Post on 11-Jul-2020
Optimizar el acceso Remoto a las aplicaciones empresariales utilizando AAD y Azure WAF
Rene Antón
Consultor
Synergy Advisors
Cristian Mora
CEO & Fundador
Synergy Advisors
RemoteWork@synergyadvisors.biz
Agenda• El Reto
• Estrategia de optimización del acceso remoto• Visión general• VPN• Proxy reverso• Un complemento: Web App Firewall• ¡DEMOS!
• Analítica de identidad y Acceso perimetral
• Próximas sesiones
• Próximos pasos• Talleres 1:1 y Aplicación
• Apéndice
El Reto
El Reto• Proporcionar una solución moderna de acceso remoto a la
empresa que pueda facilitar lo siguiente:
Experiencia del usuario
•Una experiencia de usuario final perfecta y segura
Administración simplificada
•Configuración de servicios para actividades de operaciones optimizadas
Infraestructura optimizada
•Servicios de ciclo de vida de autenticación e identidad centralizados, fáciles de escalar y altamente redundantes
Seguridad por Defecto
•Acceso condicional basado en el riesgo
•Bloqueo de la cuenta de administración
El Reto
Protocolos de Legado
•RADIUS
•Conexión de LDAP con AAD
Experiencia Desarticulada
•Experiencia de acceso separada para VPN y luego acceso a las aplicaciones
•El proxy reverso puede solicitar el acceso a SaaS y a otras aplicaciones internas como acceso "no compartido" en mente en el proceso de autenticación
Seguridad
•Falta una línea de base de seguridad consistente a lo largo de los diferentes accesos a
•En las instalaciones
•VPN
•Proxy•SaaS
•O365
Registro y análisis
•Registro descentralizado
El Reto
Acceso Remoto optimizado a las aplicaciones empresariales
Visión general
Acceso optimizado a las aplicaciones empresariales - Descripción general
Exp
erie
nci
a U
suar
io •Estandarizar la experiencia de inicio de sesión del usuario
Ad
min
istr
ació
n s
imp
lific
ada •Política
centralizada para el control de acceso granular [Valores predeterminados seguros / Acceso condicional AADP]
Infr
aest
ruct
ura
op
tim
izad
a •La identidad como un servicio
•SAML
•WIA
•Paso a través de
•Plataforma de nubes escalable
•Autenticación de usuario redundante con recursos mínimos en las instalaciones
Ase
gura
do
po
r d
efec
to
•Acceso condicional basado en el riesgo
•Gestión optimizada de la plataforma mediante el bloqueo del usuario administrador
•Protección de la identidad híbrida
•Protección de la contraseña
Situación Actual [O365]
Red corporativa
(en premisas)
DirectoriosAdicionales
/Bases de datos
Multiples Directorios
Nube de MicrosoftMicrosoft Azure Active Directory
Multiple IdP
Situación Actual [O365]
ADDS
Red corporativa(En Premises)
Nube de MicrosoftMicrosoft Azure Active Directory
ADFS STS/IdP
Identidad Híbrida
Synchronization
AdditionalDirectories/Databases
Sincronización vía AAD Connect
- Usuarios / Contactos- Grupos- Dispositivos- Claves/SSO (Opcional)
Federation vía AD FS or others
- SSO
Red corporativa/ En Premisas
Microsoft Azure
Active Directory
Premium
Acceso optimizado a las aplicaciones empresariales
- Visión general de AAD
VPN / Proxy Reverso
AADP/AAD B2C / Azure ADDS – El Universo IdP
AADP / AAD B2C/ Azure ADDS
Interno
Socios (B2B)
Clientes (B2C)
Federación (SAML/OAUTH)
Autenticación Integrada de Windows (WIA)
Otras Aplicaciones/Mobile (ADAL/MSAL)
Autenticación Multi-Factor (MFA)
Acceso condicional (CA)
Protección de la identidad (AI/ML)
Integración de la carga de trabajo adicional (Devices,Apps, CASB)
Personas
Plataforma
Acceso ySeguridad
Otros/Via Sync (MIM)
Protección de claves (Password Protection)Acceso seguro a las aplicaciones en Premisas (AD App Proxy)
Optimice el acceso a sus aplicaciones de negocio – Etapas
Inic
iar •Migración de aplicaciones SaaS a
AAD•Optimización de acceso VPN
utilizando AAD•Acceso basado en políticas de
O365 y SaaS (Secure Predeterminada)
•Optimización de recursos de identidad en premisas (Remoción de ADFS)
•Redundancia de identidad híbrida (AAD PTA/PHS)
•Autenticación con múltiple factor (Seguridad Predeterminada/ AADP MFA)
Ava
nza
