34 MS 100

Contenido de un vistazo
Introducción
Preparándose para el examen
CAPÍTULO 1 Diseñar e implementar servicios de Microsoft 365
CAPÍTULO 2 Gestionar la identidad y los roles de los usuarios
CAPÍTULO 3 Gestionar el acceso y la autenticación
CAPÍTULO 4 Planificación de cargas de trabajo y aplicaciones
de Office 365
Índice
Contenido
Introducción
Organización de este libro
Certificaciones de Microsoft
Acceso rápido a referencias en línea
Erratas, actualizaciones y asistencia para libros
Mantente en contacto
Importante: cómo utilizar este libro para estudiar para el examen
Capítulo 1 Diseño e implementación de servicios de Microsoft
365
Habilidad 1.1: Administrar dominios
Agregar y configurar dominios adicionales
Verificar dominio personalizado
Configurar cargas de trabajo para un nuevo nombre de dominio
Establecer dominio predeterminado
Establecer nombre de dominio principal
Configurar identidades de usuario para un nuevo nombre de dominio
Diseñar la configuración del nombre de dominio
Habilidad 1.2: Planificar una implementación de Microsoft 365
Planificar la infraestructura local de Microsoft 365
Planificar la solución de identidad y autenticación
Habilidad 1.3: Configurar tenencia y suscripción de Microsoft 365
Configurar las funciones de suscripción y arrendatario y la
configuración de la carga de trabajo
Evaluar Microsoft 365 para organización
Planificar y crear inquilino
Actualizar las suscripciones existentes a Microsoft 365
Supervisar las asignaciones de licencias
Habilidad 1.4: Administrar la suscripción de Microsoft 365 y el estado
del inquilino
Gestionar alertas de estado del servicio
Crear y administrar solicitudes de servicio
Crear un plan de respuesta de salud del servicio interno
Supervisar el estado del servicio
Programe y revise informes de seguridad y cumplimiento
Programe y revise las métricas de uso
Habilidad 1.5: Planificar la migración de usuarios y datos
Identificar los datos a migrar y el método
Identificar usuarios y buzones de correo que se migrarán y método
Planificar la migración de usuarios y grupos locales
Importar archivos PST
Experimento mental
Respuestas del experimento mental
Resumen del capítulo
Capítulo 2 Gestionar la identidad y los roles de los usuarios
Habilidad 2.1: Estrategia de identidad de diseño
Evaluar los requisitos y la solución para la sincronización.
Evaluar los requisitos y la solución para la gestión de identidades.
Evaluar los requisitos y la solución para la autenticación.
Cumplir con los requisitos de instalación de Azure AD Connect
Instalación de Azure AD Connect
Identificación de atributos sincronizados
Habilidad 2.2: planear la sincronización de identidades mediante Azure
AD Connect
Limpieza de objetos de Active Directory existentes
Usar sufijos UPN y dominios no enrutables
Opciones de inicio de sesión de Azure AD Connect
Habilidad 2.3: administrar la sincronización de identidades mediante
Azure AD Connect
Supervisar el estado de Azure AD Connect
Administrar la sincronización de Azure AD Connect
Forzar la sincronización
Configurar filtros de objetos
Configurar la sincronización de contraseña
Implementar escenarios de AD Connect de varios bosques
Habilidad 2.4: Administrar identidades de Azure AD
Planear identidades de Azure AD
Implementar y administrar el restablecimiento de contraseña de
autoservicio de Azure AD
Administrar revisiones de acceso
Administrar grupos
Gestionar contraseñas
Administrar licencias de productos
Administrar usuarios
Realice una gestión de usuarios masiva
Habilidad 2.5: Gestionar roles de usuario
Planificar roles de usuario
Asignar roles en cargas de trabajo
Gestionar roles de administrador
Configurar RBAC en Azure AD
Derechos de administrador delegado
Administrar las asignaciones de roles mediante Azure AD
Configurar cuentas administrativas
Planear roles de seguridad y cumplimiento para Microsoft 365
Experimento mental
Capítulo 3 Gestionar el acceso y la autenticación
Habilidad 3.1: Gestionar la autenticación
Método de autenticación de diseño
Configurar la autenticación
Implementar el método de autenticación
Gestionar la autenticación
Supervisar la autenticación
Habilidad 3.2: Implementar la autenticación multifactor
Diseñar una solución MFA
Configurar MFA para aplicaciones o usuarios
Administrar usuarios de MFA
Informar sobre la utilización de MFA
Habilidad 3.3: Configurar el acceso a la aplicación
Configurar el registro de la aplicación en Azure AD
Configurar el proxy de la aplicación de Azure AD
Publica aplicaciones empresariales en Azure AD
Habilidad 3.4: implementar el acceso para usuarios externos de cargas
de trabajo de Microsoft 365
Crea cuentas B2B
Crear cuentas de invitado
Soluciones de diseño para acceso externo
Experimento mental
Capítulo 4 Planificación de cargas de trabajo y aplicaciones
de Office 365
Habilidad 4.1: Planificar la implementación de cargas de trabajo de
Office 365
Identificar requisitos híbridos
Planificar la conectividad y el flujo de datos de la carga de trabajo de
Microsoft 365
Planificar la estrategia de migración para cargas de trabajo
Habilidad 4.2: Planificar la implementación de aplicaciones de Office
365
Administrar descargas de software de Office 365
Planificar las aplicaciones de Office 365
Planificar las actualizaciones de las aplicaciones de Office 365 Pro plus
Planificar la conectividad de Office 365 ProPlus
Planificar Office en línea
Planificar la implementación de Office 365 Pro plus
Experimento mental
Índice
Sobre el Autor
ORIN THOMAS es un defensor principal de operaciones en la nube
en Microsoft y ha escrito más de 3 docenas de libros para Microsoft
Press sobre temas que incluyen Windows Server, Windows Client,
Azure, Office 365, System Center, Exchange Server, Seguridad y SQL
Server. Ha sido autor de cursos de Arquitectura Azure en Pluralsight,
ha sido autor de varios cursos de Microsoft Official Curriculum y EdX
sobre una variedad de temas para profesionales de TI, y está
completando un Doctorado en Tecnología de la Información sobre
seguridad y cumplimiento de la computación en la nube en la
Universidad Charles Sturt. Puedes seguirlo en Twitter
en http://twitter.com/orinthomas .
Introducción
El examen MS 100 trata temas avanzados que requieren que los
candidatos tengan un excelente conocimiento práctico de la
funcionalidad de identidad y servicios de Microsoft 365. Algunos de los
exámenes incluyen temas que incluso los administradores
experimentados de Microsoft 365 rara vez pueden encontrar a menos
que sean consultores que implementen nuevos inquilinos de Microsoft
365 de forma regular. Para tener éxito en la realización de este examen,
los candidatos no solo deben comprender cómo administrar la
identidad y los servicios de Microsoft 365, sino que también deben
comprender cómo integrar Microsoft 365 con un entorno de Active
Directory local. También deben mantenerse al día con los nuevos
desarrollos de Microsoft 365, incluidas las nuevas funciones y los
cambios en la interfaz.
Los candidatos para este examen son profesionales de tecnología de la
información (TI) que desean validar sus habilidades avanzadas de
administración de identidad y servicios de Microsoft 365, habilidades
de configuración y conocimientos. Para aprobar este examen, los
candidatos deben tener una sólida comprensión de cómo diseñar e
implementar los servicios de Microsoft 365, administrar la identidad y
los roles de los usuarios, administrar el acceso y la autenticación y
comprender los pasos involucrados en la planificación de las cargas de
trabajo y las aplicaciones de Office 365. Para aprobar, los candidatos
requieren una comprensión teórica completa, así como una experiencia
práctica significativa en la implementación de las tecnologías
involucradas.
Esta edición de este libro cubre los objetivos de los exámenes de
Microsoft 365 y MS 100 alrededor de mediados de 2019. A medida que
la suite de Microsoft 365 evoluciona, también lo hacen los objetivos del
examen de Microsoft 365, por lo que debe verificar cuidadosamente si
se han producido cambios desde que se escribió esta edición del libro y
estudiar en consecuencia.
Este libro cubre todas las áreas temáticas principales que se encuentran
en el examen, pero no cubre todas las preguntas del examen. Solo el
equipo de examen de Microsoft tiene acceso a las preguntas del
examen, y Microsoft agrega periódicamente nuevas preguntas al
examen, lo que hace imposible cubrir preguntas específicas. Debe
considerar este libro como un complemento de su experiencia relevante
en el mundo real y otros materiales de estudio. Si encuentra un tema en
este libro con el que no se siente completamente cómodo, use la opción
"¿Necesita más revisión?" enlaces que encontrará en el texto para
encontrar más información y tomarse el tiempo para investigar y
estudiar el tema. Hay gran información disponible
en docs.microsoft.com y en blogs y foros.
ORGANIZACIÓN DE ESTE LIBRO

Este libro está organizado por la lista de "Habilidades medidas" publicada
para el examen. La lista de "Habilidades medidas" está disponible para
cada examen en el sitio web de Microsoft
Learning: http://aka.ms/examlist . Cada capítulo de este libro
corresponde a un área temática principal de la lista, y las tareas técnicas
de cada área temática determinan la organización de un capítulo. Si un
examen cubre seis áreas temáticas principales, por ejemplo, el libro
contendrá seis capítulos.
CERTIFICACIONES DE MICROSOFT
Las certificaciones de Microsoft lo distinguen al demostrar su dominio de
un amplio conjunto de habilidades y experiencia con los productos y
tecnologías actuales de Microsoft. Los exámenes y las certificaciones
correspondientes se desarrollan para validar su dominio de las
competencias críticas a medida que diseña y desarrolla, o implementa y
brinda soporte, soluciones con productos y tecnologías de Microsoft tanto
en las instalaciones como en la nube. La certificación aporta una variedad
de beneficios para el individuo y para los empleadores y las
organizaciones.
Más información Todas las certificaciones de Microsoft
Para obtener información sobre las certificaciones de Microsoft, incluida una lista
completa de las certificaciones disponibles,
visite https://www.microsoft.com/learn .
¡Vuelve a menudo para ver qué hay de nuevo!
ACCESO RÁPIDO A REFERENCIAS EN LÍNEA
A lo largo de este libro hay direcciones de páginas web que el autor le ha
recomendado que visite para obtener más información. Algunas de estas
direcciones (también conocidas como URL) pueden ser laboriosas de
escribir en un navegador web, por lo que las hemos compilado todas en
una sola lista a la que los lectores de la edición impresa pueden consultar
mientras leen.
Descargue la lista en MicrosoftPressStore.com/ExamRefMS100/downloads
Las URL están organizadas por capítulo y encabezado. Cada vez que
encuentre una URL en el libro, busque el hipervínculo en la lista para ir
directamente a la página web.
ERRATAS, ACTUALIZACIONES Y ASISTENCIA PARA

LIBROS
Hemos hecho todo lo posible para garantizar la precisión de este libro y
su contenido complementario. Puede acceder a las actualizaciones de este
libro, en forma de lista de erratas enviadas y sus correcciones
relacionadas, en:
MicrosoftPressStore.com/ExamRefMS100/errata
Si descubre un error que aún no está en la lista, envíenoslo en la misma
página.
Para obtener ayuda e información adicional sobre libros,
visite: https://MicrosoftPressStore.com/Support .
Tenga en cuenta que el soporte de productos para software y hardware
de Microsoft no se ofrece a través de las direcciones anteriores. Para
obtener ayuda con el software o hardware de Microsoft, vaya
a https://support.microsoft.com .
MANTENTE EN CONTACTO
¡Sigamos con la conversación! Estamos en
Twitter: http://twitter.com/MicrosoftPress .
Importante: cómo utilizar este libro para
estudiar para el examen
Los exámenes de certificación validan su experiencia en el trabajo y su
conocimiento del producto. Para medir su preparación para realizar un
examen, utilice esta Referencia de examen para comprobar su
comprensión de las habilidades evaluadas por el examen. Determina
los temas que conoces bien y las áreas en las que necesitas más
experiencia. Para ayudarlo a actualizar sus habilidades en áreas
específicas, también hemos proporcionado "¿Necesita más
revisión?" punteros, que le dirigen a información más detallada fuera
del libro.
El Examen Ref no sustituye la experiencia práctica. Este
libro no está diseñado para enseñarle nuevas habilidades.
Le recomendamos que complete la preparación de su examen
utilizando una combinación de materiales de estudio y cursos
disponibles. Obtenga más información sobre la capacitación presencial
disponible y encuentre cursos en línea gratuitos y eventos en vivo
en http://microsoft.com/learn . Las pruebas de práctica oficiales de
Microsoft están disponibles para muchos exámenes
en http://aka.ms/practicetests .
Este libro está organizado por la lista de "Habilidades medidas"
publicada para el examen. La lista de "Habilidades medidas" para cada
examen está disponible en el sitio web de Microsoft
Learn: http://aka.ms/examlist .
Tenga en cuenta que esta referencia de examen se basa en esta
información disponible públicamente y en la experiencia del
autor. Para salvaguardar la integridad del examen, los autores no
tienen acceso a las preguntas del examen.
Capítulo 1
Diseño e implementación de servicios de
Microsoft 365
Importante
¿Ha leído la página xvii?
Contiene información valiosa sobre las habilidades que necesita para
aprobar el examen.
Aunque es posible simplemente comenzar a implementar Microsoft
365 una vez que su organización haya tomado la decisión de adoptar la
tecnología, su organización sacará más provecho de su implementación
de Microsoft 365 si se ha realizado algún trabajo de planificación y
diseño antes de que se configuren los servicios de Microsoft 365. En
este capítulo, aprenderá a administrar el espacio de nombres de
dominio de Microsoft 365, cómo planificar una implementación de
Microsoft 365, cómo configurar una tenencia y suscripción de
Microsoft 365, cómo administrar esa suscripción y el estado de la
tenencia, y los pasos que necesitará para tome para planificar la
migración y los usuarios de un entorno local tradicional a un entorno
de Microsoft 365.
Habilidades en este capítulo:

• Administrar dominios
• Planifique una implementación de Microsoft 365
• Configurar la tenencia y la suscripción de Microsoft 365
• Administrar la suscripción de Microsoft 365 y el estado del
inquilino
• Planificar la migración de usuarios y datos
HABILIDAD 1.1: ADMINISTRAR DOMINIOS

Esta sección trata sobre la administración de configuraciones de nombres
de dominio para una tenencia de Microsoft 365. Para dominar esta
habilidad, deberá comprender cómo configurar un arrendamiento de
Microsoft 365 para usar un nombre DNS administrado por su
organización. También necesitará saber cómo configurar ese nombre de
dominio para que funcione con una variedad de servicios de Microsoft
365, así como configurar nombres de usuario y direcciones de correo
electrónico para aprovechar el nuevo nombre de dominio.
Esta sección cubre los siguientes temas:
• Agregar y configurar dominios adicionales
• Verificar dominio personalizado
• Configurar identidades de usuario para un nuevo nombre de dominio
• Configurar cargas de trabajo para un nuevo nombre de dominio
• Diseñar la configuración del nombre de dominio
• Establecer nombre de dominio principal
Agregar y configurar dominios adicionales

Cuando crea una suscripción a Microsoft 365, al arrendamiento de la
suscripción se le asigna automáticamente un dominio onmicrosoft.com
personalizado. El nombre del inquilino tiene el formato
name.onmicrosoft.com, donde nombre es el nombre que desea asignar al
inquilino de su organización. Este nombre debe ser único y no hay dos
organizaciones que puedan compartir el mismo nombre de
inquilino. Cuando crea inicialmente el arrendamiento, se realiza una
verificación con el nombre del arrendamiento propuesto. Si ya existe un
inquilino con ese nombre, se le avisará y se le pedirá que seleccione una
alternativa. Si bien es poco probable que use el nombre de dominio
onmicrosoft.com una vez que haya configurado completamente la
tenencia de su organización, es importante tener en cuenta que el nombre
del inquilino no se puede cambiar después de configurar su suscripción a
Microsoft 365. El nombre del inquilino elegido en la configuración
permanece con la suscripción durante el transcurso de la existencia de la
suscripción y no se puede eliminar. Resista la tentación de asignar un
nombre divertido, porque su organización se quedará con él incluso si no
es el nombre de dominio principal utilizado.
Puede asignar un nombre de dominio de su propiedad al inquilino para
que no tenga que usar el nombre del inquilino de forma regular. Por
ejemplo, puede suscribirse a una suscripción de Microsoft 365 con el
nombre de inquilino contoso.onmicrosoft.com. Cualquier cuenta que cree
usará el sufijo de correo electrónico contoso.onmicrosoft.com para sus
buzones de correo de Office 365 Exchange. Sin embargo, una vez que haya
configurado Microsoft 365, puede asignar un nombre de dominio
personalizado y usar el nombre de dominio personalizado como el sufijo
de correo electrónico principal. Por ejemplo, suponiendo que posee el
nombre de dominio contoso.com, puede configurar su arrendamiento
para usar el nombre de dominio personalizado contoso.com con
el arrendamiento contoso.onmicrosoft.com .
Microsoft 365 admite la adición de hasta 900 dominios a una sola
suscripción. Puede usar nombres de dominio independientes con una
suscripción, como contoso.com o tailwindtraders.com. También puede
asociar subdominios de un nombre de dominio
como partners.tailwindtraders.com o australia.contoso.com .
Adquirir un nombre de dominio

Si su organización desea usar un nuevo nombre de dominio con su
tenencia de Microsoft 365, puede adquirir uno con un registrador. Al
hacer esto, puede elegir que el registrador aloje los registros del servidor
de nombres para el dominio o seleccionar sus propios registros del
servidor de nombres. La gran mayoría delas organizaciones ya habrán
adquirido un nombre de dominio y lo habrán alojado con un registrador
de dominio específico, su ISP o incluso en sus propios servidores
DNS. Para usar un dominio con Microsoft 365, los servidores DNS
utilizados como servidores de nombres para el dominio deben admitir los
siguientes tipos de registros:
• Registros CNAME Para admitir por completo Skype
Empresarial en línea, los servidores DNS del servidor de nombres
deben poder admitir varios registros CNAME en una zona DNS.
• Registros SPF / TXT Estos registros le permiten configurar
registros del marco de protección del remitente, que se pueden
utilizar para combatir el correo electrónico comercial no
solicitado. Los registros TXT también son un método para verificar
la propiedad del dominio.
• Registros SRV Los registros SRV se utilizan para la MI de
Skype empresarial online y la integración de presencia mediante
Outlook Web App, así como la federación con usuarios de Skype
empresarial online en diferentes organizaciones, incluida la
conectividad pública a Internet con cuentas de Microsoft.
• Registros MX Estos registros se utilizan para enrutar el
correo a los servidores de correo de Exchange Online.
Comprar un dominio a través de Microsoft 365

En algunas regiones, puede comprar un nombre de dominio
personalizado desde Microsoft 365. Cuando hace esto, está limitado a los
siguientes dominios de nivel superior:
• .negocio
• .com
• .info
• .me
• .mobi
• .neto
• .org
• .televisor
• .co.uk
• .org.uk
La compra de un dominio a través de Microsoft 365 tiene la ventaja de
significar que la gran mayoría de las operaciones relacionadas con DNS se
realizarán automáticamente para usted. No debe elegir esta opción si su
organización continuará usando servicios de correo electrónico fuera de
Microsoft 365 porque no podrá modificar los registros MX apropiados.
Configurar un nombre de dominio personalizado

Para configurar Microsoft 365 para usar un nombre de dominio
personalizado, debe agregar el nombre del nombre de dominio
personalizado a Microsoft 365. La cuenta utilizada para realizar esta
acción debe ser un Administrador global de un negocio o plan
empresarial.
Para agregar un dominio personalizado a Microsoft 365, realice los
siguientes pasos:
1. En el Centro de administración de Microsoft 365, haga clic
en Dominios en Configuración como se muestra en la Figura 1-1 .
Figura 1-1 Nodo de dominios
2. Si su organización ya tiene un dominio, haga clic en Agregar
un dominio . La alternativa es que la consola brinda la opción de
comprar un dominio a través de Office 365 y GoDaddy. La ventaja
de comprar a través de GoDaddy es que puede hacer que todo el
proceso de asignación de un dominio personalizado a Microsoft
365 ocurra automáticamente. Si el dominio de su organización ya
está alojado en otro lugar, tendrá que confirmar la propiedad de ese
dominio configurando registros TXT o MX especiales que se pueden
verificar mediante el proceso de configuración.
3. Cuando hace clic en Agregar un dominio , se le presenta la
página Nuevo dominio. Ingrese el nombre del dominio existente
que desea configurar como se muestra en la Figura 1-2 y haga clic
en Siguiente .
Figura 1-2 Agregar un nuevo dominio en Microsoft 365
4. Esto iniciará el proceso de agregar el dominio, pero deberá
confirmar la propiedad antes de poder usar el dominio.
Verificar dominio personalizado

Solo puede usar un nombre de dominio personalizado con Microsoft 365
si su organización es propietaria del nombre de dominio. Microsoft
requiere que realice una serie de cambios de configuración de DNS en el
nombre de dominio que probarán que su organización controla y tiene la
propiedad del dominio.
Para confirmar la propiedad del dominio de su organización, realice los
siguientes pasos:
1. Una vez que haya especificado el dominio que desea agregar,
verifique el dominio en la página Verificar dominio. Esto implica
agregar un registro TXT o MX con las propiedades enumeradas en
la página Verificar dominio que se muestra en la Figura 1-3 a la
zona DNS. Para ello, configure la zona DNS con el proveedor de
DNS.
Figura 1-3 Verificar dominio
2. La Figura 1-4 muestra el registro TXT configurado como parte
de la zona DNS, epistemicus.com, alojado en DNS en Microsoft
Azure.
Figura 1-
4 registro TXT en Azure DNS
3. Una vez que haya agregado el registro, haga clic
en Verificar . Microsoft 365 intentará confirmar la presencia del
registro. Dependiendo de cómo esté configurado el DNS, pueden
pasar hasta 15 minutos antes de que el proceso de verificación se
complete con éxito.
Más información Agregar un dominio a Microsoft 365
Puede obtener más información sobre el tema
en: https://docs.microsoft.com/office365/admin/setup/add-domain?view=o365-
worldwide .
Configurar cargas de trabajo para un nuevo nombre de

dominio
Al configurar el propósito de un dominio personalizado, puede elegir
cómo se usará con una variedad de servicios de Microsoft 365. Por
ejemplo, es posible que desee usar un dominio personalizado como sufijo
de correo electrónico y otro dominio personalizado para usar con
Exchange y la administración de dispositivos móviles para Office 365.
Solo puede configurar un propósito de dominio una vez que haya
verificado la zona DNS. Microsoft 365 le permite configurar dominios
separados para las cargas de trabajo de Exchange, Skype for Business y
Mobile Device Management para Office 365.
Para configurar el propósito del dominio, continúe con el asistente
después de verificar la zona DNS y seleccione qué servicios desea que
admita la zona. Una vez que haya agregado los registros a la zona DNS,
puede verificar que los registros se hayan ingresado correctamente
haciendo clic en Verificar como se muestra en la Figura 1-5 .
Figura 1-5 registro TXT en Azure DNS
Registros DNS relacionados con Exchange Online

Cuando aprovisiona Microsoft 365 para su organización, Microsoft se
encarga de garantizar que los registros DNS para el dominio de inquilino
de su organización, que es el dominio onmicrosoft.com, estén
configurados correctamente para que las direcciones de correo
electrónico que usan el dominio de inquilino como un sufijo de dominio
de correo electrónico tengan correo enrutado correctamente.
Por ejemplo, si una prestación Microsoft 365 inquilino, y el dominio
inquilino está contoso.onmicrosoft.com , a continuación, el correo
electrónico enviado a los usuarios en este dominio de correo electrónico,
como por ejemplo un correo electrónico enviado
a don.funk@contoso.onmicrosoft.com , llegará en la ubicación correcta
porque Microsoft 365 proporcionará los registros DNS apropiados
automáticamente cuando se aprovisione el arrendamiento.
Cuando agrega un dominio personalizado a Microsoft 365, debe
configurar un conjunto adecuado de registros DNS para asegurarse de
que el correo fluya correctamente a los buzones de correo de Exchange
Online que usan el dominio personalizado. Por ejemplo, si su dominio
personalizado es tailspintoys.com, debe configurar DNS para que el
correo electrónico funcione correctamente para los buzones de correo de
Exchange Online que están configurados para usar el dominio de correo
electrónico tailspintoys.com. Cuando se configura correctamente, el
usuario asociado con el buzón de correo de Exchange
Online don.funk@tailspintoys.com recibirá el correo electrónico enviado
desde otros hosts en Internet.
Si su zona DNS personalizada está alojada en GoDaddy, Microsoft 365
puede configurar los registros DNS adecuados para usted
automáticamente. Si su zona de DNS personalizada está alojada por otro
proveedor de alojamiento de DNS, deberá configurar manualmente los
registros de DNS.
Necesita configurar los siguientes registros DNS:
• Registro CNAME de detección automática para el servicio de
detección automática
• Registro MX para enrutamiento de correo
• Registro SPF (Sender Policy Framework) para verificar la
identidad del servidor de correo
• Registro TXT para la federación de Exchange
• Registro CNAME para la federación de Exchange
Estos registros se enumeran en la Tabla 1-1 . El asistente de configuración
de DNS de Microsoft le proporcionará los detalles específicos de los
registros. El registro MX toma el formato <nombredenspersonalizado>
.mail.protection.outlook.com y variará según el nombre de dominio
personalizado que se registre.
Tabla 1-1 Registros DNS de Microsoft 365 Exchange
Tipo Prioridad Nombre de host Valor

MX 0 @ <nombre_personalizado> .mail.protection.out
TXT - @ v = spf1 incluyen: spf.protection.outlook.com
CNAME - autodescubrimiento autodiscover.outlook.com
Registro MX
Debe configurar un registro MX en su dominio personalizado para que
apunte a un servidor de correo de destino de Office 365. La dirección de
este servidor de correo de destino dependerá del nombre del dominio
personalizado y se describe en la documentación con el formato <mx
token> .mail. protection.outlook.com. Puede determinar el valor del token
MX realizando los siguientes pasos:
1. En el Centro de administración de Microsoft 365, navegue
hasta el nodo Dominios en Configuración .
2. Seleccione el dominio personalizado; esto abrirá la página de
Propiedades del dominio.
3. Localice el registro MX como se muestra en la Figura 1-6 .

Para asegurarse de que el correo se enrute correctamente, debe
configurar la prioridad MX para que el registro tenga un valor más bajo
que cualquier otro registro MX configurado para el dominio
personalizado. Cuando se enruta el correo, se realiza una verificación
para determinar qué registro MX tiene el valor más bajo para elcampo de
prioridad. Por ejemplo, se elegirá un registro MX con una prioridad de 10
como destino para el enrutamiento de correo sobre un registro MX con
una prioridad de 20.
La figura 1-7 muestra el registro MX para la configuración del dominio
epistemicus.com cuando la zona DNS está hospedada en Azure DNS.
Figura 1-7 registro MX en Azure DNS
Registro SPF
El registro del Marco de protección del remitente (SPF) es un registro
TXT especial que reduce la posibilidad de que terceros malintencionados
utilicen el dominio personalizado para enviar correo no deseado o correo
electrónico malintencionado. Un registro SPF se utiliza para validar qué
servidores de correo electrónico están autorizados para enviar mensajes
en nombre del dominio personalizado. El registro SPF debe ser un
registro TXT donde el valor TXT debe incluir v = spf1 include:
spf.protection.outlook.com –todos . El récord también debe
establecerse con un valor TTL de 3600 . Solo debe existir un registro TXT
para SPF dentro de una zona específica. Si ya hay un registro SPF, agregue
los valores de Microsoft 365 al registro existente en lugar de crear uno
nuevo. La figura 1-8 muestra un registro SPF para Exchange Online
hospedado en Azure DNS para el dominio epistemicus.com.
Figura 1-8 registro SPF en Azure DNS
Registro CNAME de detección automática

Debe crear un registro CNAME que use el alias de detección automática
para apuntar al nombre de host Autodiscover.outlook.com, de modo que
los clientes de Outlook tengan su configuración aprovisionada
automáticamente para Exchange Online. Por ejemplo, si el dominio
personalizado que asignó a Microsoft 365 era tailspintoys.com,
necesitaría crear el registro CNAME Detección
automática. tailspintoys.com y haga que apunte a
Autodiscover.outlook.com. La figura 1-9 muestra este tipo de registro
configurado para el dominio epistemicus.com mediante Azure DNS.
Figura 1-9 Registro de detección automática en DNS de Azure
Registros de texto de federación de intercambio

Si está configurando la federación entre una implementación de Exchange
local y Exchange Online, debe crear dos registros TXT especiales que
incluirán un texto hash a prueba de dominio generado de forma
personalizada.
El primer registro incluirá el nombre de dominio personalizado y el texto
hash, como tailspintoys.com e Y96nu89138789315669824,
respectivamente. El segundo registro incluirá la delegación de
intercambio de nombre, con el nombre de dominio personalizado y luego
el texto hash a prueba de dominio generado personalizado como
exchangedelegation.tailspintoys.com y Y3259071352452626169.
Registro CNAME de Exchange Federation

Si está configurando la federación, necesita un registro CNAME adicional
para admitir la federación con Office 365. Este registro CNAME necesitará
el alias autodiscover.service y también debe apuntar a
autodiscover.outlook.com.
Más información Registros DNS de Exchange Online
Puede obtener más información sobre los registros DNS para Exchange Online
en: https://docs.microsoft.com/office365/enterprise/external-domain-name-system-
records#external-dns-records-required-for-office-365- servicios centrales .
Registros DNS relacionados con Skype Empresarial

Skype Empresarial requiere que configure dos tipos de registros DNS si
tiene un dominio personalizado. Debe configurar dos registros SRV y dos
registros CNAME para que Skype Empresarial funcione correctamente
con un dominio personalizado, como se muestra para el dominio
epistemicus.com en la Figura 1-10 .
Figura 1-10 Registros DNS relacionados con Skype Empresarial
Registros CNAME de Skype Empresarial Online

Si desea utilizar Skype Empresarial con un dominio personalizado,
también debe crear dos registros CNAME independientes. El primer
registro CNAME usa el alias sip y apunta a sipdir.online.lync.com. Este
registro CNAME permite al cliente encontrar el servicio Skype for
Business y ayuda en el proceso de inicio de sesión. El segundo registro
CNAME ayuda al cliente del dispositivo móvil Skype for Business a
encontrar el servicio Skype for Business y también ayuda con el inicio de
sesión. El alias de este registro es lyncdiscover y el destino del registro es
webdir.online.lync.com. Estos registros se enumeran en la Tabla 1-2 .
Tabla 1-2 Registros DNS CNAME de Microsoft 365 Skype for Business
Tipo Nombre de host Valor

CNAME sorbo sipdir.online.lync.com
CNAME lyncdiscover webdir.online.lync.com
Registros SRV de Skype Empresarial Online

Skype empresarial online requiere dos registros SRV. El primer registro
se usa para coordinar el flujo de datos entre los clientes de Skype
Empresarial. Este registro debe tener las siguientes propiedades:
• Servicio _sip
• Protocolo _TCP
• Prioridad 100
• Peso 1
• Puerto 443
• Destino sipdir.online.lync.com
Skype Empresarial usa el segundo registro para compartir funciones de
mensajería instantánea con clientes distintos de Lync para Empresas al
permitir la federación SIP. Este registro debe tener las siguientes
propiedades:
• Servicio _sipfederationtls
• Protocolo _TCP
• Prioridad 100
• Peso 1
• Puerto 5061
• Orientación a sipfed.online.lync.com
Estos registros también se enumeran en la Tabla 1-3 .
Tabla 1-3 Registros DNS SRV de Microsoft 365 Skype for Business
Servicio Protocolo Puerto objetivo nom
_sorbo _tls 443 sipdir.online.lync.com @
_sipfederationtls _tcp 5061 sipfed.online.lync.com @
Más información Registros DNS de Skype Empresarial
Puede obtener más información sobre los registros DNS para Skype empresarial
online en: https://docs.microsoft.com/office365/enterprise/external-domain-name-
system-records#external-dns-records-required-for-skype- para negocios en línea .
Gestión de dispositivos móviles para registros DNS de Microsoft

365
Si usa la Administración de dispositivos móviles para Microsoft 365, debe
crear dos registros CNAME, también conocidos como Alias, para que los
dispositivos puedan encontrar la ubicación adecuada para
registrarse. Estos dos registros se enumeran en la Tabla 1-4 .
Tabla 1-4 Registros DNS de administración de dispositivos móviles de Microsoft 365
Tipo Nombre de host Valor

CNAME registro de empresa enterpriseregistration.windows.net
CNAME inscripción empresarial enterpriseenrollment.manage.microsoft.com
Verificación de la configuración de DNS

Puede verificar la configuración de DNS en cualquier momento
seleccionando el dominio en el Centro de administración de Microsoft
365 y haciendo clic en Verificar DNS , como se muestra en la Figura 1-
11 . Cuando haga esto, Microsoft 365 realizará una consulta contra los
registros requeridos para los servicios que ha elegido y validará que los
resultados devueltos por la consulta coincidan con los requeridos por
Microsoft 365.
Más información Preguntas frecuentes sobre dominios de Microsoft 365

Puede obtener más información sobre cómo configurar dominios para Microsoft
365 en: https://docs.microsoft.com/office365/admin/setup/domains-
faq?view=o365-worldwide .
Establecer dominio predeterminado

La configuración del dominio predeterminado configura qué sufijo de
dominio se usará automáticamente con las cuentas de usuario de
Microsoft 365. Solo puede seleccionar un dominio predeterminado si ha
configurado Microsoft 365 con al menos un dominio personalizado.
Para configurar el dominio predeterminado:
1. Inicie sesión en el Centro de administración de Microsoft 365
como administrador global.
2. En Configuración, haga clic en Dominios y luego haga clic en
el dominio que desea configurar como dominio predeterminado.
3. En la página del dominio, que se muestra en la Figura 1-12 ,
haga clic en Establecer como predeterminado .
Establecer nombre de dominio principal

También puede establecer el nombre de dominio principal en Exchange
Online. Esto funciona de manera similar al dominio predeterminado para
Microsoft 365, aunque es posible tener un nombre de dominio principal
para Exchange Online que sea diferente del dominio predeterminado para
Microsoft 365. Cuando hace esto, la dirección de correo electrónico que
tiene un usuario será el nombre de dominio principal predeterminado,
pero el nombre de inicio de sesión para Microsoft 365 usará el dominio
predeterminado. Para evitar confusiones, es más sencillo establecer el
dominio predeterminado y el dominio principal con el mismo valor.
Para configurar el tipo de dominio principal para Exchange Online, realice
los siguientes pasos:
1. Inicie sesión en el centro de administración de Microsoft 365
como administrador global.
2. En Centros de administración, haga clic en Exchange . Esto
abrirá el Centro de administración de Exchange.
3. En Flujo de correo, que se muestra en la Figura 1-13 , haga clic
en Dominios aceptados .
Figura 1-13 Dominios aceptados en el centro de administración de

Exchange
4. Establezca el dominio que desea que se convierta en el
dominio principal y haga clic en el icono Lápiz (Editar).
5. En la página Dominio aceptado, asegúrese de que el dominio
esté configurado como Autoritativo y que el dominio esté
configurado como dominio predeterminado como se muestra en
la Figura 1-14 .
Figura 1-14 Configuración del dominio predeterminado
Más información sobre dominios aceptados en Exchange Online
Puede obtener más información sobre cómo configurar dominios aceptados para
Exchange Online en: https://docs.microsoft.com/exchange/mail-flow-best-
practices/manage-accepted-domains/manage-accepted-domains .
Configurar identidades de usuario para un nuevo nombre

de dominio
Cuando su organización de Microsoft 365 adopte un nuevo nombre de
dominio personalizado, también será necesario decidir qué pasos debe
tomar en términos de permitir que los usuarios aprovechen ese nombre
de dominio. Por ejemplo, ¿a todas las cuentas de usuario recién creadas se
les debe asignar ese nombre de dominio para el correo electrónico y el
inicio de sesión de UPN? ¿Deben modificarse las cuentas de usuario
existentes para que utilicen el nuevo nombre de dominio para el correo
electrónico y el inicio de sesión con UPN? ¿Debería simplemente
agregarse el nuevo nombre de dominio como un sufijo de dominio
alternativo a la dirección de correo electrónico de la organización
existente? En esta sección, aprenderá qué pasos puede seguir para
modificar la dirección principal para que use un nuevo nombre de
dominio.
Administrar la dirección de correo electrónico

La dirección predeterminada, también conocida como dirección principal
y dirección de respuesta, es la dirección que los usuarios usan para iniciar
sesión en los recursos de Microsoft 365, incluido Office 365, y a la que los
destinatarios responden cuando reciben un mensaje de correo
electrónico de un usuario. . Puede ver la dirección de correo electrónico
principal de un usuario en el Centro de administración de Microsoft 365
en la página de propiedades del usuario, como se muestra en la Figura 1-
15 .
Figura 1-15 Dirección de correo electrónico principal
Es posible cambiar la dirección de correo electrónico principal una vez

que haya agregado una dirección de correo electrónico adicional a un
usuario de Office 365. Es importante tener en cuenta que cambiar la
dirección de correo electrónico principal también cambia el nombre de
usuario. Por ejemplo, la advertencia en la Figura 1-16 indica que al
cambiar la dirección de correo electrónico principal asociada con la
cuenta de usuario de Adele Vance, también se cambiará el nombre de
usuario. El sufijo de correo electrónico para la dirección principal debe
configurarse como un dominio aceptado para el inquilino de Office 365.
Figura 1-16 Cambiar la dirección de correo electrónico principal
Puede realizar una actualización masiva de direcciones de correo

electrónico con PowerShell. Puede optar por hacer esto en caso de que la
organización cambie de nombre. Este paso debe tomarse con sumo
cuidado porque ayudar a un pequeño número de usuarios a través de una
transición a una nueva dirección de correo electrónico y de inicio de
sesión es relativamente simple, mientras que ayudar a todos los usuarios
de la organización a través de una transición a una nueva dirección de
correo electrónico y de inicio de sesión es lo que podría educadamente
denominarse "logísticamente complejo".
Para actualizar el correo electrónico y los dominios de inicio de sesión de
varios usuarios, realice los siguientes pasos:
1. En el nodo Usuarios activos del Centro de administración de
Microsoft 365, seleccione todos los usuarios cuyo correo
electrónico y dominios de inicio de sesión desea actualizar, como se
muestra en la Figura 1-17 .
Figura 1-17 Seleccionar varios usuarios

