MVP Cloud OS Roadshow - Un gran evento!

El pasado 20 de Marzo se llevó a cabo en las oficinas de Microsoft Colombia en la ciudad de Bogotá el evento MVP Cloud OS Roadshow, todo un día lleno de charlas dedicadas a la nube, y como había mencionado en la entrada donde los invité al evento, mi charla fue en compañía de John Barreto, MVP de System Center, nuestra charla se tituló Nube Microsoft de punto a punto, donde básicamente mostramos características importantes de Azure tales como: Máquinas virtuales, web sites, Open Source, Automatización y no podía faltar mencionar algo sobre DevOps. Pero lo interesante fue que paralelamente se mostró cómo funcionaría todo en una nube privada haciendo uso de Windows Azure Pack (WAP) apoyado en la suite de System Center, sin lugar a dudas un gran evento que se debe volver a repetir. A continuación una foto del momento de nuestra charla.

MVP Cloud OS Roadshow

Hola a todos, los invito este viernes 20 de Marzo de 2015 al evento Cloud OS Roadshow, es un evento que ha sido organizado directamente por nosotros los MVPs con el apoyo de Microsoft, los temas a tratar serán solamente sobre las soluciones de nube pública, privada e híbrida de Microsoft, en esta ocasión estaré compartiendo el escenario con mi gran amigo John Barreto MVP de System Center, nuestra charla será la primera, así que los invito a revisar la agenda y a registrarse pronto ya que los cupos son limitados. A continuación el enlace al sitio oficial del evento: www.cloudosroadshow.com

Autenticación multifactor con Azure y Office 365

Una característica muy interesante de Microsoft Azure, es precisamente el tema de autenticación multifactor, la plataforma nos provee un mecanismo de autenticación de doble factor, donde el primer factor es algo que conozco (la contraseña), y el segundo factor es algo que tengo, lo cual puede ser un smartphone por ejemplo.

Para ello Multi-factor Authentication, MFA en adelante, nos proporciona varias opciones para el inicio de sesión, como por ejemplo una llamada telefónica, un mensaje de texto, o incluso una aplicación móvil.

MFA puede ser usado en un servidor local para proteger recursos como acceso a escritorios remotos, aplicaciones web, servicios de federación de Active Directory, pero también puede ser usado para aplicaciones en la nube, como por ejemplo Office 365, que es precisamente lo que explicaré en este breve artículo.

Lo interesante en el caso de Office 365, es que el uso de MFA no tiene un costo adicional.

Ahora veamos cómo habilitar MFA para un usuario de Office 365.

En primer lugar abrimos el portal de administración de Azure, nos ubicamos en Active Directory y abrimos la lista de usuarios, luego  hacemos clic en el botón MANAGE MULTI-FACTOR AUTH de la parte inferior de la pantalla.

Se abrirá una nueva página donde podemos empezar a configurar MFA, y lo primero que observaremos es la lista de los usuarios.

Seleccionamos el usuario al cual le deseamos habilitar la característica y hacemos clic en Enable en la parte drerecha de la pantalla, si se desea hacer esta tarea a varios usuarios al mismo tiempo, existe la posibilidad de cargar un archivo csv con los nombres de los usuarios bien sea para habilitar o deshabilitar la característica.

Aparacerá un mensaje para habilitar MFA, hacemos clic en el botón enable multi-factor auth

Al finalizar hacemos clic en el botón close

Y de esta sencilla forma ya tenemos habilitada la autenticación multifactor para una cuenta de Office 365, podemos apreciarlo en la columna de estado.

El proceso anterior fue realizado desde el portal de Azure, pero puede ser realizado de igual forma desde el portal de administración de Office 365, veamos los pasos desde allí.

Nos ubicamos en la parte de usuarios activos del portal de administración de Office 365, y en la parte superior veremos algunas opciones, entre ellas encontramos Multi-Factor Authentication, hacemos clic en Configurar

Se abrirá la página de configuración de MFA, y en adelante es exactamente el mismo proceso que se realizó desde el portal de Azure

Ahora, solo nos resta iniciar sesión desde el portal de Office para ver cuál será el nuevo comportamiento.

después de ingresar las credenciales en la página de inicio sesión, veremos un mensaje indicando que el administrador ha solicitado una verificación adicional.

Después de hacer clic en el botón Configurar ahora se abrirá la página para configurar la seguridad adicional.