r •Cambio de contraseña desde cualquier lugar (AADP SSPR)•Acceso optimizado a aplicaciones
en premisas (AADP App Proxy)•Colaboración segura con entes
externos (AAD B2B)
•Acceso condicional basado en políticas(AADP CA)
•Integración de aplicaciones critica de negocio y móviles con AAD (MSAL/ADAL)•Protección avanzado de
credenciales (AADP PasswordProtection)
•Protección de aplicaciones Web (Azure WAF)
Esta
ble
cer •Integración de aplicaciones para
clientes (AAD B2C)•Acceso condicional basado en
riesgo (AAD CA w/ ID Protection)•Autenticación sin contraseña
•Windows Hello (WH4B)
•FIDO2 (Keys)
•Protección avanzada de identidades en premisas (Azure Advanced Thread Protection)
•Protección avanzada de sesiones en aplicativos (Integración con AAD / MCAS)•Gestión de cuentas con
administrativas con altos privilegios (AADP PIM)
FuncionalMigración de aplicaciones SaaS a AAD
Optimización de acceso VPN utilizando AAD
Redundancia de identidad híbrida (AAD PTA/PHS)
Optimización de recursos de identidad en premisas (Remoción de
ADFS)
Acceso optimizado a aplicaciones en premisas (AADP App Proxy)
Colaboración segura con entes externos (AAD B2B)
Integración de aplicaciones critica de negocio y móviles con AAD (ADAL,
MSAL)
Autenticación sin contraseña : Windows Hello (WH4B)
Autenticación sin contraseña : FIDO2 (Keys)
Optimice el acceso a sus aplicaciones de negocio – Etapas [Funcional vs Seguridad]
Iniciar Avanzar Establecer
SeguridadAcceso basado en políticas de
O365 y SaaS (Seguridad Predeterminada)
Autenticación con múltiple factor (Seguridad
Predeterminada/ AADP MFA)
Cambio de contraseña desde cualquier lugar (AADP SSPR)
Acceso condicional basado en políticas(AAD CA) Protección avanzado de credenciales (AAD
Password Protection)
Protección de aplicaciones Web (Azure WAF)
Acceso condicional basado en riesgo (AAD CA + AAD ID Protection)
Protección avanzada de identidades en premisas (Azure Advanced Thread
Protection) Protección avanzada de sesiones en aplicativos
(Integración con AAD / MCAS)
O365 AAD
Migración de aplicaciones SaaS a AAD
Optimización de acceso VPN utilizando AAD
Acceso basado en políticas de O365 y SaaS (Secure Predeterminada)
Optimización de recursos de identidad en premisas (Remoción de ADFS)
Redundancia de identidad híbrida (AAD PTA/PHS)
Strong authentication (Seguridad Predeterminada )
Colaboración segura con entes externos (AAD B2B)
Integración de aplicaciones critica de negocio y móviles con AAD(MSAL/ADAL)
Autenticación sin contraseñausing Windows Hello (WH4B)
FIDO2 (Keys)
Optimice el acceso a sus aplicaciones de negocio– [Suscripciones] y Otros productos *
Iniciar Avanzar Establecer
AADP P1 Strong authentication (AADP MFA)
Acceso optimizado a aplicaciones en premisas (AADP App Proxy)
Cambio de contraseña desde cualquier lugar (AADP SSPR)
Acceso condicional basado en políticas(AAD CA)
Protección avanzado de credenciales(AAD Password Protection)
AADP P2Acceso condicional basado en
riesgo (AAD CA w/ ID Protection)
Gestión de cuentas con administrativas con altos privilegios (AADP PIM)
* Protección de aplicaciones Web (Azure WAF) * Integración de aplicaciones para clientes (AAD B2C)* Protección avanzada de identidades en premisas (Azure Advanced ThreadProtection)* Protección avanzada de sesiones en aplicativos (Integración con AAD / MCAS)
Iniciar / AvanzarOptimización de Acceso Remoto utilizando AAD
Acceso Remoto optimizado aaplicaciones empresariales – Recursos
Inic
iar •Migrar las aplicaciones SaaS a la AAD
•Acceso optimizado a la VPN usando AAD
•O365 y acceso basado en políticas SaaS (Secure Default)
•Optimización de recursos de identidad en las instalaciones (desmantelamiento del ADFS)
•Redundancia de identidades híbridas (AAD PTA/PHS)
•Autenticación fuerte (Secure Defaults/AADP MFA)| A
van
zar •Restablecimiento de la contraseña
en cualquier lugar (AADP SSPR)
•Acceso optimizado a la aplicación en las instalaciones (AADP App Proxy)
•Colaboración segura de partes externas (AAD B2B)