2. Una vez seleccionados los usuarios, en el menú
desplegable Más , haga clic en Editar dominios .
3. En el menú desplegable Editar dominios , seleccione uno de
los dominios que se han agregado a Microsoft 365, como se
muestra en la Figura 1-18 , y haga clic en Guardar. Aparecerá una
advertencia de que las direcciones de correo electrónico y los
nombres de usuario de las aplicaciones asociadas con Microsoft
365 deberán actualizarse.
Figura 1-18 Seleccionar varios usuarios

4. Cuando se complete la operación, se mostrará un cuadro de
diálogo de confirmación como se muestra en la Figura 1-19 . Haga
clic en Cerrar para cerrar el cuadro de diálogo.
Figura 1-19 Cuadro de diálogo de confirmación
Direcciones de correo electrónico adicionales

Las direcciones de correo electrónico adicionales permiten que los
buzones de correo reciban mensajes de más de una dirección. También
conocidas como direcciones proxy o secundarias, pueden tomar cualquier
formato y pueden usar cualquier nombre de dominio asociado con la
tenencia de Microsoft 365 de la organización. Por ejemplo, la cuenta de
usuario de Adele Vance podría tener el nombre de usuario y la dirección
principales como AdeleV@contoso.com , pero también podría tener las
siguientes direcciones también asociadas con el mismo buzón de
Exchange:
• adele.vance@contoso.com
• adele.vance@tailwindtraders.com
• adeleV@fabrikam.com
• feedback@contoso.com
• sugerencias@contoso.com
Puede agregar direcciones de correo electrónico adicionales al buzón de
correo de Exchange Online de una cuenta de Office 365 mediante una
variedad de métodos. Para agregar una dirección de correo electrónico
adicional a un buzón de correo de Exchange Online mediante el Centro de
administración de Exchange, realice los siguientes pasos:
con una cuenta de usuario que tenga permisos de administrador de
inquilinos.
2. En el Centro de administración de Microsoft 365, haga clic
en Exchange en Centros de administración, como se muestra en
la Figura 1-20 .
Figura 1-20 Ubicar el Centro de
administración de Exchange
3. En el Centro de administración de Exchange, haga clic
en Destinatarios y luego en Buzones de correo . Seleccione el
destinatario al que desea agregar una dirección de correo
electrónico adicional. La Figura 1-21 muestra el buzón de Adele
Vance seleccionado.
Figura 1-21 Destinatarios

4. Haga clic en el icono Editar (lápiz).
5. En la página de propiedades del Buzón de usuario, haga clic
en Dirección de correo electrónico , como se muestra en la Figura
1-22 .
Figura 1-22 Direcciones de correo electrónico
6. Haga clic en el icono de signo más ( + ).
7. En la página Nueva dirección de correo electrónico, asegúrese
de que SMTP esté seleccionado, como se muestra en la Figura 1-23 ,
y luego ingrese la nueva dirección de correo electrónico. También
puede especificar la nueva dirección de correo electrónico como la
dirección de respuesta predeterminada.
Figura 1-23 Nueva dirección de correo electrónico
8. Haga clic en Aceptar para guardar los cambios.
Para agregar una dirección de correo electrónico adicional a un buzón de
correo de Exchange Online mediante el Centro de administración de
Microsoft 365, realice los siguientes pasos:
1. En el Centro de administración de Office, seleccione Usuarios
activos en Usuarios.
2. Seleccione el usuario para el que desea configurar la dirección
de correo electrónico principal. La Figura 1-24 muestra a Debra
Berger seleccionada.
Figura 1-24 Cuenta de usuario de Debra Berger
3. En el menú Más , haga clic en Editar direcciones de correo
electrónico y nombre de usuario .
4. En el cuadro Alias, que se muestra en la Figura 1-25 , escriba
la nueva dirección de correo electrónico y haga clic en Agregar .
Figura 1-25 Editar dirección de correo electrónico

5. Para configurar la nueva dirección de correo electrónico como
la nueva dirección de correo electrónico principal, como se muestra
en la Figura 1-26 , haga clic en Establecer como principal .
Figura 1-26 Otras direcciones de correo electrónico
Puede usar el cmdlet Set-Mailbox para agregar direcciones de correo
electrónico adicionales. Por ejemplo, para agregar la dirección de correo
electrónico berger.debra@epistemicus.com al buzón de Exchange Online
de Debra Berger, emita el siguiente comando usando PowerShell como
administrador global:
Haga clic aquí para ver la imagen del código

Set-Mailbox "Debra Berger" –EmailAddresses @
{Add=berger.debra@epistemicus.com}
Más información Dirección de correo electrónico secundaria
Puede obtener más información sobre cómo agregar una dirección de correo
electrónico a un buzón en: https://docs.microsoft.com/Exchange/recipients/user-
mailboxes/email-addresses .
Diseñar la configuración del nombre de dominio

Como aprendió anteriormente en este capítulo, puede configurar una
suscripción a Microsoft 365 con hasta 900 nombres de dominio, que
pueden ser nombres de dominio y subdominios completamente
diferentes de un nombre de dominio determinado. Poder asociar hasta
900 nombres de dominio con una sola suscripción le brinda a su
organización una cantidad sustancial de opciones cuando se trata de
implementar un diseño de nombre de dominio. Por ejemplo, puede
configurar cada uno de los servicios asociados con una suscripción de
Microsoft 365 con un nombre de dominio diferente. Por ejemplo, puede
optar por tener la siguiente configuración si su organización es
propietaria del dominio contoso.com:
• Contoso.com Nombre de dominio asociado con Exchange
Online. Cada usuario inicia sesión en Microsoft 365 con una cuenta
con un sufijo UPN de contoso.com.
• Skype.contoso.com Nombre de subdominio asociado con los
servicios de Skype Empresarial.
• Mdm.contoso.com Nombre de subdominio asociado con la
funcionalidad de administración de dispositivos móviles para
Microsoft 365.
También puede optar por configurar subdominios independientes y
proporcionarlos como dominios de correo electrónico alternativos
utilizados con direcciones secundarias para los buzones de correo de
Exchange Online. Por ejemplo, puede
tener adele.vance@contoso.com como la dirección de correo electrónico
principal para un buzón, pero
configurar adele.vance@tailwindtraders.com como una dirección proxy,
lo que permite que el buzón de Adele Vance reciba correo electrónico
dirigido a varias direcciones en el mismo buzón.
Sugerencia para el examen

Recuerde los tipos de registros DNS que puede configurar para verificar la
propiedad de un nombre de dominio personalizado específico.
HABILIDAD 1.2: PLANIFICAR UNA

IMPLEMENTACIÓN DE MICROSOFT 365
Esta sección trata sobre los pasos que su organización debe seguir para
planificar una implementación de Microsoft 365. Esto incluye
comprender lo que deberá hacer para preparar la infraestructura para
una implementación completamente nueva para una nueva organización,
así como los pasos a seguir para integrar Microsoft 365 en una
organización que ya tiene un Active Directory y una red locales.
infraestructura presente. Para dominar esta habilidad, deberá
comprender los tipos de pasos de planificación que deberá realizar para
preparar su organización para Microsoft 365 y comprender cuál es la
solución de autenticación e identidad más adecuada para su organización.
• Planificar la infraestructura local de Microsoft 365
• Planificar la solución de identidad y autenticación
Planificar la infraestructura local de Microsoft 365

Al planificar una migración a Microsoft 365, o comenzar desde cero,
"green-field" o una implementación completamente nueva, deberá
asegurarse de que se cumplan ciertos requisitos previos de la
infraestructura local. Estos requisitos de infraestructura local se
relacionan con la configuración de redes, las dependencias de identidad,
los sistemas operativos del cliente, la implementación de Office 365 pro
plus, así como las opciones de estrategia para la administración de
dispositivos móviles y la protección de la información.
Redes
Las redes tradicionales han proporcionado a los usuarios acceso a datos y
aplicaciones alojadas en centros de datos propiedad de la organización y
operados por ella, y protegidos por fuertes defensas perimetrales como
firewalls. En este modelo tradicional, los usuarios acceden principalmente
a recursos de redes internas protegidas, a través de enlaces WAN desde
sucursales o de forma remota a través de conexiones VPN.
El modelo M365 y O365 traslada algunas, si no todas, las aplicaciones y
los datos de ubicaciones en redes internas protegidas a ubicaciones
alojadas más allá del perímetro de la red en el público. nube. Al pasar de
un entorno en el que todos los recursos están alojados en las
instalaciones, a donde una cantidad sustancial de infraestructura está
alojada en la nube, es necesario asegurarse de que el entorno de red local
esté configurado de tal manera que M365 pueda funcionar de manera
eficaz. y eficientemente. A menos que se tomen medidas para optimizar el
flujo de tráfico entre los usuarios y los servicios de M365 y O365, este
tráfico estará sujeto a una mayor latencia causada por la inspección de
paquetes, horquillas de red y posibles conexiones inadvertidas a puntos
finales de servicio M365 y O365 geográficamente distantes.
Comprender los requisitos de red para M365 también le permite evaluar
si M365 es apropiado para una organización en particular. Por ejemplo,
existen desafíos en torno a la implementación de M365 de manera
efectiva en una base científica en la Antártida donde hay una conectividad
de ancho de banda baja limitada a Internet.
Conectividad a Internet para clientes

Para usar Office 365, los clientes deben establecer conexiones no
autenticadas a través del puerto 80 y el puerto 443 a los servidores de
Microsoft 365 y Office 365 en Internet. En algunas redes, especialmente
aquellas configuradas para pequeñas empresas, puede encontrarse con
los siguientes problemas de conectividad de red:
• Clientes configurados con direcciones APIPA Si los clientes
están configurados con direcciones IP en el rango APIPA
(169.254.0.0 / 16), lo más probable es que no puedan establecer
una conexión a Internet. Esto significa que no pueden interactuar
con los recursos de M365 y O365. Los clientes configurados con
una dirección APIPA deben configurarse con direcciones IP en el
rango privado con una puerta de enlace predeterminada adecuada
configurada para conectarse directa o indirectamente a Internet.
• No es necesario configurar los clientes de puerta de enlace
predeterminada con una dirección de puerta de enlace
predeterminada de un dispositivo que pueda enrutar el tráfico a
Internet. El dispositivo de puerta de enlace predeterminado no
necesita estar conectado directamente a Internet, pero debe poder
enrutar el tráfico a un dispositivo que finalmente se conecte a
Internet. Los clientes sin una puerta de enlace predeterminada
configurada no podrán conectarse a los recursos de M365 y O365.
• Configuración del cortafuegos Los clientes necesitan acceso
a determinados puntos finales utilizados por M365 y O365. Los
detalles de estos puntos finales se describirán más adelante en este
capítulo.
• Autenticación del servidor proxy M365 y O365 no
funcionarán si un servidor proxy intermedio requiere autenticación
para las conexiones. Deberá configurar una omisión de
autenticación para los puntos finales de M365 y O365, o
deshabilitar la autenticación del servidor proxy en los puntos
finales de Microsoft 365 y Office 365 en Internet.
Administrar puntos finales de Office 365

Un punto final de Microsoft 365 u Office 365 es una URL o dirección IP
que aloja un servicio específico de Microsoft 365 u Office 365, como las
direcciones que se utilizan al conectar un cliente de Outlook a Exchange
Online o un dispositivo móvil a un punto de inscripción. Las
organizaciones que tienen una o más oficinas deben asegurarse de que su
red esté configurada para permitir el acceso a estos puntos finales.
Microsoft recomienda que las organizaciones optimicen el tráfico para los
puntos finales de M365 y O365 enrutando todo el tráfico directamente a
través del firewall perimetral y haciendo que el tráfico esté exento de la
inspección o el procesamiento a nivel de paquete. Seguir estos pasos
reducirá la latencia en los puntos finales de recursos de M365 y
O365. Esta configuración también reducirá el impacto en esos
dispositivos perimetrales, que ignorarán este tráfico hacia ubicaciones de
confianza conocidas.
Microsoft coloca cada punto final de M365 y O365 en una de tres
categorías. Estas categorías le permiten manejar el tráfico a los puntos
finales de M365 y O365 de la manera más apropiada. Los puntos finales
de categoría que utiliza Microsoft son: Optimizar, Permitir y
Predeterminado. Estas categorías de puntos finales tienen las siguientes
propiedades:
• Optimizar los puntos finales con esta clasificación son
necesarios para la conectividad de todos los servicios de M365 y
O365. Los puntos finales clasificados de Optimize representarán
aproximadamente el 75% del ancho de banda, el volumen de datos
y las conexiones individuales. Los endpoints con la clasificación
Optimize causan la mayoría de los problemas cuando hay
interrupciones en el rendimiento, la latencia y la disponibilidad de
la red.
• Los terminales Permitidos con esta clasificación también son
necesarios para la conectividad de todos los servicios de M365 y
O365, pero se diferencian de los terminales clasificados de
Optimize en que son menos problemáticos cuando hay
interrupciones en el rendimiento, la latencia y la disponibilidad de
la red.
• Los puntos finales predeterminados con esta clasificación
no requieren ninguna optimización específica y pueden tratarse de
la misma manera que el resto del tráfico destinado a ubicaciones en
Internet.
Microsoft proporciona recomendaciones sobre cómo configurar el flujo
de tráfico a los puntos finales. Estas recomendaciones se enumeran en
la Tabla 1-5 .
Tabla 1-5 Métodos de optimización de endpoints
Tipo de Recomendación
punto final
Optimizar, Omita o incluya en la lista blanca los puntos finales en los dispositivos y s
Permitir que realizan el descifrado TLS, la interceptación del tráfico, el filtrado de
inspección profunda de paquetes.
Optimizar Evite los dispositivos o servicios proxy locales y basados en la nube que s
navegación general por Internet.
Optimizar, Trate estos puntos finales como de plena confianza para la infraestructur
Permitir sistemas perimetrales.
Optimizar, Reducir o eliminar el backhauling WAN. Facilite la salida directa de Inter
Permitir para terminales desde ubicaciones de sucursales.
Optimizar Configure el túnel dividido para los usuarios de VPN para permitir la con
estos puntos finales.
Optimizar, Configure la priorización de los puntos finales al configurar SD-WAN par
Permitir latencia y el enrutamiento.
Optimizar, Asegúrese de que la resolución de nombres de DNS coincida con la ruta d
Permitir enrutamiento para los puntos finales.
En el pasado, Microsoft proporcionó categorías de orientación
alternativas a las enumeradas anteriormente. Las categorías de
orientación anteriores eran Obligatorias y Opcionales, en lugar de las
categorías actuales de Optimizar, Permitir y Predeterminado. Parte de la
documentación todavía se refiere a estas categorías de terminales
anteriores.
Más información Categorías de terminales
Puede obtener más información sobre las categorías de terminales de M365 y
O365 en: https://docs.microsoft.com/office365/enterprise/office-365-network-
connectivity-principles#new-office-365-endpoint-categories .
Puertos de firewall de salida

Los clientes, como las computadoras que ejecutan Windows 10, deben
poder realizar conexiones a los puntos finales de M365 y O365 en
Internet mediante protocolos y puertos específicos. Si ciertos puertos y
protocolos están bloqueados por un firewall de red perimetral, los
clientes no podrán utilizar servicios específicos de M365 y O365. La Tabla
1-6 enumera los protocolos y puertos que deben estar abiertos para los
clientes en una red interna para los hosts en Internet.
Tabla 1-6 Requisitos del puerto de salida de Office 365
Protocolo Puerto Usado por

TCP 443 • Portal de Office 365
• panorama
• Aplicación web de Outlook
• SharePoint en línea
• Cliente de Skype Empresarial
• Federación ADFS
• Proxy de ADFS
TCP 25 Enrutamiento de correo
TCP 587 Retransmisión SMTP
TCP 143/993 Herramienta de migración simple IMAP
TCP 80/443 • Herramienta Microsoft Azure Active Directory Co
• Consola de administración de Exchange
• Shell de administración de Exchange
TCP 995 POP3 seguro

PSOM / 443 Skype empresarial online: uso compartido de datos salientes
TLS
STUN / TCP 443 Skype empresarial online: sesiones de uso compartido de apl
audio salientes
STUN / 3478 Skype empresarial online: sesiones de audio y vídeo salientes
UDP
TCP 5223 Notificaciones push de clientes móviles de Skype Empresaria
UDP 20000- Teléfono saliente de Skype Empresarial Online
45000
RTC / UDP 50000- Skype empresarial online: sesiones de audio y vídeo salientes
59000
La cantidad de direcciones IP y URL que debe configurar para la exclusión
es considerable y una lista completa está más allá del alcance de este
libro. Las URL y los rangos de direcciones IP que están asociados con
Microsoft y Office 365 siempre cambian, y es posible suscribirse a un
servicio web basado en REST que proporciona la lista de puntos finales, la
versión actual de la lista ylos cambios realizados en la lista para
utilizarlos en la configuración de los dispositivos del perímetro de la red,
incluidos los cortafuegos y los servidores proxy.
Más información Administrar puntos finales de Office 365
Puede obtener más información sobre las direcciones IP y URL de Office 365
en: https://docs.microsoft.com/office365/enterprise/urls-and-ip-address-ranges .
Conexiones de red de salida localmente
Un método para reducir la latencia de la conexión es asegurarse de
configurar las redes de las sucursales para el DNS local y la salida de
Internet, en lugar de forzar que todo el tráfico de DNS y de salida de
Internet se enrute a través de un enlace WAN a una oficina central antes
de enrutarlo a Internet. El enrutamiento del tráfico de la sucursal
vinculado a Internet a través de una WAN antes de permitirle la salida
también se denomina "Backhauling WAN" y debe evitarse cuando se trata
específicamente del tráfico de M365 y O365 que tiene la categorización
Optimize.
Los servicios M365 y O365 se ejecutan en Microsoft Global Network. Esta
red está configurada con servidores en todo el mundo. Esto significa que
es probable que haya un servidor front-end cerca de la ubicación de cada
sucursal y que el enrutamiento del tráfico a través de una WAN en lugar
de dejar que salga directamente de la sucursal introducirá una latencia
innecesaria. El tráfico de DNS a los puntos finales de M365 y O365
también debe salir de la sucursal, ya que esto garantizará que los
servidores DNS respondan con el servidor de extremo frond local más
cercano. Si las consultas de DNS se transmiten a través de enlaces WAN y
solo salen a través de una única ubicación de la oficina central, los clientes
serán dirigidos a los servidores frontales más cercanos a la ubicación de
la oficina central, en lugar de a la sucursal donde se originó la consulta de
DNS.
Evitar las horquillas de la red

Las horquillas de red ocurren cuando el tráfico de VPN o WAN destinado
a un punto final específico debe pasar primero a través de una ubicación
intermedia, como un dispositivo de seguridad, una puerta de enlace web
basada en la nube o un agente de acceso a la nube, que puede introducir
una redirección a una ubicación geográficamente distante. Por ejemplo, si
Tailwind Traders tiene una sucursal australiana, pero todo el tráfico a los
puntos finales de M365 y O365 debe pasar por un dispositivo de
seguridad basado en la nube ubicado en un centro de datos de un
proveedor de nube canadiense, entonces es probable que se introduzcan
latencias innecesarias. Incluso si el tráfico de la sucursal sale localmente,
habrá un impacto perjudicial en el rendimiento si se enruta a través de
una ubicación intermedia geográficamente distante.
Hay varios métodos que minimizan la posibilidad de horquillas en la red,
que incluyen:
• Asegúrese de que el ISP que proporciona la salida de Internet
para la sucursal tenga una relación de intercambio directa con
Microsoft Global Network en las proximidades de esa ubicación.
• Configure el enrutamiento de salida para enviar tráfico
confiable de M365 y O365 directamente a los puntos finales de
M365 y O365 en lugar de que los servicios y dispositivos
intermedios los procesen.
Implementar dispositivos SD-Wan

Los dispositivos de red de área amplia definida por software (SD-WAN)
son dispositivos de red que se pueden configurar automáticamente para
que el tráfico se enrute de manera más eficiente a M365 y O365 Optimizar
y Permitir puntos finales. Cuando se configura, otro tráfico de red,
incluido el tráfico a las cargas de trabajo locales, el tráfico general de
Internet y el tráfico a los puntos finales predeterminados de M365 y O365
se pueden reenviar a las ubicaciones adecuadas, incluidos los dispositivos
de seguridad de la red. Microsoft tiene un programa de socios para
proveedores de SD-WAN para permitir la configuración automática de
dispositivos.
Más información Principios de conectividad de red de M365
Puede obtener más información sobre los requisitos de infraestructura de red de
M365 en: https://docs.microsoft.com/office365/enterprise/office-365-network-
connectivity-principles .
Recomendar ancho de banda

Hay muchos factores que influyen en la cantidad de ancho de banda que
necesitará una organización para utilizar Office 365 con éxito. Estos
factores incluyen:
• Los servicios específicos de Office 365 a los que se ha suscrito
la organización.
• La cantidad de dispositivos cliente que se conectan a Office
365 desde un sitio en cualquier momento.
• El tipo de interacción que el cliente está teniendo con Office
365.
• El rendimiento del software del navegador de Internet en
cada computadora cliente.
• La capacidad de la conexión de red disponible para cada
computadora cliente.
• Topología de red de su organización.
Microsoft proporciona una serie de herramientas que se pueden utilizar
para estimar los requisitos de ancho de banda de una implementación de
Office 365. Éstas incluyen:
• Calculadora de ancho de banda de red del cliente
Exchange Esta herramienta le permite estimar el ancho de banda
requerido para Outlook, Outlook Web App y usuarios de
dispositivos móviles.
• Calculadora de ancho de banda de Skype for Business
Online Esta herramienta le permite estimar la cantidad de ancho
de banda que necesitará según la cantidad de usuarios de Skype for
Business y las características específicas que esos usuarios
aprovecharán.
• Calculadora de sincronización de OneDrive para la
empresa Esta herramienta proporciona estimaciones de ancho de
banda de red en función de cómo los usuarios usan OneDrive para
la empresa.
Más información Planificación del ancho de banda
Puede obtener más información sobre la planificación del ancho de banda para
Office 365 en: https://docs.microsoft.com/office365/enterprise/network-and-
migration-planning .
Windows 10 Enterprise
Una licencia de Microsoft 365 Enterprise incluye una licencia para el
sistema operativo Windows 10 Enterprise Edition. Parte del proceso de
adopción de M365 implicará asegurarse de que todas las computadoras
cliente de Windows ejecuten esta edición del sistema operativo Windows
10.
Las organizaciones que tienen una implementación existente de Windows
7 o Windows 8.1 deben realizar una actualización in situ mediante System
Center Configuration Manager o Microsoft Deployment Toolkit. System
Center Configuration Manager (rama actual) proporciona a las
organizaciones el método más automatizado para actualizar y migrar
computadoras existentes desde versiones anteriores del sistema
operativo del cliente Windows a Windows 10.
Las organizaciones que están implementando nuevos equipos que tienen
Windows 10 Enterprise Edition versión 1703 o posterior pueden usar
Windows Autopilot para desencadenar el proceso de implementación y
configuración iniciando sesión con sus credenciales escolares o
laborales. Las organizaciones que ejecutan la edición Pro también pueden
hacer que esas computadoras se actualicen automáticamente a la edición
Enterprise a través de Windows Autopilot.
Más información M365 y Windows 10 Enterprise
Puede obtener más información sobre la relación entre M365 y Windows 10
Enterprise Edition en: https://docs.microsoft.com/microsoft-
365/enterprise/windows10-infrastructure .
Protección de la información
Al planificar la estrategia de protección de la información M365 de su
organización, el primer paso, y quizás el más importante, es ponerse en
contacto con los equipos legales y de cumplimiento de la organización
para determinar qué estándares de cumplimiento, como el Reglamento
General de Protección de Datos (GDPR) o la Ley de Portabilidad y
Responsabilidad de Seguros de Salud ( HIPAA) a la que está sujeta la
organización. Una vez que haya determinado los estándares de
cumplimiento específicos o la regulación a la que debe adherirse su
organización, deberá tomar determinaciones para las siguientes
preguntas:
• ¿Cuáles son los niveles de seguridad y protección de la
información adecuados para nuestra organización?
• ¿Cuál es un esquema de clasificación de documentos
apropiado para nuestra organización?
• ¿Qué pasos se deben tomar para garantizar que se configure
el nivel de seguridad adecuado dentro de M365 y O365?
• ¿Es necesario configurar la administración de acceso
privilegiado para M365 y O365?
Niveles de seguridad y protección de la información
M365 permite a las organizaciones desarrollar sus propios niveles de
seguridad y protección. Si bien es posible crear una cantidad
desconcertante de niveles de seguridad de protección de la información,
hacerlo aumenta la complejidad tanto para los usuarios finales que
intentan comprender qué nivel es apropiado como para el personal de
cumplimiento que tiene que determinar si se ha seleccionado el nivel
apropiado.
Microsoft recomienda que las organizaciones planeen utilizar al menos
tres niveles de seguridad de protección de la información separados. A
medida que aumentan los niveles de seguridad de la protección de la
información, los datos se vuelven más protegidos, pero también se vuelve
más engorroso para los usuarios interactuar con esos datos. Solo para
acceder a los datos más confidenciales, el usuario debe pasar por un
proceso de autenticación de múltiples factores cada vez que abre un
documento. Microsoft sugiere los siguientes niveles:
• Las organizaciones de referencia deben tener un estándar
mínimo para la protección de datos, identidades y los dispositivos
utilizados para interactuar con los datos de la organización.
• Sensible Este estándar intermedio es apropiado para datos
que se consideran sensibles, pero para los cuales los controles de
seguridad más estrictos no son apropiados.
• Muy regulado Este estándar requiere los controles de
seguridad más estrictos y es probable que sea apropiado solo para
una pequeña cantidad de datos de la organización. Por ejemplo,
puede requerir que solo se acceda a los datos desde un dispositivo
administrado durante un período de tiempo limitado después de
que un usuario haya realizado la autenticación multifactor.
Esquemas de clasificación
Los esquemas de clasificación le permiten asignar un nivel de protección
de la información a información específica, como un documento o un
mensaje de correo electrónico. Microsoft 365 incluye los siguientes tres
esquemas de clasificación:
• Tipos de información confidencial para Office 365 Office
365 reconoce automáticamente tipos de información específicos,
como tarjetas de crédito o números de pasaporte. Puede
aprovechar los tipos de información confidencial de Office 365 para
aplicar automáticamente reglas y políticas de prevención de
pérdida de datos para que estos datos tengan el nivel de protección
adecuado.
• Etiquetas de retención de Office 365 Las etiquetas de
retención de Office 365 le permiten determinar durante cuánto
tiempo se deben almacenar datos específicos en Exchange,
SharePoint Online y OneDrive for Business. Las etiquetas de
retención de Office 365 pueden usar los niveles de seguridad y
protección de la información descritos anteriormente: niveles de
protección de la información de referencia, confidencial, altamente
regulados o personalizados determinados por la organización.
• Etiquetas y protección de Azure Information Protection
(AIP) AIP proporciona otro conjunto de opciones para la
clasificación y protección de documentos y mensajes de correo
electrónico. Una ventaja de AIP es que se puede usar con
documentos almacenados fuera de las ubicaciones de Office 365,
como Exchange Online, SharePoint Online y OneDrive for
Business. Las etiquetas de protección AIP se pueden aplicar
automáticamente según las reglas y condiciones definidas por un
administrador, manualmente por los usuarios o junto con las
recomendaciones automáticas que se muestran a los usuarios.
Mejora de los niveles de seguridad

Al planificar su estrategia de protección de la información de M365,
deberá ir más allá de la clasificación de la información, las políticas de
retención y la protección de la información. También deberá habilitar
tecnologías de seguridad adicionales de M365. Estas tecnologías incluyen:
• Políticas de gestión de amenazas Puede configurar políticas
de gestión de amenazas en el Centro de seguridad y
cumplimiento. Las políticas incluyen ATP (Advanced Threat
Protection) anti-phishing, antimalware, archivos adjuntos seguros
de ATP, enlaces seguros de ATP, antispam (filtrado de correo) y
autenticación de correo electrónico.
• Configuración general de inquilinos de Exchange
Online Puede mejorar la seguridad implementando el flujo de
correo apropiado, también conocido como reglas de transporte, y
habilitando la autenticación moderna, que le permite usar la
autenticación multifactor (MFA).
• Configuración de todo el inquilino de SharePoint
La seguridad se puede fortalecer configurando la configuración de
uso compartido externo. Las opciones incluyen limitar el uso
compartido a usuarios externos autenticados, permitir enlaces de
acceso anónimo, configurar la caducidad del enlace de acceso
anónimo y tipos de enlace predeterminados.
• Configuración de Azure Active Directory Puede mejorar la
seguridad configurando ubicaciones con nombre, que es parte del
acceso condicional, y también para bloquear aplicaciones que no
admiten la autenticación moderna.
• Cloud App Security Cloud App Security permite a las
organizaciones mejorar su postura de seguridad al proporcionar
evaluaciones de riesgo y alertas contra actividades sospechosas y
acciones de reparación automáticas. Cloud App Security requiere
un plan M365, O365 o EMS E5.
Gestión de acceso privilegiado

La eficacia de una estrategia de protección de la información depende de
qué tan seguras sean las cuentas administrativas utilizadas para gestionar
esa estrategia. Si las cuentas que se pueden utilizar para configurar y
administrar una estrategia de protección de la información no están
debidamente protegidas, la estrategia de protección de la información en
sí misma puede verse fácilmente comprometida.
La administración de acceso privilegiado le permite configurar políticas
que aplican principios administrativos justo a tiempo a roles
administrativos sensibles. Por ejemplo, si alguien necesita acceso para
configurar una política de protección de la información, deberá pasar por
un proceso de aprobación para obtener acceso temporalmente a ese
conjunto de derechos en lugar de tener una cuenta de Azure AD a la que
se le hayan asignado esos derechos de forma permanente.
Más información Infraestructura de protección de la información
Puede obtener más información sobre la infraestructura de protección de la
información de M365 en: https://docs.microsoft.com/microsoft-
365/enterprise/infoprotect-infrastructure .
Planificar la solución de identidad y autenticación
Los proveedores de identidad son la fuente principal de autoridad y
albergan cuentas de grupos y usuarios. Cuando selecciona una fuente
principal de identidad, esa ubicación es donde se realizan los cambios
autorizados en una cuenta o grupo. Por ejemplo, si realiza un cambio de
contraseña, no se entiende que el cambio de contraseña se aplique a
menos que se aplique a la fuente principal de identidad. Por ejemplo, en
un escenario híbrido, es posible cambiar la contraseña de una cuenta que
se replica desde un directorio local a un Azure Active Directory basado en
la nube. Puede cambiar la contraseña de la cuenta en la nube, pero ese
cambio puede sobrescribirse la próxima vez que se produzca la
sincronización desde la fuente de identidad principal.
M365 y O365 utilizan Azure Active Directory (Azure AD) como servicio de
autenticación e identidad de grupo y usuario. Esto significa que Azure AD
almacena objetos de cuentas de usuarios, grupos y dispositivos y también
es responsable de realizar la autenticación de M365 y O365. Al
implementar M365 y O365, puede elegir si la administración de
identidades es solo en la nube o si existe una relación entre un proveedor
de identidad local como Active Directory Domain Services (AD DS) y
Azure AD.
Autenticación en la nube
Cuando selecciona la autenticación en la nube, la autenticación se realiza
en Azure Active Directory. La forma de implementar la autenticación en la
nube depende de si su organización tiene o no una implementación local
de Servicios de dominio de Active Directory y cuáles son sus planes para
esa implementación en el futuro.
Solo en la nube
El modelo de autenticación solo en la nube aborda la administración de
cuentas de usuarios y grupos que existen solo dentro de M365. Puede
crear y administrar usuarios en el centro de administración de M365 que
se muestra en la Figura 1-27 , en el portal o la hoja de Azure Active
Directory, o mediante los cmdlets de PowerShell adecuados.
Figura 1-27 Crear y administrar usuarios de M365
Una solución de autenticación e identidad solo en la nube es adecuada si:

• Su organización no ha implementado un entorno de Servicios
de dominio de Active Directory local.
• Su organización tiene una solución de directorio local muy
compleja y desea evitar intentar integrarla.
• Su organización tiene un entorno de Servicios de dominio de
Active Directory local, pero desea ejecutar una prueba piloto o de
prueba de M365 y se preocupará por integrarse con el entorno
existente si la prueba piloto o prueba tiene éxito.
Hash de contraseña SYNC con inicio de sesión único

Al planificar una solución de identidad y autenticación mediante la
sincronización de hash de contraseñas, su organización sincronizará las
cuentas de usuario de AD DS locales con el servicio Azure AD que utilizan
M365 y O365. Cuando adopta esta estrategia, los hash criptográficos de
las contraseñas de los usuarios locales se sincronizan con Azure AD.
La operación de hash criptográfico es unidireccional. Esto significa que no
es posible ejecutar una operación criptográfica inversa en el hash para
derivar la contraseña a partir de la cual se generó, aunque existen
técnicas que iteran posibles contraseñas para ver si coinciden con un
hash criptográfico en caso de que uno logre ser capturado. El uso de
hashes criptográficos significa que las contraseñas de los usuarios no se
almacenan en Azure AD. Cuando se produce la autenticación, la
contraseña que ingresa el usuario tiene la misma operación criptográfica
realizada en ella, y el hash de esa contraseña se compara con el que está
almacenado en Azure AD. Si los hash coinciden, el usuario está
autenticado. Si los hashes no coinciden, el usuario no está autenticado. Si
se cambia una contraseña en la base de datos de la cuenta local,
Elija este método cuando desee que los servicios de dominio de Active
Directory locales sigan siendo la fuente autorizada para las cuentas de
usuario y las regulaciones a las que está sujeta su organización para
permitir que los hash criptográficos de contraseñas se almacenen en la
nube. Esta solución requiere Azure Active Directory Connect, que
conocerá en el Capítulo 2 , " Administrar la identidad y los roles de los
usuarios ".
Autenticación de paso a través con inicio de sesión único

Cuando implementa la autenticación PassThrough con inicio de sesión
único, instala un agente de software en uno o más controladores de
dominio de Active Directory Domain Services (AD DS) locales. Cuando un
usuario se autentica en Azure Active Directory, la solicitud se transmite a
la instancia de Active Directory local a través del agente para determinar
si la solicitud de autenticación es válida.
Esta solución es adecuada cuando su organización no puede permitir
ninguna forma de sincronización de contraseñas en la nube. Esto puede
incluir la restricción de permitir que los hash criptográficos de
contraseñas se almacenen en la nube. En este escenario, elegiría pasar la
autenticación con inicio de sesión único como solución
adecuada. También es apropiado cuando se deben hacer cumplir los
estados de la cuenta local, las políticas de contraseñas y las horas de inicio
de sesión. Aprenderá más sobre la configuración de la autenticación
PassThrough con inicio de sesión único en el Capítulo 2 , “ Administrar la
identidad y los roles de los usuarios ”.
Autenticación federada
La autenticación federada es una alternativa a la autenticación en la nube,
aunque a menudo es mucho más complicado de configurar y mantener. La
mayoría de las organizaciones usan Azure AD Connect para sincronizar la
información de identidad entre los servicios de dominio de Active
Directory locales y Azure AD. Organizaciones que desean permitir
opciones de autenticación adicionales, como la autenticación basada en
tarjetas inteligentes o la autenticación multifactor de terceros, como un
dispositivo token RSA.
Identidad federada con servicios de federación de Active Directory
Cuando usa la identidad federada con los Servicios de federación de
Active Directory (AD FS), implementa servidores que hospedan el rol de
AD FS en la red local y la red perimetral de su organización. Luego, deberá
configurar la federación entre su instancia de AD FS local y Azure
AD. Cuando implementa esta tecnología de identidad y autenticación, los
usuarios usan las mismas opciones de autenticación para acceder a los
recursos de M365 y O365 que a los recursos locales. Este método de
autenticación generalmente lo eligen las organizaciones que tienen
requisitos de autenticación que no son compatibles de forma nativa con
Azure AD.
Proveedores de identidad y autenticación de terceros

Las organizaciones que usan un proveedor de identidad local que no es de
Active Directory pueden integrar ese proveedor de identidad con Azure
AD a través de la federación, siempre que la solución de federación de ese
proveedor de identidad de terceros sea compatible con Azure AD. Cuando
se implementa esta solución, los usuarios pueden acceder a los recursos
de M365 y O365 mediante el nombre de usuario y la contraseña de su
proveedor de identidad local.
Más información Comprender la identidad de M365 y O365
Puede obtener más información sobre cómo comprender la identidad
en: https://docs.microsoft.com/office365/enterprise/about-office-365-identity .