Lo primero que solicitará es cómo deseamos ser contactados: Teléfono o aplicación móvil, en este caso elegiremos contacto por teléfono

Seleccionamos la ciudad y escribimos el número de teléfono mediante el cual se pondrán en contacto con nosotros, existe la posibilidad de recibir una llamada o un mensaje de texto con un número de activación.

Luego hacemos clic en el botón Contacto que no alcanza a mostrarse en la imagen, de manera inmediata el sistema intentará ponerse en contacto con el número de teléfono suministrado.

A continuación la imagen de la llamada entrante al número telefónico que suministré.

Al contestar la llamada, la máquina informará que es la llamada de comprobación de Microsoft, solicita presionar la tecla # para finalizar la comprobación, una vez termina el proceso aparecerá la siguiente página.

En este paso nos indica que algunas aplicaciones, como por ejemplo Outlook no son compatibles con MFA, por lo cual no suministra una clave que debemos usar para configurar las aplicaciones que no soportan este mecanismo, podemos usar el icono de hojas al lado de la clave generada para copiarla al portapapeles.

Hacemos clic en el botón Listo e inmediatamente el sistema intentará comunicarse con nosotros, pero esta vez no será para la comprobación sino para iniciar sesión.

Una vez respondamos la llamada, y presionemos la tecla # podremos iniciar sesión en Office 365 de manera satisfactoria y empezar a utilizar las aplicaciones.

Bien, ahora que tal si vemos el proceso de inicio de sesión pero usando la aplicación móvil?

La app está disponible para Windows, iOS y Android, se llama multi-factor

Lo que debemos hacer para configurar la aplicación, es claramente en lugar de elegir la llamda telefónica, seleccionar aplicación móvil

Existen dos posibilidades para configurar la aplicación: Notificación o Contraseña de un solo uso.

Notificación: Nos aparecerá un mensaje en la pantalla del dispositivo, donde debemos presionar un botón para terminar la comprobación.

Contraseña de un solo uso: También conocido como OTP (One-Time Password), lo cual nos mostrará durante un período corto de tiempo un número aleatorio en la pantalla, el cual debemos digitar para terminar la comprobación y poder iniciar sesión.

Para este ejemplo, seleccioné la opción de Notificación y luego hacemos clic en Configurar

Se abrirá la siguiente página donde nos permite configurar la aplicación:

Como podemos ver en la imagen anterior, tenemos todos los pasos para configurar la app, en el punto 1 tenemos los enlaces para descargar las aplicaciones en las diferentes plataformas móviles, lo siguiente es capturar el código qr, o bien podemos digitar la URL y el código que se muestran en el paso 5.

Al finalizar, se notificará que la aplicación móvil se ha configurado de manera correcta

Una vez configurada la aplicación móvil, el sistema intentará comunicación con la misma y lo notificará con el siguiente mensaje:

Ahora, veamos lo que pasa en al app:

Podemos ver que se está activando la aplicación, y luego dado que hemos elegido el método de notificación, aparecerá ne la pantalla la opción para verificar.

Una ves presionemos el botón Verificar, saldrá el siguiente mensaje indicando que se ha iniciado sesión correctamente, esto indica el fin del proceso de configuración de la aplicación móvil.

Después de la correcta configuración de la app, seguirá el paso 3, el cual nos solicita una comprobación adicional en caso de que se pierda el acceso a la aplicación móvil, seleccionamos nuestro país y escribimos un número de teléfono de contacto.

El paso 4, igual que en la comprobación telefónica, nos proporciona la contraseña para aplicaciones que no funcionan con este mecanismo, como por ejemplo Outlook.

Una vez finalizado este paso, el sistema intentará nuevamente el inicio de sesión, pero en esta ocasión debemos utilizar nuestro dispositivo móvil para responder bien sea la notificación o escribir la contraseña aleatoria de un solo uso.

Como se aprecia en la imagen anterior, se ha enviado una notificación al dispositivo móvil, para lo cual ya vimos en la fase de comprobación solo basta con tocar el botón Verificar para obtener acceso a las aplicaciones de Office.

Con esto finalizamos este artículo sobre autenticación multifactor, que espero les sea de utilidad.