•Acceso condicional basado en políticas (AADP CA)
•Integración de aplicaciones móviles y comerciales críticas con AAD (MSAL/ADAL)
•Protección avanzada de credenciales (AADP PasswordProtection)
•Protección de aplicaciones web (Azure WAF)
Esta
ble
cer •Integración de aplicaciones
para clientes (AAD B2C)
•Acceso condicional basado en el riesgo (AAD CA w/ ID Protection)
•Passwordless
•Windows Hello (WH4B)
•FIDO2 (Claves)
•Protección avanzada de identidad on-premises (Azure Advanced Thread Protection)
•Protección avanzada del estado de sesión (Integración AAD / MCAS)
•Gestión de cuentas de alto privilegio (AADP PIM)
Acceso Moderno a la VPNUsando AAD / AADP
• Retos de la integración de la identidad de la VPN tradicionalAcceso optimizado a VPN usando AAD
Exp
erie
nci
a d
el u
suar
io • Diferentes experiencias de acceso
• Puede que no funcione para todos los dispositivos
Ad
min
istr
ació
n • Gestión del servicio de identidad redundante
• Definición de políticas y registro descentralizados
• Falta de integración con los recursos existentes (Grupos)
Infr
ae
stru
ctu
ra • Gastos adicionales de mantenimiento y funcionamiento
• Retos de redundancia, escalabilidad y resistencia
• SLAs internos
Segu
rid
ad
• Dependiente de la inversión interna
• La experiencia en seguridad interna
• Puede abrir el acceso a toda la red
On-Premises
Acceso optimizado a la VPN usando AAD• Retos de la integración de la identidad de la VPN tradicional
Desafíos
VPN
NPS
Auth-N
UDP
Trafico
The Internet
DMZ
NPS
Auth-N
LDAP
WIASSL/
Otros1812,
1645,
1813,
1646
Acceso optimizado a la VPN usando AAD• Requisitos de integración de la identidad de la VPN Tradicional
* Requiere características Premium adicionales [AADP]
Gen
eral •Concentrador
de VPN Concentrator
• SoporteRADIUS
On
-Pre
mis
es •ADDS
•Windows Server NPS (RADIUS)
On
-Pre
mis
es
(Op
cio
nal
) •Windows Server NPS (RADIUS Proxy)
•Redundancia
•Balanceadorde cargas
• Sitio secundario
Clo
ud •No soportado
Acceso optimizado a la VPN usando AAD• Requisitos de integración de identidad de VPN + MFA Tradicionales
* Requiere características Premium adicionales [AADP]
Gen
eral •Concentrador
de VPN
• Soporte a RADIUS
On
-Pre
mis
es •Windows Server NPS (RADIUS)
On
-Pre
mis
es
(Op
cio
nal
) •Windows Server NPS (RADIUS Proxy)
•Balanceadorde cargas
• Sitio secundario
Clo
ud •Auth
• MFA
• AADP (MFA)
Ambiente Local
Acceso optimizado a la VPN usando AAD• Requisitos de integración de identidad de VPN + MFA Tradicionales
Desafíos
- Monitoreo y registros:
- Usuario Final
VPN
NPS + MFA
Add-on
Auth-N
UDP
Trafic
o
Internet
DMZ
NPS
d-User
Auth-N LDAP
WIA
SSL/
Otros1812,
1645,
1813,
1646
MFA
Acceso optimizado a la VPN usando AAD• Beneficios de la VPN con autenticación moderna [AAD]
Exp
eri
en
cia
de
l Usu
ario • Seamless to
existing users
• Scalable to standardized MFA experience (Authenticator)
Sim
plif
ied
Ad
min
istr
atio
n • Centralized access Management
Op
tim
ize
d In
fras
tru
ctu
re • Identity as a Service Cloud Service
• Build for redundancy, scalability, and resiliency
• Cloud provider SLAs
• Minimum on-premises requirements
Secu
rity • Best in class
SaaS protection service
Acceso optimizado a la VPN usando AAD• Requisitos de VPN con autenticación moderna con [AAD]
Gen
eral • VPN con
soporte SAML
On
-Pre
mis
es • AAD Connect
• SSO (PHS/PTA o Federado)
Clo
ud • O365
Azure AD
Op
cio
nal • MFA [AAD
Secure Defaults]
* Requiere características Premium adicionales [AADP]
Acceso optimizado a la VPN usando AAD• Beneficios de la VPN con autenticación moderna [AADP]
Benefits
VPN
Acceso
Aprobado
The Internet
DMZ On-Premises
SSL/
Otros
MFA
* Requiere características Premium adicionales [AADP]
AccesoCondicional
Location (IP range)
Device state
Risk
User group
Bloquear el acceso al
dispositivo borrado
Hacer cumplir el
MFA
Permitir el acceso
• Una puerta de enlace VPN punto a punto (P2S) ayuda a la creación de una conexión segura a la Red Virtual Azur desde una ubicación remota.