Recuerde, la diferencia entre la sincronización de hash de contraseña con
inicio de sesión único y la autenticación de paso a través con inicio de
sesión único.
HABILIDAD 1.3: CONFIGURAR TENENCIA Y

SUSCRIPCIÓN DE MICROSOFT 365
Esta sección trata sobre la configuración de la tenencia y suscripción de
Microsoft 365. Para dominar esta habilidad, deberá comprender qué roles
específicos son apropiados para ciertas cargas de trabajo de
M365. También deberá poder evaluar la idoneidad de M365 para una
organización, planificar y crear un arrendamiento y actualizar las
suscripciones existentes a M365.
• Configurar las funciones de suscripción y arrendatario y la
• Evaluar Microsoft 365 para organización
• Planificar y crear inquilino
• Actualizar las suscripciones existentes a Microsoft 365
• Supervisar las asignaciones de licencias
Configurar las funciones de suscripción y arrendatario y la

El principio de privilegio mínimo sugiere que las organizaciones estarán
más seguras si a los usuarios privilegiados se les asigna la cantidad
mínima de derechos administrativos necesarios para cumplir con sus
funciones. Por ejemplo, en lugar de otorgar a cada técnico de soporte de
TI la función de administrador global de M365, a los usuarios que solo
eran responsables de cambiar las contraseñas se les asignaría la función
de administrador del servicio de asistencia (administrador de
contraseñas) y a los técnicos de soporte de TI responsables de asignar las
licencias se les debería asignar la licencia. Rol de administrador. En esta
sección, aprenderá sobre los roles administrativos de M365 y cómo se
pueden usar para administrar configuraciones de carga de trabajo
específicas.
Administrador global
Los administradores globales tienen la mayor cantidad de permisos sobre
un arrendamiento de Microsoft 365. Un administrador global tiene los
siguientes permisos:
• Ver información de la organización y del usuario
• Administrar tickets de soporte
• Restablecer contraseñas de usuario
• Realizar operaciones de facturación y compras
• Crear y administrar vistas de usuarios
• Crear, editar y eliminar usuarios
• Crear, editar y eliminar grupos
• Administrar licencias de usuario
• Administrar dominios
• Administrar la información de la organización
• Delegar roles administrativos a otros
• Sincronización de directorios de usuarios
Los usuarios que tienen la función de administrador global en el
arrendamiento de Microsoft 365 tienen las siguientes funciones en
Exchange Online:
• Administrador de Exchange Online
• Administrador de la empresa
• Administrador de SharePoint Online
• Administrador de Skype empresarial online
Administrador de facturación
Los miembros del rol de administrador de facturación son responsables
de realizar compras, administrar las suscripciones de Microsoft 365,
administrar los tickets de soporte y monitorear el estado de los servicios
de Office 365. Los miembros del rol de administrador de facturación
tienen los siguientes permisos:
• Realizar operaciones de facturación y compras
Los miembros de este rol no tienen roles equivalentes en Exchange
Online, SharePoint Online o Skype for Business Online.
Administrador de servicios de Dynamics 365

Los usuarios que tienen el rol de administrador de servicios de Dynamics
365 pueden administrar instancias de Dynamics 365, incluida la
realización de operaciones de respaldo y recuperación. Los usuarios que
tienen este rol también pueden realizar acciones de copia y
restablecimiento de Dynamics 365. Pueden abrir tickets de soporte con
Microsoft y pueden ver el panel de servicio y el centro de mensajes.
Aprobador de acceso a la caja de seguridad del cliente

Los miembros del rol de aprobador de acceso de la caja de seguridad del
cliente administran las solicitudes de la caja de seguridad del cliente para
el arrendamiento. Recibirán notificaciones por correo electrónico para las
solicitudes de la caja de seguridad del cliente. Los usuarios que tienen
este rol pueden aprobar o rechazar solicitudes mediante el centro de
administración de Microsoft 365. Los usuarios que tienen este rol
también pueden habilitar y deshabilitar la función Caja de seguridad del
cliente. Solo los usuarios que tienen la función de administrador global
pueden restablecer la contraseña de los usuarios que tienen la función de
aprobador de acceso de la caja de seguridad del cliente.
Administrador de intercambio
La función de administrador de Exchange también se conoce como
función de administrador de Exchange Online. Los usuarios que han
delegado la función de administrador de Exchange Online pueden
administrar los buzones de correo y las políticas antispam para su
arrendamiento. Esto incluye poder:
• Recuperar elementos eliminados de los buzones de correo
• Configure cuánto tiempo se conservarán los elementos
eliminados antes de la eliminación permanente
• Configurar políticas de uso compartido de buzones
• Configurar Enviar como y Enviar en nombre de los delegados
para un buzón
• Configurar filtros antispam y malware
• Crear buzones de correo compartidos
Más información Administrador de Exchange Online
Puede obtener más información sobre la función de administrador de Exchange
Online en: https://docs.microsoft.com/office365/admin/add-users/about-exchange-
online-admin-role .
Administrador del servicio de asistencia (contraseña)
Los miembros del rol de administrador de Helpdesk (contraseña) son
responsables de restablecer las contraseñas de los usuarios sin privilegios
y otros miembros del rol de administrador de contraseñas. Los miembros
de este rol también pueden administrar las solicitudes de servicio y
monitorear el estado del servicio. Los miembros de este rol tienen los
siguientes permisos:
• Ver información de la organización y del usuario.
• Gestionar tickets de soporte.
• Restablezca las contraseñas de usuarios sin privilegios, así
como las contraseñas de otros administradores de contraseñas. No
se pueden restablecer las contraseñas de administradores globales,
administradores de gestión de usuarios o administradores de
facturación.
• Administre la función de administrador de la mesa de ayuda
de Exchange Online.
• Administrar la función de administrador de Skype
empresarial online.
Administrador de licencia
Los usuarios asignados a la función de administrador de licencias pueden
agregar, eliminar y actualizar asignaciones de licencias para los
usuarios. También pueden administrar licencias basadas en grupos, así
como configurar la ubicación de uso para los usuarios. Los usuarios
asignados a esta función no pueden comprar o administrar suscripciones,
crear o administrar grupos o modificar usuarios más allá de configurar la
ubicación de uso.
Administrador de Skype Empresarial

Los usuarios a los que se ha delegado el rol de administrador de Skype
Empresarial pueden realizar las siguientes tareas:
• Configurar conferencias de acceso telefónico local
• Configurar llamadas PSTN
• Transferir números de teléfono a Skype empresarial online
• Habilitar la difusión de reunión de Skype
• Permitir que los usuarios se pongan en contacto con usuarios
externos de Skype Empresarial
• Permitir a los usuarios agregar contactos externos desde
Skype
• Determinar quién puede ver la presencia en línea
• Habilitar y deshabilitar las notificaciones móviles
• Cree invitaciones a reuniones personalizadas
• Ver informes de actividad en línea de Skype Empresarial
Online
Lector del centro de mensajes

Los usuarios asignados al rol de lector del centro de mensajes pueden ver
todas las publicaciones realizadas en el centro de mensajes de Microsoft
365. Los usuarios asignados a esta función también pueden compartir
estos mensajes con otros usuarios reenviando esos mensajes por correo
electrónico. Los usuarios asignados a esta función también tienen acceso
de lectura a un subconjunto de recursos del centro de administración,
incluidos usuarios, grupos, dominios y suscripciones.
Administrador de servicios de Power BI

Los usuarios asignados al rol de administrador de Power BI tienen acceso
a las métricas de uso de Microsoft 365 y Office 365 Power BI. Los usuarios
asignados a esta función pueden administrar el uso de PowerBI por parte
de la organización.
Lector de informes
Los usuarios que tienen la función de lector de informes pueden ver todos
los informes de actividad de Microsoft 365, así como cualquier informe
que se publique a través de las API de informes.
Administrador de servicios
Los miembros del rol de administrador de servicios pueden administrar
las solicitudes de servicio y monitorear el estado de los servicios. Antes de
que un administrador global pueda asignar la función de administrador
de servicios a un usuario, al usuario se le deben asignar permisos
administrativos para uno de los servicios de Office 365, como SharePoint
Online o Exchange Online. Los administradores de servicios tienen los
siguientes permisos sobre el servicio asignado:
Administrador de SharePoint
También conocido como administrador de SharePoint Online. Los
usuarios a los que se ha delegado la función de administrador de
SharePoint Online pueden usar el centro de administración de SharePoint
Online. Pueden realizar las siguientes tareas:
• Crear y administrar colecciones de sitios
• Administrar colecciones de sitios y configuraciones globales
• Designar administradores de la colección de sitios
• Administrar los límites de almacenamiento de la colección de
sitios
• Administrar perfiles de usuario en línea de SharePoint
Más información Administrador de Sharepoint Online
Puede obtener más información sobre la función de administrador de SharePoint
Online en: https://support.office.com/article/About-the-SharePoint-Online-admin-
role-f08144d5-9d50-4922-8e77-4e1a27b40705 .
Administrador de comunicaciones de Teams

Los usuarios que tienen este rol pueden administrar las funciones de
llamadas y reuniones de Teams. Esto incluye la asignación de números de
teléfono y las políticas de reuniones. Los usuarios que tienen esta función
también pueden utilizar herramientas de análisis de llamadas y
herramientas de resolución de problemas.
Ingeniero de soporte de comunicaciones de Teams

Los usuarios que tienen este rol pueden solucionar problemas de
comunicaciones en Teams. Pueden acceder a las herramientas de análisis
de llamadas, así como ver la información del registro de llamadas de
todos los participantes de la llamada.
Especialista en soporte de comunicaciones de Teams
Los usuarios que tienen este rol pueden solucionar problemas de
comunicaciones en Teams. Este rol difiere del rol de ingeniero de soporte
en que el especialista solo puede ver la información del registro de
llamadas de un usuario específico en lugar de todos los participantes de la
llamada.
Administrador de servicios de Teams

Los usuarios que tienen este rol pueden administrar todos los aspectos de
Microsoft Teams, excepto la asignación de licencias. Los usuarios que
tienen este rol pueden:
• Administrar políticas de llamadas
• Administrar políticas de mensajería
• Gestionar políticas de reuniones
• Utilice herramientas de análisis de llamadas
• Administrar usuarios y sus configuraciones telefónicas
• Administrar grupos de M365
Administrador de gestión de usuarios

Los miembros del rol de administrador de administración de usuarios
pueden restablecer algunas contraseñas de usuario, monitorear el estado
del servicio, administrar algunas cuentas y grupos de usuarios y
solicitudes de servicio. Los miembros de este rol tienen los siguientes
permisos:
• Restablecer las contraseñas de todas las cuentas de usuario,
excepto las asignadas a los roles de administrador global,
administrador de facturación o administrador de servicios.
• Crear y administrar vistas de usuarios
• Puede crear, editar y eliminar usuarios y grupos, excepto los
usuarios a los que se les asignan privilegios de administrador
global.
• Puede administrar licencias de usuario
• Tener el rol de administrador de Skype empresarial online
Administrador delegado
Los administradores delegados son personas ajenas a la organización que
realizan tareas administrativas dentro del arrendamiento de Office
365. Los administradores del arrendamiento controlan a quién se delegan
los permisos de administrador. Solo puede asignar permisos de
administrador delegado a los usuarios que tienen cuentas de Office 365
en su propia tenencia.
Cuando configura la administración delegada, puede elegir uno de los
siguientes niveles de permisos:
• Administración completa Cuando asigna la función de
administración completa a un administrador delegado, ese
administrador tiene los mismos privilegios que un miembro de la
función de administrador global.
• Administración limitada Cuando asigna la función de
administración limitada a un administrador delegado, ese
administrador tiene los mismos privilegios que un miembro de la
función de administrador de contraseñas.
Más información Administradores delegados
Puede obtener más información sobre los administradores delegados
en: https://support.office.microsoft.com/article/Partners-Offer-delegated-
administration-26530dc0-ebba-415b-86b1-b55bc06b073e .
Administrar la membresía del rol

Puede asignar un rol administrativo en la página Editar roles de usuario
de las propiedades de un usuario de Microsoft 365, como se muestra en
la Figura 1-28 . Cuando asigna una función administrativa, especifica la
función que desea asignar y una dirección de correo electrónico
alternativa. Esto le permite realizar la recuperación de la contraseña si es
necesario. Solo puede agregar usuarios de Microsoft 365 a un rol. No
puede agregar un grupo de Microsoft 365 a un rol.
Figura 1-28 Administrador del servicio de asistencia (contraseña)
Puede utilizar esta página de la cuenta de un usuario para eliminar un rol

asignado. Para hacer esto, anule la selección del rol que desea eliminar y
seleccione la opción No y luego haga clic en Guardar . Puede ver una lista
de usuarios a los que se les asignó un rol en particular utilizando el nodo
Usuarios activos en el Centro de administración de M365 y seleccionando
el rol cuya membresía desea ver. La Figura 1-29 muestra los miembros
del rol de administradores de contraseñas.
Figura 1-29 Lista de administradores de contraseñas
Evaluar Microsoft 365 para organización

Las organizaciones que están considerando adoptar Microsoft 365
pueden crear una suscripción de prueba que está disponible para los
suscriptores existentes de O365. Una suscripción de prueba permite a la
organización crear y usar un arrendamiento de Microsoft 365, así como
los servicios asociados de Microsoft 365 durante un período de
evaluación de 30 días. El período de prueba proporciona 25 licencias y la
prueba se puede convertir a una suscripción tradicional de Microsoft 365
una vez que se completa el período de prueba.
Antes de iniciar la prueba, una organización debe realizar una
planificación para poder utilizar el período de evaluación de 30 días para
obtener el máximo beneficio. Si bien la organización debe abordar la
prueba como un piloto que eventualmente se transferirá a una
suscripción en curso, ciertas acciones, como la integración del directorio
local con Azure AD, no deben tomarse hasta que la organización esté
satisfecha de que Microsoft 365 es apropiado y un Se obtendrá la
suscripción en curso.
Debe asegurarse de haber hecho lo siguiente antes de iniciar una prueba
de Microsoft 365:
• Asegúrese de tener 25 usuarios listos para participar en la
prueba. Estos usuarios deben ser representativos de cómo se usa
Microsoft 365 en su organización.
• Proporcione a los usuarios computadoras separadas con
versiones de prueba de Windows 10 Enterprise Edition
instaladas. Si su organización no tiene planes de migrar a Windows
10 en un futuro cercano, entonces Microsoft 365 podría ser menos
apropiado que adoptar Office 365 y EMS por separado. Es
importante recordar que Windows 7 deja de ser compatible en
enero de 2020 y que Windows 8.1 deja de tener soporte extendido
en enero de 2023, por lo que las organizaciones no pueden
postergar la adopción de Windows 10 de forma
indefinida. Microsoft 365 puede ser una solución menos apropiada
para una organización donde todos los equipos cliente ejecutan
MacOS.
• Asegúrese de que se ejecuten cargas de trabajo significativas
durante la prueba. Es importante que se determine si M365 es
apropiado para su organización durante la prueba y que cualquier
obstáculo potencial se identifique en el período de prueba en lugar
de una vez que se haya producido la adopción completa de M365.
La creación de un plan de prueba o un caso de uso implica el desarrollo de
un proceso formal para describir cómo procederá el piloto y cómo se
evaluarán los resultados del piloto. El plan de prueba debe incluir las
siguientes fases generales.
• Implementar la tenencia de Microsoft 365 que se usará para
el piloto
• Crear cuentas de usuario para usuarios piloto
• Configurar el uso activo del correo electrónico para usuarios
piloto
• Implementar el software Office 365 ProPlus
• Habilite el acceso de usuarios piloto a los servicios de
Microsoft 365
• Solicite comentarios de los usuarios piloto sobre la
experiencia
Los planes de cada organización serán ligeramente diferentes. Debe
asegurarse de que los comentarios de los usuarios piloto se registren para
poder usarlos al evaluar cómo las decisiones tomadas en la fase de
planificación se comparan con los resultados del mundo real, lo que le
permite realizar ajustes en la fase de implementación.
Es posible migrar las cuentas de correo electrónico de una pequeña
cantidad de usuarios desde su entorno local a Microsoft 365 mientras
mantiene la mayoría de sus buzones de correo existentes en la solución
de correo local. El método para hacer esto se denomina Uso compartido
simple de dominio para direcciones de correo electrónico SMTP.
Por ejemplo:
• Su organización ha aprovisionado el arrendamiento de Office
365 contoso.microsoftonline.com.
• Su organización tiene su propia solución de correo
local. Utiliza el sufijo de correo electrónico contoso.com.
• Su organización aloja sus propios registros DNS en los
servidores dns1.contoso.com y dns2.contoso.com.
• Un registro MX en la zona contoso.com apunta al host
mailserver.adatum.com con una prioridad de 10.
• Un registro SPF en la zona DNS de contoso.com el valor v =
spf1 mx incluye: contoso.com -todos.
Para configurar Office 365 para que algunos usuarios piloto puedan
recibir correo electrónico a través de Microsoft 365, mientras que otros
todavía usan la solución local, siga los siguientes pasos:
• Actualice el registro SPF a “v = spf1 mx include: contoso.com
include: spf.protection.outlook.com -all.
• Confirme la propiedad dentro de Microsoft 365 de la zona
DNS de contoso.com configurando el registro TXT apropiado.
• Marque el dominio como compartido en Exchange
Online. Esto se hace desde el nodo de flujo de correo del Centro de
administración de Exchange. El Centro de administración de
Exchange está disponible en el Centro de administración de
Microsoft 365 haciendo clic en el nodo de Exchange debajo del
nodo ADMIN.
• Establece el dominio como un dominio de retransmisión
interna.
• Configure la solución de correo local para configurar el
reenvío de correo de cada cuenta de usuario piloto al dominio de
correo contoso.microsoftonline.com. Por ejemplo, el buzón local de
la cuenta de correo electrónico don.funk@contoso.com debe
reenviar todo el correo electrónico entrante
a don.funk@contoso.microsoftonline.com .
• Configure la cuenta de cada usuario piloto en Microsoft 365
para usar el dominio de correo de la zona DNS local. Por ejemplo, la
cuenta de usuario de Microsoft 365 de Don Funk debe configurarse
con una dirección de respuesta de don.funk@contoso.com .
• Puede migrar el contenido de los buzones de correo locales de
los usuarios piloto mediante el Centro de administración de
Exchange.
Más información Prueba de Microsoft 365
Puede obtener más información sobre cómo probar Microsoft 365 si tiene una
suscripción de O365 existente en: https://docs.microsoft.com/office365/admin/try-
or-buy-microsoft-365 .
Planificar y crear inquilino

Las decisiones iniciales más importantes que toma sobre su inquilino de
Microsoft 365 son el nombre del inquilino y la región del
inquilino. Aprendió sobre los nombres de inquilinos y cómo el dominio
onmicrosoft.com que eligió al crear el inquilino nunca se puede eliminar,
incluso si agrega un dominio DNS personalizado anteriormente en este
capítulo.
La región del inquilino determina qué servicios de Microsoft 365 estarán
disponibles para la suscripción, los impuestos que se aplicarán como
parte de los cargos de suscripción, la moneda de facturación de la
suscripción y el centro de datos de Microsoft que albergará los recursos
asignados a la suscripción. Por ejemplo, seleccionar Estados Unidos para
una región significará que la tenencia de Microsoft 365 de su organización
tiene recursos asignados en un centro de datos de Estados
Unidos. Actualmente, seleccionar Nueva Zelanda significa que al
arrendamiento de Microsoft 365 de su organización se le asignarán
recursos en un centro de datos en Australia porque este es actualmente el
centro de datos de Microsoft más cercano a Nueva Zelanda.
A diferencia de otras configuraciones de Microsoft 365, no puede cambiar
la región del inquilino una vez que la haya seleccionado. La única forma
de modificar una región de inquilino es cancelar su suscripción existente
y crear una nueva suscripción. Seleccionar al inquilino correcto es muy
importante desde una perspectiva de cumplimiento y hay muchas
historias de consultores en países fuera de los EE. UU. Que establecen
inquilinatos en los EE. UU., Solo para descubrir más tarde que necesitan
recrear el inquilino porque los datos del cliente se almacenan fuera de la
red nacional de la organización asociada. fronteras.
Más información dónde se almacenan los datos de arrendamiento
Puede obtener más información sobre dónde se almacenan los datos de
arrendamiento en: https://products.office.com/where-is-your-data-located .
Actualizar las suscripciones existentes a Microsoft 365

Microsoft 365 es una combinación de los siguientes productos de
Microsoft existentes:
• Oficina 365
• Movilidad empresarial + seguridad (EMS)
• Windows 10
Una organización que ya tiene suscripciones a Office 365 para sus
usuarios puede actualizar esas suscripciones a Microsoft 365, al igual que
una organización que tiene suscripciones a Office 365 y EMS puede
actualizar a licencias de Microsoft 365. Puede adquirir servicios
adicionales en el nodo Servicios de compra en Facturación en el Centro de
administración de Microsoft 365, como se muestra en la Figura 1-30 . Una
vez que se hayan comprado las licencias adecuadas, se pueden asignar a
los usuarios. Si las organizaciones necesitan ayuda, pueden aprovechar el
servicio FastTrack para Microsoft 365 de Microsoft, que proporciona
información y consejos sobre cómo actualizar una implementación
existente o realizar una nueva implementación.
Figura 1-30 Nodo de suscripciones
Supervisar las asignaciones de licencias

Puede administrar las suscripciones de inquilinos de Microsoft 365 desde
el nodo Suscripciones, que se encuentra debajo del nodo Facturación, y se
Figura 1-31 Nodo de suscripciones
Asignar licencias
Los usuarios de Microsoft 365 requieren licencias para usar Outlook,
SharePoint Online, Skype for Business y otros servicios. Los usuarios a los
que se les ha asignado el rol de administrador global o administrador de
administración de usuarios pueden asignar licencias a los usuarios al
crear nuevas cuentas de usuario de Microsoft 365 o pueden asignar
licencias a cuentas que se crean a través de la sincronización de
directorios o la federación.
Cuando se asigna una licencia a un usuario, ocurre lo siguiente:
• Se crea un buzón de correo de Exchange Online para el
usuario.
• Los permisos de edición para el sitio de grupo de SharePoint
Online predeterminado se asignan al usuario.
• El usuario tendrá acceso a las funciones de Skype Empresarial
asociadas con la licencia.
• Para Office 365 ProPlus, el usuario podrá descargar e instalar
Microsoft Office en hasta cinco computadoras con Windows o
macOS.
Puede ver la cantidad de licencias válidas y la cantidad de esas licencias
que se han asignado en el nodo Licencias, que se encuentra debajo del
nodo Facturación en el Centro de administración de Microsoft 365.
Más información Asignar licencias
en: https://docs.microsoft.com/office365/admin/subscriptions-and-billing/assign-
licenses-to-users .

Recuerde que se crea un buzón de correo de Exchange Online para un
usuario cuando se le asigna una licencia de M365.
HABILIDAD 1.4: ADMINISTRAR LA SUSCRIPCIÓN DE

MICROSOFT 365 Y EL ESTADO DEL INQUILINO
Esta sección de habilidades trata sobre la administración de la
suscripción y el estado de los inquilinos para una implementación de
M365. Para dominar esta habilidad, deberá comprender las opciones
cuando se trata de administrar el estado del servicio, cómo crear y
administrar solicitudes de servicio, cómo crear un plan de respuesta de
salud, cómo monitorear el estado del servicio, crear y revisar informes,
programar y revisar la seguridad. e informes de cumplimiento y
programar y revisar las métricas de uso.
• Gestionar alertas de estado del servicio
• Crear y administrar solicitudes de servicio
• Crear un plan de respuesta de salud del servicio interno
• Supervisar el estado del servicio
• Configurar y revisar informes, incluidos los informes de BI, OMS y
Microsoft 365
• Programe y revise informes de seguridad y cumplimiento
• Programe y revise las métricas de uso
Gestionar alertas de estado del servicio

El panel Service Health le permite ver el estado de todos los servicios
relacionados con la suscripción a Microsoft 365 de su organización. Por
ejemplo, la captura de pantalla del panel de Estado del servicio que se
muestra en la Figura 1-32 muestra que todos los servicios están en buen
estado.
Figura 1-32 Panel de estado del servicio
Los servicios tienen las definiciones de estado enumeradas en la Tabla 1-

7.
Tabla 1-7 Definiciones del estado del servicio de M365
Estado Definición
Investigando Microsoft es consciente del problema y está llevando a cabo una i
la causa y el alcance del impacto.
Degradación del Microsoft ha confirmado que existe un problema en un servicio o
servicio específicos de M365. Este estado a menudo se asigna cuando un s
funcionando en un estado más lento de lo normal o cuando ocurre
intermitentes.
Interrupción del Microsoft es consciente de que se está produciendo una interrupc
servicio con el sistema enumerado.
Servicio de Microsoft ha determinado la causa del problema y está en proceso
restauración funcionalidad completa.
Recuperación Microsoft ha restaurado la funcionalidad completa para la mayor
extendida pero algunos usuarios pueden necesitar más tiempo antes de que
llegue.
Investigación Microsoft ha solicitado información adicional a los clientes para d
suspendida de una interrupción.
Servicio restaurado Microsoft ha confirmado que las acciones de reparación han resu
que el servicio está en buen estado. Vea los problemas del servicio
detalles de la interrupción.
Informe posterior al Microsoft ha publicado un informe detallado posterior al incident
incidente publicado información sobre la causa raíz y los pasos que se han tomado par
el problema no vuelva a surgir.
Más información Estado del servicio de Microsoft 365
Puede obtener más información sobre cómo comprobar el estado del servicio de
Microsoft 365 en: https://docs.microsoft.com/office365/enterprise/view-service-
health .
Historia
El historial de salud del servicio muestra el historial de estado de los
servicios durante los últimos 30 días. La Figura 1-33 muestra el historial
de los últimos 7 días. Esto puede permitirle diagnosticar problemas que
pueden haber ocurrido anteriormente de los que no estaba al tanto, como
si necesitara proporcionar una explicación a un usuario de por qué no
pudo acceder a una funcionalidad específica durante el fin de semana. Al
hacer clic en cada elemento, se proporcionan más detalles.
Figura 1-33 Historial de salud del servicio
Crear y administrar solicitudes de servicio

Las solicitudes de servicio permiten que los administradores de
inquilinos se comuniquen con Microsoft para resolver problemas. Puede
crear una solicitud de servicio en línea a través del Centro de
administración de Microsoft 365 o por teléfono. Para crear una solicitud
de servicio en línea, realice los siguientes pasos:
con una cuenta que tenga privilegios de administrador de
inquilinos.
2. En el panel izquierdo, haga clic en Soporte . En Soporte, haga
clic en Nueva solicitud de servicio .
3. En la página Necesita ayuda, que se muestra en la Figura 1-
34 , proporcione información sobre lo que necesita ayuda y haga
clic en Obtener ayuda .
Figura 1-34 Obtenga ayuda

4. Se le proporcionarán los resultados de una consulta de
búsqueda que puede o no ayudarlo a resolver su problema. Debajo
de los resultados de la consulta, haga clic en Nueva solicitud de
servicio por teléfono .
5. En la página Nueva solicitud de servicio por teléfono, que se
muestra en la Figura 1-35 , verifique sus datos de contacto. Se le
proporcionará un tiempo estimado antes de que un representante
de soporte de M365 lo llame para atender la solicitud de
servicio. Puede agregar archivos adjuntos relacionados con la
solicitud de soporte. Haga clic en Llamarme para entrar en la cola
de soporte telefónico de llamada de regreso M365.
Figura
1-35 Pídale a Microsoft que lo llame
Más información Solicitudes de servicio
en: https://docs.microsoft.com/office365/admin/contact-support-for-business-
products .
Crear un plan de respuesta de salud del servicio interno

Microsoft proporciona una variedad de métodos para que su organización
se dé cuenta de que existe algún tipo de interrupción del servicio más allá
de que los usuarios finales llamen a la mesa de servicio para quejarse de
que no pueden hacer que "la cosa funcione". Puede monitorear estos
canales de comunicación de servicios para estar al tanto de posibles
problemas y tomar medidas para notificar a los usuarios antes de que se
den cuenta del impacto de estos eventos. Los canales de comunicación del
servicio incluyen los siguientes:
• La aplicación de administración de Office 365 Esta
aplicación proporcionará a los administradores de M365 y O365 la
capacidad de monitorear el estado del servicio desde un dispositivo
móvil. Los administradores de inquilinos pueden usar la aplicación
para ver información sobre el estado del servicio y actualizaciones
del estado de mantenimiento.
• Paquete de administración de Office 365 para System
Center Operations Manager Las organizaciones que usan System
Center Operations Manager para monitorear su entorno pueden
instalar el Paquete de administración de O365 para que las alertas
sean visibles dentro de la consola de Operations Manager. El
módulo de administración incluye secciones sobre el estado de la
suscripción, el estado del servicio, los incidentes activos, los
incidentes resueltos y el centro de mensajes. La figura 1-36 muestra
el panel de supervisión de Office 365.
Figura 1-36 Panel de supervisión de Office 365
• API de comunicaciones de servicio de Office 365 La API

de comunicaciones de servicio de O365 le permite interactuar con
las comunicaciones de servicio de O365 de una manera que se
adapte a su organización. Esta API le proporciona un método para
conectar las herramientas de supervisión existentes a las
comunicaciones del servicio O365. La API le permite monitorear el
estado del servicio en tiempo real, las comunicaciones del centro de
mensajes y las notificaciones de mantenimiento planificado.
Más información Service Health Response
Puede obtener más información sobre la respuesta del estado del servicio
en: https://docs.microsoft.com/office365/servicedescriptions/office-365-platform-
service-description/service-health-and-continuity .
Supervisar el estado del servicio

M365 proporciona a los administradores información sobre los próximos
eventos de mantenimiento a través de notificaciones de mantenimiento
planificado. Puede ver los eventos de mantenimiento planificados
navegando hasta el centro de mensajes y configurando la vista
en Planificar el cambio , como se muestra en la Figura 1-37 .
Figura 1-37 Mantenimiento planificado
Más información Panel de estado del servicio

Puede obtener más información sobre el panel de estado del servicio
en: https://docs.microsoft.com/office365/enterprise/view-service-health .
Programe y revise informes de seguridad y cumplimiento

Los informes de seguridad y cumplimiento de Microsoft 365, que se
muestran en la Figura 1-38 , se dividen en cuatro categorías. Estos
informes le permiten ver cómo se utilizan las reglas y tecnologías de
seguridad y cumplimiento en su organización de Microsoft 365.
Figura 1-38 Panel de informes de seguridad y cumplimiento
Necesita los siguientes permisos para ver informes en el centro de

seguridad y cumplimiento:
• Es necesario que se le haya asignado la función de lector de
seguridad en Exchange. Esta función se asigna de forma
predeterminada a los grupos de funciones de administración de la
organización y lector de seguridad.
• Deberá tener asignado el rol de administración de
cumplimiento de DLP en el Centro de cumplimiento y seguridad
para ver los informes y las políticas de DLP. Esta función se asigna
de forma predeterminada a los grupos de funciones Administrador
de cumplimiento, Administración de la organización y
Administrador de seguridad.
Más información Informes de seguridad y cumplimiento
Puede obtener más información sobre los informes de cumplimiento y seguridad
de Office 365 en: https://docs.microsoft.com/office365/securitycompliance/reports-
in-security-and-compliance .
Informes de auditoría
Los siguientes informes de seguridad y cumplimiento están disponibles a
través del Centro de seguridad y cumplimiento:
• Informe de registro de auditoría de Office 365 Vea la
actividad del usuario y del administrador para la organización de
M365, incluida la visualización de los cambios realizados en los
grupos de roles de administrador.
• Informes de Azure AD Esta opción le permite ver informes
de Azure Active Directory, incluidos informes de actividad de inicio
de sesión sospechosa o inusual. Requiere una suscripción paga a
Azure Active Directory.
• Informes de auditoría de Exchange Utilice este informe
para buscar buzones de correo a los que accedan personas que no
sean sus propietarios. Requiere que se habilite el registro de
auditoría del buzón.
Informes de prevención de pérdida de datos

Los siguientes informes de Prevención de pérdida de datos (DLP) están
disponibles a través del Centro de administración de Office 365:
• Principales coincidencias de políticas de DLP para
correo Le permite ver las principales coincidencias de políticas de
DLP para correo electrónico enviado y recibido.
• Principales coincidencias de reglas de DLP para correo Le
permite ver las principales coincidencias de reglas de DLP para
correo electrónico enviado y recibido.
• Coincidencias de políticas de DLP por gravedad para el
correo Le permite realizar un seguimiento de las coincidencias de
políticas de DLP por gravedad.
• Coincidencias, anulaciones y falsos positivos de la política
de DLP para el correo Le permite ver coincidencias, anulaciones y
falsos positivos de DLP para los mensajes entrantes y salientes.
Informes de protección
Los siguientes informes de protección están disponibles a través del
Centro de administración de Office 365:
• Principales remitentes y destinatarios Este informe le
permite ver los principales remitentes de correo, los principales
destinatarios de correo, los principales destinatarios de correo no
deseado y los principales destinatarios de malware en la
suscripción de Office 365.
• Principal malware para correo Este informe muestra la
cantidad de malware recibido a través del correo electrónico
durante el período del informe.
• Detecciones de malware Este informe muestra la cantidad
de malware enviado y recibido a través de la suscripción a Office
365 para el período del informe.
• Detecciones de correo no deseado Este informe muestra la
cantidad de correo no deseado según el contenido que se está
filtrando o el host de envío original que se está bloqueando.
• Correo enviado y recibido Este informe muestra la cantidad
de correo enviado y recibido categorizado por correo bueno,
malware, spam y mensajes tratados por reglas.
Informes de reglas
Los siguientes informes de reglas están disponibles a través del Centro de
administración de Office 365:
• Principales coincidencias de reglas para correo Este
informe le permite ver la cantidad de mensajes según las
coincidencias de reglas de transporte enviadas y recibidas.
• Coincidencias de reglas para correo Este informe muestra
todas las coincidencias de reglas para el correo electrónico recibido
y enviado.
Programe y revise las métricas de uso

Los informes de actividad, que se muestran en la Figura 1-39 , le permiten
ver cómo los usuarios de su organización utilizan los servicios de
Microsoft 365. Puede revisar informes durante períodos de 7 días, 30
días, 90 días y 180 días. Los informes no se generan de inmediato, pero
están disponibles después de 48 horas.
Figura 1-39 Informes de uso
Los usuarios que tienen los siguientes roles pueden ver los informes:
• Administrador global de Office 365
• Administrador de intercambio
• Administrador de SharePoint
• Administrador de Skype Empresarial
• Lector de informes
• Administrador de servicios de Teams
• Administrador de comunicaciones de Teams
Actividad de correo electrónico

El informe Actividad de correo electrónico, que se muestra en la Figura 1-
40 , muestra el número de acciones de envío, recepción y lectura en toda
la organización, con un desglose por usuario. Puede utilizar este informe
para obtener información de alto nivel sobre el tráfico de correo
electrónico en su organización, incluida la fecha de la última actividad, el
número de acciones de envío, acciones de recepción y acciones de
lectura. Puede utilizar este informe para ver la actividad del correo
electrónico durante los últimos 7 días, 30 días, 90 días y 180 días.
Figura 1-40 Informe de actividad de correo electrónico
Más información Informe de actividad por correo electrónico

Puede obtener más información sobre el informe de actividad de correo
electrónico en: https://docs.microsoft.com/office365/admin/activity-reports/email-
activity .
Uso del buzón

El informe de uso del buzón, que se muestra en la Figura 1-41 , muestra el
número total de buzones de correo, el número total de buzones de correo
de usuarios activos, la cantidad de almacenamiento utilizado en todos los
buzones de correo y los buzones de correo por estado de cuota (bueno,
advertencia emitida, envío prohibido y está prohibido enviar /
recibir). También puede ver el número de elementos eliminados, la fecha
de la última actividad y el número de elementos en el buzón de cada
usuario. El informe le permite ver datos de los últimos 7 días, 30 días, 90
días y 180 días.
Figura 1-41 Uso del buzón
Más información Informe de uso del buzón

Puede obtener más información sobre el informe de uso del buzón
en: https://docs.microsoft.com/office365/admin/activity-reports/mailbox-usage .
Activaciones de oficina
El informe de activación de Office proporciona datos sobre los usuarios
que han activado su suscripción a Office 365 en uno o más
dispositivos. Puede usarlo para determinar activaciones para Office 365
ProPlus, Project y Visio Pro para Office 365. También puede ver la
información de activación, incluido si el producto se activó en una
computadora con Windows, macOS o dispositivos que ejecutan iOS o
Android. sistemas. Este informe se muestra en la Figura 1-42 .
Figura 1-42 Informes de activaciones
Más información Informe de activaciones de Office

Puede obtener más información sobre el informe Activaciones
en: https://docs.microsoft.com/office365/admin/activity-reports/microsoft-office-
activations?view=o365-worldwide .
Usuarios activos
El informe Usuarios activos, que se muestra en la Figura 1-43 ,
proporciona información sobre la cantidad de licencias que se utilizan en
su organización. También le proporciona información sobre los productos
con licencia de usuarios específicos. Puede utilizar este informe para
determinar qué productos no se están utilizando por completo.
Figura 1-43 Informe de usuarios activos
Más información Informe de usuarios activos

Puede obtener más información sobre el informe Usuarios activos
en: https://docs.microsoft.com/office365/admin/activity-reports/active-
users?view=o365-worldwide .
Uso de la aplicación de correo electrónico

El informe de uso de la aplicación de correo electrónico proporciona
información sobre la aplicación de correo electrónico utilizada por cada
usuario para acceder a Exchange Online. Se realiza un seguimiento de
cada aplicación utilizada para interactuar con Exchange Online, por lo que
puede determinar el perfil de uso de la aplicación de cada usuario. Este
informe rastrea el uso a través de Outlook en Windows, Outlook en Mac
OSX, Outlook en la web y clientes móviles.
Más información Informe de uso de la aplicación de correo electrónico
Puede obtener más información sobre el informe de uso de aplicaciones de correo
electrónico en: https://docs.microsoft.com//office365/admin/activity-
reports/email-apps-usage .
Actividad del usuario de OneDrive para empresas

El informe Actividad de OneDrive, también conocido como Informe de
actividad de OneDrive para la empresa, le permite ver la actividad de
todos los usuarios de Office 365 OneDrive para la empresa. Este informe,
que se muestra en la Figura 1-44 , proporciona información sobre lo
siguiente:
• Última actividad de OneDrive para empresas
• Archivos visualizados o editados
• Archivos sincronizados
• Archivos compartidos internamente
• Archivos compartidos externamente
Figura 1-44 Informe de actividad de OneDrive para la empresa
Más información Informe de actividad de Onedrive para empresas

Puede obtener más información sobre el informe de actividad empresarial de
OneDrive en: https://docs.microsoft.com/office365/admin/activity-
reports/onedrive-for-business-activity .
Uso de OneDrive para empresas

El informe de uso de OneDrive para la empresa proporciona una
descripción general de alto nivel de cómo se usan los archivos en la
suscripción de OneDrive para la empresa de su organización. El informe,
que se muestra en la Figura 1-45 , proporciona detalles de lo siguiente:
• URL Esta es la ubicación del archivo dentro de OneDrive para
la Empresa
• Propietario de la cuenta de Office 365 asociada al archivo
• Última fecha de actividad (UTC) Última fecha en la que se
accedió al archivo
• Archivos Número de archivos asociados con el usuario
• Archivos activos Número de archivos del usuario que se
utilizan activamente
• Almacenamiento utilizado (MB) Almacenamiento
consumido por los archivos del usuario
Figura 1-45 Informe de uso de OneDrive
Más información Informe de uso de Onedrive para empresas

Puede obtener más información sobre el informe de uso de OneDrive
en: https://docs.microsoft.com/office365/admin/activity-reports/onedrive-for-
business-usage .
Actividad de SharePoint
El informe de actividad de SharePoint le permite realizar un seguimiento
de cómo los usuarios de Microsoft 365 en su organización interactúan con
SharePoint Online. Este informe proporciona la siguiente información por
usuario:
• Fecha de la última actividad La última vez que el usuario
interactuó con SharePoint Online.
• Archivos vistos o editados Este es el número de archivos
con los que el usuario interactuó y que se hospedaron en la
instancia de SharePoint Online de la organización.
• Archivos sincronizados Este es el número de archivos que
se han sincronizado entre los dispositivos utilizados por el usuario
y SharePoint Online.
• Archivos compartidos internamente La cantidad de
archivos compartidos con otros usuarios de Office 365 a través de
SharePoint Online.
• Archivos compartidos externamente La cantidad de
archivos compartidos a través de Office 365 con usuarios externos.
Más información Informe de actividad de Sharepoint
Puede obtener más información sobre el informe Actividad de SharePoint
en: https://docs.microsoft.com/office365/admin/activity-reports/sharepoint-
activity .
Uso del sitio de SharePoint

