¿Qué es Azure Active Directory?

¿Qué es Azure Active Directory?

  • 10 minutos

Aunque comparten un nombre similar, Azure AD no es una versión en la nube de Windows Server Active Directory. Tampoco está pensada como una sustitución completa de una instancia de Active Directory local. En su lugar, si ya usa un servidor de Windows AD, puede conectarlo a Azure AD para ampliar el directorio a Azure. Este método permite a los usuarios utilizar las mismas credenciales para tener acceso a los recursos tanto locales y como basados en la nube.

Arte conceptual que muestra el control de recursos de Windows AD y Azure AD

Azure AD también se puede usar independientemente de Windows AD. Las empresas más pequeñas pueden recurrir a Azure AD como único servicio de directorio, y usarlo para controlar el acceso a sus aplicaciones y productos SaaS como Microsoft 365, Salesforce y Dropbox.

 Nota

Tenga en cuenta que este método no proporciona un modelo administrativo completamente centralizado (por ejemplo, los equipos locales de Windows se autenticarán con credenciales locales), pero se pueden escribir aplicaciones para que usen Azure AD y, así, facilitar técnicas de autenticación y autorización que se puedan administrar en un solo lugar.

Directorios, suscripciones y usuarios

Microsoft cuenta actualmente con varias ofertas basadas en la nube, y todas ellas pueden usar Azure AD para identificar usuarios y controlar el acceso.

  • Microsoft Azure
  • Microsoft 365
  • Microsoft Intune
  • Microsoft Dynamics 365

Cuando una empresa u organización se suscribe para hacer uso de una de estas ofertas, se le asigna un directorio predeterminado, que es una instancia de Azure AD. Este directorio contiene los usuarios y grupos que tendrán acceso a cada uno de los servicios a los que se haya suscrito la empresa. Este directorio predeterminado se conoce a veces como inquilino. Un inquilino representa la organización y el directorio predeterminado asignado.

Las suscripciones en Azure son al mismo tiempo una entidad de facturación y un límite de seguridad. Los recursos, como las máquinas virtuales, los sitios web y las bases de datos, siempre se asocian a una sola suscripción. Cada suscripción tiene también un solo propietario de cuenta, que es responsable de los cargos en los que incurren los recursos de esa suscripción. Si su organización quiere que la suscripción se facture a otra cuenta, se puede transferir la propiedad de la suscripción. Una suscripción determinada también está asociada a un único directorio de Azure AD. Varias suscripciones pueden confiar en el mismo directorio, pero una suscripción confía solo en un único directorio.

Se pueden agregar usuarios y grupos a varias suscripciones, lo que permite al usuario crear y controlar los recursos de la suscripción, además de acceder a ellos. Al agregar un usuario a una suscripción, este debe conocerse en el directorio asociado, tal y como se muestra en la siguiente imagen.

Arte conceptual que muestra usuarios, directorios y suscripciones en Azure

Si pertenece a varios directorios, puede cambiar el directorio actual en el que esté trabajando con el botón Directorio + Suscripción del encabezado de Azure Portal.

Captura de pantalla que muestra el cuadro de diálogo Selección de directorio en Azure Portal

Aquí también puede decidir cómo se selecciona el directorio predeterminado: por última visita o por directorio específico. También puede establecer un filtro predeterminado de las suscripciones que se muestran. Esto resulta útil si tiene acceso a varias suscripciones, pero solo suele trabajar en unas cuantas.

Creación de un directorio

Una organización (inquilino) siempre tiene un directorio de Azure AD predeterminado al que está asociada, pero los propietarios pueden crear más directorios para dar cabida a tareas de desarrollo o pruebas, o bien porque se quiera tener directorios independientes para sincronizar con los bosques de Windows Server AD locales.

 Importante

Aquí se muestran los pasos para crear un directorio, aunque esta opción no estará disponible a menos que sea propietario de su cuenta de Azure. El espacio aislado de Azure no permite crear directorios de Azure AD.

  1. Inicie sesión en Azure Portal .
  2. Seleccione Crear un recurso en la barra lateral izquierda, Identidad en Azure Marketplace y, luego, Azure Active Directory en la lista.
  3. Elija un nombre para el directorio que le ayude a distinguirlo de los otros directorios. Si el directorio que está creando se va a usar en producción, elija un nombre que los usuarios reconozcan, como el nombre de su organización. Si quiere, puede cambiar el nombre posteriormente.
  4. Escriba el nombre de dominio asociado a él. Azure no debe conocer el dominio, o se producirá un error de validación. El nombre de dominio predeterminado siempre tendrá el sufijo .onmicrosoft.com. Aunque este dominio predeterminado no se puede cambiar, más adelante puede agregar un dominio personalizado que pertenezca a su organización para que los usuarios definidos puedan usar un correo electrónico de empresa tradicional, como john@contoso.com.
  5. Seleccione el país en el que debe residir el directorio. Esto identificará la región y el centro de datos donde residirá la instancia de Azure AD, y no se podrá cambiar más adelante.
Back to top