• Capacidad:• SKU: VpnGw5AZ
• 10000 connection (IKEv2/OpenVPN)• 128 (SSTP)
• Protocolos:• OpenVPN• SSTP• IKEv2
• Autentificación:• Servidor de dominio de Active Directory (AD)• Autenticación del Directorio Activo Azure• Autenticación del certificado de Native Azure
Backend appAzure Virtual Network Gateway
Azure Virtual Network
AAD Autentificación + CA
• Punto al sitio VPN
Acceso optimizado a la VPN usando AAD
DEMOVPN Moderna usando AAD
Acceso al Proxy Reverso Moderno
Usando AAD
• Retos Proxy Reverso Tradicional
Acceso optimizado al Proxy Reverso usando AADEx
per
ien
cia
del
usu
ario • Diferentes
experiencias de acceso
Ad
min
istr
ació
n • Gestión del servicio de identidad redundante
• Definición de políticas y registro descentralizados
• Falta de integración con los recursos existentes (Grupos)
Infr
ae
stru
ctu
ra • Gastos adicionales de mantenimiento y funcionamiento
• Retos de redundancia, escalabilidad y resistencia
• SLAs internos
Segu
rid
ad
• Dependiente de la inversión interna
• La experiencia en seguridad interna
• Puede abrir el acceso a toda la red
Ambiente Local
Acceso optimizado al Proxy Reverso usando AAD• Retos Proxy Reverso Tradicional Desafíos
- Trafico entrante
- Monitoreo y Registros:
- Usuario Final
Web /
Otros
Trafico Pre-
Autenticado
Pass-Through
Internet
DMZ
Auth-N
LDAP
WIA
Reverse
ProxyFirewall
Condiciones
Inspección
Acceso optimizado al Proxy Reverso usando AAD
• Requerimientos Proxy Reverso Tradicional
* Requiere características Premium adicionales [AADP]
Gen
eral • Red
• Routers
• Cortafuegos
On
-Pre
mis
es • Concentradores de proxy
On
-Pre
mis
es
(Op
cio
nal
) • Equilibrio de la carga
• Sitio secundario Clo
ud
Acceso optimizado a proxy Reverso usando AAD
• Beneficios de la Proxy Reverso Moderno usando [AAD]Ex
per
ien
cia
del
usu
ario • Sin problemas
para los usuarios existentes
• Escalable a la experiencia estandarizada del MFA (Autentificado)
Ad
min
istr
ació
n s
imp
lific
ad
a • Gestión centralizada del acceso a la web
Infr
aest
ruct
ura
op
tim
izad
a • La identidad como un servicio de la nube de servicios
• Construir para la redundancia, la escalabilidad y la resistencia
• SLA del proveedor de la nube
• Requisitos mínimos en las instalaciones
Segu
rid
ad • El mejor servicio
de protección SaaS de su clase
• Acceso condicional basado en el acceso *
• Acceso condicional basado en el riesgo **
* Requiere AADP P1/ ** Requiere AADP P2
Acceso optimizado a Proxy Reverso usando AAD• Requerimientos del Proxy Reverso Moderno usando [AAD]
Gen
eral •Aplicaciones
web a las que se accede
•SAML
•WIA
•Pass-Through
On
-Pre
mis
es •AAD Connect
Clo
ud •O365 Azure
ADP
Op
tio
nal •Acceso
condicional basado en el riesgo *
* Requires additional Premium features [AADP]
Acceso Optimizado utilizando AAD• Proxy Reverso Moderno
Beneficios
El Internet
En Premisas
P
* Requiere características Premium adicionales [AADP]
Acceso Condicional
Ubicación
Estado deDispositivo
Riesgo
Grupo
Bloquear
Acceso/Dispositivo
Forzar MFA
Permitir Acceso
En Premisas
(via App Proxy)
SaaS Apps
Red
Cliente
Trafico
Entrante
Acceso Pre-
autenticación
DMZ
Firewall
App Proxy
connector
Concepto de Azure AD App Proxy
On Premises
Active Directory
Domain Services
Azure
Active Directory
Internet
Azure AD
Connect
Colleague
Pre-autenticación
Acceso condicional
Protección de la
identidad
El Conector App Proxy
Instalar Registrarse
ActualizaciónConfiguración de red