El informe de uso del sitio de SharePoint, que se muestra en la Figura 1-
46 , proporciona información sobre cómo se utilizan los sitios de
SharePoint en la implementación de SharePoint Online de su
organización. Este informe le proporciona la siguiente información:
• URL del sitio La dirección del sitio dentro de su
implementación de SharePoint
• Propietario del sitio El usuario de Microsoft 365 asignó la
propiedad del sitio
• Fecha de la última actividad La última vez que se registró la
actividad en el sitio
• Archivos Número de archivos almacenados en el sitio en
línea de SharePoint
• Archivos visualizados o editados Archivos que se han
visualizado o modificado recientemente
• Almacenamiento utilizado La cantidad de almacenamiento
consumido por los archivos en el sitio.
Figura 1-46 Informe de uso del sitio de SharePoint
Más información Informe de uso del sitio de Sharepoint

Puede obtener más información sobre el informe de uso del sitio de SharePoint
en: https://docs.microsoft.com/office365/admin/activity-reports/sharepoint-site-
usage .
Actividad de Skype Empresarial

El informe Actividad de Skype Empresarial le proporciona información
sobre la actividad de Skype Empresarial por usuario en toda su
organización de Office 365. Esto incluye información sobre lo siguiente:
• Fecha de la última actividad
• De igual a igual
• Conferencias organizadas
• Participó en conferencias
Más información Informe de actividad en línea de Skype Empresarial
Puede obtener más información sobre el informe de actividad en línea de Skype
Empresarial en: https://docs.microsoft.com/SkypeForBusiness/skype-for-business-
online-reporting/activity-report .
Actividad de igual a igual de Skype Empresarial
El informe Actividad punto a punto de Skype Empresarial Online
proporciona información sobre la comunicación que se produce entre
usuarios individuales de Skype Empresarial fuera de las conferencias de
Skype Empresarial. Este informe rastrea la siguiente actividad por
usuario:
• Número de sesiones de mensajería instantánea de igual a
igual
• Número de conferencias de audio de igual a igual
• Número de videoconferencias entre pares
• Número de sesiones de uso compartido de aplicaciones de
igual a igual
• Número de transferencias de archivos de igual a igual
• Número de minutos dedicados a conferencias de audio de
igual a igual
• Número de minutos dedicados a las videoconferencias entre
pares
Más información Informe de actividad de igual a igual de Skype Empresarial
Puede obtener más información sobre el informe punto a punto de Skype
Empresarial en: https://docs.microsoft.com/SkypeForBusiness/skype-for-business-
online-reporting/peer-to-peer-activity-report .
Actividad del organizador de conferencias de Skype Empresarial

El Informe de actividad del organizador de conferencias de Skype
Empresarial proporciona información sobre las conferencias iniciadas
por los usuarios de Skype Empresarial de su organización. Este informe
presenta la siguiente información durante un período de 7 días, 30 días,
90 días y 180 días por nombre de usuario:
• Última actividad
• Sesiones de mensajería instantánea organizadas
• Sesiones de audio y video organizadas
• Se organizan conferencias para compartir aplicaciones
• Conferencias web organizadas
• Dial-in / out: conferencias de terceros organizadas
• Minutos totales de audio / video de conferencias organizadas
por este usuario
• Número total de minutos en los que Microsoft funcionó como
proveedor de conferencias de audio de acceso telefónico
• Número total de minutos en los que Microsoft funcionó como
proveedor de conferencias telefónicas de salida
Más información Informe de actividades del organizador de conferencias de
Skype Empresarial
Puede obtener más información sobre el informe Actividad del organizador de
conferencias de Skype Empresarial
en: https://docs.microsoft.com/SkypeForBusiness/skype-for-business-online-
reporting/conference-organizer-activity-report .
Actividad de participante en conferencias de Skype Empresarial

El informe Actividad del participante de la conferencia de Skype
Empresarial proporciona información sobre Skype Empresarial desde la
perspectiva de un participante, en lugar de la de un organizador. Este
informe incluye la siguiente información por usuario:
• Número de conferencias de mensajería instantánea en las que
participó el usuario
• Número de conferencias de audio y video en las que participó
el usuario
• Número de conferencias de uso compartido de aplicaciones
en las que participó el usuario
• Número de conferencias web en las que participó el usuario
• Número de marcación de entrada / salida: conferencias de
terceros en las que el usuario participó mediante un proveedor de
conferencias de audio de terceros en las que se utilizó Skype
Empresarial para el audio.
• Minutos totales de audio y video
Más información Informe de actividad de los participantes de la conferencia
de Skype Empresarial
Puede obtener más información sobre el informe Actividad de los participantes de
la conferencia de Skype Empresarial
en: https://docs.microsoft.com/SkypeForBusiness/skype-for-business-online-
reporting/conference-participant-activity-report .
Actividad de Yammer
El informe de actividad de Yammer proporciona información sobre la
cantidad de usuarios de su organización que interactúan con
Yammer. Proporciona información sobre el número de usuarios únicos
que publican en Yammer, cuántos leen un mensaje específico, a cuántos
les gusta un mensaje específico y el nivel general de interacción en toda la
organización.
Más información Informe de actividad de Yammer
Puede obtener más información sobre el informe de actividad de Yammer
en: https://docs.microsoft.com/office365/admin/activity-reports/yammer-activity-
report .
Uso del dispositivo Yammer

El informe de uso de dispositivos de Yammer le proporciona datos sobre
los tipos específicos de dispositivos que se usan para interactuar con la
instancia de Yammer de la organización. El informe proporciona
información sobre:
• Número de usuarios diarios por tipo de dispositivo
• Número de usuarios por tipo de dispositivo
• Uso de dispositivo por usuario
Más información Informe de uso de dispositivos de Yammer
Puede obtener más información sobre el informe de uso de dispositivos de
Yammer en: https://docs.microsoft.com/office365/admin/activity-reports/yammer-
device-usage-report .
Informe de actividad de grupos de Yammer

El informe de actividad de Grupos de Yammer proporciona información
sobre cómo los usuarios de su organización interactúan con los grupos de
Yammer. El informe le proporcionará información sobre el número y la
identidad de los grupos que se crean, así como la cantidad de utilización
que están recibiendo esos grupos. La actividad rastreada incluye:
• Nombre del grupo
• Administrador de grupo
• Tipo de grupo
• Conexión a Office 365
• Miembros
• Mensajes publicados
• Mensajes leídos
• Mensajes que me gustaron
Más información Informe de actividad de grupos de Yammer
Puede obtener más información sobre el informe de actividad de grupos de
Yammer en: https://docs.microsoft.com/office365/admin/activity-reports/yammer-
groups-activity-report .
Actividad de usuario de Microsoft Teams

El informe Actividad del usuario de Microsoft Teams le proporciona
información sobre cómo los usuarios de su organización interactúan con
la instancia de Microsoft Teams del inquilino. Las actividades de las que
se hace un seguimiento en el informe incluyen:
• Mensajes de canal
• Mensajes de chat
• Llamadas
• Reuniones
• Otras actividades
Más información Informe de actividad de usuario de Microsoft Teams
Puede obtener más información sobre el informe de actividad del usuario de
Microsoft Teams en: https://docs.microsoft.com/office365/admin/activity-
reports/microsoft-teams-user-activity .
Uso de dispositivos de Microsoft Teams

El informe de uso de dispositivos de Microsoft Teams proporciona
información sobre los dispositivos específicos que los usuarios de M365
están usando para interactuar con la instancia de Microsoft Teams del
inquilino. El informe hará un seguimiento de los siguientes sistemas
operativos y dispositivos:
• Ventanas
• Mac
• Web
• iOS
• Teléfono Android
• Telefono windows
Más información Informe de uso de dispositivos de Microsoft Teams
Puede obtener más información sobre el informe de uso de dispositivos de
Microsoft Teams en: https://docs.microsoft.com/office365/admin/activity-
reports/microsoft-teams-device-usage .
Programar informes
Puede utilizar el centro de seguridad y cumplimiento para generar
informes periódicamente de acuerdo con un cronograma. Para completar
esta tarea, realice los siguientes pasos:
1. En el centro de Seguridad y cumplimiento de M365, navegue
hasta Panel de control en Informes .
2. Seleccione el informe que desea programar.
3. Haga clic en el botón Crear programa . La Figura 1-
47 muestra este botón en el informe de correo electrónico enviado
y recibido.
Figura 1-47 Informe de correo electrónico enviado y recibido
4. En la página Crear programa , que se muestra en la Figura 1-
48 , puede configurar el informe para que se genere de acuerdo con
la frecuencia predeterminada haciendo clic en Crear
programa . También puede hacer clic en Personalizar
programación para crear una programación personalizada para el
informe.
Figura 1-48 Crear horario
Más información Programar informes
Puede obtener más información sobre la programación de informes
en: https://docs.microsoft.com/office365/securitycompliance/create-a-schedule-for-
a-report .

La mejor manera de conocer los informes disponibles en Microsoft 365 es
acceder a ellos a través de la suscripción de su organización o crear su
propia suscripción de prueba e investigarlos allí.
HABILIDAD 1.5: PLANIFICAR LA MIGRACIÓN DE
USUARIOS Y DATOS
Esta sección trata sobre la migración de datos desde una implementación
local existente a Microsoft 365 y Office 365. Para dominar esta habilidad,
necesitará comprender cómo identificar los datos que se deben migrar,
cómo identificar los buzones de correo para migrar, cómo migrar. ellos,
cómo migrar usuarios y grupos, y cómo importar archivos PST.
• Identificar los datos a migrar y el método
• Identificar usuarios y buzones de correo que se migrarán y método
• Planificar la migración de usuarios y grupos locales
• Importar archivos PST
Identificar los datos a migrar y el método

Cada organización tendrá un conjunto diferente de desafíos cuando se
trata de identificar qué datos se deben migrar de su entorno local a
Microsoft 365. Esto se debe a que los datos de cada organización son
únicos y los datos que son críticos para una organización pueden verse
como trivial para otro. Al evaluar qué datos se deben migrar a Microsoft
365, considere las siguientes preguntas:
• ¿Qué datos locales son críticos para la organización? La
planificación de una migración a Microsoft 365 le da a una
organización la oportunidad de evaluar si todos los datos que
retiene realmente necesitan ser retenidos.
• ¿Qué datos se deben transferir del entorno local a Microsoft
365? No es necesario migrar todos los archivos y carpetas a
Microsoft 365. Por ejemplo, ¿los archivos almacenados en
servidores de archivos a los que no se ha accedido durante los
últimos dos años deben migrarse a Microsoft 365?
• ¿Qué datos permanecerán en las instalaciones? Pasar a M365
no significa que todos los datos deban eliminarse de las ubicaciones
locales. Puede haber razones de cumplimiento, especialmente en
países que no tienen centros de datos de Microsoft, que dictan que
ciertos tipos de datos deben permanecer dentro de límites
geográficos específicos que no se pueden almacenar en la nube de
Microsoft.
• ¿Dónde se encuentran los datos actualmente? Por ejemplo,
¿su organización utiliza archivos compartidos? ¿Desea mover todos
los datos compartidos de archivos a SharePoint Online o
implementará una solución como Azure File Sync? ¿Los datos se
encuentran en las computadoras de los usuarios finales?
Una vez que haya determinado qué datos se deben migrar a Microsoft
365, puede determinar el método apropiado para realizar esa
migración. Aprenderá sobre los métodos de migración más adelante en
este capítulo.
Mover datos a SharePoint Online

Existe una variedad de métodos que puede usar para migrar datos desde
un entorno local a SharePoint Online. Estos métodos se enumeran en
la Tabla 1-8 .
Tabla 1-8 Métodos de migración de datos
Método Descripción
Herramienta de Esta herramienta le permite migrar archivos desde biblioteca
migración de SharePoint de SharePoint locales, listas y recursos compartidos de archiv
SharePoint Online
Cliente de sincronización Le permite arrastrar y soltar archivos en una computadora cl
de OneDrive esos archivos con OneDrive para la Empresa o SharePoint Onl
Carga manual Cargue manualmente los archivos de uno en uno al inquilino d
Online
Más información Migración de datos a Sharepoint Online
Puede obtener más información sobre la migración de datos de SharePoint a
SharePoint Online en: https://docs.microsoft.com/sharepointmigration/migrate-to-
sharepoint-online .
Migrar carpetas locales conocidas a OneDrive para la empresa

Muchas organizaciones tienen carpetas conocidas, como las carpetas
Documentos, dirigidas a un recurso compartido de archivos local. Como
parte de una estrategia de migración para mover estos archivos a Office
365, puede redirigir estas carpetas desde un recurso compartido de
archivos local a OneDrive para la Empresa. Esto se puede hacer a través
de la política de grupo para organizaciones donde los equipos son
miembros de dominios de Active Directory. En organizaciones donde las
computadoras no son miembros de un dominio, tendrá que usar métodos
más manuales e intensivos para mover archivos a carpetas.utilizado por
OneDrive para empresas. Este proceso es manual porque en entornos que
no son de dominio donde los usuarios tienen más libertad para configurar
las computadoras como mejor les parezca, en lugar de estar sujetos a la
política de dominio, es más probable que los usuarios almacenen sus
archivos en ubicaciones idiosincrásicas.
Cuando se implementa la redirección de carpetas conocidas a OneDrive
para la Empresa, los usuarios continúan usando carpetas como la carpeta
Documentos de la manera habitual. En segundo plano, el contenido de
estas carpetas conocidas se sincronizará automáticamente con OneDrive
para la Empresa. Al usar este método, la directiva de grupo determinará si
la carpeta OneDrive para la empresa se ha configurado en el equipo de
destino. Si la carpeta no existe, las carpetas conocidas, como la carpeta
Documentos, no serán redirigidas. una vez que la carpeta OneDrive para
la Empresa está presente, porque el cliente de sincronización se ha
implementado.
Cuando haya redirigido carpetas conocidas, los accesos directos a esas
carpetas apuntarán a la nueva ubicación vinculada con OneDrive para la
Empresa. La estructura de carpetas existente seguirá en su lugar y el
contenido de esas carpetas permanecerá en la ubicación original. Del
mismo modo, si las carpetas conocidas se redirigen actualmente a
recursos compartidos de red, deberá migrar los datos desde esa ubicación
a OneDrive para la empresa después de redirigir las carpetas conocidas a
OneDrive para la empresa. Microsoft recomienda scripts que utilizan
XCopy o Robocopy para realizar esta tarea.
Solo puede usar esta estrategia si los archivos de OneDrive se almacenan
en la ubicación predeterminada, que es% userprofile% \ OneDrive -
<TenantName>. Si los archivos de OneDrive para la Empresa se
almacenan en otra ubicación, no puede usar la estrategia de redirección
de carpetas conocida.
Como se mencionó anteriormente, la estrategia de redirección de
carpetas conocida requiere que los equipos sean miembros de un
dominio de servicios de dominio de Active Directory. El otro paso a seguir
es descargar e instalar los objetos de directiva de grupo de OneDrive para
empresas en un controlador de dominio. Los archivos ADML y ADMX se
encuentran en el directorio de instalación de OneDrive,% localappdata%
\ Microsoft \ OneDrive \ BuildNumber \ adm \, de una computadora con
el cliente OneDrive instalado. Redirigir carpetas conocidas a OneDrive
implica los siguientes pasos:
1. Abra el Editor de administración de políticas de grupo y edite
la política que se aplicará a los usuarios cuyas carpetas redirigirá a
OneDrive para la empresa.
2. Edite la Configuración de usuario \ Políticas \ Plantillas
administrativas \ OneDrive \ Evitar que los usuarios cambien la
ubicación de su política de OneDrive y establézcala en
habilitada. Esto impedirá que los usuarios muevan su carpeta
OneDrive para la Empresa.
3. Cree una nueva variable de entorno usando Configuración de
usuario \ Preferencias \ Configuración de Windows edite el
elemento Entorno y cree una nueva Variable de entorno llamada
OneDriveSync que tenga el valor% userprofile% \ <SyncFolder>,
donde <SyncFolder> es el nombre de su carpeta
predeterminada. Un ejemplo es OneDrive - Adatum, como se
Figura 1-
49 Configuración de nuevo entorno
4. En la pestaña Común del cuadro de diálogo Propiedades del
nuevo entorno, seleccione Orientación a nivel de elemento, haga
clic en Orientación , haga clic en Nuevo elemento y, a
continuación, haga clic en Coincidencia de archivos . Elija la
carpeta que existe en el menú desplegable Tipo de coincidencia y,
en el cuadro Ruta, escriba % userprofile% \ <SyncFolder> ,
donde <SyncFolder> es el nombre de su carpeta OneDrive, como se
Figura 1-50 Segmentación por carpetas
5. Haga clic en Aceptar dos veces para cerrar el cuadro de
diálogo Editor de destino y el cuadro de diálogo Propiedades del
nuevo entorno.
6. Edite las propiedades del nodo Configuración de usuario \
Políticas \ Configuración de Windows \ Redirección de carpetas \
Documentos y elija Básico - Redirigir la carpeta de todos a la misma
ubicación. En Ubicación de la carpeta de destino, elija Redirigir a la
siguiente ubicación. En el cuadro Ruta raíz, escriba la opción %
OneDriveSync% \ Documents , como se muestra en la Figura 1-
51 .
Figura 1-51 Política de redireccionamiento de documentos
7. En la pestaña Configuración, desactive la casilla de
verificación Mover el contenido de los documentos a la nueva
ubicación. La razón por la que hace esto es que si hay archivos en
ambas ubicaciones con el mismo nombre, puede perder datos. Si no
hay archivos en la nueva ubicación, puede dejar esta configuración
habilitada y los archivos se migrarán sin necesidad de scripts.
8. Utilice este mismo proceso para redirigir otras carpetas
conocidas como Imágenes, Música, Videos, Descargas y otras.
Más información Redirigir carpetas
Puede obtener más información sobre cómo redireccionar carpetas conocidas a
OneDrive para empresas en: https://docs.microsoft.com/onedrive/redirect-known-
folders .
Más información Migración de datos organizativos a Office 365 Enterprise
Puede obtener más información sobre la migración de datos organizativos a Office
365 Enterprise: https://docs.microsoft.com/office365/enterprise/migrate-data-to-
office-365
Identificar usuarios y buzones de correo que se migrarán y

método
La adopción de Microsoft 365 y Office 365 brinda a las organizaciones la
capacidad de determinar si todos los usuarios y buzones de correo que
existen en el entorno local serán necesarios en el entorno alojado en la
nube. Como es el caso de la migración de datos, también puede haber
razones normativas y de cumplimiento por las que ciertos buzones de
correo en una implementación híbrida deben mantenerse en servidores
Exchange locales, ya que los datos que alojan pueden necesitar
mantenerse dentro de límites nacionales específicos. . Esto es, algo que
puede ser un desafío al implementar Microsoft 365 en países que no
cuentan con centros de datos de Microsoft. Los usuarios y buzones de
correo que se pueden migrar dependerán de la organización y sus
necesidades. Las organizaciones también deben tener en cuenta que los
buzones de correo de los usuarios de una suscripción a Office 365
Enterprise E1 no pueden superar los 50 GB de tamaño y que los buzones
de correo de los usuarios de una suscripción de Office 365 Enterprise E3 y
E5 no pueden superar los 100 GB de tamaño. Las suscripciones a Office
365 Enterprise E3 y E5 permiten buzones de archivo de tamaño
ilimitado. Las organizaciones que tienen usuarios cuyos buzones de
correo superan los 100 GB de tamaño pueden tener que migrar algunos
datos a buzones de correo de archivo en línea a medida que migran esos
usuarios a Exchange Online.
Más información Migración de cuentas de correo a Office 365
Puede obtener más información sobre la migración de cuentas de correo
electrónico a Office 365 Enterprise: https://docs.microsoft.com/Exchange/mailbox-
migration/mailbox-migration
Método de migración de movimiento remoto

Utiliza una migración de movimiento remoto cuando tiene una
implementación híbrida de Exchange. Una implementación híbrida es
donde tiene coexistencia entre una implementación de Exchange local y
una implementación de Exchange Online. Debe usar una implementación
híbrida y usar el método de migración de movimiento remoto cuando
necesite migrar más de 2000 buzones de correo de Exchange Server
2010, Exchange Server 2013 o Exchange Server 2016 a Exchange Online.
Con una implementación híbrida, obtiene las siguientes ventajas:
• Las cuentas de usuario se administran a través de sus
herramientas locales.
• La sincronización de directorios conecta su organización de
Exchange local con Exchange Online.
• Los usuarios pueden usar el inicio de sesión único para
acceder a su buzón, ya sea que el buzón esté alojado en la
organización de Exchange local o en Exchange Online.
• El correo electrónico se enruta de forma segura entre la
implementación de Exchange local y Exchange Online.
• Uso compartido de calendario de disponibilidad entre
usuarios con buzones de correo hospedados en la organización de
Exchange local y buzones de correo hospedados en Exchange
Online.
Antes de realizar una migración de movimiento remoto, debe asegurarse
de que se cumplan los siguientes requisitos previos:
• Ya se ha configurado una implementación híbrida entre su
organización de Exchange local y Exchange Online.
• Es necesario que se le hayan asignado los permisos
adecuados. Para los movimientos de buzones de correo en una
implementación híbrida, esto significa que debe tener una cuenta
que sea miembro de los grupos de funciones Administración de la
organización o Administración de destinatarios.
• Debe haber implementado el servicio de proxy de replicación
de buzones de correo (MRSProxy) en todos los servidores de
acceso de cliente de Exchange 2013 o Exchange 2016 locales.
Una vez que se hayan cumplido estos requisitos previos, puede mover
buzones de correo desde su implementación de Exchange local a
Exchange Online realizando los siguientes pasos:
1. Cree la configuración de conexión del host de los extremos
de migración de los extremos de migración para un servidor
Exchange local que ejecute el servicio MRSProxy.
2. Habilitar el servicio MRSProxy El servicio MRSProxy está
alojado en servidores de acceso de cliente locales. Este servicio se
puede habilitar usando la Consola de administración de Exchange
seleccionando el servidor de acceso de cliente, editando las
propiedades del directorio virtual de EWS y asegurándose de que la
casilla de verificación MRSProxy habilitado esté seleccionada.
3. Mover buzones de correo Puede mover buzones de correo
usando la pestaña Office 365 en EAC en el servidor Exchange local
creando un nuevo lote de migración en la Consola de
administración de Exchange o usando Windows PowerShell. Al
mover buzones de correo, mueve algunos, no todos, a la vez en
grupos que se denominan lotes.
4. Eliminar lotes de migración completados Una vez que
se complete la migración de un lote, elimine el lote de migración
mediante el Centro de administración de Exchange o Windows
PowerShell.
5. Vuelva a habilitar el acceso sin conexión para Outlook en
la Web Si los usuarios se han migrado de Exchange Server local a
Office 365, es necesario restablecer la configuración de acceso sin
conexión en su navegador.
Más información Remote Move Migration
Puede obtener más información sobre las migraciones de movimientos remotos
en: https://docs.microsoft.com/exchange/hybrid-deployment/move-mailboxes .
Método de migración por etapas

En una migración por etapas, migra los buzones de correo de su
organización de Exchange local a Office 365 en grupos, denominados
lotes. Selecciona una migración por etapas en las siguientes
circunstancias:
• Su organización tiene más de 2000 buzones de correo locales
alojados en Exchange 2007. No puede usar una migración por
etapas para migrar buzones de correo de Exchange 2010 o
posteriores. También es importante recordar que Exchange 2007
ya no cuenta con el respaldo público de Microsoft a mediados de
2017 y requiere un acuerdo de soporte específico.
• Su organización tiene la intención de trasladar
completamente su infraestructura de mensajería a Office 365.
• Su período de migración disponible es de varias semanas a
varios meses.
• Una vez completada la migración, aún puede administrar las
cuentas de usuario mediante herramientas de administración
locales y realizar la sincronización de cuentas con Azure Active
Directory.
• El nombre de dominio principal que se usa para su
organización de Exchange local debe configurarse como un dominio
asociado con el arrendamiento en Office 365.
La migración por etapas implica los siguientes pasos generales:
1. Crea un archivo CSV que incluye una fila para cada usuario
que tiene un buzón de correo local que desea migrar. No se trata de
todos los usuarios de la organización, solo de los que migrará en un
lote en particular.
2. Cree un lote de migración por etapas con el Centro de
administración de Exchange o con Windows PowerShell.
3. Active el lote de migración. Una vez que se activa el lote de
migración, Exchange Online realiza los siguientes pasos:
1. Verifique que la sincronización de directorios esté habilitada y
funcionando. La sincronización de directorios migra grupos de
distribución, contactos y usuarios habilitados para correo.
2. Verifique que exista un usuario habilitado para correo en Office 365
para cada usuario listado en el archivo CSV por lotes.
3. Convierta el usuario habilitado para correo de Office 365 en un
buzón de Exchange Online para cada usuario en el lote de migración.
4. Configure el reenvío de correo para el buzón local.
4. Una vez que se han completado estos pasos, Exchange Online
le envía un informe de estado que le informa qué buzones de correo
se han migrado correctamente y qué buzones de correo no se han
migrado correctamente. Los usuarios que hayan migrado
correctamente pueden comenzar a usar los buzones de correo de
Exchange Online.
5. Una vez que la migración se realiza correctamente, convierte
los buzones de correo de los usuarios locales migrados
correctamente en usuarios habilitados para correo en la
implementación de Exchange local.
6. Configure un nuevo lote de usuarios para migrar y eliminar el
lote de migración actual.
7. Una vez que se han migrado todos los usuarios, el
administrador asigna licencias a los usuarios de Office 365,
configura los registros MX para que apunten a Exchange Online y
crea un registro de detección automática que apunta a Office 365.
8. Retirar la implementación de Exchange local.
Más información Método de migración por etapas
Puede obtener más información sobre las migraciones por etapas
en: https://docs.microsoft.com/exchange/mailbox-migration/what-to-know-about-
a-staged-migration .
Método de migración de corte

En una migración total, todos los buzones de correo de una
implementación de Exchange local se migran a Office 365 en un solo lote
de migración. Las migraciones de transición migran los contactos de
correo global, así como los grupos de distribución. Las migraciones de
transición son adecuadas cuando:
• Tiene la intención de que todos los buzones de correo se
hospeden en Office 365 cuando se complete la migración.
• Tiene la intención de administrar cuentas de usuario
mediante las herramientas de Office 365.
• Desea realizar el período de migración en menos de una
semana.
• Su organización tiene menos de 2000 buzones de correo.
• Su solución de mensajería local es Exchange Server 2010 o
posterior.
• El nombre de dominio principal que se usa para su
organización de Exchange local debe configurarse como dominio
asociado con el arrendamiento en Office 365.
Puede realizar una migración total mediante el Centro de administración
de Exchange o mediante Windows PowerShell.
El método de migración total incluye los siguientes pasos generales:
1. Un administrador crea grupos de seguridad vacíos habilitados
para correo en Office 365.
2. Un administrador conecta Office 365 a la implementación de
Exchange local. Esto también se denomina crear un punto final de
migración.
3. Un administrador crea e inicia un lote de migración total
mediante el Centro de administración de Exchange o Windows
PowerShell.
4. Una vez que se activa el lote de migración, Exchange Online
realiza los siguientes pasos:
1. Se consulta la libreta de direcciones de la implementación de
Exchange local para identificar buzones de correo, grupos de distribución
y contactos.
2. Se aprovisionan nuevos buzones de correo de Exchange Online.
3. Los grupos de distribución y los contactos se crean dentro de
Exchange Online.
4. Los datos del buzón, incluidos los mensajes de correo electrónico,
los contactos y los elementos del calendario, se migran desde cada buzón
local al correspondiente buzón de Exchange Online.
5. Exchange Online envía al administrador un informe que
proporciona estadísticas que incluyen el número de migraciones
exitosas y fallidas. El informe de migración incluye contraseñas
generadas automáticamente para cada nuevo buzón de correo de
Exchange Online. Los usuarios se ven obligados a cambiar las
contraseñas la primera vez que inician sesión en Office 365.
6. La sincronización incremental ocurre cada 24 horas,
actualizando Exchange Online con cualquier elemento nuevo
creado en los buzones de correo locales.
7. Una vez que se han resuelto los problemas de migración, el
administrador cambia los registros MX para que apunten a
Exchange Online.
8. Una vez que el flujo de correo a Exchange Online se ha
establecido correctamente, el administrador elimina el lote de
migración total. Esto finaliza la sincronización entre los buzones de
correo locales y Office 365.
9. El administrador realiza tareas posteriores a la migración,
incluida la asignación de licencias de Office 365, la creación de un
registro de detección automática de DNS y el desmantelamiento de
los servidores de Exchange locales.
Más información sobre migración de transición
Puede obtener más información sobre las migraciones de transición
en: https://docs.microsoft.com/exchange/mailbox-migration/cutover-migration-to-
office-365 .
Migración mínima híbrida o exprés

La migración mínima híbrida o rápida es apropiada para organizaciones
que ejecutan Exchange 2010 o posterior, tienen un calendario de
migración que es más corto que unas pocas semanas y donde su
organización no tiene la intención de tener una configuración de servicio
de directorio en curso. Por ejemplo, este método es apropiado cuando su
organización tiene la intención de retirar su infraestructura de Servicios
de dominio de Active Directory local después de que se complete la
migración.
Realizar una migración híbrida mínima implica realizar los siguientes
pasos:
1. En la consola de Microsoft 365, agregue el dominio que usa
para su organización de Exchange local configurando un registro
TXT (o iniciando sesión en GoDaddy si su organización usa ese
registrador) y verifique que el registro TXT esté configurado
correctamente.
2. Inicie sesión en la cuenta de Microsoft 365 con credenciales
de administrador global e inicie el Asistente de configuración
híbrida de Exchange desde la página de migración de datos en
Configuración en la consola de administración de Microsoft 365 y
conéctese a la organización de Exchange Server local. Elija la
configuración híbrida mínima.
3. Seleccione la opción para sincronizar usuarios y contraseñas
de uno en uno. Se le pedirá que instale Azure AD Connect con las
opciones predeterminadas. La sincronización ocurrirá una vez y
luego se apagará.
4. Configure las licencias de Office 365 para los usuarios
migrados y luego comience a migrar los datos de los buzones de
correo de los usuarios.
5. Actualice los registros MX de DNS para que apunten fuera de
la implementación de Exchange local a Exchange Online.
Más información Migración híbrida mínima
Puede obtener más información sobre las migraciones híbridas mínimas
en: https://docs.microsoft.com/exchange/mailbox-migration/use-minimal-hybrid-
to-quickly-migrate .
Migración IMAP
Las migraciones IMAP usan el protocolo IMAP para mover el contenido de
los buzones de correo de los usuarios locales a Exchange Online. Las
migraciones IMAP son adecuadas cuando el servidor de correo local no
ejecuta Exchange Server, sino que ejecuta una solución de servidor de
correo alternativa.
La migración IMAP es compatible con las siguientes soluciones de
mensajería locales:
• Courier-IMAP
• Ciro
• Palomar
• UW-IMAP
Las migraciones IMAP implican los siguientes pasos generales:
1. Un administrador de inquilinos crea cuentas de usuario de
Office 365 y les asigna licencias de usuario de Exchange
Online. Esto aprovisiona las cuentas de usuario con buzones de
correo de Exchange Online.
2. El administrador de inquilinos crea un archivo CSV. Este
archivo CSV incluye una fila para cada usuario local que se migrará
a Exchange Online mediante IMAP. Este archivo CSV debe incluir las
contraseñas utilizadas por cada usuario de buzón de correo IMAP
local. Es recomSe mencionó que restablece las contraseñas de
usuario para los usuarios de buzones de correo IMAP locales para
simplificar este proceso.
3. El administrador crea y luego activa un lote de migración
IMAP. Esto se puede hacer mediante el panel de Migración,
disponible en la hoja Migración de datos en la configuración y que
se muestra en la Figura 1-52 , o mediante Windows PowerShell.
Figura 1-52 Seleccionar servicio de datos

4. Una vez que se inicia el lote de migración, ocurre lo siguiente:
1. Exchange Online crea una solicitud de migración para cada usuario
en el archivo CSV.
2. Cada solicitud de migración incluye las credenciales del usuario en
el sistema de mensajería IMAP local.
3. Los mensajes del buzón IMAP de cada usuario se copian en el buzón
de Exchange Online correspondiente hasta que se migran todos los datos.
5. Exchange Online proporciona un correo electrónico de estado
al administrador informándole del estado de la migración. Este
correo electrónico contiene estadísticas sobre la cantidad de
buzones de correo que se migraron correctamente, cuántos no se
pudieron migrar y cualquier informe de error.
6. Exchange Online y el sistema de mensajería IMAP se
sincronizan cada 24 horas para mover cualquier mensaje nuevo
desde el entorno local a Exchange Online.
7. Una vez que se han resuelto todos los problemas de
migración, el administrador actualiza los registros MX para que
apunten a Exchange Online. Una vez que el correo fluye a Exchange
Online, el administrador elimina los lotes de migración.
Más información Migraciones de Imap a Exchange Online
Puede obtener más información sobre las migraciones IMAP a Exchange Online
en: https://docs.microsoft.com/exchange/mailbox-migration/migrating-imap-
mailboxes/migrating-imap-mailboxes .
Comparación de migración
La tabla 1-9 enumera la diferencia entre los diferentes métodos que
puede usar para migrar desde un entorno de mensajería local a Exchange
Online.
Tabla 1-9 Comparación del tipo de migración
Entorno de Número de ¿Se administrarán las Método de migr

mensajería local buzones de cuentas de usuario de
correo forma local?
Exchange 2010 a Menos de 2000 No Migración de cor
Exchange 2019
Exchange 2010 Menos de 2000 No Migración por et
Exchange 2010 Más de 2000 sí Migración por et
de movimiento re
implementación
Exchange 2010 o Más de 2000 sí Migración de mo
Exchange 2019 en implementació
Sistema de mensajería Sin maximo sí Migración IMAP
local que no es de
Exchange
Más información Migración de buzones de correo
Puede obtener más información sobre la migración de buzones de correo
en: https://docs.microsoft.com/exchange/mailbox-migration/decide-on-a-
migration-path .
Planificar la migración de usuarios y grupos locales

La mayoría de las organizaciones ya tienen una solución de identidad
local que aloja cuentas de usuarios y grupos. Estas cuentas de usuario y
grupo se almacenan en los servicios de dominio de Active Directory
locales. Al planificar la migración de usuarios y grupos locales, debe llegar
a una determinación sobre lo siguiente:
• Comprender las categorías de usuarios
• Entendiendo los grupos
• Cuando la importación masiva es apropiada
También es importante reconocer que la migración es diferente a la
coexistencia híbrida. En un escenario de coexistencia híbrida, su
organización conserva su entorno de Active Directory local. En un
escenario de migración, su organización está pasando de un entorno de
Active Directory local a tener cuentas de host de Azure AD, con el entorno
de Active Directory local retirado. Si bien es posible usar Azure AD
Connect para sincronizar cuentas con Azure AD y luego retirar el entorno
local, esa técnica se tratará en el Capítulo 2, donde también aprenderá
más sobre Azure AD Connect y la coexistencia híbrida.
Comprender las categorías de usuarios

No todas las cuentas de usuario de la instancia de Active Directory local
de su organización son iguales. Si bien la gran mayoría de las cuentas de
usuario locales se utilizan para iniciar sesión en estaciones de trabajo y
acceder a recursos, una pequeña cantidad de cuentas se utiliza para
diferentes propósitos, siendo el ejemplo más sencillo las cuentas de
servicio. Antes de realizar una migración de cuentas, debe tomar la
siguiente determinación:
• ¿Sigue activa la cuenta de usuario? A menos que su
organización tenga una estrategia eficaz de desaprovisionamiento
de usuarios, es probable que haya cuentas en Active Directory que
estén asociadas con personas que ya no están empleadas por su
organización. No hay ninguna razón para migrar cuentas de usuario
inactivas desde un entorno de Active Directory local a Microsoft
365.
• ¿Se debe migrar la cuenta a Microsoft 365? Algunas cuentas
de usuario existen para fines específicos, como el uso como cuentas
de servicio o cuentas administrativas para cargas de trabajo o
servicios específicos que no se migrarán a Microsoft 365. Es poco
probable que las cuentas de servicio y las cuentas que se usan para
cargas de trabajo locales específicas se requieran una vez. su
organización migra a Microsoft 365.
Usando el proceso de importación masiva

Si su organización planea migrar completamente a Azure AD como
proveedor de identidad principal y retirar Active Directory, puede optar
por realizar una importación masiva de cuentas de usuario en lugar de
intentar la creación manual. Si la organización que está migrando solo
tiene una pequeña cantidad de usuarios, puede ser más sencillo crear
manualmente esos usuarios con las herramientas de administración de
Microsoft 365. Si necesita migrar un número mayor donde el proceso de
creación manual es laborioso y tedioso, puede optar por realizar una
importación masiva.
El proceso de importación masiva le permite importar una lista de
usuarios desde un archivo CSV con formato especial a Microsoft 365. Este
archivo CSV debe tener los siguientes campos en la primera fila:
• Nombre de usuario
• Primer nombre
• Apellido
• Nombre para mostrar
• Título profesional
• Departamento
• Número de oficina
• Telefono de oficina
• Teléfono móvil
• Fax
• Habla a
• Ciudad
• Estado o Provincia
• CP o Código Postal
• País o Región
Cada uno de estos campos debe estar en la primera línea y cada uno debe
estar separado por una coma. Se puede descargar una muestra y un
archivo CSV en blanco desde la página Agregar usuarios de forma
masiva. Una vez que haya llenado el archivo CSV con la información de la
cuenta que desea importar, complete esta operación realizando los
siguientes pasos:
1. En el Centro de administración de Microsoft 365, haga clic en
el nodo Usuarios activos debajo del nodo Usuarios .
2. Haga clic en Más y luego en Importar varios usuarios .
3. En la página Seleccionar un archivo CSV, que se muestra en
la Figura 1-53 , seleccione el archivo con formato especial que tiene
la información de la cuenta de usuario y haga clic en Siguiente .
Figura 1-53 Seleccione un archivo CSV

