Información acerca de la identidad de Office 365 y Azure Active Directory

Office 365 usa el servicio de autenticación de usuario basado en la nube Azure Active Directory para administrar usuarios. Al configurar y administrar cuentas de usuario, podrá elegir entre los tres modelos de identidad principales que existen en Office 365:

Identidad de nube. Administre solo las cuentas de usuario de Office 365. No se requiere ningún servidor local para administrar usuarios; todo se realiza en la nube.

Identidad sincronizada. Sincronice los objetos del directorio local con Office 365 y administre los usuarios locales. También puede sincronizar las contraseñas para que los usuarios tengan la misma contraseña para el entorno local que para la nube, pero, si desean usar Office 365, deberán iniciar sesión de nuevo.

Identidad federada. Sincronice los objetos del directorio local con Office 365 y administre los usuarios locales. Los usuarios tendrán la misma contraseña para el entorno local que para la nube y, si desean usar Office 365, no deberán iniciar sesión de nuevo. Esto también se conoce como “inicio de sesión único”.

Es importante considerar detenidamente qué modelo de identidad conviene usar. Tenga en cuenta el tiempo que deberá invertir, la complejidad que pueda existir y el coste que conllevará. Estos factores son diferentes para cada organización; En este tema, se revisan estos conceptos clave en relación con cada modelo de identidad para ayudarle a elegir cuál puede usar para la implementación.

También puede cambiar a un modelo de identidad diferente en el caso de que cambien sus requisitos.

Vea este vídeo para obtener una descripción general de los diferentes modelos de identidad.

Su explorador no admite vídeo. Instale Microsoft Silverlight, Adobe Flash Player o Internet Explorer 9.
Identidad en Office 365 para empresas

También puede usar los asesores de Azure AD: el asesor de Azure AD Connect, el asesor de implementación de AD FS, el asistente para implementar Azure RMS y la guía de configuración de Azure AD Premium.

Identidad de nube

En este modelo, los usuarios se crean y administran en el Centro de administración de Office 365 y las cuentas se almacenan en Azure AD. Azure AD comprueba las contraseñas. Azure AD es el directorio en la nube que usa Office 365. No se requiere ningún servidor local: Microsoft se encarga de administrarlo todo. Cuando la identidad y la autenticación se controlan por completo en la nube, puede administrar las cuentas y licencias de usuario a través del Centro de administración de Office 365 o de los cmdlets de Windows PowerShell.

La siguiente figura resume cómo administrar usuarios en el modelo de identidad de nube.

En el paso 1, el administrador se conecta al Centro de administración de Office 365 en la plataforma de Microsoft en la nube para crear o administrar usuarios.

En el paso 2, las solicitudes de creación o de administración se pasan a Azure AD.

En el paso 3, si se trata de una solicitud de cambio, se aplica el cambio y se realiza una copia en el Centro de administración de Office 365.

En el paso 4, se realiza una copia en el Centro de administración de Office 365 de las cuentas de usuario y de los cambios nuevos que se han aplicado a las cuentas de usuario existentes.

Identidad y autenticación administradas en la nube

¿Cuándo debería usar la identidad de nube? La identidad de nube es aconsejable si:

  • No tiene ningún otro directorio de usuarios local.

  • Tiene un directorio local muy complejo y simplemente desea ahorrarse el trabajo de realizar la integración.

  • Tiene un directorio local existente, pero desea ejecutar una versión de prueba o piloto de Office 365. Más adelante, cuando esté listo para conectarse a su directorio local, puede hacer coincidir los usuarios de la nube con los usuarios locales.

Para empezar con la identidad de nube, consulte Configurar Office 365 para empresas: ayuda de administración.

Integración de Office 365 con un servicio de directorio

Si tiene un entorno de directorio local existente, puede integrar Office 365 con el directorio mediante la identidad sincronizada o el inicio de sesión único y la identidad federada para crear y administrar los usuarios de Office 365.

Identidad sincronizada

En este modelo, administrará la identidad de usuario en un servidor local. Además, sincronizará las cuentas y, opcionalmente, las contraseñas con la nube. El usuario escribirá la misma contraseña para el entorno local que para la nube y, en el inicio de sesión, Azure AD comprobará la contraseña. Este modelo usa una herramienta de sincronización de directorios para sincronizar la identidad local con Office 365.

Para configurar el modelo de identidad sincronizada, deberá tener un directorio local desde el que realizar la sincronización y deberá instalar una herramienta de sincronización de directorios. Antes de sincronizar las cuentas, deberá ejecutar algunas comprobaciones de coherencia en el directorio local.

Casos en los que es aconsejable usar la identidad sincronizada o la federada:

Modelo:

Situación:

Identidades sincronizadas

Cuando tenga un directorio local y desee sincronizar las cuentas de usuario y, opcionalmente, las contraseñas. Si también sincroniza las contraseñas, los usuarios usarán la misma contraseña para obtener acceso a los recursos locales que para obtener acceso a Office 365.

Cuando finalmente se decida por las identidades federadas, pero esté ejecutando un piloto de Office 365 o, por algún otro motivo, todavía no pueda dedicarle tiempo a la implementación de los servidores de Servicios de federación de Active Directory (AD FS).

Identidades federadas

Cuando necesite un escenario avanzado. Por ejemplo: una federación, una directiva o unos requisitos técnicos determinados (obtenga más información en Identidad federada).