Conectores de agrupación
Instalando el Conector
DESCARGA DE UN SOLO ARCHIVO (~6 MB)
INSTALAR ON SERVER CORE
ADMINISTRADO CON POWERSHELL
Configuración de red
CONECTIVIDAD DE RED REQUERIDA SOBRE
LOS PUERTOS 80/443
APOYA (SIN AUTENTIFICAR) EL
PROXY
HTPS Destinations
login.microsoftonline.com
login.windows.net
*.microsoftonline-p.com
*.office.com
*.msocdn.com
*.msappproxy.net
*.servicebus.windows.netHTTP Destinations
crl.microsoft.com
mscrl.microsoft.com
ocsp.microsoft.com
www.microsoft.com
Apoyo a la autenticación
Pre-autentificación en Azure AD Elija su protocolo de autenticación
No hay autentificación
Autentificación integrada de Windows
SAML
Contraseñas administradas por el administrador
Basado en Encabezado
Publicar con Azure AD App Proxy
Dispositivo
cliente
Aplicación
interna
Definir la aplicación
Añadir el certificado **
Crear registrosCNAME **
Configurar KCD*
DNSApp Proxy
Service
Conector de
App Proxy
Asignar la política de acceso condicional
Autorizar a los usuarios
Configurando la aplicación Azure AD App Proxy
ELEGIR UN DOMINIO
CERTIFICADO ASIGNACIÓN DE USUARIOS
ACCESO CONDICIONAL
DEMOAcceso al Proxy Remoto Moderno AAD
Acceso al Proxy Reverso Moderno + Inspección de
Contenido Usando AAD + WAF
Azure App Proxy con WAF
Dispositivo cliente Aplicación
internaDNS
App Proxy
Service
Proteger las aplicaciones contra ataques maliciosos queexplotan vulnerabilidades comúnmente conocidas:• SQL Injection• Ataques XSS
** Basado en el Conjunto de Reglas Básicas (CRS) 3.1, 3.0, o 2.2.9
desde OWASP
AADP App Proxy – Azure WAFBetter Together [Summary]
AADP App Proxy Azure Web App Firewall• Inspección de contenido granular
• OWASP/ CRS 3.x
• Defenderse de
• Inyección SQL
• Scripting entre sitios
• Infracciones/anomalías del protocolo HTTP
• Error de configuración web
• Otros: Inyección de comandos, etc.
• Ideal para sitios web publicados en Azure
• Conexión de salida• ¡No se necesita tráfico entrante!
• Solo Tráfico autenticado previamente• Acceso simplificado al usuario final
de aplicaciones publicadas• Publicación flexible de aplicaciones
SSO/Pass-through• Cero cambios en las aplicaciones
locales• Acceso condicional moderno
• MFA es sólo una de las muchas opciones
DEMOAcceso moderno al Proxy Remoto AAD + WAF
Acceso optimizado a las aplicaciones empresariales - Descripción general
Exp
erie
nci
a U
suar
io •Estandarizar la experiencia de inicio de sesión del usuario
Ad
min
istr
ació
n s
imp
lific
ada •Política
centralizada para el control de acceso granular [Valores predeterminados seguros / Acceso condicional AADP]
Infr
aest
ruct
ura
op
tim
izad
a •La identidad como un servicio
•SAML
•WIA
•Paso a través de
•Plataforma de nubes escalable
•Autenticación de usuario redundante con recursos mínimos en las instalaciones
Ase
gura
do
po
r d
efec
to
•Acceso condicional basado en el riesgo
•Gestión optimizada de la plataforma mediante el bloqueo del usuario administrador
•Protección de la identidad híbrida
•Protección de la contraseña
Análisis de identidad y perímetro
Análisis de identidad y perímetro• Registro
• Auditoría
• Iniciar session
• Tableros de control PowerBI (sólo datos obsoletos de 7 días)
Categoría de registro Tipo de Registros Uso Integración
Azure Active Directory reporting Registros e informes Informa de las actividades de inicio de sesión de los usuarios e información de la actividad del sistema sobre los usuarios y la gestión de grupos.
