundante implementado en IaaS de

Azure. Las solicitudes de autenticación subsiguientes de equipos de la oficina de París usan el

conjunto de IaaS de Azure hasta que se corrige el problema de disponibilidad.

Para cambiar y revertir, Contoso actualiza el perfil

de Azure Traffic Manager de la región de París

para usar un conjunto diferente de direcciones IP

para los servidores proxy de aplicación web:

Si los servidores de autenticación de red

perimetral están disponibles, use las

direcciones IP de los servidores en la red

perimetral.

Si los servidores de autenticación de red

perimetral no están disponibles, use las

direcciones IP de los servidores de IaaS de

Azure.

http://go.microsoft.com/fwlink/p/?LinkId=524282http://go.microsoft.com/fwlink/p/?LinkId=524282

Infografía: administración de

identidad y acceso en la nube

http://go.Microsoft.com/fwlink/p/?LinkId=524281http://go.Microsoft.com/fwlink/p/?LinkId=524281

Synchronizing your directory with

Office 365 is easy

Equipo cliente

Puerta de

enlace

Puerta de

enlace

Identidad de nube de

Microsoft para arquitectos de

empresa


Identidad de nube de

Microsoft para arquitectos de

empresa














Contoso en la

nube de

Microsoft

Suscripciones, licencias y cuentas de usuario


Estructura de Contoso

Para proporcionar un uso coherente de las identidades y la facturación para todas las ofertas de nube, Microsoft ofrece una jerarquía de cuentas de organización, suscripciones, licencias y usuario.




Intune/EMS500 licenciasIntune/EMS500 licencias

Dynamics 365100 licencias

Dynamics 365100 licencias

Suscripciones

a Azure

regionales

Suscripciones

a Azure

regionales

Contoso Corporation



Office 365Office 365

Enterprise E3500 licencias

Cuentas de usuario sincronizadas desde el bosque de Windows

Server AD de contoso.com

Enterprise E5200 licencias

Suscripciones a Azure de Contoso Contoso ha diseñado la siguiente jerarquía para sus

suscripciones a Azure:

Contoso está en la parte superior, de acuerdo con su

Contrato Enterprise con Microsoft.

Existe un conjunto de cuentas correspondiente a las

diferentes regiones de Contoso Corporation en todo el

mundo, que se basa en los dominios del bosque de

Windows Server AD de Contoso.

En cada región, hay una o varias suscripciones según

las necesidades de desarrollo, pruebas e

implementación de la producción de la región.

Cada suscripción de Azure puede asociarse a un solo

inquilino de Azure AD que contenga cuentas de usuario y

grupos para la autenticación y la autorización para los

servicios de Azure. Las suscripciones de producción usan

el inquilino de Azure AD común de Contoso.

Organización

Entidad empresarial que usa las ofertas de nube de Microsoft, normalmente identificadas por un nombre de dominio DNS público, como contoso.com.

Suscripciones

Para las ofertas de nube de SaaS de Microsoft (Office 365, Intune/EMS y Dynamics 365), una suscripción es un producto específico y un conjunto de licencias de usuario adquirido.

Para Azure, una suscripción permite la facturación de los servicios en la nube consumidos a la organización.

Licencias

Para las ofertas de nube de SaaS de Microsoft, una licencia permite a una cuenta de usuario específica usar los servicios en la nube.

Para Azure, las licencias de software se incluyen en el precio del servicio, pero en algunos casos deberá adquirir licencias de software adicionales.

Cuentas de usuario

Las cuentas de usuario se almacenan en un inquilino de Azure AD y pueden sincronizarse desde un proveedor de identidades local como Windows Server AD.

Organización Contoso Corporation se identifica mediante su nombre de dominio público contoso.com.

Suscripciones y licencias Contoso Corporation usa lo siguiente:

Producto Office 365 Enterprise E3 con 500 licencias Producto Office 365 Enterprise E5 con 200 licencias Producto EMS con 500 licencias Producto Dynamics 365 con 100 licencias Varias suscripciones de Azure según las regiones

Cuentas de usuario Un inquilino común de Azure AD contiene la lista de cuentas de usuario y grupos que se usan en todas las suscripciones de Contoso, a excepción de las suscripciones de Azure para desarrollo y pruebas.