4. En la página Importar varios usuarios, especifique si los
usuarios pueden iniciar sesión y acceder a los servicios. También
deberá especificar la ubicación del usuario en esta página. Elija qué
licencias se asignan, como se muestra en la Figura 1-54 .
Figura 1-54 Importar varios usuarios

5. En la página Resultados, verá una lista de usuarios creados y
una lista de contraseñas temporales asignadas.
Usar eliminación suave

Es posible que algunas cuentas que migre a Microsoft 365 no sean
necesarias. De manera similar, puede haber cuentas de usuario creadas
durante la implementación de prueba o piloto de Microsoft 365 que ya no
sean apropiadas una vez que las cuentas de usuario existentes se migren
a Office 365. Hay varios métodos que puede usar para eliminar cuentas de
usuario de Microsoft 365. El hecho de que la cuenta de usuario se elimine
permanentemente, denominada "eliminación definitiva" o se mueva a la
Papelera de reciclaje de Azure Active Directory, denominada "eliminación
suave", depende del método utilizado para eliminar la cuenta.
Puede utilizar los siguientes métodos para eliminar una cuenta de usuario
de Microsoft 365:
• Elimine la cuenta de usuario del portal de administración de
Microsoft 365. Esto implica navegar al nodo Usuarios , seleccionar
el nodo Usuarios activos , seleccionar el usuario que desea
eliminar y seleccionar Eliminar usuario de la lista de tareas
asociadas con el usuario, como se muestra en la Figura 1-55 .
Figura 1-55 Eliminar un usuario del Centro de administración de

Microsoft 365
• Elimine con el cmdlet Remove-MsolUser, ubicado en el

módulo de Azure Active Directory para Windows PowerShell.
• Las cuentas de usuario se pueden eliminar a través del Centro
de administración de Exchange en Exchange Online.
• Si la sincronización de directorios está configurada, los
usuarios se pueden eliminar cuando se eliminan de la instancia
local de Active Directory Directory Services.
Puede ver una lista de usuarios eliminados temporalmente en la sección
Usuarios eliminados, en el área Usuarios del Centro de administración de
Microsoft 365, como se muestra en la Figura 1-56 . Los usuarios
eliminados temporalmente permanecen visibles durante 30 días y se
pueden recuperar durante este período. Una vez que expira este período,
la cuenta de usuario se elimina y es irrecuperable.
Figura 1-56 Lista de usuarios eliminados de Microsoft 365
Para recuperar un usuario eliminado temporalmente, seleccione la cuenta

de usuario en el nodo Usuarios eliminados de la consola de
administración de Microsoft 365 y haga clic en Restaurar . Cuando
restaure una cuenta, se le preguntará si debe generar automáticamente
una nueva contraseña para el usuario, asignar una contraseña usted
mismo y si desea que el usuario cambie su contraseña
cuando inicie sesión, como se muestra en la Figura 1-57. .
Figura 1-57 Propiedades de usuario eliminadas
Más información Eliminación de cuentas de usuario en Microsoft 365

Puede obtener más información sobre cómo eliminar cuentas de usuario de
Microsoft 365 en: https://docs.microsoft.com/azure/active-directory/active-
directory-users-delete-user-azure-portal .
Migrar grupos a Microsoft 365

Los grupos locales vienen en una variedad de tipos y ámbitos. Con el fin
de migrar a Microsoft 365, ámbito de grupo, que puede incluir dominio
local, dominio global y universal,no es relevante. Esto se debe a que si ha
elegido migrar usuarios a Azure Active Directory y retirar el directorio
local de su organización, es poco probable que le preocupe si un grupo
está visible en otros dominios en un bosque de Active Directory,
simplemente porque tiene la intención para retirar esa construcción de
seguridad en particular.
Los grupos de Office 365 le permiten configurar una colección de
recursos que un conjunto de usuarios puede compartir. Los recursos
pueden incluir un calendario compartido, una biblioteca de documentos
de SharePoint Online o un buzón de correo de Exchange Online
compartido. Los grupos se pueden configurar como públicos o
privados. El contenido de un grupo público es visible para cualquier
persona que tenga una cuenta en el arrendamiento. El contenido de un
grupo privado solo es visible para los miembros de ese grupo.
Hay tres métodos a través de los cuales se pueden aprovisionar grupos de
Office 365. Estos son los siguientes:
• Abrir El método predeterminado de aprovisionamiento de
grupos de O365. Permite a los usuarios de M365 crear sus propios
grupos según sea necesario.
• Los usuarios dirigidos por TI pueden solicitar un grupo de
TI.
• La creación de grupos controlados se limita a los usuarios a
los que se les ha delegado la función de creación de grupos.
Cada grupo puede tener uno o más propietarios. Los propietarios de
grupos tienen la capacidad de agregar o eliminar miembros, así como de
realizar tareas básicas de selección de grupos. Los grupos de O365 tienen
los siguientes límites:
• Un grupo puede tener hasta 100 propietarios.
• Un usuario puede crear hasta 250 grupos.
• Un arrendamiento puede tener hasta 500.000 grupos.
• 1000 usuarios pueden acceder a una conversación grupal al
mismo tiempo, aunque es posible que un grupo tenga más
miembros.
• Un usuario puede ser miembro de 1000 grupos.
• Un grupo puede almacenar hasta 1 terabyte de datos con 10
GB adicionales por usuario suscrito. Es posible adquirir
almacenamiento adicional para un grupo.
• Un buzón de correo de grupo tiene un límite de tamaño de 50
GB.
Más información Comprender los grupos de Office 365
Puede obtener más información sobre los grupos de Office 365
en: https://support.office.com/article/learn-about-office-365-groups-b565caa1-
5c40-40ef-9915-60fdb2d97fa2 .
Importar archivos PST

La importación de archivos PST a los buzones de correo de Office 365
proporciona un método para mover los mensajes de correo electrónico
existentes de una organización para que se alojen en Exchange Online. La
función de importación inteligente le permite filtrar qué elementos
almacenados en archivos PST se importarán a Exchange Online. La
importación de archivos PST también le permite asegurarse de que su
organización pueda cumplir con las obligaciones de cumplimiento, ya que
los mensajes de la organización estarán disponibles para las búsquedas
de Discovery, algo que es más desafiante cuando el correo electrónico se
almacena en la computadora individual de cada persona en un archivo
PST separado. La importación de archivos PST también garantiza que un
usuario tenga acceso a sus mensajes existentes.importa qué dispositivo
utilicen para interactuar con Exchange. Si los mensajes se almacenan en
un archivo PST sin conexión y el usuario no tiene acceso a la computadora
que aloja ese archivo PST, no tendrá acceso a esos mensajes. Los archivos
PST de Outlook 2007 y posteriores se pueden importar a Exchange
Online.
La carga de red le permite importar archivos PST a Office 365. Esto se
puede hacer cargando directamente los archivos o enviando discos duros
encriptados a Microsoft y haciendo que importen los datos
directamente. Cuando envía un disco duro cifrado a Microsoft, Microsoft
cargará los datos en Azure dentro de los 10 días posteriores a la
recepción del disco duro antes de devolverle el dispositivo físico.
Para importar archivos PST, realice los siguientes pasos:
1. Asegúrese de que el grupo Administración de la organización
tenga asignado el rol Importación y exportación de buzón en
Exchange Online.
2. En la sección Gobierno de datos del centro de Seguridad y
cumplimiento , use la sección Importar , que se muestra en
la Figura 1-58 , para crear una clave de Firma de acceso compartido
(SAS), también conocida como URL SAS. Esta clave proporciona el
permiso y la ubicación necesarios para cargar archivos PST en una
ubicación de almacenamiento de Azure. Esta ubicación en Azure
estará en la misma región que su organización de Microsoft 365.
Figura 1-58 Sección de importación del centro de seguridad y
cumplimiento
3. Descargue e instale las herramientas de importación de
PST. Una de estas herramientas es la herramienta Azure
AzCopy. Use AzCopy con la URL de SAS para cargar uno o más
archivos PST en Azure.
4. Una vez cargados, revise la lista de archivos PST que se han
transferido correctamente a Office 365. Puede hacerlo con Azure
Storage Explorer.
5. Cree un archivo de asignación que asigne los archivos PST
cargados a los buzones de correo de Office 365. Este archivo debe
estar en formato CSV.
6. Cree un trabajo de importación de PST desde la página de
Importación del centro de Seguridad y Cumplimiento. El archivo de
asignación se especifica al crear este trabajo. Se le brindará la
oportunidad de configurar un filtro para controlar qué datos se
importan realmente a los buzones de correo.
7. Ejecute el trabajo para importar los datos a los buzones de
correo de Office 365 correspondientes.
La cuenta de usuario que creará los trabajos de importación en el servicio
de importación de Office 365 debe tener asignada la función de
importación y exportación de buzón en Exchange Online. Este rol se
puede agregar al grupo de roles de Administración de la organización o es
posible crear un nuevo grupo de roles y asignar este rol y luego agregar
cuentas de usuario a este grupo. Además de tener esta función, la cuenta
utilizada para realizar esta tarea debe tener asignada la función
Destinatarios de correo en Exchange Online, disponible para los grupos
de funciones Administración de la organización y Administración de
destinatarios, o ser un administrador global para la organización de
Microsoft 365.
Los archivos PST cargados mediante el método de carga de red se
almacenarán en un contenedor de blobs de Azure al que se le asigna el
nombre ingestiondata. Los archivos PST permanecerán en este
almacenamiento de blobs durante 30 días después de que se haya creado
el trabajo de importación más reciente en el Centro de seguridad y
cumplimiento. Si carga archivos PST utilizando el método de carga de red,
pero no crea un trabajo de importación dentro de los 30 días, los archivos
PST se eliminarán.
La importación de PST tiene las siguientes advertencias y características
adicionales:
• La importación de PST se produce aproximadamente a 24 GB
por día, pero los trabajos se ejecutan en paralelo. Por ejemplo,
importar 5 archivos PST de 24 GB llevará aproximadamente el
mismo tiempo que importar 20 archivos PST de 24 GB.
• Se pueden importar varios archivos PST al mismo buzón
simultáneamente.
• Si un archivo PST almacena elementos del buzón que superen
los 150 megabytes de tamaño, esos elementos grandes individuales
no se importarán al buzón de Office 365. Los elementos con un
tamaño inferior a 150 megabytes se seguirán importando, aunque
se omitan los elementos más grandes.
• Los metadatos del mensaje original no se modifican durante
el proceso de importación.
• No se admite la importación cuando un archivo PST tiene más
de 300 niveles de carpetas anidadas.
• Los archivos PST se pueden importar a buzones de correo de
archivo en línea.
• Los archivos PST no se pueden importar a las carpetas
públicas de Exchange Online.
Más información Importación de archivos Pst
Puede obtener más información sobre la importación de archivos PST en los
buzones de correo de Office 365
en: https://docs.microsoft.com/office365/securitycompliance/importing-pst-files-to-
office-365

Recuerde el proceso que se usa para importar archivos PST a los buzones
de correo de Exchange Online
EXPERIMENTO MENTAL
En este experimento mental, demuestre sus habilidades y conocimiento
de los temas cubiertos en este capítulo. Puede encontrar respuestas a este
experimento mental en la siguiente sección.
Se le ha pedido que brinde algunos consejos a Fabrikam, una pequeña
empresa de fabricación que migró a Microsoft 365. Fabrikam necesita su
asesoramiento porque la persona responsable de TI de Fabrikam
recientemente dejó la empresa. Durante el proceso, entregaron las
credenciales de todas sus cuentas de Microsoft 365 al CEO.
El director ejecutivo también le informa que ha habido problemas con la
licencia. La empresa compró inicialmente una suscripción de 50
licencias. Desde entonces, se han contratado 10 nuevos usuarios para
reemplazar a las 10 personas que dejaron la empresa en los últimos
meses. Los empleados que partieron todavía tienen cuentas de Microsoft
365.
Fabrikam se ha registrado para una suscripción a Microsoft 365 y
actualmente usa el nombre de inquilino
Fabrikam.onmicrosoft.com. Fabrikam quiere asignar su dominio
personalizado, Fabrikam.com, a Microsoft 365 y que los servidores DNS
de Microsoft alojen esta zona. Con esta información en mente, responda
las siguientes preguntas:
1. ¿Qué tipo de registro DNS se debe agregar para confirmar la
propiedad de la zona DNS de Fabrikam.com?
2. ¿Qué registros DNS deben modificarse para que los servidores
DNS de Microsoft alojen la zona DNS de Fabrikam.com?
3. Describa la naturaleza de al menos una cuenta de usuario que
tendrá derechos de administrador global para la suscripción a
Office 365 de Fabrikam.
4. ¿Qué métodos se pueden utilizar para resolver los conflictos
de licencias?
RESPUESTAS DEL EXPERIMENTO MENTAL

Esta sección contiene la solución al experimento mental. Cada respuesta
explica por qué la opción de respuesta es correcta.
1. Se debe agregar un registro TXT para confirmar la propiedad
de la zona DNS de Fabrikam.com.
2. Los registros NS de la zona deben modificarse para permitir
que Microsoft aloje la zona DNS de Fabrikam.com.
3. A la primera cuenta de usuario creada para una suscripción se
le asignarán privilegios de administrador global. Esta será la cuenta
de usuario del miembro del personal de TI que se fue
recientemente y que configuró Microsoft 365.
4. El conflicto de licencias se puede resolver eliminando
manualmente las licencias de los 10 usuarios que han abandonado
la organización o eliminando sus cuentas de usuario.

• Cuando crea una suscripción a Microsoft 365, al
arrendamiento de la suscripción se le asigna automáticamente un
dominio onmicrosoft.com personalizado.
• No hay dos organizaciones que puedan compartir el mismo
nombre de inquilino.
• El nombre del inquilino elegido en la configuración
permanece con la suscripción durante el transcurso de la existencia
de la suscripción.
• Puede asignar un nombre de dominio de su propiedad al
inquilino para que no tenga que usar el nombre de inquilino de
onmicrosoft.com.
• Para utilizar un dominio con Microsoft 365, los servidores
DNS utilizados como servidores de nombres para el dominio deben
admitir registros CNAME, SPF / TXT, SRV y MX.
• Puede confirmar la propiedad de un dominio configurando
registros TXT o MX especiales.
• La configuración del dominio predeterminado configura qué
sufijo de dominio se usará automáticamente con las cuentas de
usuario de Microsoft 365.
• Cambiar la dirección de correo electrónico principal también
cambia el nombre de usuario.
• Puede realizar una actualización masiva de direcciones de
correo electrónico con PowerShell.
• Las direcciones de correo electrónico adicionales permiten
que los buzones de correo reciban mensajes de más de una
dirección y pueden usar cualquier nombre de dominio asociado con
la tenencia de Microsoft 365 de la organización.
• Un extremo de Microsoft 365 es una URL o dirección IP que
aloja un servicio específico de Microsoft 365 u Office 365.
• Microsoft coloca cada punto final de M365 y O365 en una de
tres categorías: Optimizar, Permitir y Predeterminado. Optimizar
requiere interrupciones mínimas causadas por la latencia y la
disponibilidad. Permitir puntos finales es menos problemático y los
puntos finales predeterminados no requieren optimización.
• La administración de acceso privilegiado le permite
configurar políticas que aplican principios administrativos justo a
tiempo a roles administrativos sensibles.
• La autenticación en la nube se produce en Azure Active
Directory. Úselo con un hash de contraseña con inicio de sesión
único y autenticación PassThrough con inicio de sesión único.
• La autenticación federada puede ocurrir mediante AD FS o un
proveedor de autenticación de terceros.
• Los informes de correo le permiten ver cómo se usan los
buzones de correo de Office 365.
• Los informes de uso le permiten ver información sobre
navegadores, sistemas operativos y consumo de licencias.
• Los informes de Skype Empresarial le permiten ver cómo se
usa Skype Empresarial en la organización.
• Los informes de SharePoint le permiten ver cómo se usa
SharePoint con la suscripción a Office 365.
• Los informes de auditoría le permiten ver información sobre
la auditoría de buzones de correo y las retenciones por litigio de
buzones de correo.
• Los informes de Prevención de pérdida de datos le permiten
ver cómo se aplican las reglas y políticas de Prevención de pérdida
de datos al tráfico de mensajes.
• El Panel de estado del servicio está disponible en el Centro de
administración de Microsoft 365, lo que le permite determinar el
estado de los diversos elementos de Microsoft 365, incluido el
historial de fallas y el mantenimiento planificado.
• Los usuarios asignados al rol de administrador global tienen
acceso a todas las funciones administrativas.
• Los usuarios asignados al rol de administrador de facturación
pueden realizar compras, administrar suscripciones, administrar
tickets de soporte y monitorear el estado del servicio.
• Los usuarios a los que se les asignó la función de
administrador de la mesa de ayuda (administrador de contraseñas)
pueden restablecer las contraseñas de la mayoría de las cuentas de
usuario de Office 365 (excepto las asignadas a las funciones de
administrador global, administrador de servicios o facturación).
• Los usuarios asignados al rol de administrador del servicio
pueden administrar las solicitudes de servicio y monitorear el
estado del servicio.
• Puede asignar y eliminar licencias editando las propiedades
de un usuario de Office 365.
• La eliminación de un usuario elimina todas las licencias
asignadas a ese usuario.
• Los usuarios piloto deben proporcionar una muestra
representativa de su organización.
• Puede usar la herramienta de migración de SharePoint para
migrar bibliotecas de documentos, listas y recursos compartidos de
archivos regulares de SharePoint locales a SharePoint Online.
• El cliente de OneDrive le permite arrastrar y soltar archivos
en un equipo cliente y sincronizar esos archivos con OneDrive para
empresas o SharePoint Online.
• Puede usar el método de importación masiva para importar
un archivo CSV de identidades de usuario en Azure AD.
Capítulo 2
Gestionar la identidad y los roles de los usuarios
Un aspecto clave de la implementación de Microsoft 365 es garantizar
que la identidad del usuario esté configurada correctamente. Cuando se
hace esto, los usuarios pueden acceder sin problemas a los recursos en
el entorno local, así como en el entorno de Microsoft 365. Si no se hace
correctamente, los usuarios deben hacer malabarismos con diferentes
cuentas, dependiendo de si los recursos accesibles están alojados
localmente o en la nube. En este capítulo, aprenderá a diseñar una
estrategia de identidad, cómo planificar la sincronización de identidad
con Azure AD Connect, cómo administrar esa sincronización, cómo
administrar las identidades de Azure AD y cómo administrar los roles
de usuario de Azure AD.
Habilidades en este capítulo:
• Estrategia de identidad de diseño

• Planear la sincronización de identidad mediante Azure AD Connect
• Administrar la sincronización de identidad mediante Azure AD
Connect
• Administrar las identidades de Azure AD
• Gestionar roles de usuario
HABILIDAD 2.1: ESTRATEGIA DE IDENTIDAD DE DISEÑO
Esta habilidad se ocupa del diseño de una estrategia relacionada con la

identidad local y basada en la nube. Para dominar esta habilidad, deberá
comprender cómo determinar los requisitos de su organización en lo que
respecta a la sincronización, qué es una solución de administración de
identidad adecuada y qué tipo de solución de autenticación es adecuada
para su entorno.
• Evaluar los requisitos y la solución para la sincronización.

• Evaluar los requisitos y la solución para la gestión de identidades.
• Evaluar los requisitos y la solución para la autenticación.
Evaluar los requisitos y la solución para la sincronización.
La sincronización es el proceso de replicar identidades locales, como

usuarios y grupos, en la nube. La sincronización solo es necesaria cuando
hay un proveedor de identidad local. En algunos modelos de
sincronización, todas las identidades locales se replican en la nube. En
otros modelos, solo se replica un subconjunto de las identidades locales.
Otra consideración al evaluar los requisitos de sincronización es

determinar qué información sobre la identidad de un usuario debe
sincronizarse con la nube. Según el modelo elegido, se pueden replicar
algunas o todas las propiedades de esas identidades locales. Por ejemplo,
algunas organizaciones almacenan datos privados confidenciales sobre
los empleados dentro de Active Directory. Solo reproducir lo necesario es
especialmente importante dada la creciente regulación de los datos que
involucran información personal.
Si una organización lo elige, es posible realizar una replicación completa

de todos los aspectos de un objeto de Active Directory en la nube. Por
ejemplo, una organización puede implementar un controlador de
dominio, SharePoint Farm, System Center y Exchange Server en máquinas
virtuales de IaaS de Azure. Puede tener esas máquinas virtuales
conectadas a través de una VPN o una conexión ExpressRoute a una
instancia de Active Directory local. En este escenario, las máquinas
virtuales de IaaS de Azure funcionarían esencialmente como un costoso
sitio de sucursal que se ejecuta en la nube de Azure.
Al evaluar los requisitos y una solución para la sincronización, considere

las siguientes preguntas:
• ¿Qué identidades deben replicarse en la nube?

• ¿Con qué frecuencia deben replicarse esas identidades en la nube?
• ¿Qué propiedades de esas identidades deben replicarse en la nube?
¿Qué identidades replicar?
La implementación de Microsoft 365 brinda a las organizaciones la

capacidad de evaluar sus necesidades de identidad existentes. Si una
organización ha estado usando Active Directory durante mucho tiempo,
es probable que los objetos no necesiten replicarse en la nube y
probablemente no necesiten estar en la instancia local de Active
Directory. Es una buena idea, antes de implementar cualquier esquema de
replicación de Microsoft 365, realizar una auditoría exhaustiva de todos
los objetos que están presentes dentro del directorio local y limpiar
aquellos que ya no son necesarios o necesarios.
Otro problema que se debe abordar es si todas las identidades locales

deben estar presentes en Azure Active Directory. Muchas organizaciones
adoptan un enfoque por fases para la introducción de Microsoft 365,
migrando pequeños grupos de usuarios al servicio en lugar de todos los
usuarios de la organización a la vez. Los usuarios que solo están presentes
en el servicio de directorio local no necesitarán tener asignadas licencias
de Microsoft 365.
También hay tipos de cuentas especiales que suelen estar presentes en

una instancia de Active Directory local que no es necesario replicar, o
simplemente no se pueden replicar, en Azure Active Directory. Por
ejemplo, no es necesario replicar cuentas de servicio o cuentas que se
utilizan con fines administrativos específicos para recursos locales, como
la administración de un servidor de base de datos de SQL Server local u
otra carga de trabajo.
Otro desafío a considerar es que muchos entornos locales son más

complicados que un solo dominio de Active Directory. Algunas
organizaciones tienen bosques de Active Directory multidominio y, como
es una práctica administrativa segura recomendada por Microsoft, un
número cada vez mayor de grandes organizaciones tienen
implementaciones de varios bosques, como tener un bosque de Entorno
administrativo de seguridad mejorada (ESAE) para almacenar cuentas
privilegiadas para el bosque de producción.
Las cuentas de usuario no son la única identidad que una organización

puede desear replicar en la nube. Puede ser necesario replicar algunos
grupos en la nube porque estos grupos pueden ser útiles para mediar el
acceso a las cargas de trabajo de Microsoft 365. Por ejemplo, si su
organización ya tiene un grupo de seguridad local que se usa para reunir
a los miembros del equipo de contabilidad, es posible que desee que ese
grupo también esté presente como un método para mediar en el acceso a
recursos y cargas de trabajo dentro de Microsoft 365.
¿Con qué frecuencia replicar?
Al evaluar los requisitos y una solución para la sincronización, debe

responder varias preguntas importantes. Por ejemplo, ¿con qué
frecuencia cambian las propiedades de una identidad local y qué tan
pronto deben estar presentes esos cambios en Azure Active Directory?
No desea que un usuario que cambia su contraseña tenga que esperar 24

horas antes de que esa nueva contraseña se pueda usar con identidades
en la nube. De manera similar, si desaprovisiona una cuenta de usuario
porque el empleo de una persona con la organización ha terminado,
querrá que esa acción se refleje en la limitación del acceso a las cargas de
trabajo de Microsoft 365, en lugar de que la cuenta de usuario tenga
acceso continuo durante algún tiempo después de su activación. -Se ha
desactivado la identidad de las instalaciones.
Si bien puede haber consideraciones de ancho de banda en torno a la

sincronización de identidades, la mayor parte de dicho tráfico será la
replicación de cambios, también conocida como “delta”, en lugar de
replicaciones constantes de toda la base de datos de identidades. La
cantidad de ancho de banda consumida por el tráfico de sincronización de
identidad delta suele ser insignificante en comparación con el ancho de
banda consumido por otras cargas de trabajo y servicios de Microsoft
365.
¿Qué propiedades replicar?
Active Directory ha estado presente en algunas organizaciones durante

casi dos décadas. Uno de los puntos de venta originales de Active
Directory era que podía almacenar mucha más información que solo
nombres de usuario y contraseñas. Debido a esto, muchas organizaciones
usan Active Directory para almacenar una cantidad sustancial de
información sobre el personal, incluida información sobre números de
teléfono, posición dentro de la organización y en qué sucursal puede estar
ubicado el usuario.
Al considerar una solución de sincronización, determine qué información

de atributos de Active Directory local debe replicarse en Azure Active
Directory. Por ejemplo, puede tener una aplicación ejecutándose en Azure
que necesita acceso a los atributos Cargo, Departamento, Compañía y
Gerente, como se muestra en la Figura 2-1 .
Figura 2-1 Qué

atributos replicar
Evaluar los requisitos y la solución para la gestión de identidades.
La evaluación de los requisitos y la solución para la gestión de identidades

implica, en primer lugar, determinar cuál es la fuente de autoridad de su
organización. La fuente de autoridad es el servicio de directorio que
funciona como la ubicación principal para la creación y administración de
cuentas de usuarios y grupos. Puede elegir entre tener una función de
instancia de Active Directory localcomo fuente de autoridad, o puede
hacer que Azure Active Directory funcione como fuente de autoridad.
Aunque Azure Active Directory está presente en una implementación

híbrida, la fuente de autoridad será la instancia de Azure AD local. Las
cuentas de implementación híbrida se utilizan con fines de autenticación
y autorización con recursos locales existentes, así como con cargas de
trabajo de Microsoft 365.
La fuente de autoridad es un concepto muy importante cuando se trata de

crear usuarios y grupos en un entorno en el que Azure AD Connect está
configurado para sincronizar un Active Directory local con la instancia de
Azure Active Directory que admite la tenencia de Microsoft 365. Cuando
crea un usuario o grupo en la instancia de Active Directory local, la
instancia de Active Directory local conserva la autoridad sobre ese
objeto. Los objetos creados dentro de la instancia de Active Directory
local que están dentro del alcance de filtrado de los objetos sincronizados
a través de Azure AD Connect se replicarán en la instancia de Azure
Active Directory que admita el arrendamiento de Microsoft 365.
Los objetos de grupo y usuario locales recién creados solo estarán

presentes en la instancia de Azure Active Directory que admita el
arrendamiento de Microsoft 365 después de que se haya producido la
sincronización. Puede forzar la sincronización mediante la herramienta
Administrador del servicio de sincronización de Azure AD Connect.
Evaluar los requisitos y la solución para la autenticación.
Al evaluar los requisitos de autenticación, determine si su organización

aún desea depender de la combinación tradicional de nombre de usuario
y contraseña, o si desea avanzar hacia técnicas de autenticación más
sofisticadas y seguras, como la autenticación multifactor. Al tomar esta
determinación, muchas organizaciones decidirán que las tecnologías más
seguras son apropiadas para cuentas sensibles, como las que se usan para
tareas administrativas, y que el método tradicional de nombre de usuario
y contraseña será suficiente para la mayoría de los usuarios estándar.
Microsoft y Office 365 admiten una tecnología conocida como

autenticación moderna. La autenticación moderna proporciona un
método de autenticación y autorización más seguro que los métodos de
autenticación tradicionales. La autenticación moderna se puede usar con
implementaciones híbridas de Microsoft 365 que incluyen Exchange
Online y Teams. Todos los arrendamientos de Office y Microsoft 365
creados después de agosto de 2017 que incluyen Exchange Online tienen
la autenticación moderna habilitada de forma predeterminada. La
autenticación moderna incluye una combinación de los siguientes
métodos de autenticación y autorización, así como políticas de acceso
seguro:
• Métodos de autenticación Autenticación multifactorial,

autenticación basada en certificados de cliente y biblioteca de
autenticación de Active Directory (ADAL).
• Métodos de autorización Implementación de Microsoft de OAuth
(Autorización abierta).
• Políticas de acceso condicional de gestión de aplicaciones
móviles (MAM) y el azul de acceso condicional Directorio Activo.
Más información Autenticación moderna híbrida
Puede obtener más información sobre la autenticación moderna híbrida en la

siguiente dirección: https://docs.microsoft.com/office365/enterprise/hybrid-
modern-auth-overview .
Cumplir con los requisitos de instalación de Azure AD Connect
Antes de instalar Azure AD Connect, debe asegurarse de que su entorno,

el equipo de Azure AD Connect y la cuenta utilizada para configurar Azure
AD Connect cumplan con los requisitos de software, hardware y
privilegios. Por lo tanto, debe asegurarse de que su entorno de Active
Directory esté configurado en el nivel adecuado, que la computadora en la
que ejecutará Azure AD Connect tenga la configuración de software y
hardware adecuada y que se haya agregado la cuenta utilizada para
instalar Azure AD Connect. a los grupos de seguridad apropiados.
Más información Requisitos previos de Azure AD Connect
Puede obtener más información sobre los requisitos previos de Azure AD Connect
en la siguiente dirección: https://docs.microsoft.com/azure/active-
directory/connect/active-directory-aadconnect-prerequisites .
Requisitos de Azure AD y Office 365
Antes de poder instalar y configurar Azure AD Connect, debe asegurarse

de haber configurado un dominio adicional para Office 365. De forma
predeterminada, un inquilino de Azure AD permitirá 50.000 objetos; sin
embargo, cuando agregue y verifique un dominio adicional, este límite
aumenta a 300.000 objetos. Si necesita más de 300.000 objetos en su
instancia de Azure AD, puede abrir un ticket de soporte con Microsoft. Si
necesita más de 500.000 objetos en su instancia de Azure AD, deberá
adquirir una licencia de Azure AD Premium o Enterprise Mobility and
Security.
Requisitos del entorno de Active Directory local
Azure AD Connect requiere que el entorno de Active Directory local esté

configurado en el nivel funcional del bosque de Windows Server 2003 o
superior. El nivel funcional del bosque depende del nivel funcional de
dominio mínimo de cualquier dominio en un bosque. Por ejemplo, si tiene
cinco dominios en un bosque, cuatro de ellos ejecutándose en el nivel
funcional de dominio de Windows Server 2012 R2 y uno de ellos
ejecutándose en el nivel funcional de dominio de Windows Server 2003,
entonces Windows Server 2003 será el máximo bosque nivel
funcional. Como Microsoft ya no admite Windows Server 2003 sin un
acuerdo de soporte personalizado, su organización debe tener
controladores de dominio que ejecuten al menos Windows Server 2008.
La mejor práctica de seguridad de Microsoft es implementar
controladores de dominio con la versión más reciente del sistema
operativo del servidor de Microsoft. por lo que, en teoría, debería tener
controladores de dominio que ejecuten Windows Server 2016 o
posterior. Para admitir la función de escritura diferida de contraseñas de
Azure AD ConnectPor lo general, necesitará controladores de dominio
que ejecuten Windows Server 2008 R2 o Windows Server 2008 con todos
los paquetes de servicio aplicados, así como la revisión KB2386717.
Puede comprobar el nivel funcional del bosque mediante la consola de

dominios y confianzas de Active Directory. Para hacer esto, siga los
siguientes pasos:
1. Abra la consola Dominios y confianzas de Active Directory.

2. Seleccione el nodo Dominios y confianzas de Active Directory.
3. En el menú Acciones, haga clic en Elevar el nivel funcional del
bosque .
4. El cuadro de diálogo muestra el nivel funcional actual y, si es
posible, le brinda la opción de actualizar el nivel funcional del
bosque. La Figura 2-2 muestra el nivel funcional del bosque
configurado en Windows Server 2012 R2, que es el nivel funcional
del bosque más alto posible para una organización donde todos los
controladores de dominio ejecutan el sistema operativo Windows
Server 2012 R2. Si todos los controladores de dominio ejecutan el
sistema operativo Windows Server 2016, es posible elevar el nivel
funcional de dominio y bosque a Windows Server 2016.
Figura 2-2 Nivel funcional del bosque
También puede verificar el nivel funcional del bosque mediante el

siguiente comando de Microsoft PowerShell:
(Get-ADForest) .ForestMode
Requisitos del servidor de Azure AD Connect
Azure AD Connect es un software que se instala en un equipo que

administra el proceso de sincronización de objetos entre el Active
Directory local y la instancia de Azure Active Directory que admite la
tenencia de Microsoft 365. Puede instalar Azure AD Connect en equipos
que ejecutan los siguientes sistemas operativos:
• Windows Server 2008 (x86 y x64)
• Windows Server 2008 R2 (x64)
• Windows Server 2012 (x64)
• Windows Server 2012 R2 (x64)
Azure AD Connect no se puede instalar en Windows Server 2003. Dado

que Microsoft ya no admite Windows Server 2003, y usted es un
administrador diligente, por supuesto no tendrá Windows Server 2003 en
su entorno.
Azure AD Connect tiene los siguientes requisitos:
• Debe instalarse en una instancia de Windows Server que tenga

instalada la versión GUI del sistema operativo. No puede instalar
Azure AD connect en un equipo que ejecute el sistema operativo
Server Core.
• Puede implementar Azure AD Connect en un equipo que sea un
controlador de dominio, un servidor miembro o, si usa las opciones
personalizadas, un servidor independiente.
• Si realiza la instalación en versiones de Windows Server anteriores
a Windows Server 2012, asegúrese de que se apliquen todos los
paquetes de servicio, actualizaciones y revisiones relevantes. Como
administrador diligente, ya lo ha hecho, por lo que no es necesario
que se lo recuerde.
• Si desea utilizar la funcionalidad de sincronización de contraseñas,
debe asegurarse de que Azure AD Connect esté implementado en
Windows Server 2008 R2 SP1 o posterior.
• El servidor que aloja Azure AD Connect requiere .NET Framework
4.5.1 o posterior.
• El servidor que aloja Azure AD Connect requiere Microsoft
PowerShell 3.0 o posterior.
• El servidor que aloja Azure AD Connect no debe tener habilitada la
Transcripción de PowerShell a través de la directiva de grupo.
• Si está implementando Azure AD Connect con los servicios de
federación de Active Directory, debe usar Windows Server 2012 R2
o posterior para el proxy de aplicación web, y la administración
remota de Windows debe estar habilitada en los servidores que
hospedarán roles de AD FS.
• Si los administradores globales tendrán habilitada la autenticación
multifactor (MFA), la URL https://secure.aadcdn.microsoftonline-
p.com debe configurarse como un sitio de confianza.
Requisitos de conectividad
El equipo con Azure AD Connect instalado debe ser miembro de un

dominio en el bosque que desea sincronizar y debe tener conectividad a
un controlador de dominio de escritura en cada dominio del bosque que
desea sincronizar en los siguientes puertos:
• Puerto DNS TCP / UDP 53

• Puerto 88 de Kerberos TCP / UDP
• Puerto RPC TCP 135
• Puerto LDAP TCP / UDP 389
• Puerto SSL TCP 443
• SMB TCP 445
El equipo con Azure AD Connect instalado debe poder establecer

comunicación con los servidores de Microsoft Azure en Internet a través
del puerto TCP 443. El equipo con Azure AD Connect instalado puede
estar ubicado en una red interna siempre que pueda iniciar la
comunicación en el puerto TCP. 443. El equipo que aloja Azure AD
Connect no necesita una dirección IP enrutable públicamente. El equipo
que aloja Azure AD Connect siempre inicia la comunicación de
sincronización con Microsoft Azure. Microsoft Azure Active Directory no
inicia la comunicación de sincronización con el equipo que aloja Azure AD
Connect en la red local.
Si bien puede instalar Azure AD Connect en un controlador de dominio,

Microsoft recomienda que implemente Azure AD Connect en un equipo
que no aloje la función del controlador de dominio. Si va a replicar más de
50.000 objetos, Microsoft recomienda que implemente SQL Server en una
computadora que esté separada de la computadora que albergará Azure
AD Connect. Si planea hospedar la instancia de SQL Server en un equipo
independiente, asegúrese de que sea posible la comunicación entre el
equipo que hospeda Azure AD Connect y el equipo que hospeda la
instancia de SQL en el puerto TCP 1433.
Si va a utilizar una instancia de SQL Server separada, asegúrese de que la

cuenta utilizada para instalar y configurar Azure AD Connect tenga
derechos de "administrador de sistemas" en la instancia de SQL, y que la
cuenta de servicio utilizada para Azure AD Connect tenga permisos
"públicos". en la base de datos de Azure AD Connect.
Requisitos de hardware
Los requisitos de hardware del equipo que hospeda Azure AD Connect

dependen de la cantidad de objetos en el entorno de Active Directory que
necesita sincronizar. Cuanto mayor sea el número de objetos que necesita
sincronizar, mayores serán los requisitos de hardware. La Tabla 2-
1 proporciona una guía de los requisitos, con todas las configuraciones
que requieren al menos un procesador de 1,6 GHz.
Tabla 2-1 Requisitos de hardware del equipo de Azure AD Connect
Número de objetos en Active Directory Memoria Almacen
Menos de 10,000 4 GB 70 GB
10,000–50,000 4 GB 70 GB
50.000–100.000 16 GB 100 GB
100.000–300.000 32 GB 300 GB
300.000–600.000 32 GB 450 GB
Más de 600.000 32 GB 500 GB
Es importante tener en cuenta que durante la fase de planificación, una

nueva tenencia de Microsoft 365 tiene un límite de 50.000 objetos. Sin
embargo, una vez verificado el primer dominio, este límite se incrementa
a 300.000 objetos. Organizaciones que necesitan almacenar más de
300.000 objetos en AzureLa instancia de Active Directory que admita un
arrendamiento de Microsoft 365 debe comunicarse con el Soporte de
Microsoft.
Requisitos de SQL Server
Cuando implementa Azure AD Connect, tiene la opción de que Azure AD