Graph API
Azure Log Analytics
• Analítica Completa de M365
Synergy Advisors• E-Visor
• General
• Por uso de servicio
• Adopción
• Administrador
• Seguridad
• Mejores prácticas
Microsoft
365
Configuración
EventosUsuarios
Actividad
Microsoft 365 • Áreas
• Usuarios
• Eventos
• Actividad
• Configuración
• Interfaces
• Graph API
• PShell
Defensa
¿Quien? ¿Qué?
¿Cuándo? ¿Dónde?
Alertas y
Notificaciones
E-Visor para M365 – Introducción
Adopción• Uso del Servicio
• Usuario, Departamento,
Grupo, Ubicación geográfica
Seguridad•Configuración
•Recomendaciones de Mejores
Practicas
•Actividad Sospechosa
Cumplimiento• Configuración
• Recomendaciones específicas por
vertical
E-Visor for M365 Overview
An
alít
ica •Correlación de datos
optimizada
•Reportes Centralizados
•Geo-localización
•Bitácoras de +160 Fuentes de datos
•Cero Mantenimiento
•Recolección de datos persistente
Ale
rtas
y N
oti
fica
cio
nes •Basadas en métricas KPI
•Listas de Excepciones/valores predeterminados
•Notificaciones basadas en flujos de trabajo
• Inteligencia Artificial/ Aprendizaje de Maquina
•Alertas basadas en Políticas
•Mejores Prácticas
Op
tim
izac
ión
de
Plat
afo
rma
/ M
ejo
res
Prá
ctic
as
•Recomendaciones de la Industria:
•Configuración del Producto
•Seguridad
•Cumplimiento y Regulatorio
•Análisis de Riesgo
•Análisis de plataforma complete (Vista 360)
E-Visor para M365 – Introducción
Análisis de identidad• Registrarse en
Análisis de identidad• Actividad
Análisis de identidad• Detalles AAD
Análisis de identidad• Detalles de la actividad del usuario
Análisis de identidad• Detalles de la actividad del usuario
Análisis de identidad• Detalles de la actividad del usuario - Vista de usuario final
Análisis de identidad• Seguridad
Análisis del Perímetro
Próximassesiones
Acceso optimizado a las aplicaciones empresariales - Sesiones adicionales
• Migrar las aplicaciones SaaS a la AAD
• Acceso optimizado a la VPN usando AAD
• O365 y acceso basado en políticas SaaS (Secure Default)
• Optimización de recursos de identidad en las instalaciones(desmantelamiento del ADFS)
• Redundancia de identidades híbridas (AAD PTA/PHS)
• Autenticación fuerte (Secure Defaults/AADP MFA)
Acceso optimizado a las aplicaciones empresariales – Agenda
# Subject Abstract Date /Time Registration
1Agilice y asegure sus aplicaciones
SaaS utilizando AAD
Aprenda como Microsoft Azure Active Directory (AAD) simplifica a sus usuarios finales el acceso a sus aplicaciones, como también a los administradores en la gestión operativa del servicio optimizando la infraestructura necesaria para acceder Office 365 y otros aplicativos SaaS
Mayo/27 8am PT Enlace a Sesión
2Acceso remoto a sus aplicaciones
de negocio
Descubra como Microsoft Azure Active Directory (AAD) puede incrementar la simplicidad, seguridad y confiabilidad de las conexiones hacia su red corporativa desde cualquier lugar por
medio de VPN y AAD App Proxy a sus aplicaciones web en premisas minimizando los requerimientos y costos de infraestructura
Junio/10 10am PT Enlace a Sesión
3Infraestructura para la Identidad
Hibrida optimizada
Aprenda como Microsoft Azure Active Directory (AAD) puede reducir dramáticamente loscostos de actividades administrativas y también proveer la alta disponibilidad necesaria parasu empresa con el objetivo de satisfacer sus necesidades de identidad hibrida suministrandoacceso a aplicaciones en nube y en premisas
Junio/17 10am PTEnlace a Sesión
4Utilización de Escritorios Virtuales para accesar sus aplicaciones de
negocio
Explore como Microsoft Virtual Desktop ofrece la flexibilidad y escalabilidad que su negocionecesita para proveer un acceso continuo a sus aplicaciones a sus usuarios por medio de unescritorio de trabajo virtual sin importar donde se encuentren
Junio/24 10am PT Enlace a Sesión
5Comunicaciones optimizadas de
negocios Aprenda como proveer un servicio de comunicaciones corporativas escalable y eficienteutilizando las herramientas colaborativas de Microsoft Office 365
6/3 10am PT Enlace a Sesión
Optimización de Identidad On-PremisesDesafíos de la gestión de los recursos de Identidades Híbridas