El siguiente diagrama muestra un escenario de identidad sincronizada en el que se ha realizado una sincronización de contraseñas. La herramienta de sincronización mantiene sincronizadas las identidades de usuario de la organización locales y de la nube.

En el paso 1, deberá instalar Microsoft Azure Active Directory Connect. Para obtener las instrucciones, consulte Configurar la sincronización de directorios en Office 365. Para obtener más información acerca de Azure Active Directory Connect, consulte Integración de las identidades locales con Azure Active Directory.

En los pasos 2 y 3, deberá crear usuarios en el directorio local. La herramienta de sincronización comprobará periódicamente su directorio local para detectar si ha creado alguna identidad. A continuación, suministrará estas identidades a Azure AD, vinculará las locales y las de la nube entre sí, sincronizará las contraseñas y las definirá como visibles para que las pueda ver a través del Centro de administración de Office 365.

En el paso 4, a medida que vaya realizando cambios en los usuarios del directorio local, estos cambios se sincronizarán con Azure AD y podrá consultarlos a través del Centro de administración de Office 365.

Aprovisionamiento de identidad con sincronización

Para empezar con la identidad sincronizada, consulte Preparar el aprovisionamiento de usuarios a Office 365 mediante la sincronización de directorios y Configurar la sincronización de directorios en Office 365.

Identidad federada

Este modelo requiere una identidad sincronizada pero con un cambio: la contraseña de usuario la comprobará el proveedor de identidades locales. Esto significa que no es necesario que el hash de contraseña se sincronice con Azure AD. Este modelo usa Servicios de federación de Active Directory (AD FS) o un proveedor de identidades de terceros.

Las razones por las que se debería usar una identidad federada son las siguientes:

  • Infraestructura existente

    Si ya tiene implementado AD FS por algún otro motivo, es probable que también desee usarlo para Office 365.

    Si ya usa algún otro proveedor de identidades, lo más probable es que desee usar la identidad federada con Office 365. Microsoft proporciona una lista de los proveedores de identidades que funcionan con Office 365.

    Si usa Forefront Identity Manager, lo más probable es que desee usar la identidad federada con Office 365.

  • Requisitos técnicos

    Tiene varios bosques en su Servicios de dominio de Active Directory (AD DS) local.

    Tiene una solución de tarjetas inteligentes integrada de forma local.

    Tiene una aplicación híbrida personalizada, por ejemplo, con SharePoint o con Microsoft Exchange Server.

  • Requisitos de la directiva

    Requiere auditoría de inicio de sesión y deshabilitación inmediata.

    Requiere inicio de sesión único.

    Tiene restricciones de inicio de sesión por la ubicación de red o la jornada laboral.

    Cuenta con otras directivas locales que requieren identidad federada.

El siguiente diagrama muestra un escenario de identidad federada con una implementación híbrida local y en la nube. El directorio local en este ejemplo es AD FS. La herramienta de sincronización mantiene sincronizadas las identidades de usuario de la organización locales y de la nube.

En el paso 1, deberá realizar la instalación Azure Active Directory Connect (encontrará más información y podrá descargar las instrucciones aquí). La herramienta de sincronización ayuda a mantener Azure AD actualizado con los últimos cambios que haya realizado en el directorio local.

Para obtener las instrucciones, consulte Configurar la sincronización de directorios en Office 365. Concretamente, necesitará usar una instalación personalizada de Azure AD Connect para configurar el inicio de sesión único.

En los pasos 2 y 3, deberá crear usuarios en Active Directory local. La herramienta de sincronización comprobará periódicamente su Active Directory local para detectar si ha creado alguna identidad. A continuación, suministrará estas identidades a Azure AD, vinculará las locales y las de la nube entre sí y las definirá como visibles para que las pueda ver a través del Centro de administración de Office 365.

En los pasos 4 y 5, a medida que vaya realizando cambios en la identidad de Active Directory local, estos cambios se sincronizarán con Azure AD y podrá consultarlos a través del Centro de administración de Office 365.

En los pasos 6 y 7, sus usuarios federados iniciarán sesión con su AD FS. AD FS generará un token de seguridad que se pasará a Azure AD. El token se comprobará y se validará y, a partir de ese momento, los usuarios estarán autorizados para usar Office 365.

Aprovisionamiento de identidad con AD FS

Portal de administración de Azure Active Directory

Si tiene una suscripción de pago a Office 365, a Microsoft Dynamics CRM Online, a Enterprise Mobility Suite o a otros servicios de Microsoft, tiene una suscripción gratuita a Azure AD. Aunque puede usar Azure AD para crear y administrar las cuentas de usuario y de grupo, es aconsejable usar el Centro de administración de Office 365. Por ejemplo, aunque pueda agregar usuarios en el portal de administración de Azure, deberá agregar las licencias en el Centro de administración de Office 365. Deberá activar la suscripción para obtener acceso al portal de administración de Azure.

Para obtener más información, consulte Preguntas más frecuentes acerca de Azure AD Connect

Vea también

Integración de Office 365 con entornos locales

Preparar el aprovisionamiento de usuarios a Office 365 mediante la sincronización de directorios

Cmdlets de Windows PowerShell para Office 365

Solución de problemas con la sincronización de directorios para Office 365

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Únase a los participantes de Office Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×