Connect instale una instancia de SQL Server Express, o puede elegir que
Azure AD Connect aproveche una instancia completa de SQL Server. SQL
Server Express está limitado a un tamaño máximo de base de datos de 10
GB. En términos de Azure AD Connect, esto significa que Azure AD
Connect solo puede administrar 100.000 objetos. Es probable que esto
sea adecuado para todos los entornos, excepto para los más grandes.
Para los entornos que requieren que Azure AD Connect administre más
de 100.000 objetos, necesitará que Azure AD Connect aproveche una
instancia completa de SQL Server. Azure AD Connect puede usar todas las
versiones de Microsoft SQL Server, desde Microsoft SQL Server 2008 con
el service pack más reciente hasta SQL Server 2017. Es importante tener
en cuenta que SQL Azure no es compatible como base de datos para Azure
AD Connect. Si implementa una instancia completa de SQL Server para
admitir Azure AD Connect, asegúrese de que se cumplan los siguientes
requisitos previos:
• Utilice una intercalación SQL que no distinga entre mayúsculas

y minúsculas Las intercalaciones que no distinguen entre
mayúsculas y minúsculas tienen el identificador _CI_ incluido en su
nombre. Las intercalaciones que distinguen entre mayúsculas y
minúsculas (aquellas que usan la designación _CS_) no se admiten
para su uso con Azure AD Connect.
• Solo puede usar un motor de sincronización por instancia de
SQL. Si tiene un motor de sincronización de Azure AD Connect
adicional o si usa Microsoft Identity Manager en su entorno, cada
motor de sincronización requiere su propia instancia de SQL
independiente.
Requisitos de la cuenta de instalación
Las cuentas que usa para instalar y configurar Azure AD Connect tienen
los siguientes requisitos:
• La cuenta utilizada para configurar Azure AD Connect debe tener el

permiso de administrador en el inquilino de Microsoft 365. Si crea
una cuenta de servicio en Microsoft 365 para usar en lugar de la
cuenta con permisos de administrador de inquilinos, asegúrese de
configurar la cuenta con una contraseña que no caduque.
• La cuenta que se usa para instalar y configurar Azure AD Connect
debe tener permisos de administrador empresarial dentro del
bosque de Active Directory local si va a usar la configuración de
instalación rápida. Esta cuenta solo es necesaria durante la
instalación y configuración. Una vez que Azure AD Connect está
instalado y configurado, esta cuenta ya no necesita permisos de
administrador empresarial. La práctica recomendada es crear una
cuenta separada para la instalación y configuración de Azure AD
Connect y agregar temporalmente esta cuenta al grupo
Administradores de empresa durante el proceso de instalación y
configuración. Una vez que Azure AD Connect está instalado y
configurado, esta cuenta se puede quitar del grupo de
administradores de empresa. No debe intentar cambiar la cuenta
utilizada después de instalar y configurar Azure AD Connect,
• La cuenta utilizada para instalar y configurar Azure AD Connect
debe ser miembro del grupo de administradores locales en el
equipo en el que está instalado Azure AD Connect.
Instalación de Azure AD Connect
La instalación de Azure AD Connect con configuración rápida es adecuada

si su organización tiene un solo bosque de Active Directory y desea usar la
sincronización de contraseñas para la autenticación. La configuración
rápida de Azure AD Connect es adecuada para la mayoría de las
organizaciones. Para obtener Azure AD Connect, descárguelo del
siguiente sitio
web: https://www.microsoft.com/download/details.aspx?id=47594 .
Para instalar Azure AD Connect con la configuración Express, realice los

siguientes pasos:
1. Haga doble clic en el archivo AzureADConnect.msi que ha

descargado del centro de descargas de Microsoft y haga clic
en Ejecutar en la advertencia de seguridad que se muestra en
la Figura 2-3 .
Figura 2-3 Advertencia de seguridad de archivos
2. Azure AD Connect se instalará en su equipo. Cuando se complete la

instalación, se le presentará la pantalla de bienvenida. Debe aceptar
los términos de la licencia y el aviso de privacidad como se muestra
en la Figura 2-4 y luego hacer clic en Continuar.
Figura 2-4 Bienvenido a Azure AD Connect
3. Si su organización tiene un dominio interno no enrutable, será

necesario que utilice una configuración personalizada. La figura 2-
5 muestra el dominio epistémico no enrutable interno en uso. Para
usar configuraciones personalizadas, haga clic en Personalizar.
Figura 2-5 Configuración rápida
4. En la página Instalar componentes necesarios, que se muestra en

la Figura 2-6 , elija entre las siguientes opciones.
Figura 2-6 Instale los componentes necesarios
1. Especificar una ubicación de instalación personalizada Elija

esta opción si desea instalar Azure AD Connect en una ubicación
separada, como en otro volumen.
2. Especificar un servidor SQL existente Elija esta opción si desea
especificar una instancia de servidor SQL alternativa. De forma
predeterminada, Azure AD Connect instalará una instancia de SQL Server
Express.
3. Usar una cuenta de servicio existente Puede configurar Azure AD
Connect para usar una cuenta de servicio existente. De forma
predeterminada, Azure AD Connect creará una cuenta de servicio. Puede
configurar Azure AD Connect para usar una cuenta de servicio
administrado por grupo si está instalando Azure AD Connect en un equipo
que ejecuta Windows Server 2012 o posterior. Deberá usar una cuenta de
servicio existente si está usando Azure AD Connect con una instancia
remota de SQL Server o si la comunicación con Azure se producirá a
través de un servidor proxy que requiere autenticación.
4. Especificar grupos de sincronización personalizados Cuando
implemente Azure AD Connect, creará cuatro grupos locales en el
servidor que hospeda la instancia de Azure AD Connect. Estos grupos son
el grupo de administradores, el grupo de operadores, el grupo de
restablecimiento de contraseña y el grupo de exploración. Si desea
utilizar su propio conjunto de grupos, puede especificarlos aquí. Estos
grupos deben ser locales para el servidor host y no miembros del
dominio.
5. Una vez que haya especificado qué opciones personalizadas
necesita, y no puede seleccionar ninguna si lo desea, pero debe
realizar una instalación personalizada porque tiene un dominio no
enrutable en las instalaciones, haga clic en Instalar.
6. En la página de inicio de sesión de usuario, que se muestra en
la Figura 2-7 , especifique qué tipo de inicio de sesión desea
permitir. Puede elegir entre las siguientes opciones, cuyos detalles
se trataron anteriormente en este capítulo, y la mayoría de las
organizaciones eligen la sincronización de contraseñas, ya que es la
más sencilla:
0. Sincronización de contraseña
1. Autenticación de paso
2. Federación con AD FS
3. Federación con PingFederate
4. No configurar
5. Habilitar el inicio de sesión único
Figura 2-7 Opciones de inicio de sesión de usuario
7. En la página Conectarse a Azure AD, proporcione las credenciales

de una cuenta de administrador global. Microsoft recomienda que
use una cuenta en el dominio onmicrosoft.com predeterminado
asociado con la instancia de Azure AD a la que se conectará. Si elige
la opción Federación con AD FS, asegúrese de no iniciar sesión con
una cuenta en un dominio que habilitará para la federación. La
Figura 2-8 muestra el inicio de sesión con un escenario de
sincronización de contraseña.
Figura 2-8 Conectarse a Azure AD
8. Una vez que Azure AD Connect se haya conectado a Azure AD,

podrá especificar el tipo de directorio para sincronizar, así como el
bosque. Haga clic en Agregar directorio para agregar un bosque
específico. Cuando agrega un bosque haciendo clic en Agregar
directorio, deberá especificar las credenciales de una cuenta que
realizará la sincronización periódica. A menos que esté seguro de
haber aplicado los privilegios mínimos necesarios a una cuenta,
debe proporcionar las credenciales de administrador empresarial y
permitir que Azure AD Connect cree la cuenta como se muestra en
la Figura 2-9 . Esto garantizará que a la cuenta solo se le asignen los
privilegios necesarios para realizar tareas de sincronización.
Figura 2-9 Cuenta de bosque de AD
9. Una vez que se hayan verificado las credenciales, como se muestra

en la Figura 2-10 , haga clic en Siguiente .
Figura 2-10 Conecte sus directorios
10. En la página de configuración de inicio de sesión de Azure AD,

que se muestra en la figura 2-11 , revise el sufijo UPN y luego
inspeccione el atributo local para usarlo como nombre de usuario
de Azure AD. Deberá asegurarse de que las cuentas usen un nombre
de usuario de Azure AD enrutable.
Figura 2-11 Configuración de inicio de sesión de Azure AD
11. En la página Filtrado de dominios y unidades organizativas ,

que se muestra en la Figura 2-12 , seleccione si desea sincronizar
todos los objetos o solo los objetos de dominios y unidades
organizativas específicos.
Figura 2-12 Filtrado de dominios y unidades organizativas
12. En la página Identificar usuarios de forma exclusiva, que se

muestra en la Figura 2-13 , especifique cómo deben identificarse los
usuarios. De forma predeterminada, los usuarios solo deben tener
una representación en todos los directorios. En el caso de que
existan usuarios en varios directorios, puede hacer que las
coincidencias se identifiquen mediante un atributo específico del
directorio activo, siendo el atributo de correo el valor
predeterminado.
Figura 2-13 Identificación exclusiva de usuarios
13. En la página Filtrar usuarios y dispositivos, especifique si

desea sincronizar todos los usuarios y dispositivos, o solo los
miembros de un grupo específico. La figura 2-14 muestra a los
miembros del grupo de usuarios piloto de Microsoft 365 que se
configuran para que sus cuentas se sincronicen con Azure.
Figura 2-14 Filtrar usuarios y dispositivos
14. En la página Funciones opcionales, que se muestra en

la Figura 2-15 , seleccione las funciones opcionales que desee
configurar. Estas características incluyen lo siguiente.
Figura 2-15 Funciones opcionales
0. Implementación híbrida de Exchange

1. Carpetas públicas de Exchange Mail
2. Filtrado de atributos y aplicaciones de Azure AD
3. Sincronización de contraseña
4. Reescritura de contraseña
5. Escritura diferida de grupo
6. Escritura diferida del dispositivo
7. Sincronización de atributos de extensión de directorio
15. En la página Listo para configurar, que se muestra en
la Figura 2-16 , puede optar por iniciar la sincronización o habilitar
el modo de ensayo, donde la sincronización se preparará para
ejecutarse, pero no sincronizará ningún dato con Azure AD.
Figura 2-16 Listo para configurar
Más información Instalación personalizada de Azure AD Connect
Para instalar Azure AD Connect con la configuración personalizada, consulte el

siguiente artículo: https://docs.microsoft.com/azure/active-
directory/connect/active-directory-aadconnect-get-started-custom .
Identificación de atributos sincronizados
Azure AD Connect sincroniza algunos, pero no todos, los atributos de la

instancia de Active Directory local a la instancia de Azure Active Directory
que admite un arrendamiento de Microsoft 365. Se sincronizan 143
atributos separados, dependiendo de si el objeto es una cuenta de
usuario, una cuenta de grupo o un objeto de contacto habilitado para
correo. Estos atributos se enumeran en la Tabla 2-2 .
Tabla 2-2 Lista de atributos sincronizados por Azure AD Connect
accountEnabled MsExchArchiveGUID msExchTeamMailbo

msExchTeamMailbo
Asistente MsExchArchiveName
LinkedBy
altRecipient msExchArchiveStatus msExchTeamMailbo
autoría msExchAssistantName msExchUCVoiceMa
C msExchAuditAdmin msExchUsageLocat
Cn msExchAuditDelegate msExchUserHoldPo
Co msExchAuditDelegateAdmin msOrg-IsOrganizati
empresa msExchAuditOwner msRTCSIP-Applicat
código de país MsExchBlockedSendersHash msRTCSIP-Deploym
Departamento msExchBypassAudit msRTCSIP-Line
MsExchBypassModerationDe
descripción msRTCSIP-OwnerU
DLMembersLink
nombre para mostrar MsExchBypassModerationLink msRTCSIP-Primary
dLMemRejectPerms msExchCoManagedByLink msRTCSIP-UserEna
dLMemSubmitPerms msExchDelegateListLink msRTCSIP-OptionF
ExtensionAttribute1 msExchELCExpirySuspensionEnd objectGUID
ExtensionAttribute10 msExchELCExpirySuspensionStart oOFReplyToOrigina
ExtensionAttribute11 msExchELCMailboxFlags otroFacsímilTeléfon
ExtensionAttribute12 MsExchEnableModeration otroHomePhone
ExtensionAttribute13 msExchExtensionCustomAttribute1 otherIpPhone
ExtensionAttribute14 msExchExtensionCustomAttribute2 otherMobile

ExtensionAttribute15 msExchExtensionCustomAttribute3 otherPager
ExtensionAttribute2 msExchExtensionCustomAttribute4 otroTeléfono
ExtensionAttribute3 msExchExtensionCustomAttribute5 buscapersonas
ExtensionAttribute4 MsExchGroupDepartRestriction Foto
ExtensionAttribute5 MsExchGroupJoinRestriction PhysicalDeliveryOff
ExtensionAttribute6 msExchHideFromAddressLists código postal
ExtensionAttribute7 MsExchImmutableID apartado de correo
ExtensionAttribute8 msExchLitigationHoldDate Idioma preferido
ExtensionAttribute9 msExchLitigationHoldOwner proxyAddresses
Número de teléfono de
MsExchMailboxGuid PublicDelegates
fax
nombre de pila msExchMailboxAuditEnable pwdLastSet
GroupType msExchMailboxAuditLogAgeLimit reportToOriginator
hideDLMembership MsExchModeratedByLink ReportToOwner
teléfono de casa MsExchModerationFlags samAccountName
Info MsExchRecipientDisplayType sn
Iniciales msExchRecipientTypeDetails St
teléfono IP MsExchRemoteRecipientType Dirección
L msExchRequireAuthToSendTo targetAddress
legacyExchangeDN MsExchResourceCapacity Asistente telefónico
Correo MsExchResourceDisplay número de teléfono

mailnickname MsExchResourceMetaData foto en miniatura
gestionado por MsExchResourceSearchProperties título
Gerente msExchRetentionComment unauthOrig
Miembro msExchRetentionURL url
segundo nombre MsExchSafeRecipientsHash control de cuentas d
Móvil MsExchSafeSendersHash userCertificate
msDS-
MsExchSenderHintTranslations UserPrincipalName
HABSeniorityIndex
msDS-
msExchTeamMailboxExpiration userSMIMECertifica
PhoneticDisplayName
Más información Atributos sincronizados por Azure AD Connect
Puede obtener más información sobre qué atributos sincroniza Azure AD Connect
en https://docs.microsoft.com/azure/active-directory/connect/active-directory-
aadconnectsync-attributes-synchronized .
Recuerde los requisitos previos de Azure AD Connect.
HABILIDAD 2.2: PLANEAR LA SINCRONIZACIÓN DE IDENTIDADES

MEDIANTE AZURE AD CONNECT
Esta sección de habilidades trata sobre la planificación de la

implementación de la sincronización de identidades utilizando Azure AD
Connect como la solución de sincronización. Para dominar esta habilidad,
deberá comprender parte de la información que aprendió en la habilidad
anterior, así como también cómo implementar una opción de inicio de
sesión de Azure AD Connect adecuada.
• Sincronización de directorios de diseño

• Implementar la sincronización de directorios con servicios de directorio,
servicios de federación y puntos de conexión de Azure
Conexión de Azure Active Directory
Azure AD Connect está diseñado para agilizar el proceso de configuración

de conexiones entre la implementación local y una instancia de Azure
AD. La herramienta Azure Active Directory Connect está diseñada para
hacer que el proceso de configuración de la sincronización entre una
implementación de Active Directory local y Azure Active Directory sea lo
más sencillo posible.
Azure Active Directory Connect puede configurar e instalar

automáticamente sincronización de contraseña simple o federación /
inicio de sesión único, según las necesidades de su organización. Cuando
elige la opción Federación con AD FS, los Servicios de federación de Active
Directory se instalan y configuran, así como un servidor proxy de
aplicación web para facilitar la comunicación entre la implementación de
AD FS local y Microsoft Azure Active Directory.
La herramienta Azure Active Directory Connect admite las siguientes

características opcionales, como se muestra en la Figura 2-17 :
• Implementación híbrida de Exchange Esta opción es adecuada

para organizaciones que tienen una implementación de Office 365,
donde hay buzones de correo alojados tanto en las instalaciones
como en la nube.
• Carpetas públicas de correo de Exchange Esta función permite a
las organizaciones sincronizar objetos de carpetas públicas
habilitadas para correo desde un entorno de Active Directory local
con Microsoft 365.
• Filtrado de atributos y aplicaciones de Azure AD Al seleccionar
esta opción, puede ser más selectivo sobre qué atributos se
sincronizan entre el entorno local y Azure AD.
• Sincronización de contraseña Sincroniza un hash de la
contraseña local del usuario en Azure AD. Cuando el usuario se
autentica en Azure AD, la contraseña enviada se codifica mediante
el mismo proceso y, si los hashes coinciden, se autentica al
usuario. Cada vez que el usuario actualiza su contraseña localmente,
el hash de contraseña actualizado se sincroniza con Azure AD.
• Reescritura de contraseñas La reescritura de contraseñas
permite a los usuarios cambiar sus contraseñas en la nube y hacer
que la contraseña modificada se vuelva a escribir en la instancia de
Active Directory local.
• Reescritura de grupos Los cambios realizados en grupos en Azure
AD se escriben de nuevo en la instancia de AD local.
• Reescritura de dispositivos La información sobre los dispositivos
registrados por el usuario en Azure AD se vuelve a escribir en la
instancia de AD local.
• Sincronización de atributos de extensión de directorio Le
permite extender el esquema de Azure AD en función de las
extensiones realizadas en la instancia de Active Directory local de
su organización.
Figura 2-17 Azure Active DirectorF02xx17.
Más información Azure Active Directory Connect

Puede obtener más información sobre Azure Active Directory Connect
en https://docs.microsoft.com/azure/active-directory/connect/active-directory-
aadconnect .
Limpieza de objetos de Active Directory existentes
Antes de implementar Azure AD Connect, es prudente asegurarse de que

su entorno de Active Directory local esté en buen estado. También debe
tener una excelente comprensión del estado actual del entorno de Active
Directory. Esto debe incluir la realización de una auditoría para
determinar lo siguiente:
• ¿Algún objeto de Active Directory utiliza caracteres no válidos?

• ¿Algún objeto de Active Directory tiene nombres principales
universales (UPN) incorrectos?
• ¿Cuáles son los niveles funcionales actuales de dominio y bosque?
• ¿Se utilizan extensiones de esquema o atributos personalizados?
Antes de implementar Azure AD Connect, debe asegurarse de haber

realizado las siguientes tareas.
• Elimine cualquier atributo proxyAddress duplicado.

• Elimine cualquier atributo userPrincipalName duplicado.
• Asegúrese de que la configuración del atributo userPrincipalName
en blanco o no válida se haya modificado para que la configuración
contenga solo un UPN válido.
• Asegúrese de que para las cuentas de usuario se hayan asignado
valores a los atributos sn y samAccountName.
• Asegúrese de que para las cuentas de grupo, el miembro, el alias y
displayName (para grupos con un atributo mail o proxyAddress
válido) estén completos.
• Asegúrese de que los siguientes atributos no contengan caracteres
no válidos:
• nombre de pila
• sn
• samAccountName
• nombre de pila
• nombre para mostrar
• correo
• dirección proxy
• mailNickName
Los UPN que se usan con Office 365 solo pueden contener los siguientes
caracteres:
• Letras
• Números
• Periodos
• Guiones
• Subrayados
En lugar de tener que realizar esta operación manualmente, Microsoft

proporciona algunas herramientas que le permiten solucionar
automáticamente los problemas que puedan existir con los atributos
antes de implementar Azure AD Connect.
IdFix
La herramienta IdFix, que puede descargar del sitio web de Microsoft, le

permite escanear una instancia de Active Directory para determinar si
alguna cuenta de usuario, cuenta de grupo o contacto tiene problemas
que harán que no se sincronice entre la instancia local de Active
Directory. y la instancia de Microsoft 365 de Azure Active Directory. IdFix
también puede realizar reparaciones en objetos que de otro modo no
podrían sincronizarse. IdFix se ejecuta con el contexto de seguridad del
usuario que ha iniciado sesión actualmente. Esto significa que si desea
utilizar IdFix para reparar objetos en elbosque que tienen problemas, la
cuenta de seguridad que utiliza para ejecutar IdFix debe tener permisos
para modificar esos objetos. La herramienta IdFix se muestra en la Figura
2-18 , mostrando una cuenta detectada con un userPrincipalName
configurado incorrectamente.
Figura 2-18 IdFix encuentra un usuario con un UPN problemático
Más información IDFIX
Puede descargar IdFix en la siguiente

dirección: https://www.microsoft.com/download/details.aspx?id=36832 .
ADModify.NET
ADmodify.NET es una herramienta que le permite realizar cambios en

atributos específicos para múltiples objetos. Si está utilizando ADSIEdit o
el modo Avanzado de la consola de Usuarios y equipos de Active
Directory, solo puede modificar el atributo de un objeto a la vez. Por
ejemplo, la Figura 2-19 muestra ADModify.NET utilizado para modificar
el formato del atributo userPrincipalName para varias cuentas de usuario
para que se ajuste a un formato específico.
Figura 2-
19 ADModify.NET
También puede utilizar ADModify.NET para realizar otras tareas de

administración del sistema, como configurar una gran cantidad de
cuentas, de modo que los usuarios tengan que cambiar su contraseña en
el próximo inicio de sesión o deshabilitar varias cuentas.
Más información ADMODIFY.NET

Puede obtener más información sobre ADModify.NET
en: https://archive.codeplex.com/?p=admodify .
Usar sufijos UPN y dominios no enrutables
Antes de realizar la sincronización entre un entorno de Active Directory

local y una instancia de Azure Active Directory utilizada para admitir un
arrendamiento de Microsoft 365, debe asegurarse de que todos los
objetos de cuenta de usuario en el entorno de Active Directory local estén
configurados con un valor para el UPN sufijo que puede funcionar tanto
para el entorno local como para Microsoft 365.
Esto no es un problema cuando el sufijo de dominio de Active Directory

interno de una organización es un dominio enrutable públicamente. Por
ejemplo, un nombre de dominio, como contoso.com o adatum.com, que
los servidores DNS públicos puedan resolver, será suficiente. Las cosas se
vuelven más complicadas cuando el sufijo de dominio de Active Directory
interno de la organización no se puede enrutar públicamente. Por
ejemplo, la Figura 2-20 muestra el dominio interno no enrutable
adatum346ER.
Figura 2-20 Dominio no
enrutable
Si un dominio no es enrutable, el dominio de enrutamiento

predeterminado, como adatum346ER.onmicrosoft.com, debe usarse para
el sufijo Microsoft 365 UPN. Esto requiere modificar el sufijo UPN de las
cuentas almacenadas en la instancia de Active Directory local. No se
admite la modificación de UPN después de que se haya producido la
sincronización inicial. Por lo tanto, debe asegurarse de que los UPN de
Active Directory locales estén configurados correctamente antes de
realizar la sincronización inicial con Azure AD Connect.
Realice los siguientes pasos para agregar un sufijo UPN al Active

Directory local en caso de que el dominio de Active Directory use un
espacio de nombres no enrutable:
1. Abra la consola Dominios y confianza de Active Directory y

seleccione Dominios y confianzas de Active Directory .
2. En el menú Acción, haga clic en Propiedades .
3. En la pestaña Sufijos UPN, ingrese el sufijo UPN que se utilizará con
Microsoft 365. La Figura 2-21 muestra el sufijo UPN de
epistemicus.com.
Figura
2-21 Dominio enrutable
4. Una vez que se ha agregado el sufijo UPN en Dominios y

fideicomisos de Active Directory, puede asignar el sufijo UPN a las
cuentas de usuario. Puede hacer esto manualmente como se
muestra en la Figura 2-22 usando la pestaña Cuenta del cuadro de
diálogo de propiedades del usuario en Usuarios y equipos de Active
Directory.
Figura 2-
22 Configurar UPN
5. Puede utilizar herramientas como ADModify.NET para restablecer

los UPN de varias cuentas, como se muestra en la Figura 2-23 .
Figura 2-23 ADModify.NET
6. También puede utilizar scripts de Microsoft PowerShell para

restablecer los UPN de varias cuentas de usuario. Por ejemplo, la
siguiente secuencia de comandos restablece los sufijos UPN de
todas las cuentas de usuario en el dominio epistemicus.internal a
epistemicus.onmicrosoft.com.

Get-ADUser -Filter {UserPrincipalName -like
"*@epistemicus.internal"} -SearchBase
"DC = epistémico, DC = interno" |
ForEach-Object {
$ UPN =
$ _. UserPrincipalName.Replace ("epistemicus.internal",
"epistemicus.onmicrosoft.com")
Set-ADUser $ _ -UserPrincipalName $ UPN
}
Opciones de inicio de sesión de Azure AD Connect
Azure AD Connect admite una variedad de opciones de inicio de

sesión. Configure cuál desea usar al configurar Azure AD Connect como se
muestra en la Figura 2-24 . El método predeterminado, Sincronización de
contraseñas, es apropiado para la mayoría de las organizaciones que
usarán Azure AD Connect para sincronizar identidades en la nube.
Figura 2-24 Inicio de sesión de usuario

Sincronización de contraseña
Los valores hash de las contraseñas de los usuarios de Active Directory

locales se sincronizan con Azure AD y las contraseñas cambiadas se
sincronizan inmediatamente con Azure AD. Las contraseñas reales nunca
se envían a Azure AD y no se almacenan en Azure AD. Esto permite el
inicio de sesión único para los usuarios de equipos que están unidos a un
dominio de Active Directory que se sincroniza con Azure AD. La
sincronización de contraseñas también le permite habilitar la escritura
diferida de contraseñas para la funcionalidad de autoservicio de
restablecimiento de contraseñas a través de Azure AD.
Autenticación de paso
Al autenticarse en Azure AD, la contraseña del usuario se valida con un

controlador de dominio de Active Directory local. Las contraseñas y los
hash de contraseñas no están presentes en Azure AD. La autenticación
PassThrough permite que se apliquen las políticas de contraseñas
locales. La autenticación PassThrough requiere que Azure AD Connect
tenga un agente en un equipo unido al dominio que hospeda la instancia
de Active Directory que contiene las cuentas de usuario relevantes. La
autenticación PassThrough también permite el inicio de sesión único para
los usuarios de máquinas unidas al dominio.
Con la autenticación PassThrough, la contraseña del usuario se valida con

el controlador de Active Directory local. No es necesario que la
contraseña esté presente en Azure AD de ninguna forma. Esto permite
que las políticas locales, como las restricciones de horas de inicio de
sesión, se evalúen durante la autenticación en los servicios en la nube.
La autenticación PassThrough usa un agente simple en una máquina

unida a un dominio con Windows Server 2012 R2, Windows Server 2016
o Windows Server 2019 en el entorno local. Este agente escucha las
solicitudes de validación de contraseña. No requiere que ningún puerto
de entrada esté abierto a Internet.
Además, también puede habilitar el inicio de sesión único para los

usuarios en máquinas unidas a un dominio que se encuentran en la red
corporativa. Con el inicio de sesión único, los usuarios habilitados solo
necesitan ingresar un nombre de usuario para ayudarlos a acceder de
manera segura a los recursos de la nube.
Federación de Active Directory
Esto permite a los usuarios autenticarse en los recursos de Azure AD

mediante credenciales locales. También requiere la implementación de
una infraestructura de servicios de federación de Active Directory. Esta es
la configuración de sincronización de identidad más complicada para
Microsoft 365 y es probable que solo se implemente en entornos con
configuraciones de identidad complicadas.
Más información Opciones de inicio de sesión de Azure AD Connect
Puede obtener más información sobre las opciones de inicio de sesión, consulte el
siguiente artículo: https://docs.microsoft.com/azure/active-
directory/connect/active-directory-aadconnect-user-signin .
Recuerde la diferencia entre la sincronización de contraseñas y la

autenticación PassThrough.
HABILIDAD 2.3: ADMINISTRAR LA SINCRONIZACIÓN DE

IDENTIDADES MEDIANTE AZURE AD CONNECT
Esta sección de habilidades trata sobre el proceso de administración de la

sincronización de identidades con Azure AD Connect una vez que se ha
implementado. Para dominar esta habilidad, deberá comprender cómo
supervisar el estado de Azure AD Connect, administrar la sincronización
de Azure AD Connect, configurar filtros de objetos y configurar la
sincronización de contraseñas.
• Supervisar el estado de Azure AD Connect

• Administrar la sincronización de Azure AD Connect
• Configurar filtros de objetos
• Configurar la sincronización de contraseña
• Implementar escenarios de AD Connect de varios bosques
Supervisar el estado de Azure AD Connect
Azure AD Connect Health es una herramienta disponible en el Centro de

administración de Azure Active Directory, que se muestra en la Figura 2-
25 , que le permite monitorear el estado de la sincronización entre el
directorio local de su organización y Azure Active Directory.
Figura 2-25 Estado de Azure AD Connect
Puede usar el estado de Azure AD Connect para ver información sobre:
• Errores de sincronización Esto mostrará errores que incluyen

atributos duplicados, falta de coincidencia de datos, falla de
validación de datos, atributos grandes, cambio de dominio federado
y conflictos de roles de administrador existentes.
• Servicios de sincronización Esto maneja información sobre qué
servicios se sincronizan con Azure Active Directory.
• Servicios de AD FS Información sobre AD FS cuando Azure AD
Connect está configurado para la federación. Incluye información
sobre errores y problemas.
• Servicios de AD DS Información sobre dominios y bosques
conectados a Azure Active Directory.
Más información Azure AD Connect Health
Puede obtener más información sobre Azure AD Connect Health

en: https://docs.microsoft.com/azure/active-directory/hybrid/whatis-azure-ad-
connect .
Administrar la sincronización de Azure AD Connect
Puede administrar la sincronización mediante una variedad de

herramientas, incluidos los cmdlets de PowerShell que forman parte del
módulo ADSync PowerShell. Este módulo se instala automáticamente en
una computadora cuando instala Azure AD Connect.
Para ver la configuración actual del programador, puede ejecutar el

cmdlet Get-ADSyncScheduler. La salida de este cmdlet se muestra en
la Figura 2-26 .
Figura 2-26 Get-ADSyncScheduler
El resultado de este cmdlet proporciona la siguiente información:
• AllowSyncCyleInterval Intervalos mínimos entre ciclos de

sincronización admitidos por Microsoft. Si sincroniza con más
frecuencia que este intervalo, se considerará que su configuración
no es compatible.
• CurrentEffectiveSyncCycleInterval La programación que se aplica
actualmente.
• CustomizedSyncCycleInterval Se utiliza cuando se aplica una
programación personalizada.
• NextSyncCyclePolicyType Especifica si la próxima sincronización
es una sincronización completa o una sincronización delta.
• NextSyncCycleStartTimeInUTC La hora a la que se producirá el
próximo ciclo de sincronización de acuerdo con la programación.
• PurgeRunHistoryInterval Especifica cuánto tiempo se deben
conservar los registros.
• SyncCycleEnabled Especifica si el planificador está ejecutando un
proceso de importación, sincronización o exportación como parte
de su ejecución.
• MaintenanceEnabled Especifica si el proceso de mantenimiento
está habilitado.
• StatingModeEnaled Muestra si el modo de ensayo está habilitado.
• SyncCycleInProgress Especifica si la sincronización se está
produciendo realmente.
Puede usar el cmdlet Set-ADSyncScheduler para configurar las siguientes

opciones que se muestran cuando ejecuta el cmdlet Get-
ADSyncScheduler:
• CustomizedSyncCycleInterval
• NextSyncCyclePolicyType
• PurgeRunHistoryInterval
• SyncCycleEnabled
• Mantenimiento habilitado
Más información Gestión del planificador
Puede obtener más información sobre cómo administrar el programador de Azure

AD Connect en: https://docs.microsoft.com/azure/active-directory/connect/active-
directory-aadconnectsync-feature-scheduler .
Forzar la sincronización
De forma predeterminada, la sincronización se produce entre el

directorio local y Azure cada 30 minutos. En algunos casos, realizará un
cambio en una cuenta de usuario o creará una colección de cuentas de
usuario y querrá obtener esos cambios o nuevas cuentas en la instancia
de Azure Active Directory que admita el arrendamiento de Office 365 lo
más rápido posible. Puede forzar la sincronización ejecutando el asistente
de Azure AD Connect nuevamente, o puede usar el Administrador del
servicio de sincronización.
Para realizar una sincronización completa con Synchronization Service

Manager, realice los siguientes pasos:
1. Abra el Administrador del servicio de sincronización, ya sea

haciendo clic en Servicio de sincronización en el menú Inicio o
ejecutando miisclient.exe ubicado en la carpeta C: \ Archivos de
programa \ Microsoft Azure AD Sync \ UIShell.
2. Haga clic en la pestaña Conectores .
3. En la pestaña Conectores, haga clic en el nombre de su servicio de
dominio de Active Directory, como se muestra en la Figura 2-27 .
Figura 2-27 Administrador del servicio de sincronización

4. En el panel Acciones, haga clic en Ejecutar .
5. En el cuadro de diálogo Ejecutar agente de administración,
seleccione Sincronización completa , como se muestra en
la Figura 2-28 .
Figura 2-28 Sincronización completa
En lugar de realizar una sincronización completa, puede activar uno de

los siguientes tipos de sincronización mediante el Administrador del
servicio de sincronización:
• Sincronización completa Realiza una sincronización completa

• Importación delta Las importaciones cambiaron el esquema y los
objetos
• Sincronización delta Sincroniza solo los objetos modificados
desde la última sincronización
• Exportar Escribe datos de la instancia de Azure a la instancia local
• Importación completa Una importación completa y una
sincronización completa son adecuadas para iniciar la primera
sincronización completa o la primera sincronización completa
después de haber cambiado los parámetros de filtrado.
También puede usar Synchronization Service Manager para configurar

amplias opciones de filtrado, aunque para tareas como configurar el
filtrado basado en OU, Microsoft recomienda que primero intente
configurar el filtrado utilizando el asistente de configuración de Azure AD
Connect y solo confíe en una herramienta como Synchronization Service
Manager. si surgen problemas.
Más información Administrador del servicio de sincronización
Puede obtener más información sobre Synchronization Service Manager

en: https://docs.microsoft.com/azure/active-directory/connect/active-directory-
aadconnectsync-service-manager-ui .
También puede forzar la sincronización mediante el cmdlet Start-

ADSyncCycle. Puede usar este cmdlet para desencadenar una
sincronización delta o completa. Para forzar un ciclo de sincronización
delta, ejecute el siguiente comando:

Inicio-ADSyncCycle -PolicyType Delta
Para activar un ciclo de sincronización completo, ejecute el comando:

Inicio-ADSyncCycle -PolicyType Inicial
Configurar filtros de objetos
Cuando usa Azure AD Connect para sincronizar Active Directory local con
una instancia de Azure Active Directory, la configuración predeterminada
es tener todas las cuentas de usuario, cuentas de grupo y objetos de
contacto habilitados para correo sincronizados en la nube. Para algunas
organizaciones, sincronizar todo es exactamente lo que quieren. Otras
organizaciones quieren ser más selectivas sobre qué objetos se
sincronizan desde el entorno de Active Directory local a la instancia de
Azure Active Directory que admite la tenencia de Office 365.
Con Azure AD Connect, puede elegir filtrar según las siguientes opciones,
como se muestra en la Figura 2-29 :
• Basado en dominio En un bosque con varios dominios, puede

configurar el filtrado para que solo se filtren los objetos de algunos
dominios y no de otros.
• Basado en unidad organizativa (OU) Con este tipo de filtrado,
usted elige qué objetos se filtran según su ubicación dentro de
unidades organizativas específicas.
Figura 2-29 Filtrado de dominios y unidades organizativas
También puede configurar el filtrado en función de la pertenencia al

grupo, como se muestra en la Figura 2-30 . Puede configurar filtros
basados en grupos independientes para cada bosque o dominio
sincronizado mediante Azure AD Connect.
Figura 2-30 Filtrar usuarios y dispositivos
Más información Configurar el filtrado
Puede obtener más información sobre el filtrado de Azure AD Sync

aadconnectsync-configure-filtering .
Si bien Azure AD Connect abordará los requisitos de sincronización de la

mayoría de las organizaciones, la herramienta más completa que puede
usar para filtrar la sincronización es el Editor de reglas de sincronización,
que se muestra en la Figura 2-31 . Puede utilizar esta herramienta para
modificar las reglas de sincronización existentes, pero también para crear
nuevas reglas. En lugar de configurar la sincronización por dominio o por
unidad organizativa, puede adaptar las reglas para objetos individuales y
atributos específicos de Active Directory.
Figura 2-31 Editor de reglas de sincronización
Más información Editor de reglas de sincronización
Puede obtener más información sobre el Editor de reglas de sincronización

aadconnectsync-change-the-configuration .
Configurar la sincronización de contraseña
Password Sync permite la sincronización de las contraseñas de las

cuentas de usuario de Active Directory local a la instancia de Azure Active
Directory que admite la tenencia de Office 365. La ventaja de esto es que
los usuarios pueden iniciar sesión en Microsoft 365 con la misma
contraseña que usan para iniciar sesión en equipos en el entorno
local. Password Sync no proporciona inicio de sesión único ni federación.
Cuando habilita Password Sync, las políticas de complejidad de

contraseñas locales anulan las políticas de complejidad de contraseñas
configuradas para la instancia de Azure Active Directory que admite la
tenencia de Microsoft 365. Esto significa que cualquier contraseña que
sea válida para un usuario local será válida dentro de Microsoft 365,
incluso si no lo sería normalmente.
La caducidad de la contraseña funciona de la siguiente manera: la

contraseña de la cuenta del objeto de usuario de la nube está configurada
para que nunca caduque. Cada vez que se cambia la contraseña de la
cuenta de usuario en la instancia de Active Directory local, este cambio se
replica en la instancia de Azure Active Directory que admite la tenencia de
Microsoft 365. Esto significa que es posible que la contraseña de una
cuenta de usuario caduque en la instancia de Active Directory local, pero
ese usuario aún puede usar la misma contraseña para iniciar sesión en
Microsoft 365. La próxima vez que inicie sesión en el entorno local , se
ven obligados a cambiar su contraseña y ese cambio se replica hasta la
instancia de Azure Active Directory que admite la tenencia de Microsoft
365.
Cuando la sincronización de contraseñas está habilitada y usted

deshabilita la cuenta de un usuario en la instancia de Active Directory
local, la cuenta del usuario en la instancia de Azure Active Directory que
admite la tenencia de Microsoft 365 se deshabilita en unos minutos. Si la
sincronización de contraseñas no está habilitada y deshabilita la cuenta
de usuario en la instancia de Active Directory local, la cuenta de usuario
en la instancia de Azure Active Directory que admite la tenencia de
Microsoft 365 no se deshabilita hasta la próxima sincronización completa.
Más información Sincronización de contraseña
Puede obtener más información sobre la sincronización de

contraseñas: https://docs.microsoft.com/azure/active-directory/hybrid/how-to-
connect-password-hash-synchronization .
Implementar escenarios de AD Connect de varios bosques
La herramienta Azure Active Directory Connect también admite la

sincronización de varios bosques de Active Directory locales a una única
instancia de Azure Active Directory. La sincronización de varios bosques
en una única instancia de Azure AD solo se admite cuando se usa un único
servidor de Azure AD Connect. Microsoft no admite la sincronización de
varios servidores de Azure AD Connect con una única instancia de Azure
AD, ya sea que se estén sincronizando uno o varios bosques.
De forma predeterminada, Azure AD Connect asumirá que:
• Un usuario tiene una sola cuenta habilitada. Además, el bosque

donde se encuentra esta cuenta debe alojar el directorio que se usa
para autenticar al usuario. Esta suposición se utiliza tanto
enescenarios de federación y sincronización de contraseñas. Sobre
la base de esta suposición, UserPrincipalName y sourceAnchor /
immutableID se extraen de este bosque.
• Cada usuario tiene un solo buzón y el bosque que aloja ese buzón es
la mejor fuente de atributos visibles en la Lista global de
direcciones (GAL) de Exchange. En el caso de que un usuario no
tenga un buzón de correo asociado, cualquier bosque configurado
puede funcionar como origen de los valores de atributo.
• Si una cuenta de usuario tiene un buzón vinculado, habrá una
cuenta en un bosque alternativo que se usará para el proceso de
inicio de sesión.
La clave para sincronizar cuentas de usuario de varios bosques es que

solo una cuenta de usuario de todos los bosques sincronizados debe
representar al usuario. Esto significa que el motor de sincronización debe
tener una forma de determinar cuándo las cuentas en bosques separados
representan al mismo usuario. Puede configurar cómo el motor de
sincronización de Azure AD Connect identifica a los usuarios en la página
Identificación única de sus usuarios, que se muestra en la Figura 2-32 ,
mediante una de las siguientes opciones.
Figura 2-32 Identificar usuarios de forma exclusiva
• Coincidir con los usuarios mediante el atributo de correo

• Coincidir con el usuario mediante los atributos ObjectSID y
msExchangeMasterAccountSID / msRTCIP-OrgiginatorSID
• Haga coincidir el usuario con los atributos SAMAccountName y
MailNickName
• Especificar un atributo personalizado con el que hacer coincidir los
nombres
Más información Sincronización de varios bosques
Puede obtener más información sobre la sincronización de varios bosques y las

topologías admitidas para Azure AD Connect en la siguiente
dirección: https://docs.microsoft.com/azure/active-directory/connect/active-
directory-aadconnect-topologies .
Recuerde qué herramientas puede utilizar para activar la sincronización.