Identidad sincronizada con Office 365

Primera parte: Azure AD Connect: Conecta Active Directory con Azure Active Directory

Segunda parte: Azure AD Connect preview: Instalación

En la entrada anterior vimos como sincronizar nuestros usuarios locales existentes en un bosque de Active Directory con el servicio Azure Active Directory, lo hicimos utilizando la herramienta AAD Connect. Bien, ahora que ya tenemos nuestros usuarios locales sincronizados en la nube, que tal si les brindamos acceso a Office 365 usando sus mismas credenciales de red? pues bien de esto se trata el concepto identidad sincronizada, el cual diagraman de la siguiente manera en el blog oficial de Office

La única diferencia con nuestro ejercicio, es que no estamos usando la herramienta DirSync, en lugar de ello utilizamos AAD Connect Preview, pero el concepto es el mismo. Tenemos usuarios que existen en nuestro Active Directory local, mediante la herramienta de sincronización los llevamos hacia la nube de Azure (recordemos que Office 365 utiliza Azure para alojar las cuentas), no solamente se sincronizan las cuentas de usuario sino también sus contraseñas, lo cual conocemos como Password hashes, luego el usuario al iniciar sesión en Office 365 fuera de la red de la compañía, utilizará las mismas credenciales existentes en el bosque de Active Directory local para iniciar sesión en Office 365. Ahora veamos cómo se hace.

Primero recordemos nuestro directorio local, en él contaba solamente con dos usuarios de prueba, los cuales se muestran a continuación:

Éstos usuarios y sus contraseñas fueron sincronizados hacia Azure Active Directory, lo cual desde el portal de Azure se aprecia de la siguiente manera:

Se pueden identificar claramente los usuarios con origen en Active Directory local frente a los usuarios creados directamente desde el portal de Azure.

Contamos con una cuenta de Office 365, y ya que se trata de la misma cuenta que se usó para la suscripción de Azure, éstos dos se integran automáticamente, por lo cual si iniciamos sesión en el portal de Office 365 y vamos a la administración, veremos que se encuentran los mismos usuarios, ya que Office 365 se basa en Azure para almacenar las identidades, veamos como luce el portal de Office 365.

Como podemos apreciar tenemos las dos cuentas de usuario que sincronizamos desde nuestro directorio local, pero si observamos bien notamos que la cuenta que debe utilizar el usuario no tiene el dominio de la organización, en este caso cesarherrada.com, en lugar de ello cuentan con el dominio asignado al crear la cuenta en Office 365, el cual siempre es el nombre elegido por nosotros y se le agrega el famoso dominio onmicrosoft.com

No es muy cómodo para nuestros usuarios tener que entregarles una dirección con este dominio diferente, por lo cual lo ideal es que antes de sincronizar nuestras identidades agreguemos a las cuentas de los usuarios el upn que coincida con nuestro nombre de dominio público, para ello podemos hacer uso de PowerShell, donde básicamente busque la en la OU donde tenemos las cuentas de usuario a sincronozar y les establezca el nuevo upn con nuestro nombre de dominio, veamos cómo.

Utilizaremos el siguiente script de PowerShell:

import-module activedirectory

$oldSuffix = 'itpros-dc.local'

$newSuffix = 'cesarherrada.com'

$ouUsers = “OU=Usuarios,DC=itpros-dc,dc=local”

Get-ADUser -SearchBase $ouUsers -SearchScope Subtree -filter * | ForEach-Object {

$newUpn = $_.UserPrincipalName.Replace($oldSuffix,$newSuffix)

$_ | Set-ADUser -UserPrincipalName $newUpn -whatif

}

Nótese la parte en negrilla, se trata de un "whatif" que significa en español un "qué pasa si", en conclusión informa que pasaría si se ejecuta el script y muestra los resultados, pero en realidad no lo ejecuta, para que realmente sea efectivo el cambio debemos eliminar del script la parte -whatif

Por ahora, lo ejecutaremos con el whatif para ver que resultado nos arroja.

Vemos que en efecto se aplicará el cambio sobre los dos usuarios que tenemos en la OU especificada en la variable $ouUsers

Ahora que no tenemos ningún error procedamos con la ejecución del script sin el whatif

El script se ejecuta de manera satisfactoria sin mostrar ninguna advertencia ni mensaje de error.

Ahora si revisamos uno de nuestros usuarios, podemos ver que se estableció de forma satisfactoria el nuevo upn.