Para las ofertas de nube de SaaS, el inquilino es la ubicación regional que

hospeda los servidores que proporcionan servicios en la nube. Contoso ha

elegido la región europea para el hospedaje de sus inquilinos de Office 365,

EMS y Dynamics 365.

Los servicios y las aplicaciones PaaS de Azure y las cargas de trabajo de TI

de IaaS pueden tener un arrendamiento en cualquier centro de datos de

Azure del mundo.

Un inquilino de Azure AD es una instancia específica de Azure AD que

contiene cuentas y grupos. El inquilino de Azure AD común que contiene las

cuentas sincronizadas del bosque de Windows Server AD de Contoso

proporciona IDaaS en las ofertas de nube de Microsoft.

Suscripciones, licencias, cuentas e inquilinos para las ofertas de nube de MicrosoftSuscripciones, licencias, cuentas e inquilinos para las ofertas de nube de Microsoft

Inquilinos:

1 2 3 4 5Este es el tema 5 de una serie de 6

6

contoso.com

Suscripción a Azure y directrices de cuentasSuscripción a Azure y directrices de cuentas



https://www.microsoft.com/en-us/server-cloud/products/microsoft-intune/overview.aspx

https://www.microsoft.com/en-us/server-cloud/products/microsoft-intune/overview.aspx

https://www.microsoft.com/dynamics/default.aspx

https://www.microsoft.com/dynamics/default.aspx

https://products.office.com/en-us/business/get-latest-office-365-for-your-business-with-2016-visit-office

https://products.office.com/en-us/business/get-latest-office-365-for-your-business-with-2016-visit-office

https://technet.microsoft.com/library/mt765146.aspx

https://technet.microsoft.com/library/mt765146.aspx

https://azure.microsoft.com/documentation/articles/virtual-machines-linux-infrastructure-subscription-accounts-guidelines/

https://azure.microsoft.com/documentation/articles/virtual-machines-linux-infrastructure-subscription-accounts-guidelines/

Contoso en la

nube de

Microsoft

SeguridadContoso es serio en cuanto a la seguridad y la protección de su información. Al realizar la transición de

su infraestructura de TI a una de nube inclusiva, se aseguró de la compatibilidad y la implementación de

sus requisitos de seguridad locales en las ofertas de nube de Microsoft.




ACL para el acceso con

privilegios mínimos

Los permisos de cuenta para acceder a los recursos en la nube y lo que pueden hacer deben seguir las directrices de

privilegios mínimos.

Cifrado de datos en reposo

en la nubeTodos los datos almacenados en discos o en otros lugares en la nube deben estar en un formato cifrado.

Cifrado de tráfico a través

de Internet

Ningún dato enviado a través de Internet está en formato de texto sin formato. Use siempre conexiones HTTPS, IPsec u otros

métodos de cifrado de datos de un extremo a otro.

Autenticación sólida para

los recursos de la nubeSe debe autenticar el acceso a los recursos en la nube y, cuando sea posible, aprovechar la autenticación multifactor.

Requisitos de seguridad de Contoso en la nube

Clasificación de sensibilidad de datos de Contoso

Nivel 1: valor empresarial bajo

Los datos están cifrados y solo están disponibles

para los usuarios autenticados

Se proporciona para todos los datos almacenados de

forma local y en las cargas de trabajo y el

almacenamiento basado en la nube, como Office 365.

Los datos se cifran mientras residen en el servicio y en

tránsito entre el servicio y los dispositivos cliente.

Algunos ejemplos de datos de nivel 1 son las

comunicaciones empresariales normales (correo

electrónico) y los archivos de empleados

administrativos y de ventas y soporte técnico.