HABILIDAD 2.4: ADMINISTRAR IDENTIDADES DE AZURE AD
Esta habilidad se ocupa de la administración de identidades dentro de

Azure Active Directory. Esto es de suma importancia cuando Azure Active
Directory funciona como fuente de autoridad. Para dominar esta
habilidad, deberá comprender cómo planificar el uso de identidades de
Azure AD, cómo implementar el restablecimiento de contraseña de
autoservicio, administrar revisiones de acceso, administrar grupos de
Azure AD, administrar contraseñas de Azure AD, administrar licencias de
productos, administrar usuarios, y realizar tareas de gestión de usuarios
masivos.
• Planear identidades de Azure AD

• Implementar y administrar el restablecimiento de contraseña de
autoservicio de Azure AD
• Administrar revisiones de acceso
• Administrar grupos
• Gestionar contraseñas
• Administrar licencias de productos
• Administrar usuarios
• Realice una gestión de usuarios masiva
Planear identidades de Azure AD
En entornos híbridos, realizará principalmente la administración de

identidades mediante herramientas de administración locales, como
Usuarios y equipos de Active Directory. En entornos donde Azure AD
constituye la fuente principal de autoridad, puede usar el Centro de
administración de Microsoft 365 para realizar la administración de las
identidades de los usuarios. También puede usar el centro de
administración de Azure Active Directory como se muestra en la Figura 2-
33 , o puede usar la CLI de Azure o PowerShell.
Figura 2-33 Centro de administración de Azure Active Directory
Al planificar el uso de las identidades de Azure, deberá tener en cuenta las

siguientes preguntas:
• ¿Qué UPN se utilizará con la identidad para iniciar sesión en

los recursos de Microsoft 365? Puede cambiar el sufijo UPN a
cualquier dominio que esté configurado y autorizado para su uso
con el directorio.
• ¿Qué opciones de autenticación y autorización serán
necesarias para acceder a los recursos de Microsoft 365? ¿Los
usuarios deberán cambiar sus contraseñas con regularidad? ¿Se
requerirá que los usuarios realicen una autenticación multifactor?
• ¿Qué roles se asignarán a los usuarios? ¿Necesitará asignar roles
de Azure AD a usuarios específicos? ¿Qué método utilizará para
realizar esta tarea?
• ¿Se usarán los grupos de Azure AD? ¿Qué estrategia utilizará para
gestionar colecciones de usuarios en grupos? ¿Su organización
utilizará una convención de nomenclatura grupal?
Aprenderá más sobre cómo realizar tareas de administración de usuarios

más adelante en este capítulo.
Implementar y administrar el restablecimiento de contraseña de autoservicio

de Azure AD
Algo que es difícil de implementar en un entorno local, pero que es

relativamente sencillo de implementar en un entorno que usa Azure AD
como fuente de autoridad de identidad, es el autoservicio de
restablecimiento de contraseñas. Un restablecimiento de contraseña de
autoservicio permite al usuario restablecer su propia contraseña cuando
la olvida, en lugar de tener que ponerse en contacto con la mesa de
servicio y hacer que un miembro del personal de TI realice la tarea por
ellos. Para habilitar el autoservicio de restablecimiento de contraseña,
realice los siguientes pasos:
1. Abra el portal de Azure Active Directory

en https://aad.portal.azure.com con una cuenta que tenga permisos
de administrador de inquilinos.
2. En el Centro de administración de Azure Active Directory, haga clic
en el nodo Usuarios . Esto abrirá la hoja Usuarios como se muestra
en la Figura 2-34 .
Figura 2-34 Centro de administración de Azure Active Directory
3. En la hoja Usuarios del centro de administración de Azure Active

Directory, haga clic en Restablecer contraseña .
4. En la página Restablecimiento de contraseña - Propiedades, haga
clic en Todo , como se muestra en la Figura 2-35 , para habilitar el
restablecimiento de contraseña de autoservicio para todos los
usuarios de Microsoft 365.
Figura 2-35 Habilitar el restablecimiento de contraseña de autoservicio
Una vez habilitado, los usuarios recibirán información adicional la

próxima vez que inicien sesión, que se utilizará para verificar su identidad
si utilizan la herramienta de autoservicio para restablecer la
contraseña. Los usuarios pueden restablecer sus contraseñas navegando
al sitio web https://passwordreset.microsoftonline.com , que se muestra en
la Figura 2-36 , y completando el formulario.
Figura 2-
36 Habilitar el restablecimiento de contraseña de autoservicio
Más información Autoservicio Restablecimiento de contraseña
Puede obtener más información sobre cómo configurar la contraseña de

autoservicio en: https://docs.microsoft.com/office365/admin/add-users/let-users-
reset-passwords .
Administrar revisiones de acceso
Puede revisar el acceso de un usuario a los recursos de Microsoft 365 a

través de la consola de Azure Active Directory. Para realizar esta tarea,
abra la página de propiedades del usuario y seleccione la sección de
inicios de sesión de la hoja Administración de usuarios. La figura 2-
37 muestra la actividad de inicio de sesión de la cuenta de administrador
utilizada para administrar un arrendamiento de Microsoft 365.
Figura 2-37 Ver actividad de inicio de sesión
El nodo de registros de auditoría le permitirá revisar las acciones

realizadas por las cuentas. La figura 2-38 muestra que las acciones
realizadas por la cuenta utilizada para la administración de inquilinos de
Microsoft 365 se registran para su revisión.
Figura 2-38 Registro de auditoría
Administrar grupos
Los grupos le permiten reunir usuarios y luego asignarles privilegios y

acceso a cargas de trabajo o servicios. En lugar de asignar privilegios y
acceso a cargas de trabajo o servicios directamente a los usuarios, puede
asignar estos derechos a un grupo y luego asignarlos indirectamente a los
usuarios agregando las cuentas de usuario al grupo apropiado. El uso de
grupos de esta manera es una práctica administrativa de larga data,
porque le permite determinar el nivel de acceso y los derechos de un
usuario al observar las membresías de grupo del usuario, en lugar de
verificar cada carga de trabajo y servicio para determinar si a la cuenta de
usuario se le han asignado derechos. a ese servicio.
Puede usar la consola administrativa de Azure AD para administrar

grupos. Azure AD admite dos tipos de grupos: grupos de Office 365 y
grupos de seguridad. La Figura 2-39 muestra la selección del tipo de
grupo al crear el grupo. Los grupos de Office 365 se utilizan para la
colaboración entre usuarios. Estos usuarios pueden estar dentro o fuera
de la organización. Cada grupo de Office 365 tiene una dirección de correo
electrónico asociada, un espacio de trabajo compartido para
conversaciones, una ubicación compartida para archivos, eventos de
calendario y un planificador. Los grupos de seguridad se utilizan para
otorgar acceso a recursos específicos de Microsoft 365, como los sitios de
SharePoint. Los grupos de seguridad pueden contener cuentas de usuario
y cuentas de dispositivos. Los grupos relacionados con dispositivos se
usan con mayor frecuencia con servicios como Intune.
Figura 2-39 Crear grupo de Azure
AD
La membresía de grupo para ambos tipos de grupo se puede configurar

como asignada o dinámica. Cuando se selecciona la opción asignada, la
membresía se administra manualmente. Cuando se selecciona la opción
dinámica, la pertenencia al grupo se determina en función de los
resultados de una consulta contra los atributos de usuario o
dispositivo. Por ejemplo, puede tener un usuario ubicado en un
departamento o ciudad específicos que puede ser administrado por una
persona específica. La figura 2-40 muestra un grupo de Office 365 con
membresía dinámica, donde a los usuarios que tienen el departamento de
marketing se les asignará automáticamente la membresía del grupo.
Figura 2-40 Membresía de grupo dinámico de Office 365
La fuente de autoridad es importante a la hora de realizar modificaciones

en usuarios y grupos. Recuerde que las modificaciones que se producen
en el Active Directory local sobrescriben el estado actual de los objetos
dentro de la instancia de Azure Active Directory que admite la tenencia de
Microsoft 365. La única excepción a esta regla es la asignación de
licencias, que solo ocurre con el Centro de administración de Microsoft
365 o las herramientas de Microsoft PowerShell.
Las modificaciones realizadas en los objetos de grupo y usuario locales

solo estarán presentes en la instancia de Azure Active Directory que
admita la tenencia de Microsoft 365 después de que se haya producido la
sincronización. De forma predeterminada, la sincronización se produce
cada 30 minutos. Puede forzar que se produzca la sincronización
mediante la herramienta Administrador de servicios de sincronización o
mediante Microsoft PowerShell.
Con la supresión, el concepto de fuente de autoridad vuelve a ser muy

importante. Cuando desee eliminar una cuenta de usuario o grupo creada
en la instancia de Active Directory local, debe usar herramientas, como
Usuarios y equipos de Active Directory, o el Centro de administración de
Active Directory, para eliminar ese usuario. Cuando elimina el usuario o el
grupo con este método, el usuario se eliminará de la instancia de Active
Directory local y, luego, cuando se produzca la sincronización, se
eliminará de la instancia de Azure Active Directory que admita la tenencia
de Microsoft 365.
Cuando elimina un usuario de Microsoft 365, su cuenta permanece en la

Papelera de reciclaje de Azure Active Directory durante 30 días. Esto
significa que puede recuperar la cuenta en línea si fuera necesario. Si
elimina un usuario de su entorno de Active Directory local, pero ha
habilitado la Papelera de reciclaje de Active Directory local, la
recuperación del usuario de la Papelera de reciclaje de Active Directory
local recuperará la cuenta de usuario en Microsoft 365. Si no lo hace Si
tiene habilitada la Papelera de reciclaje de Active Directory, deberá crear
otra cuenta con un nuevo GUID.
En algunos casos, la sincronización no funciona correctamente y los

objetos que se eliminan de la instancia de Active Directory local no se
eliminan de la instancia de Azure Active Directory que admite la tenencia
de Microsoft 365. En esta circunstancia, puede usar los cmdlets Remove-
MsolUser, Remove-MsolGroup o Remove-MsolContact de Microsoft
PowerShell para quitar manualmente el objeto huérfano.
Puede usar los siguientes comandos de PowerShell del módulo AzureAD

para administrar los grupos de Azure AD:
• Get-AzureADGroup Proporciona información sobre los grupos de

Azure AD.
• New-AzureADGroup Crea un nuevo grupo de Azure AD.
• Set-AzureADGroup Configura las propiedades de un grupo de
Azure AD.
• Remove-AzureADGroup Quita un grupo de Azure AD.
• Add-AzureADGroupMember Agrega un usuario a un grupo de
Azure AD.
• Remove-AzureADGroupMember Quita un usuario de un grupo de
Azure AD.
• Add-AzureADGroupOwner Agrega un usuario como propietario
de un grupo de Azure AD. Otorga al usuario privilegios de
administración de grupo limitados.
• Remove-AzureADGroupOwner Quita un usuario como
propietario de un grupo de Azure AD.
Más información Azure AD Groups
Puede obtener más información sobre los grupos de Azure AD

en: https://docs.microsoft.com/azure/active-directory/fundamentals/active-
directory-groups-view-azure-portal .
Gestionar contraseñas
Lo único que las personas olvidan con más frecuencia que dónde han
puesto sus claves es cuál es su contraseña. Como alguien que es
compatible con Microsoft 365, es muy probable que si no ha habilitado el
restablecimiento de contraseña de autoservicio, o incluso si lo ha hecho,
tendrá que restablecer las contraseñas de usuario de forma semi-regular.
Para restablecer una contraseña de usuario de Microsoft 365, realice los

siguientes pasos:
1. En el Centro de administración de Microsoft 365, seleccione el

usuario cuya contraseña desea restablecer en la lista de usuarios
activos seleccionando la casilla de verificación junto al nombre del
usuario.
2. En la página de propiedades del usuario, haga clic en el
botón Restablecer contraseña que se muestra en la Figura 2-41 .
Figura 2-41 Botón Restablecer contraseña
3. En la página Restablecer contraseña, que se muestra en la Figura 2-

42 , elija si desea tener una contraseña generada automáticamente,
crear una contraseña o seleccionar si la contraseña debe cambiarse
la próxima vez que el usuario inicie sesión .
Figura 2-42 Restablecimiento de contraseña
4. Será necesario proporcionar al usuario la contraseña generada

automáticamente o la contraseña de administrador a través de un
canal seguro, como en persona o por teléfono.
Puede restablecer la contraseña de un usuario a través de PowerShell

usando el cmdlet Set-MsolUserPassword usando la sintaxis:

Set-MsolUserPassword -UserPrincipalName <UPN> -NewPassword
<NewPassword> -
ForceChangePassword $ True
Puede configurar la política de caducidad de la contraseña para todos los

usuarios realizando los siguientes pasos:
1. En el Centro de administración de Microsoft 365,
seleccione Seguridad y privacidad en Configuración, como se
Figura 2-43 Seguridad y privacidad
2. Junto a Política de contraseñas, haga clic en Editar .

3. En la página Política de contraseñas, que se muestra en la Figura 2-
44 , puede elegir que las contraseñas nunca caduquen, o puede
configurar las contraseñas para que caduquen después de un
número específico de días. También puede configurar el número de
días antes de que se informe a un usuario que su contraseña
caducará.
Figura 2-44 Política de contraseñas

Más información Restablecer contraseñas de usuario
Puede obtener más información sobre cómo restablecer las contraseñas de

usuario de Microsoft 365 en: https://docs.microsoft.com/office365/admin/add-
users/reset-passwords .
Administrar licencias de productos
Los usuarios necesitan licencias para utilizar los servicios y productos de

Microsoft 365. Para asignar una licencia a un usuario, realice los
siguientes pasos:
1. En la consola de Microsoft 365, seleccione el nodo Usuarios activos

en Usuarios como se muestra en la Figura 2-45 .
Figura 2-45 Usuarios activos
2. Seleccione la casilla de verificación junto al usuario al que desea

asignar una licencia. Esto abrirá la página de propiedades del
usuario, como se muestra en la Figura 2-46 .
Figura 2-46 Página de propiedades del usuario
3. En la página de propiedades del usuario, haga clic en Editar junto a

Licencias de productos. Se le proporcionará un menú desplegable
de ubicación y la capacidad de asignar licencias para Enterprise
Mobility and Security, Office 365 Enterprise y Windows 10
Enterprise, como se muestra en la Figura 2-47 .
Figura 2-47 Página de licencias de productos
4. Haga clic en Guardar para asignar las licencias al usuario.
Es importante recordar que a las cuentas de usuario creadas en Microsoft

365 mediante el proceso de sincronización no se les asignarán
automáticamente licencias de Microsoft 365. Esto significa que cuando
crea nuevas cuentas de usuario en el entorno local después de haber
configurado inicialmente Azure AD Connect, también deberá usar el
Centro de administración de Microsoft 365, o PowerShell, para
aprovisionar esas cuentas con licencias de Microsoft 365.
Uno de los métodos más sencillos para asignar licencias a una gran
cantidad de cuentas es mediante PowerShell. Para realizar esta tarea con
Microsoft PowerShell, primero debe asegurarse de que se establezca una
ubicación de uso para cada usuario sin licencia y luego asignar una
licencia con el identificador de SKU adecuado.
Para determinar qué usuarios de Microsoft 365 no se han configurado

correctamente con una licencia, promulgue el siguiente comando de
Microsoft PowerShell:

Get-MsolUser –UnlicensedUsersOnly
Para asignar a todos los usuarios sin licencia a una ubicación específica,
use el siguiente comando, donde <ubicación> es la ubicación a la que
desea asignar los usuarios sin licencia:

Get-MsolUser –UnlicensedUsersOnly | Set-MsolUser –UsageLocation
<ubicación>
Deberá aplicar el ID de SKU de la cuenta a cada cuenta. La forma en que

puede hacer esto es primero asignando información de SKU a una
variable con el siguiente comando:
$ Sku = Get-MsolAccountSku
Una vez que tenga esta información, puede usar el siguiente comando
para aplicar el ID de SKU de cuenta apropiado para obtener la licencia
correcta de cada cuenta.

Get-MsolUser –UnlicensedUsersOnly | Set-MsolUser –AddLicenses $
Sku.AccountSkuID
Más información Asignar licencias a usuarios
Puede obtener más información sobre cómo asignar licencias a usuarios

en: https://docs.microsoft.com/office365/admin/subscriptions-and-billing/assign-
licenses-to-users .
Administrar usuarios
Puede usar el Centro de administración de Microsoft 365, el Centro de

administración de Azure AD o Azure PowerShell para administrar las
cuentas de usuario de Azure AD. El Centro de administración de Azure AD
le ofrece un mayor conjunto de opciones para administrar las
propiedades de las cuentas de usuario que el Centro de administración de
Microsoft 365, porque puede editar las propiedades de usuario
extendidas como se muestra en la Figura 2-48 .
Figura 2-48 Página de propiedades del usuario
Para crear un nuevo usuario de Azure AD, realice los siguientes pasos:
1. En la consola de Azure AD, seleccione Usuarios - Todos los

usuarios y luego haga clic en Nuevo usuario .
2. En la hoja Nuevo usuario, que se muestra en la Figura 2-49 ,
proporcione la siguiente información:
1. Nombre El nombre real del usuario.
2. Nombre de usuario El nombre de inicio de sesión del usuario en
formato UPN.
3. Perfil El nombre, apellido, cargo y departamento del usuario.
4. Propiedades Esto especifica la fuente de autoridad para el
usuario. De forma predeterminada, si está creando el usuario mediante el
Centro de administración de Azure AD o el Centro de administración de
Microsoft 365, este será Azure Active Directory.
5. Grupos Esto define a qué grupos debe pertenecer el usuario.
6. Función de directorio Elija si la cuenta tiene una función de
usuario, administrador global o administrador limitado.
7. Contraseña Esta como contraseña generada automáticamente. Con
la opción Mostrar contraseña , puede transmitir la contraseña al usuario
a través de un canal seguro.
Figura 2-49 Página de
propiedades de nuevo usuario
También puede usar el Centro de administración de Azure AD para

realizar las siguientes tareas de administración de usuarios:
• Actualizar la información del perfil

• Asignar roles de directorio
• Administrar la membresía del grupo
• Administrar licencias
• Administrar dispositivos
• Administrar el acceso a los recursos de Azure
• Administrar métodos de autenticación
Más información Creación de usuarios de Azure AD
Puede obtener más información sobre los cmdlets de Azure AD PowerShell para
administrar usuarios en: https://docs.microsoft.com/powershell/azure/active-
directory/new-user-sample .
Realice una gestión de usuarios masiva
La mejor herramienta para realizar la administración masiva de usuarios

son los comandos de PowerShell relacionados con Azure AD. Puede
utilizar los siguientes comandos, algunos de los cuales se muestran en
la Figura 2-50 , para realizar secuencias de comandos de tareas de
administración de usuarios en masa:
• New-AzureADUser Cree un nuevo usuario de Azure AD.

• Get-AzureADUser Recupera información sobre uno o más usuarios
de Azure AD.
• Set-AzureADUser Configure las propiedades de un usuario de
Azure AD.
• Remove-AzureADUser Elimina una cuenta de usuario de Azure
AD.
• Get-AzureADUserMembership Ver la pertenencia al grupo de un
usuario de Azure AD específico.
• Set-AzureADUserPassword Administra las contraseñas de los
usuarios de Azure AD.
Figura 2-50 cmdlets de PowerShell relacionados con el usuario
Más información Cmdlets de Powershell de gestión de usuarios
Puede obtener más información sobre los cmdlets de Azure AD PowerShell para
administrar usuarios
en: https://docs.microsoft.com/powershell/module/azuread/?view=azureadps-
2.0#users .
Recuerde qué cmdlets de PowerShell usa para agregar y quitar usuarios

de grupos.
HABILIDAD 2.5: GESTIONAR ROLES DE USUARIO
Esta sección de habilidades trata sobre la administración de roles de

usuario dentro de Azure Active Directory. Para dominar esta habilidad,
deberá comprender cómo planificar roles de Azure AD, asignar roles,
configurar cuentas administrativas, configurar Azure AD RBAC, delegar
derechos de administrador, administrar roles de administrador y
planificar roles de seguridad y cumplimiento.

• Planificar roles de usuario
• Asignar roles en cargas de trabajo
• Configurar cuentas administrativas
• Configurar RBAC en Azure AD
• Derechos de administrador delegado
• Gestionar roles de administrador
• Administrar las asignaciones de roles mediante Azure AD
• Planear roles de seguridad y cumplimiento para Microsoft 365
Planificar roles de usuario
En lugar de asignar a todos los usuarios que necesitan realizar tareas

administrativas como miembros del rol de administradores globales, el
enfoque de una organización para la planificación y asignación de roles de
usuario debe seguir el principio de privilegio mínimo. Este principio dicta
que debe asignar los privilegios mínimos necesarios a una cuenta que se
requieren para que el usuario asociado con esa cuenta realice tareas. Al
planificar los roles de los usuarios, determine con precisión qué tareas
debe realizar el usuario y luego asígneles el rol que les permita realizar
solo esas tareas. Por ejemplo, si un técnico de la mesa de soporte necesita
poder restablecer las contraseñas, asigne a ese técnico la función de
Administrador de contraseñas en lugar de una función más privilegiada,
como Administrador de seguridad o Administrador global.
Asignar roles en cargas de trabajo
Varios roles de Azure AD, como administrador de Exchange,

administrador de Intune y administrador de SharePoint, son específicos
para determinadas cargas de trabajo de Microsoft 365. Estos roles a
menudo brindan derechos administrativos completos para esas cargas de
trabajo, pero no brindan permisos administrativos más allá de esas cargas
de trabajo. En organizaciones donde el personal es responsable de una o
más cargas de trabajo de Microsoft 365, pero no es responsable de tareas
como la administración de usuarios u otras cargas de trabajo, asegúrese
de seguir el principio de privilegio mínimo y solo asigne roles a nivel de
carga de trabajo.
Gestionar roles de administrador
Azure Active Directory incluye una gran cantidad de roles que brindan
una variedad de permisos para diferentes aspectos de las cargas de
trabajo de Azure AD y Microsoft 365. Estos roles y los permisos que
otorgan se enumeran en la Tabla 2-3.
Tabla 2-3 Roles de Azure AD
Papel Descripción
Administrador de Puede administrar aplicaciones empresariales, registro

aplicaciones y configuraciones de proxy de aplicaciones.
Desarrollador de aplicaciones Puede crear registros de aplicaciones.
Puede ver la configuración actual del método de auten

Administrador de
establecer o restablecer credenciales sin contraseña. P
autenticación
en el próximo inicio de sesión.
Puede comprar y administrar suscripciones. Puede adm

Administrador de facturación
de soporte y monitorear el estado del servicio.
Administrador de Puede administrar todos los aspectos de las aplicacion

aplicaciones en la nube empresariales, pero no puede administrar el proxy de
Puede habilitar, deshabilitar y quitar dispositivos en A

Administrador de dispositivos
ver las claves de cifrado de la unidad BitLocker de Win
en la nube
de Azure Portal.
Administre funciones en el centro de cumplimiento de

Administrador de
Centro de administración de Microsoft 365, Azure y el
cumplimiento
cumplimiento y seguridad de Microsoft 365.
Administrador de acceso Derechos administrativos sobre la configuración de ac

condicional de Azure AD.
Aprobador de acceso a la caja Gestiona las solicitudes de caja de seguridad de los clie
de seguridad del cliente puede habilitar y deshabilitar la función de caja de seg
Los usuarios a los que se les asigne esta función se con

Administradores del
administradores locales en todos los equipos que ejecu
dispositivo
que están unidos a Azure AD.
Función de las aplicaciones que no admiten el marco d
Lectores de directorios
consentimiento. No debe asignarse a usuarios.
Cuentas de sincronización de Asignado al servicio Azure AD Connect y no se usa para

directorios usuario.
Una función heredada asignada a aplicaciones que no a

Escritores de directorio de consentimiento. Solo debe asignarse a aplicaciones
usuario.
Administrador de Dynamics
Acceso administrativo a Dynamics 365 Online.
365 / Administrador de CRM
Administrador de Exchange Acceso administrativo a Exchange Online.
Acceso administrativo a todas las funciones de Azure A

acceso administrativo a los servicios que usan las iden
AD, incluido el centro de seguridad de Microsoft 365, e
Administrador global / cumplimiento de Microsoft 365, Exchange Online, Shar
Administrador de la empresa Skype for Business Online. La cuenta utilizada para reg
arrendamiento se convierte en el administrador global
administradores globales pueden restablecer las contr
cualquier usuario, incluidos otros administradores glo
Puede administrar las invitaciones de usuarios invitad

Invitadora invitada
B2B.
Tiene la capacidad de administrar todos los aspectos d

Administrador de protección Information Protection, incluida la configuración de et
de la información administración de plantillas de protección y la activaci
protección.
Administrador de Intune Tiene todos los derechos administrativos sobre Micros
Puede administrar asignaciones de licencias en usuario

Administrador de licencia
pueden comprar ni administrar suscripciones.
Puede monitorear notificaciones y avisos de Microsoft

Lector del centro de mensajes
mensajes de Microsoft 365.
Capaz de realizar las siguientes tareas para todos los u
aquellos que tienen roles administrativos:
Administrador de contraseñas
• Cambiar contraseñas
/ Administrador del servicio
• Invalidar tokens de actualización
de asistencia técnica
• Gestionar solicitudes de servicio
• Supervisar el estado del servicio
Administrador de Power BI Tiene permisos de administrador sobre Power BI.
Administrador de funciones Puede administrar todos los aspectos de Azure AD Priv

privilegiadas Management. Puede administrar asignaciones de roles
Puede ver los datos de los informes en el panel de infor

Lector de informes
365.
Tiene acceso de nivel de administrador para administr

de seguridad en el centro de seguridad de Microsoft 36
Administrador de seguridad
Identity Protection, Azure Information Protection y el C
cumplimiento y seguridad de Microsoft 365.
Tiene acceso de solo lectura a las funciones de segurid

Lector de seguridad
con la seguridad de Microsoft 365.
Administrador de soporte de Puede abrir y ver solicitudes de soporte con Microsoft

servicio relacionados con Microsoft 365.
Tiene permisos de administrador global para cargas de

Administrador de SharePoint
SharePoint Online.
Administrador de Skype Tiene permisos de administrador global para cargas de

Empresarial / Lync Empresarial.
Administrador de equipos Puede administrar todos los elementos de Microsoft Te
Puede administrar cargas de trabajo de Teams relacion

Administrador de
telefonía, incluida la asignación de números de teléfon
comunicaciones de Teams
y reuniones.
Puede solucionar problemas de comunicación en Team
Ingeniero de soporte de
Empresarial. Puede ver los detalles de los registros de
los participantes en una conversación.
Puede solucionar problemas de comunicación en Team

Especialista en soporte de
Empresarial. Solo puede ver los detalles del usuario en
usuario específico.
Puede crear y administrar cuentas de usuario. Puede c

Administrador de cuentas de
grupos. Puede administrar las vistas de los usuarios, lo
usuario
soporte y monitorear el estado del servicio.
Más información Funciones de administrador de Azure AD
Puede obtener más información sobre los roles de administrador de Azure AD

en: https://docs.microsoft.com/azure/active-directory/users-groups-
roles/directory-assign-admin-roles .
Configurar RBAC en Azure AD
Azure RBAC (control de acceso basado en roles) le permite configurar un

control de acceso detallado a los recursos de Azure, como máquinas
virtuales y cuentas de almacenamiento. Cuando configura RBAC, asigna
un rol y un alcance, siendo el alcance el recurso que desea
administrar. Azure RBAC incluye más de 70 roles. Una lista completa de
los detalles de los 70 está más allá del alcance de este texto, pero hay
cuatro roles fundamentales que los responsables de administrar
Microsoft 365 deben conocer, que pueden asignarse a suscripciones,
grupos de recursos o recursos específicos de Azure. Estos roles son:
• Propietarios Los usuarios que tienen este rol tienen acceso

completo a todos los recursos dentro del alcance de la asignación y
pueden delegar el acceso a otros.
• Los usuarios colaboradores que tienen este rol pueden crear y
administrar recursos dentro del alcance de la asignación, pero no
pueden otorgar acceso a otros.
• Lectores Los usuarios que tienen este rol pueden ver los recursos
dentro del alcance de la asignación, pero no pueden realizar otras
tareas y no pueden otorgar acceso a otros.
• Administrador de acceso de usuarios Puede administrar el
acceso de los usuarios a los recursos de Azure dentro del alcance de
la asignación.
Más información Azure RBAC
Puede obtener más información sobre Azure RBAC

en: docs.microsoft.com/azure/role-based-access-control/rbac-and-directory-admin-
roles .
Derechos de administrador delegado
Para ver a qué usuarios se les asigna un rol específico, realice los
siguientes pasos:
1. En el Centro de administración de Azure AD, seleccione Roles y

administradores , como se muestra en la figura 2-51 .
Figura 2-51 Funciones y administradores
2. Haga clic en el rol del que desea conocer la membresía. La figura 2-

52 muestra los miembros del rol de administradores de
contraseñas.
Figura 2-52 Miembros del rol de administradores de contraseñas
Puede usar los siguientes cmdlets de Azure PowerShell para ver roles y
pertenencia a roles:
• Get-AzureADDirectoryRole Vea una lista de roles de Azure AD

Directory.
• Get-AzureADDirectoryRoleMember Ver la membresía asignada a
los usuarios en un rol de Azure AD Directory
Más información Delegación de derechos de administrador
Puede obtener más información sobre la delegación de derechos de administrador

en: https://docs.microsoft.com/azure/active-directory/users-groups-roles/roles-
concept-delegation .
Administrar las asignaciones de roles mediante Azure AD
Para asignar un usuario a un rol específico dentro de Azure AD, realice los
siguientes pasos:

administradores .
2. Seleccione el rol al que desea agregar un usuario. Esto abrirá la
página de propiedades del rol.
3. En la página de propiedades del rol, haga clic en Agregar
miembro . La Figura 2-53 muestra cómo agregar al usuario Adele
Vance al rol de Administrador de seguridad.
Puede usar los siguientes cmdlets de Azure PowerShell para administrar

la pertenencia a roles:
• Add-AzureADDirectoryRoleMember Agregue un usuario a un rol

de Azure AD Directory.
• Remove-AzureADDirectoryRoleMember Quita un usuario de un
rol de Azure AD Directory.
Más información Ver y asignar roles de administrador de Azure AD
Puede obtener más información sobre cómo ver y asignar roles de administrador
en: https://docs.microsoft.com/azure/active-directory/users-groups-
roles/directory-manage-roles-portal .
Configurar cuentas administrativas
Azure AD Privileged Identity Management (PIM) le permite hacer que la

asignación de roles sea temporal y supeditada a la aprobación, en lugar de
permanente, como es el caso de agregar manualmente un miembro al
rol. PIM requiere Azure AD P2 y debe estar habilitado antes de poder
configurarlo. Para configurar un rol administrativo de Azure AD para su
uso con PIM, realice los siguientes pasos:

administradores .
2. Seleccione el rol al que desea agregar un usuario. Esto abrirá la
página de propiedades del rol.
3. En la página de propiedades del rol, haga clic en Administrar en
PIM . El rol se abrirá y todos los miembros asignados
permanentemente al rol se enumerarán con el estado de
permanente como se muestra en la Figura 2-54 .
4. Seleccione el usuario que desea convertir de permanente a

elegible. Un usuario elegible puede solicitar acceso al rol, pero no
tendrá sus derechos y privilegios asociados hasta que se le otorgue
ese acceso. En la página de propiedades del usuario, haga clic
en Hacer elegible .
Puede editar las condiciones bajo las cuales se puede otorgar un usuario
elegible realizando los siguientes pasos:
1. En la hoja Privileged Identity Management, haga clic en Azure AD

Roles .
2. En Administrar, que se muestra en la Figura 2-55 , haga clic
en Configuración .
Figura 2-55 Administrar PIM
3. Haga clic en Roles y luego seleccione el rol que desea configurar. La

Figura 2-56 muestra la configuración de PIM para el rol de
administrador de seguridad donde la activación del rol puede
ocurrir durante una hora como máximo, pero donde no se requiere
MFA y aprobación.
Figura 2-56 Administrar PIM
Los usuarios pueden activar roles para los que son elegibles desde el área
Privileged Identity Management de la consola administrativa de Azure
AD. Los administradores con los permisos adecuados también pueden
usar el área Privileged Identity Management de la consola administrativa
de Azure AD para aprobar solicitudes que requieren aprobación y revisar
activaciones de roles.
Más información Gestión de identidad privilegiada

en: https://docs.microsoft.com/azure/active-directory/privileged-identity-
management/pim-configure .
Planear roles de seguridad y cumplimiento para Microsoft 365
El centro de cumplimiento y seguridad de Microsoft 365 incluye grupos

de roles predeterminados que son apropiados para las tareas de
cumplimiento y seguridad que se realizan con más frecuencia. Para
asignar permisos a los usuarios para realizar estas tareas, agréguelos al
grupo de roles apropiado en el Centro de cumplimiento y seguridad de
Microsoft 365. Estos grupos de roles de seguridad y cumplimiento de
Microsoft 365 se enumeran en la Tabla 2-4 .
Tabla 2-4 Grupos de roles de seguridad y cumplimiento
Grupo de
Descripción
funciones
Puede administrar la configuración de administración de dispositi

Administrador de
configuración de prevención de pérdida de datos y los informes de
cumplimiento
datos.
Puede realizar búsquedas y colocar reservas en sitios de SharePoi

Administrador de
ubicaciones de OneDrive para la empresa y buzones de correo de
eDiscovery
Online. Puede crear y administrar casos de exhibición de documen
Puede controlar los permisos para acceder al Centro de seguridad

Gestión de la
cumplimiento. También puede administrar la configuración para l
organización
pérdida de datos, administración de dispositivos, informes y conse
Gestión de
Gestione y elimine el contenido de los registros.
registros
Vea la lista de casos de exhibición de documentos electrónicos en

Crítico seguridad y cumplimiento. No se puede crear ni administrar casos
documentos electrónicos.
Todos los permisos del rol de lector de seguridad, además de los p

Administrador de administrativos para Azure Information Protection, Identity Prote
seguridad Privileged Identity Management, la capacidad de monitorear el es
de Office 365 y Microsoft 365 Security and Compliance Center.
Proporciona acceso de solo lectura a las funciones de seguridad de

Lector de
Protection Center, Privileged Identity Management, estado del ser
seguridad
365 y Microsoft 365 Security and Compliance Center.
Usuario de
Proporciona informes y documentación que explican las prácticas
garantía de
Microsoft para los datos de los clientes almacenados en Microsoft
servicio
Revisión de Capaz de crear y administrar políticas que medien qué comunicac

supervisión sujetas a revisión.
Más información Funciones de seguridad y cumplimiento
Puede obtener más información sobre las funciones de seguridad y cumplimiento

en: https://docs.microsoft.com/office365/securitycompliance/permissions-in-the-
security-and-compliance-center .
Recuerde la funcionalidad de los diferentes roles de seguridad y

cumplimiento que se pueden asignar a los usuarios.
EXPERIMENTO MENTAL

Está en el proceso de consultar a Adatum sobre su solución de

sincronización planificada que les permitirá replicar la cuenta de usuario,
la cuenta de grupo y los contactos habilitados para correo desde su
entorno de Active Directory local a una instancia de Azure Active
Directory que admita un arrendamiento de Office 365. . El entorno de
Adatum consta de tres bosques con 21 dominios separados. Una
evaluación preliminar con la herramienta IdFix descubrió que es
necesario realizar cambios masivos en ciertos atributos que se usan con
las cuentas de usuario antes de que pueda comenzar la sincronización
entre el entorno local y Azure Active Directory. Antes de la
implementación a gran escala de la sincronización, también será
necesario contar con procedimientos de recuperación sólidos en caso de
que se eliminen una o más cuentas. Por último, todas las cuentas de
Adatum están en unidades organizativas basadas en geografía.
Con esto en mente, responda las siguientes preguntas:
1. ¿Cuántas instancias de Azure AD Connect son necesarias para

sincronizar el entorno de Adatum con una única instancia de Azure
AD?
2. ¿Qué herramienta, además de Microsoft PowerShell, se podría
utilizar para modificar de forma masiva los atributos de las cuentas
de usuario seleccionadas en Adatum?
3. ¿Cómo puede asegurarse de que los miembros del departamento de
investigación no tengan sus cuentas sincronizadas con la instancia
de Azure Active Directory que admite el arrendamiento de Office
365?
4. ¿Qué función puede habilitar en la instancia de Active Directory
local que le permitirá recuperar una cuenta eliminada
accidentalmente sin tener que volver a crearla con un nuevo GUID?
5. ¿Cuánto tiempo se eliminan los objetos de la instancia de Azure
Active Directory que se usa para admitir la recuperación de Office
365?