Luego de esto podemos realizar la sincronización de forma manual para no tener que esperar los 60 minutos que tarda en volverse a ejecutar la sincronización en el caso de cambio de atributos. Para ello vamos a la siguiente ruta: C:\Program Files\Microsoft Azure AD Sync\Bin

Buscamos y ejecutamos el archivo DirectorySyncClientCmd

Al ejecutarlo veremos una consola de comandos indicando el progreso del proceso.

Al finalizar, se cerrará automáticamente la consola y podemos ir a revisar el portal de Azure y ver si los cambios fueron aplicados de forma satisfactoria.

Vemos que el cambio ya se ve reflejado, ahora revisemos el portal de Office 365

También contamos ya con los cambios, ya que éste los trae desde Azure. Es importante aclarar que específicamente para el caso de Office 365 es posible cambiar el upn desde el mismo portal de Office en caso de requerirse, sin embargo para el caso de otras aplicaciones que hagan uso de las identidades en la nube podemos requerir de las cuentas con nuestro propio nombre de dominio.

Bueno, ahora que ya contamos con el nombre de dominio que necesitamos, asignemos una licencia de Office 365 a uno de los usuarios.

Desde el portal de administración, seleccionamos el usuario, y desde el panel de opciones de la derecha, hacemos clic en Editar bajo Licencia asignada

Marcamos la  casilla con la licencia que le vamos a asignar y hacemos clic en Guardar

Ya con esto podemos ir al portal de Offie 365 http://login.microsoft.com e iniciamos sesión con el usuario al cual le acabamos de asignar una licencia.

Como podemos apreciar en la imagen anterior, vamos a iniciar sesión con un un usuario existente en nuestro Active Directory local con las mismas credenciales y usando nuestro propio dominio.

Y listo, ya tenemos acceso a nuestras aplicaciones de Office 365 usando identidad sincronizada. Con esto finalizamos este artículo y nos vemos en el próximo.

Azure AD Connect preview: Instalación

Primera parte: Azure AD Connect: Conecta Active Directory con Azure Active Directory

Bien, ahora que ya vimos una pequeña introducción a la herramienta Azure AD Connect y ya la hemos descargado, vamos hora a realizar el proceso de instalación, una vez descargado el paquete .msi lo ejecutamos e iniciará el asistente de instalación, la instalación se está realizando en el controlador de dominio del bosque itpros-dc.local. A continuación el proceso.

1. Marcamos la casilla para aceptar los términos de la licencia y hacemos clic en el botón Continue

2. El asistente muestra los prerequisitos que necesita la herramienta para funcionar, para lo cual se conectará a Internet para descargarlos e instalarlos.

3. Debemos ingresar las credenciales de nuestro tenant en Microsoft Azure, es decir; las credenciales del administrador global que usamos para autenticarnos en el portal de Microsoft Azure.

4.  En esta ocasión hacemos clic en el botón Use express settings, ya que tenemos un solo bosque de Active Directory, y podemos ver que la lista de actividades a realizar por la configuración express consta de: 

• Instalar la herramienta de sincronización de Azure en el controlador de dominio.
• Configurar la sincronización de identidades en el bosque actual, el cual es: ITPROS-DC
• Configurar la sincronización de contraseñas desde Active Directory local hacia Azure AD
• Iniciar la sincronización inicial

5. Lo primero que solicita son las credenciales del bosque de Active Directory local en el formato dominio\usuario con privilegios de enterprise admin. Hacemos clic en Next

6. El asistente muestra el resumen de los que instalará. Hacemos clic en el botón Install

7. Iniciará el proceso de instalación y configuración de los servicios.

8. Por último, el asistente indicará que ha finalizado la instalación de ADD Connect. Hacemos clic en Exit para finalizar

Y de este modo podremos observar los nuevos iconos que se han generado en el escritorio, el módulo de PowerShell para Azure Active Directory y el programa AAD Connect.

Ahora, si vamos al portal de Azure y revisamos la lista de usuarios en Azure Active Directory, vemos que aparecen dos nuevos usuarios (que son los únicos que tengo en el directorio ;-) )

Se puede apreciar que en la columna "con origen en" aparece Active Directory Local

Y si revisamos nuestro directorio local, vemos que son los mismos usuarios

De este modo, los usuarios del directorio podrán iniciar sesión en aplicaciones en Azure. Por ejemplo en Office 365, utilizando las mismas credenciales que usan en la red local.

En una próxima entrada veremos el proceso para iniciar sesión en Office 365 usando estas credenciales que acabamos de sincronizar desde nuestro directorio local hacia los servicios de Azure Active Directory.