En Premisas
SSO
SaaS
IdP
Acceso
Remoto
DMZ
NPS
Optimización de Identidad On-PremisesOptimización de la identidad híbrida y redundancia
On-Premises
SSO
SaaS
IdP
Acceso
Remoto
DMZ
NPS
IdP/SP
SSO
Requerimientos para identidad hibrida Optimización de Identidad
# Alcance Componentes Base ComponentesAdicionales
Sub-Total
1 Sitio Principal
2 ADDS1 AAD Connect
3 ADFS2 RADIUS
2 SQL
2 ADFS Proxy2 RADIUS Proxy
2 Sitio Alterno
1 ADDS1 AAD Connect (Backup)
1 ADFS1 RADIUS
1 SQL
1 ADFS Proxy1 RADIUS Proxy
TOTAL 21 → 28
Optimización de IdentidadOptimización para Identidad Hibrida
# Alcance Componente Base ComponenteExtendido
Sub-Total
1 Sitio Principal
2 ADDS1 AAD Connect
2 PTA Agent1 SQL Server
2 Sitio Alterno1 ADDS
2 PTA Agent1 AAD Connect (Backup)
TOTAL 6 - 10
Siguientes Pasos
Optimice el acceso a sus aplicaciones de negocio – Recursos
Inic
iar •Migración de aplicaciones SaaS
a AAD
•Optimización de acceso VPN utilizando AAD
•Acceso basado en políticas de O365 y SaaS (Secure Predeterminada)
•Optimización de recursos de identidad en premisas (Remoción de ADFS)
•Redundancia de identidadhíbrida (AAD PTA/PHS)
•Autenticación con múltiple factor (Seguridad Predeterminada/ AADP MFA)
Ava
nza
r •Web Apps Protection (Azure WAF)
•Hybrid Identity Redundancy Implementation (AAD PTA/PHS)
•On-premises Identity resources optimization (ADFS Decommissioning)
Esta
ble
cer •Critical Business /Mobile;
applications Integration with AAD (MSAL/ADAL)
•Internal
•B2B
•B2C
•Autenticación sin contraseña
•Windows Hello (WH4B)
M365 Accelerators
• Seguridad
• Cumplimiento
• Sentinel (SIEM)
• Teletrabajo con Teams
• Otros
FastTrack Ready Partner [FRP]
• Azure AD 3 Apps [A310] – 2 meses, > 1000 Usuarios
• AADP [AccesoCondicional]
trabajoremoto@synergyadvisors.biz
Apéndice
Appendix – AAD Capabilities• Core Identity and Access Management
• Business to Business Collaboration
• Identity and Access Management for Office 365 apps
• Premium Features
• Hybrid Identities
• Advanced Group Access Management
• Conditional Access
• Identity Protection
• Identity Governance
• Pricing
Appendix – AAD CapabilitiesCore Identity and Access Management - LINK
FREE OFFICE 365 APPS PREMIUM P1 PREMIUM P2
Directory Objects1 500,000 Object Limit No Object Limit No Object Limit No Object Limit
Single Sign-On (SSO) (unlimited)2 Available Available Available Available
User provisioning Available Available Available Available
Federated Authentication (ADFS or 3rd party IDP)
Available Available Available Available
User and group management (add/update/delete)
Available Available Available Available
Device registration Available Available Available Available
Cloud Authentication (Pass-Through Auth, Password Hash sync, Seamless SSO)
Available Available Available Available
Azure AD Connect sync (extend on-premises directories to Azure AD)
Available Available Available Available
Self-Service Password Change for cloud users Available Available Available Available
Azure AD Join: desktop SSO & administrator bitlocker recovery
Available Available Available Available
Password Protection (global banned password)
Available Available Available Available
Multi-Factor Authentication3 Available Available Available Available
Basic security and usage reports Available Available Available Available
1 Default usage quota is 50,000 objects. An object is an entry in the directory service, represented by its unique distinguished name. An example of an object is a user entry
used for authentication purposes. If you need to exceed this default quota, please contact support. The 500K object limit does not apply for Office 365, Microsoft Intune
or any other Microsoft paid online service that relies on Azure Active Directory for directory services.2 With Azure AD Free end users who have been assigned access to SaaS apps can get unlimited SSO access to cloud apps. On-premises applications require Azure AD
Application Proxy or secure hybrid partnerships integrations available with Azure AD P1 and P2.3 Authentication methods and configuration capabilities may vary by subscription, please see here for more details.