Nivel 2: valor empresarial medio

Características del nivel 1 más autenticación sólida y

protección contra la pérdida de datos

La autenticación sólida incluye autenticación

multifactor con validación de SMS. La prevención de

pérdida de datos garantiza que la información

confidencial o crítica no salga de la red local.

Algunos ejemplos de datos de nivel 2 son la

información jurídica y financiera y los datos de

investigación y desarrollo de nuevos productos.

Nivel 3: valor empresarial alto

Características del nivel 2 además de los niveles

más altos de cifrado, autenticación y auditoría

Los niveles más altos de cifrado de datos en reposo

y en la nube, conformes con la normativa regional,

combinados con autentificación multifactor con

tarjetas inteligentes, y auditoría y alertas

pormenorizadas.

Algunos ejemplos de datos de nivel 3 son la

información de identificación personal de clientes

y partners, las especificaciones de ingeniería de

productos y las técnicas de fabricación patentadas.

Kit de herramientas de clasificación de datosKit de herramientas de clasificación de datos

Con la información del kit de herramientas de clasificación de datos de Microsoft, Contoso realiza un análisis de sus datos

y determina los siguientes niveles.

Asignación de características y ofertas de nube de Microsoft a los niveles de datos de Contoso

HTTPS para todas las conexiones

Cifrado en reposo

Autenticación multifactor de

Azure AD (MFA) con SMS

Sistema Azure Rights

Management (RMS)

MFA de Azure AD con tarjetas

inteligentes

Acceso condicional de Intune




Admitir solo las conexiones

HTTPS

Cifrar archivos almacenados en

Azure

Usar Azure Key Vault para las

claves de cifrado

MFA de Azure AD con SMS

Azure RMS

MFA de Azure AD con tarjetas

inteligentes

Requerir HTTPS o IPsec para el

acceso al servidor

Azure Disk Encryption

MFA con SMS

MFA con tarjetas inteligentes


de una serie de 66

Continúa en la página siguiente

IaaS de AzurePaaS de AzureSaaS

https://msdn.microsoft.com/library/hh204743.aspx




http://aka.ms/securecustomermva


http://aka.ms/o365infoprotect





Recursos de

seguridad

de la nube

Directivas de información de Contoso

Optimizar las cuentas de administrador

para la nube

Contoso realizó una revisión exhaustiva de las

cuentas de administrador de Windows Server

AD existentes y estableció una serie de

grupos y cuentas de administrador de la

nube.

1 Realizar análisis de clasificación de

datos en tres niveles

Contoso realizó una revisión esmerada y

determinó los tres niveles, cosa que se usó

para determinar las características de la

oferta de nube de Microsoft para proteger

los datos más valiosos de Contoso.

2 Determinar las directivas de acceso,

retención y protección de la información

para los niveles de datos

Según los niveles de datos, Contoso

determinó los requisitos detallados, que se

usarán para calificar futuras cargas de

trabajo de TI que se muevan a la nube.

3

Ruta de acceso de Contoso para la preparación de la seguridad

Permitir el acceso a todo el

mundo

Permitir el acceso

a subcontratistas, partners

y empleados de Contoso

Usar MFA, TLS y MAM

Permitir el acceso a ejecutivos

y clientes potenciales de

ingeniería y fabricación

RMS con dispositivos de red

administrados solamente




6 meses

2 años

7 años

Usar cifrado

Usar valores hash para la integridad

de datos

Usar firmas digitales para evitar el

rechazo

Acceso Retención de datos Protección de la información

Curso Security in a Cloud-Enabled World

(Seguridad en un mundo habilitado para

la nube) de Microsoft Virtual Academy


Curso Security in a Cloud-Enabled World

(Seguridad en un mundo habilitado para

la nube) de Microsoft Virtual Academy

http://aka.ms/securecustomermvahttp://aka.ms/o365infoprotect

Protección de la información

para Office 365


Protección de la información

para Office 365Seguridad en la nube de Microsoft



Seguridad en la nube de Microsoft













contoso en la nube de implementar la nube de microsoft...

Documents