Appendix – AAD CapabilitiesBiz Collab and O365 Apps - LINK
FREE OFFICE 365 APPS PREMIUM P1 PREMIUM P2
Business to Business Collaboration
Azure AD features for guest users4 Available Available Available Available
Identity & Access Management for Office 365 apps
Company branding (customization of logon & logout
pages, access panel)Not available Available Available Available
Self-service password reset for cloud users
Not available Available Available Available
Service Level Agreement (SLA) Not available Available Available Available
Device write-back (device objects two-way synchronization
between on-premises directories and Azure)
Not available Available Available Available
4 Azure AD enables the use of Azure AD features for guest users who are invited into the Azure AD tenant to collaborate.
For each paid Azure AD license that you own in your tenant, you can invite up to 5 guest users to the tenant. For
additional guests beyond the 5th one you will need to purchase additional Azure AD paid licenses to cover the ratio
required. The features you can extend to guest users must match paid Azure AD license editions i.e.1 Azure AD P1
license enables you to invite up to 5 guest users to use P1 capabilities. If guest user requires use of a P2 capability, an
Azure AD P2 license is required.
Appendix – AAD CapabilitiesPremium Features - LINK
FREE OFFICE 365 APPS PREMIUM P1 PREMIUM P2
Premium Features
Password Protection (custom banned password)
Not available Not available Available Available
Password Protection for Windows Server Active Directory (global &
custom banned password)Not available Not available Available Available
Self-service password reset/change/unlock with on-
premises write-backNot available Not available Available Available
Group access management Not available Not available Available Available
Microsoft Cloud App Discovery5 Not available Not available Available Available
Azure AD Join: MDM auto enrollment & local admin policy
customizationNot available Not available Available Available
Azure AD Join: self-service bitlockerrecovery, enterprise state roaming
Not available Not available Available Available
Advanced security and usage reports Not available Not available Available Available
Appendix – AAD CapabilitiesHybrid Identities & Adv Group Access Mgmt Features - LINK
FREEOFFICE 365 APPS PREMIUM P1 PREMIUM P2
Hybrid Identities
Application Proxy Not available Not available Available Available
Microsoft Identity Manager user CAL6 Not available Not available Available Available
Connect Health7 Not available Not available Available Available
Advanced Group Access Management
Dynamic groups Not available Not available Available Available
Group creation permission delegation
Not available Not available Available Available
Group naming policy Not available Not available Available Available
Group expiration Not available Not available Available Available
Usage guidelines Not available Not available Available Available
Default classification Not available Not available Available Available
6 Microsoft Identity Manager Server software rights are granted with Windows Server licenses (any edition). Since Microsoft Identity Manager
runs on Windows Server OS, as long as the server is running a valid, licensed copy of Windows Server, then Microsoft Identity Manager can be
installed and used on that server. No other separate license is required for Microsoft Identity Manager Server.7 First monitoring agent requires at least one license. Each additional agent requires 25 additional incremental licenses. Agents monitoring AD
FS, AD Connect, and AD DS are considered separate agents.
Appendix – AAD CapabilitiesConditional Access, Identity Protection & Governance - LINK
FREE OFFICE 365 APPS PREMIUM P1 PREMIUM P2
Conditional Access
Conditional Access based on group, location, and device status
Not available Not available Available Available
Azure Information Protection integration
Not available Not available Available Available
SharePoint limited access Not available Not available Available Available
Terms of Use (set up terms of use for specific access)
Not available Not available Available Available
Multi-Factor Authentication with Conditional Access
Not available Not available Available Available
Microsoft Cloud App Security integration
Not available Not available Available Available
3rd party identity governance partners integration
Not available Not available Available Available
Identity Protection
Vulnerabilities and risky accounts detection
Not available Not available Not available Available
Risk events investigation Not available Not available Not available Available
Risk based Conditional Access policies Not available Not available Not available Available
Identity Governance
Privileged Identity Management (PIM) Not available Not available Not available Available
Access Reviews Not available Not available Not available Available
Entitlement Management Not available Not available Not available Available
Appendix – AAD CapabilitiesPricing - LINK
FREE OFFICE 365 APPS PREMIUM P1 PREMIUM P2
Price Free O365 E1, E3, E5, F1, F3 $6 user/month $9 user/month