1. Solo necesita una única instancia de Azure AD Connect para

sincronizar desde tres bosques de Active Directory separados.
2. ADModify.NET se puede utilizar para modificar de forma masiva los
atributos de las cuentas de usuario seleccionadas en Adatum.
3. Puede configurar Azure AD Connect para replicar solo unidades
organizativas específicas. También puede utilizar herramientas
como el editor de reglas de sincronización si son necesarias reglas
de sincronización más complicadas.
4. Habilitar la Papelera de reciclaje de Active Directory le permite
recuperar una cuenta eliminada accidentalmente sin tener que
volver a crearla con un nuevo GUID.
5. Los objetos se pueden recuperar de la Papelera de reciclaje de
Azure Active Directory durante 30 días.
• Al determinar una estrategia de identidad adecuada, averigüe qué

identidades deben replicarse en la nube, con qué frecuencia debe
ocurrir esa replicación y qué aspectos de esas identidades deben
replicarse.
• Es necesario un enfoque híbrido cuando la instancia de Active
Directory local todavía está en funcionamiento.
• Azure AD Connect se puede instalar en un servidor miembro local y
permitirá la sincronización de identidades y hash de contraseñas en
Azure AD.
• Antes de implementar Azure AD Connect, el directorio local debe
limpiarse para quitar cualquier configuración actual que pueda
bloquear la sincronización correcta. Se pueden utilizar
herramientas como la herramienta IdFix y ADModify.NET para
realizar esta tarea.
• Si su directorio local usa un dominio no enrutable, deberá
actualizar las cuentas locales con un sufijo UPN que sea enrutable y
esté configurado para funcionar con Microsoft 365. Este será
normalmente un nombre de dominio registrado asociado con el
arrendamiento.
• La sincronización de contraseñas con Azure AD Connect sincroniza
los valores hash de las contraseñas del entorno local a Azure AD. Se
puede configurar para que la contraseña se vuelva a escribir si está
habilitado el restablecimiento de autoservicio.
• La autenticación PassThrough tiene la contraseña del usuario
validada con una instancia de AD local. Esto requiere que un agente
esté instalado en un controlador de dominio local.
• La federación de Active Directory es adecuada para entornos con
requisitos de identidad más sofisticados que los que atiende la
sincronización de contraseña de Azure AD Connect o la
autenticación PassThrough.
• El estado de Azure AD Connect se puede supervisar a través de la
consola del Centro de administración de Azure Active Directory.
• La sincronización se puede forzar mediante Synchronization
Service Manager o mediante PowerShell.
• Las identidades de Azure AD se pueden administrar a través del
centro de administración de Azure Active Directory, el centro de
administración de Microsoft 365 o Azure PowerShell.
• Los restablecimientos de contraseña de autoservicio permiten a los
usuarios restablecer sus contraseñas después de responder
preguntas relacionadas con su identidad.
• Azure AD admite dos tipos de grupo, grupos de Office 365 y grupos
de seguridad. Los grupos de Office 365 tienen acceso a recursos
adicionales de O365, como un buzón y un calendario
compartidos. La membresía se puede asignar directamente o
configurar dinámicamente mediante una consulta de atributos de
Azure AD.
• Los usuarios deben tener asignadas licencias para usar los recursos
de Microsoft 365. Esta tarea se puede realizar a través del Centro de
administración de Microsoft 365 o el Centro de administración de
Azure AD.
• Puede delegar privilegios administrativos asignando roles. Debe
seguir el principio de privilegios mínimos y asignar a los usuarios
únicamente los permisos administrativos mínimos necesarios para
realizar sus funciones.
Capítulo 3
Gestionar el acceso y la autenticación
La identidad se está volviendo cada vez más importante como plano de
control de seguridad dado que más servicios se están trasladando a la
nube. Esto significa que, en lugar de preocuparse por la configuración
del firewall o por los servicios que se ejecutan en un servidor al
administrar la postura de seguridad de su organización, debe
preocuparse cada vez más por las prácticas de seguridad de su
organización en torno a las identidades. Esto incluye garantizar que las
credenciales de Microsoft 365 se utilicen de manera segura, que se
detecte y corrija la actividad de inicio de sesión de riesgo, que se
configure la autenticación multifactor cuando corresponda y que se
puedan establecer relaciones con los proveedores de identidad de la
organización asociada cuando corresponda. En este capítulo, aprenderá
cómo ver los datos de auditoría y los informes de seguridad
relacionados con la identidad, cómo configurar la autenticación
multifactor, cómo configurar el acceso a las aplicaciones para los
usuarios y cómo integrar esas aplicaciones en Azure Active
Directory. También aprenderá qué pasos puede seguir para permitir
que las personas dentro de su organización compartan contenido con
personas fuera de la organización, con organizaciones asociadas o
personas solas.
Habilidades cubiertas en este capítulo:

• Gestionar la autenticación
• Implementar la autenticación multifactor (MFA)
• Configurar el acceso a la aplicación
• Implementar el acceso para usuarios externos de cargas de
trabajo de Microsoft 365
HABILIDAD 3.1: GESTIONAR LA AUTENTICACIÓN

Esta sección de habilidades trata sobre la administración de la
autenticación para cargas de trabajo de Microsoft 365 y Office 365. Para
dominar esta habilidad, deberá comprender el proceso de diseño de un
método de autenticación, configurar, administrar e implementar la
autenticación y luego monitorear la autenticación.
• Método de autenticación de diseño
• Configurar la autenticación
• Implementar el método de autenticación
• Gestionar la autenticación
• Supervisar la autenticación
Método de autenticación de diseño

Al diseñar un método de autenticación para Microsoft 365, debe tomar
varias decisiones en torno a la autenticación básica y moderna, antes de
entrar en detalles sobre si desea implementar la autenticación multifactor
o no. La diferencia entre los dos es la siguiente:
• Autenticación básica Cuando un cliente realiza una
autenticación básica, transmite credenciales codificadas en base64
del cliente al servidor. Estas credenciales están protegidas contra la
interceptación dentro de una sesión cifrada de Transport Layer
Security (TLS). TLS es el protocolo sucesor de Secure Sockets Layer
(SSL). La autenticación básica también se denomina autenticación
de proxy cuando el cliente envía credenciales a un servicio
relacionado con Office 365 en Microsoft 365, y el servicio envía esas
credenciales a un proveedor de identidad en nombre del
cliente. Dependiendo de la configuración de la organización, el
proveedor de identidad puede ser Azure Active Directory o una
instancia local de Active Directory, si se pasa a través de Active
Directory Federation Services está configurado.
• Autenticación moderna En lugar de solo autenticación
basada en nombre de usuario y contraseña, la autenticación
moderna admite tecnologías como autenticación multifactor,
autenticación con tarjeta inteligente, autenticación basada en
certificados y proveedores de identidad de terceros basados en
SAML.
La autenticación heredada, utilizada por las aplicaciones cliente de Office
2013 de forma predeterminada, admite tanto la autenticación básica
como el asistente de inicio de sesión en línea de Microsoft. Office 2013
pasó del soporte general en octubre de 2018. El Asistente de inicio de
sesión en línea de Microsoft es un software especial que permite la
autenticación en una variedad de servicios en línea de Microsoft sin
requerir que el usuario final vuelva a ingresar sus credenciales con
regularidad. Las aplicaciones cliente de Office 2013 se pueden configurar
para admitir la autenticación moderna mediante la edición de las claves
de registro enumeradas en la Tabla 3-1 y que se muestran en la Figura 3-
1.
Tabla 3-1 Claves de registro de autenticación modernas
Clave de registro Ti
HKCU \ SOFTWARE \ Microsoft \ Office \ 15.0 \ Common \ Identity \ EnableADAL RE
HKCU \ SOFTWARE \ Microsoft \ Office \ 15.0 \ Common \ Identity \ Version RE
Figura 3-1 Claves de registro de Office 2013 para permitir el uso de la autenticación moderna
Las aplicaciones cliente de Office 2016 y versiones posteriores admiten la

autenticación moderna de forma predeterminada. Si bien es posible
configurar las aplicaciones cliente de Office 2016 y versiones posteriores
para que la autenticación moderna esté deshabilitada y solo se use la
autenticación básica, esto no se recomienda porque disminuirá
sustancialmente la seguridad.
Más información Comprender la autenticación moderna para aplicaciones
cliente de Office
Puede obtener más información sobre la autenticación básica y moderna y cómo
afecta a las aplicaciones cliente de Office
en: https://docs.microsoft.com/office365/enterprise/modern-auth-for-office-2013-
and-2016 .
Otro aspecto importante en el diseño de la autenticación es decidir qué
métodos de autenticación se admitirán si desea admitir el
restablecimiento de contraseña de autoservicio o la autenticación
multifactor de Azure, como se muestra en la Figura 3-2 .
Figura 3-2 Múltiples

métodos para verificar la identidad durante la autenticación
La Tabla 3.2 enumera los métodos de autenticación y dónde se pueden

utilizar.
Tabla 3.2 Métodos de autenticación y uso
Método de autentificación Donde se puede utilizar

Contraseña Autenticación multifactor y restablecimiento de cont
autoservicio
Preguntas de seguridad Solo restablecimiento de contraseña de autoservicio
Dirección de correo electrónico Solo restablecimiento de contraseña de autoservicio
Aplicación Microsoft Autenticación multifactor y restablecimiento de cont
Authenticator autoservicio
Token de hardware OATH Autenticación multifactor y restablecimiento de cont
autoservicio
SMS Autenticación multifactor y restablecimiento de cont
autoservicio
Llamada de voz Autenticación multifactor y restablecimiento de cont
autoservicio
Contraseñas de la aplicación Autenticación multifactor en algunos casos
Estos métodos de autenticación tienen las siguientes propiedades:
• Contraseña La contraseña asignada a una cuenta de Azure
AD es un método de autenticación. Si bien puede realizar una
autenticación sin contraseña, no puede deshabilitar la contraseña
como método de autenticación.
• Preguntas de seguridad Estas solo están disponibles para el
restablecimiento de contraseña de autoservicio de Azure AD y solo
se pueden usar con cuentas a las que no se les han asignado roles
administrativos. Las preguntas se almacenan en el objeto de
usuario dentro de Azure AD y un administrador no puede leerlas ni
modificarlas. Deben usarse junto con otro método. Azure AD
incluye las siguientes preguntas predefinidas y es posible crear
preguntas personalizadas:
• ¿En qué ciudad conoció a su primer cónyuge / pareja?
• ¿En que ciudad se reunieron tus padres?
• ¿En qué ciudad vive su hermano más cercano?
• ¿En qué ciudad nació tu padre?
• ¿En qué ciudad fue tu primer trabajo?
• ¿En qué ciudad nació tu madre?
• ¿En qué ciudad estabas el año nuevo del 2000?
• ¿Cuál es el apellido de tu maestro favorito en la escuela
secundaria?
• ¿Cuál es el nombre de la universidad a la que solicitó
pero no asistió?
• ¿Cómo se llama el lugar en el que celebró su primera
recepción nupcial?
• ¿Cuál es el segundo nombre de tu padre?
• ¿Cuál es tu comida favorita?
• ¿Cuál es el nombre y apellido de su abuela materna?
• ¿Cuál es el segundo nombre de tu madre?
• ¿Cuál es el mes y año del cumpleaños de su hermano
mayor? (por ejemplo, noviembre de 1985)
• ¿Cuál es el segundo nombre de su hermano mayor?
• ¿Cuál es el nombre y apellido de su abuelo paterno?
• ¿Cuál es el segundo nombre de su hermano menor?
• ¿A qué escuela asistió en sexto grado?
• ¿Cuál fue el nombre y apellido de tu mejor amigo de la
infancia?
• ¿Cuál fue el nombre y apellido de su primera pareja?
• ¿Cuál era el apellido de su maestro de escuela primaria
favorito?
• ¿Cuál fue la marca y el modelo de su primer automóvil o
motocicleta?
• ¿Cómo se llamaba la primera escuela a la que asistió?
• ¿Cómo se llamaba el hospital en el que nació?
• ¿Cómo se llamaba la calle de la primera casa de su
infancia?
• ¿Cómo se llamaba el héroe de su infancia?
• ¿Cómo se llamaba su peluche favorito?
• ¿Cuál era el nombre de tu primera mascota?
• ¿Cuál era su apodo de la infancia?
• ¿Cuál fue tu deporte favorito en la escuela secundaria?
• ¿Cuál fue su primer trabajo?
• ¿Cuáles fueron los últimos cuatro dígitos del número de
teléfono de su niñez?
• Cuando eras joven, ¿qué querías ser de mayor?
• ¿Quién es la persona más famosa que has conocido?
• Dirección de correo electrónico Solo se usa para
restablecimientos de contraseñas de autoservicio de Azure
AD y debe ser independiente de la dirección de correo
electrónico de Microsoft 365 Exchange Online del usuario.
• La aplicación de autenticación de Microsoft está
disponible para Android e iOS. O implica que se notifique al
usuario a través de la aplicación móvil y se le pida que
seleccione el mismo número en la aplicación móvil que se
muestra en el mensaje de inicio de sesión, o que el usuario
ingrese un conjunto de números que cambian
periódicamente que se muestran en la aplicación móvil.
• Tokens de hardware OATH Azure AD admite el uso
de tokens OATH-TOTP SHA-1 de 30 y 60 segundos. Las
claves secretas pueden tener un máximo de 128
caracteres. Una vez que se adquiere un token, se debe cargar
en formato separado por comas, incluido el UPN, el número
de serie, la clave secreta, el intervalo de tiempo, el fabricante
y el modelo.
• Teléfono móvil Puede usarse para enviar un código a
través de un mensaje de texto que debe ingresarse en un
cuadro de diálogo para completar la autenticación, o cuando
se realiza una llamada telefónica al usuario que luego debe
proporcionar un PIN de autenticación personal. Los números
de teléfono deben incluir el código del país.
• Contraseñas de aplicaciones Varias aplicaciones que
no son de navegador no admiten la autenticación
multifactor. Una contraseña de aplicación permite que estos
usuarios continúen autenticándose usando estas
aplicaciones.cuando no se admite la autenticación
multifactor. Se puede generar una contraseña de aplicación
para cada aplicación, lo que permite revocar cada contraseña
de aplicación individualmente.
Más información ¿Qué son los métodos de autenticación?
Puede obtener más información sobre los métodos de autenticación compatibles
con Microsoft 365 y Azure AD en: https://docs.microsoft.com/azure/active-
directory/authentication/concept-authentication-methods .
Configurar la autenticación
La autenticación moderna está habilitada de forma predeterminada para
SharePoint Online, Exchange Online y otros servicios de Office 365
disponibles a través de Microsoft 365. Puede verificar que la
autenticación moderna esté habilitada ejecutando el siguiente comando
de PowerShell cuando esté conectado al arrendamiento de Microsoft 365
de su organización:

Get-OrganizationConfig | Nombre de la tabla de formato, OAuth * -Auto
Aunque no se recomienda, puede deshabilitar la autenticación moderna

ejecutando el siguiente comando de PowerShell cuando esté conectado al
arrendamiento de Microsoft 365 de su organización:

Set-OrganizationConfig -OAuth2ClientProfileEnabled $ false
Para volver a habilitar la autenticación moderna, ejecute el siguiente

comando cuando esté conectado al arrendamiento de Microsoft 365 de su
organización:

Set-OrganizationConfig -OAuth2ClientProfileEnabled $ true
Más información Habilitar la autenticación moderna en Exchange Online

Puede obtener más información sobre cómo habilitar la autenticación moderna en
Exchange Online en: https://docs.microsoft.com/exchange/clients-and-mobile-in-
exchange-online/enable-or-disable-modern-authentication-in-exchange -en línea .
Otro aspecto de la configuración de la autenticación es la configuración de
una política de contraseñas. Las políticas de contraseña determinan la
frecuencia con la que un usuario debe actualizar su contraseña. De forma
predeterminada, las contraseñas de usuario de Microsoft 365 están
configuradas para que nunca caduquen, como se muestra en la Figura 3-
3 . Las políticas de contraseña para Microsoft 365 se configuran en el
centro de administración de Microsoft 365.
Figura 3-3 Política de contraseña predeterminada de Microsoft 365
Los usuarios a los que se les ha asignado la función de administrador

global pueden modificar la política de contraseñas. Una vez que haya
configurado las contraseñas para que caduquen, puede configurar el
número de días antes de que caduquen las contraseñas y el número de
días antes de que se notifique a un usuario que su contraseña
caducará. La Figura 3-4 muestra una antigüedad máxima de la contraseña
de 90 días y cómo se notificará a un usuario 14 días antes de que
caduque. Puede configurar una antigüedad máxima de la contraseña de
hasta 730 días.
Figura 3-4 Configurar la política de contraseñas de Microsoft 365
Más información Políticas de caducidad de contraseñas

Puede obtener más información sobre las políticas de caducidad de contraseñas
en: https://docs.microsoft.com/office365/admin/manage/set-password-expiration-
policy?view=o365-worldwide .
Implementar el método de autenticación

Microsoft 365 admite varios métodos de autenticación. Cuando habilita la
autenticación multifactor y el restablecimiento de contraseña de
autoservicio, también debe habilitar varios métodos de
autenticación. Esto permite al usuario recurrir a un método de
autenticación diferente en caso de que el método de autenticación elegido
no esté disponible. Por ejemplo, si un usuario no puede acceder a su
buzón de correo y necesita realizar un restablecimiento de contraseña de
autoservicio, puede permitirle que responda una serie de preguntas de
seguridad como método para validar su identidad.
Configure los métodos de autenticación que los usuarios pueden usar
para realizar un restablecimiento de contraseña de autoservicio en la hoja
Restablecimiento de contraseña: Métodos de autenticación en el Centro
de administración de Azure Active Directory, como se muestra en
la Figura 3-5 .
Figura 3-5 Métodos de autenticación de restablecimiento de contraseña
A menos que haya una buena razón para lo contrario, debe habilitar
tantos métodos de autenticación para el restablecimiento de contraseña
de autoservicio como sea posible, y luego requerir dos métodos para
realizar el restablecimiento. Esto le da al usuario una cantidad máxima de
flexibilidad al mismo tiempo que garantiza un alto nivel de seguridad.
Más información Métodos de autenticación
Puede obtener más información sobre los métodos de autenticación
en: https://docs.microsoft.com/azure/active-directory/authentication/concept-
authentication-methods .
Gestionar la autenticación
Existen varias tecnologías que puede usar para administrar la
autenticación en un entorno de Microsoft 365. Estos incluyen habilitar
Azure AD Smart Lockout, Azure AD Password Protection,Autoservicio de
restablecimiento de contraseña, inicio de sesión telefónico sin contraseña
y habilitación de la autenticación de Azure AD basada en certificados.
Bloqueo inteligente de Azure AD

Smart Lockout es una tecnología que le permite bloquear a los atacantes
que intentan forzar las contraseñas de los usuarios. Basado en el
aprendizaje automático, el bloqueo inteligente puede discernir cuándo los
inicios de sesión provienen de usuarios auténticos y tratar esos inicios de
sesión de manera diferente a los que parecen provenir de atacantes u
otras fuentes desconocidas. Smart Lockout bloquea una cuenta durante
60 segundos después de que se hayan producido 10 intentos fallidos de
inicio de sesión. Si hay intentos posteriores de inicio de sesión fallidos
después de que hayan expirado estos 60 segundos, la duración del
período de bloqueo aumenta. Smart Lockout solo rastrea cuando se usan
diferentes contraseñas, que es el patrón durante un ataque de fuerza
bruta, por lo que si un usuario ingresa la misma contraseña incorrecta 10
veces, eso solo contará como una contraseña incorrecta para las 10 que
desencadenan el bloqueo de la cuenta.
El bloqueo inteligente de Azure AD está habilitado de forma
predeterminada en los arrendamientos de Microsoft 365 Azure AD. Puede
configurar un umbral de bloqueo inteligente personalizado en la sección
Métodos de autenticación de la consola de Azure AD, como se muestra en
la figura 3-6 .
Figura 3-6 Política de bloqueo inteligente personalizada
Más información Bloqueo inteligente de Azure AD

Puede obtener más información sobre el bloqueo inteligente de Azure AD
en: https://docs.microsoft.com/azure/active-directory/authentication/howto-
password-smart-lockout .
Contraseñas prohibidas de Azure AD

Otro aspecto de la gestión de la autenticación es implementar una lista
personalizada de contraseñas prohibidas, como se muestra en la Figura 3-
7 . Un usuario de su organización no puede utilizar ninguna contraseña
que esté en la lista prohibida. Hay varias listas de contraseñas de uso
común que puede descargar de Internet de forma gratuita y que puede
agregar a la lista de contraseñas prohibidas de Azure AD. Esto le permite
bloquear a los usuarios para que no utilicen contraseñas de uso
común. También hay listas más largas de todas las contraseñas que se han
expuesto en violaciones de datos, que puede importar si desea asegurarse
de que los usuarios no puedan usar cualquier contraseña que se haya
hecho pública a través de una violación de datos. Solo puede implementar
una lista personalizada de contraseñas prohibidas si su organizacióntiene
una licencia de Azure AD P1 o P2. La sustitución de caracteres comunes
dentro de las contraseñas prohibidas está habilitada de forma
predeterminada.
Figura 3-7 Contraseñas prohibidas personalizadas
Más información contraseñas prohibidas de Azure AD

Puede obtener más información sobre la contraseña de contraseñas prohibidas de
Azure AD en: https://docs.microsoft.com/azure/active-
directory/authentication/concept-password-ban-bad .
Restablecimiento de contraseña de autoservicio

El autoservicio de restablecimiento de contraseña permite a los usuarios
realizar otras formas de autenticación en caso de que olviden la
contraseña de Azure AD de su cuenta. Como puede ver en la Figura 3-8 ,
puede configurar el Restablecimiento de contraseña de autoservicio para
que los usuarios deban registrarse en el servicio cuando se autentican por
primera vez y luego renovar periódicamente su información, con el
período de renovación predeterminado cada 180 días.
Figura 3-8 Registro de restablecimiento de contraseña
Como aprendió anteriormente en este capítulo, puede solicitar a los

usuarios que proporcionen múltiples formas de autenticación cuando
realicen un restablecimiento de contraseña de autoservicio. Cuando un
usuario se registra para el autoservicio de restablecimiento de
contraseña, configura estos métodos alternativos de autenticación. Estos
pueden incluir:
• Notificación de aplicación móvil
• Código de aplicación móvil
• Correo electrónico
• Teléfono móvil
• Telefono de oficina
• Preguntas de seguridad
Más información Configurar el restablecimiento de contraseña de
autoservicio
Puede obtener más información sobre cómo configurar el restablecimiento de
contraseña de autoservicio en: https://docs.microsoft.com/azure/active-
directory/authentication/quickstart-sspr .
Inicio de sesión telefónico sin contraseña

Cuando el inicio de sesión telefónico sin contraseña está habilitado, los
usuarios pueden iniciar sesión en una cuenta de Azure AD y luego acceder
a los recursos de Microsoft 365 mediante la aplicación Microsoft
Authenticator en su dispositivo móvil. Cuando el inicio de sesión
telefónico sin contraseña está habilitado, los usuarios no tienen que
proporcionar un nombre de usuario y contraseña, y en su lugar, la
autenticación basada en claves permite al usuario autenticarse con la
aplicación de autenticación mediante un PIN o biométrico.
Para habilitar el inicio de sesión telefónico sin contraseña, los usuarios
deben tener la última versión de Microsoft Authenticator instalada en sus
dispositivos. Esos dispositivos deben ejecutar iOS 8.0 o superior, o
Android 6.0 o superior. Los usuarios también deberán estar inscritos para
la autenticación multifactor. Cuando se cumplen estas condiciones, se
debe configurar una política de inicio de sesión del autenticador. Puede
hacer esto cuando se establece una conexión de PowerShell al
arrendamiento de Microsoft 365 emitiendo el siguiente comando:

New-AzureADPolicy -Type AuthenticatorAppSignInPolicy -Definition
'{"Authenticat
orAppSignInPolicy ": {" Habilitado ": true}} '-isOrganizationDefault $ true -

DisplayName
AuthenticatorAppSignIn
Para habilitar el inicio de sesión telefónico en la aplicación, elija la flecha

desplegable junto al nombre de la cuenta en la aplicación y seleccione
Habilitar inicio de sesión telefónico. Si aparece un icono con una tecla
junto al nombre de la cuenta de Microsoft 365, significa que el inicio de
sesión telefónico para la cuenta se ha configurado correctamente.
Un inconveniente de usar el inicio de sesión telefónico es que, debido a la
forma en que funciona el registro de dispositivos con Azure AD, un
dispositivo solo se puede registrar en un único inquilino. Esto significa
que si un usuario tiene varias cuentas de Microsoft 365, solo una de esas
cuentas puede habilitarse para el inicio de sesión telefónico.
Más información Iniciar sesión sin contraseña
Puede obtener más información sobre cómo configurar el inicio de sesión
telefónico sin contraseña en: https://docs.microsoft.com/azure/active-
directory/authentication/howto-authentication-phone-sign-in .
Autenticación de Azure AD basada en certificados

La autenticación basada en certificados le permite eliminar la necesidad
de una combinación de nombre de usuario y contraseña cuando se
autentica contra Exchange Online y otros servicios de Microsoft 365. La
autenticación basada en certificados es compatible con dispositivos
Windows, Android e iOS, y tiene los siguientes requisitos:
• Solo es compatible con entornos federados para aplicaciones
de navegador o donde los clientes nativos usan autenticación
moderna a través de la biblioteca de autenticación de Active
Directory (ADAL). Exchange Active Sync (EAS) para Exchange
Online (EXO) está exento del requisito de federación y se puede
usar con cuentas tanto federadas como administradas.
• La entidad emisora de certificados (CA) raíz de la
organización y las CA intermedias deben integrarse con Azure AD.
• Cada CA organizacional debe publicar una Lista de revocación
de certificados (CRL) en una ubicación que sea accesible a Internet.
• El dispositivo Windows, Android o iOS debe tener acceso a
una CA organizacional que esté configurada para emitir certificados
de cliente.
• El dispositivo Windows, Android o iOS debe tener instalado
un certificado válido.
• Los clientes de Exchange ActiveSync requieren que el
certificado de cliente tenga la dirección de correo electrónico
enrutable del usuario incluida en el campo Nombre alternativo del
sujeto.
Para agregar una CA organizacional en la que Azure Active Directory
confíe, debe asegurarse de que la CA esté configurada con una ubicación
de publicación CRL que sea accesible en Internet y luego exportar el
certificado de CA. Una vez que haya exportado el certificado de CA, que
incluirá la ubicación de acceso a Internet donde se publica la CRL, use el
cmdlet New-AzureADTrustedCertificateAuthority PowerShell para
agregar el certificado de CA de la organización a Azure Active
Directory. Puede ver una lista de CA de confianza para la instancia de
Azure AD de su organización mediante el cmdlet Get-
AzureADTrustedCertificateAuthority.
Más información Autenticación de Azure AD basada en certificados
Puede obtener más información sobre la autenticación de Azure AD basada en
certificados en: https://docs.microsoft.com/azure/active-
directory/authentication/active-directory-certificate-based-authentication-get-
started .
Supervisar la autenticación
Existen varios métodos a través de los cuales puede monitorear la
autenticación para la tenencia de Microsoft 365 de su organización. La
arquitectura de informes de Azure AD incluye los siguientes elementos:
• Inicios de sesión Le proporciona información sobre la
actividad de inicio de sesión de los usuarios y la utilización de
aplicaciones administradas.
• Registros de auditoría Le permite ver información sobre los
cambios que se han producido en Azure Active Directory, como
agregar o eliminar cuentas de usuario.
• Inicios de sesión riesgosos Le proporciona datos sobre la
actividad de inicio de sesión que los mecanismos de seguridad de
Microsoft han marcado como sospechosos.
• Usuarios marcados por riesgo Le proporciona una lista de
usuarios que los mecanismos de seguridad de Microsoft sugieren
que podrían haber comprometido cuentas.
Los usuarios a los que se les han asignado los roles de administrador
global, administrador de seguridad, lector de seguridad o lector de
informes de Azure AD pueden ver los datos en los informes de Azure
AD. Los usuarios que no son miembros de estos roles también pueden ver
las actividades de auditoría relacionadas con su cuenta.
Cada evento registrado en los registros de auditoría proporciona los
siguientes datos:
• Datos y hora del evento
• Servicio que registró el evento
• Nombre y categoría del evento registrado
• Estado de la actividad (éxito o fracaso)
• Destino de la acción (qué usuario, grupo, etc.)
• Qué principal de seguridad inició la acción
La figura 3-9 muestra los detalles de un evento del registro de auditoría
de Azure AD.
Figura 3-9 Evento de registro de auditoría de Azure AD
Puede filtrar los registros de auditoría utilizando los siguientes campos:

• Servicio
• Categoría
• Actividad
• Estado
• Objetivo
• Iniciado por (Actor)
• Rango de fechas
Más información Informes de actividad de auditoría
Puede obtener más información sobre los informes de actividad de auditoría
en: https://docs.microsoft.com/azure/active-directory/reports-monitoring/concept-
audit-logs .
Registros de inicio de sesión

Los registros de inicio de sesión proporcionan información sobre la
actividad de autenticación de aplicaciones administradas y de
usuarios. La Figura 3-10 muestra el informe de inicio de sesión básico.
Figura 3-10 Registro de inicio de sesión
El informe de inicio de sesión le permite responder las siguientes

preguntas:
• ¿Qué patrones están presentes en las actividades de inicio de
sesión de un usuario?
• ¿Cuántos usuarios asociados con la tenencia de Microsoft 365
han iniciado sesión durante la última semana?
• ¿Cuántos inicios de sesión se han realizado correctamente y
cuántos no?
El registro de inicios de sesión proporciona la siguiente información de
forma predeterminada:
• Fecha de inicio de sesión
• Cuenta de usuario
• Aplicación contra la que el usuario se ha autenticado
• Estado de inicio de sesión (éxito o fracaso)
• Estado de detección de riesgos
• Estado de autenticación multifactor
El registro de inicio de sesión se puede filtrar por los siguientes campos,
como se muestra en la Figura 3-11 :
• Usuario
• Solicitud
• Estado de inicio de sesión
• Acceso condicional
• Fecha
Figura 3-11 Filtro de registro de inicio de sesión
Más información Informes de actividad de inicio de sesión

Puede obtener más información sobre los informes de actividad de inicio de sesión
sign-ins .
Inicios de sesión arriesgados

Un inicio de sesión riesgoso es aquel que los mecanismos de seguridad de
Microsoft han marcado como sospechosos. Microsoft procesa millones de
inicios de sesión todos los días a través de servicios como Azure AD, XBox
Live y Outlook.com. La telemetría se utiliza a partir de estos inicios de
sesión para determinar las características de lo que constituye un inicio
de sesión normal y qué inicios de sesión son sospechosos y deben
marcarse para una mayor investigación. El informe de inicios de sesión
riesgosos se muestra en la Figura 3-12 .
Figura 3-12 Inicios de sesión riesgosos
Si bien el informe Risky Sign-ins está disponible para todas las ediciones
de Azure AD, la cantidad de detalles que obtiene a través del informe
varía entre las ediciones Free, Basic, P1 y P2. Las ediciones gratuita y
básica le proporcionarán una lista de inicios de sesión riesgosos y le
proporcionarán eventos que incluyen los siguientes detalles:
• Usuario Este es el usuario con el que está asociado el inicio
de sesión riesgoso.
• IP La dirección IP desde la que se inició el inicio de sesión.
• Ubicación La ubicación que indican los datos de inteligencia
de seguridad de Microsoft está asociada con la dirección IP.
• Hora de inicio de sesión Cuándo se produjo el inicio de
sesión.
• Estado El estado del inicio de sesión.
Al ver los eventos en el informe de inicios de sesión riesgosos, puede
proporcionar los siguientes comentarios sobre cada evento:
• Resolver Esto marca el evento como resuelto.
• Marcar como falso positivo Marca el evento como algo que
no debe clasificarse como un inicio de sesión arriesgado.
• Ignorar Marca los factores de riesgo como factores que deben
ignorarse en el futuro.
• Reactivar Reactiva un inicio de sesión riesgoso al que
previamente se le asignó otro estado.
Además de la información proporcionada en los informes disponibles en
las ediciones básica y gratuita de Azure AD, las organizaciones que tienen
licencia en el nivel Azure AD P1 y P2 obtendrán más información sobre el
tipo de evento de riesgo que provocó la inclusión de la entrada en el
informe. , la capacidad de crear una política de corrección de riesgos para
el usuario, un cronograma detallado sobre el evento de riesgo y una lista
de otros usuarios para los que se ha detectado el mismo tipo de evento de
riesgo.
Más información Inicios de sesión arriesgados
Puede obtener más información sobre los inicios de sesión riesgosos
risky-sign-ins .
Eventos de riesgo
Azure AD detecta los siguientes tipos de actividades sospechosas y las
asigna a las siguientes categorías de eventos de riesgo:
• Usuarios con credenciales filtradas Microsoft examina las
infracciones de datos de credenciales en busca de pares de nombre
de usuario y contraseña asociados con los arrendamientos de Azure
AD. Cuando se encuentra un par de nombre de usuario y contraseña
asociado con un arrendamiento de Azure AD, estas credenciales se
comprueban y, si hay una coincidencia, se genera un evento de
riesgo de credenciales filtradas.
• Inicios de sesión desde direcciones IP anónimas Los
investigadores de seguridad de Microsoft han identificado qué
direcciones IP utilizan los servicios proxy anónimos. Si bien no es
inusual que algunos usuarios enruten su tráfico a través de
servicios VPN anónimos, también es una técnica utilizada por los
atacantes que intentan comprometer una cuenta.
• Viaje imposible a ubicaciones atípicas Este evento de
riesgo se genera cuando un usuario inicia sesión desde ubicaciones
que son tan geográficamente dispares que viajar entre esas
ubicaciones es imposible en el período entre las horas de inicio de
sesión. Por ejemplo, un usuario inicia sesión desde Sydney
Australia y luego dos horas más tarde inicia sesión desde
Copenhague, Dinamarca.
• Inicios de sesión desde dispositivos infectados Esta
categoría de riesgo se asigna cuando un usuario inicia sesión desde
una dirección que los investigadores de seguridad de Microsoft han
marcado como que se comunica regularmente con un servidor bot.
• Inicios de sesión desde ubicaciones desconocidas Este
evento de riesgo se genera cuando el inicio de sesión de un usuario
proviene de ubicaciones que son inusuales para el usuario dada la
actividad de inicio de sesión anterior. Por ejemplo, si un usuario
inicia sesión constantemente desde ubicaciones alrededor de
Melbourne, Australia y luego inicia sesión desde Estocolmo en
Suecia, se generará este evento de riesgo.
• Inicios de sesión desde direcciones IP con actividad
sospechosa Esta categoría de riesgo se asigna cuando un usuario
inicia sesión desde una dirección IP o un rango de direcciones IP
para el que hay una cantidad sustancial de intentos de inicio de
sesión fallidos en varias cuentas en un período corto de tiempo . El
algoritmo de aprendizaje automático que asigna esta categoría está
intentando detectar ataques de fuerza bruta de adivinación de
credenciales antes de que tengan éxito. Los inicios de sesión de esta
categoría se muestran en la Figura 3-13 .
Una vez que se asigna una categoría de riesgo, también se calcula un nivel
de riesgo. La gravedad del nivel de riesgo le permite comprender el grado
de confianza que tiene Microsoft de que la identidad puede haber sido
comprometida y la seriedad con la que debe tomarse la alerta. Los niveles
de gravedad son los siguientes:
• Alto Existe una alta gravedad y una alta confianza en el
diagnóstico. Es casi seguro que una identidad relacionada con un
evento al que se le asigna este nivel de gravedad se vea
comprometida. Las cuentas de usuario involucradas deben
repararse de inmediato.
• Medio Implica una gravedad alta y una confianza más baja o
una gravedad más baja y una confianza alta. Microsoft recomienda
que las identidades relacionadas con un evento asignado a esta
gravedad se corrijan de forma proactiva incluso si no hay certeza
de que la cuenta se haya visto comprometida.
• Bajo Implica poca gravedad y poca confianza. Este es un
indicador de que Microsoft ha señalado que la actividad
relacionada con la actividad es sospechosa. Un ejemplo de esto
puede ser un inicio de sesión desde una ubicación desconocida en
la misma región del mundo. Por ejemplo, un usuario que, hasta
ahora, solo ha iniciado sesión desde Sydney y Melbourne en
Australia, puede iniciar sesión desde Auckland en Nueva Zelanda.
Más información Eventos de riesgo
Puede obtener más información sobre los eventos de riesgo
risk-events .
Usuarios marcados por riesgo

El informe Usuarios marcados por riesgo, al que se puede acceder en la
sección Seguridad de la consola de Azure Active Directory, como se
muestra en la Figura 3-14 , proporciona una lista de usuarios que tienen
eventos de riesgo asociados con sus cuentas. Dependiendo de la edición
de Azure AD con licencia, obtendrá una lista simple de usuarios que están
marcados por riesgo, o en los niveles P1 o P2, obtendrá información
detallada sobre eventos de riesgo subyacentes y por qué se marcó a cada
usuario específico. .
Figura 3-14 Usuarios marcados por riesgo
Más información Usuarios marcados por riesgo

Puede obtener más información sobre los usuarios marcados por riesgo
user-at-risk .
Actividad de restablecimiento de contraseña de autoservicio
Puede ver el registro de auditoría de autoservicio de restablecimiento de
contraseña en la página Restablecimiento de contraseña: registros de
auditoría del centro de administración de Azure AD, como se muestra en
la figura 3-15 . Estos registros le proporcionarán información sobre qué
usuario inició el restablecimiento, el método utilizado y cuándo se inició
el proceso de restablecimiento de contraseña de autoservicio.
Puede utilizar los cuadros de diálogo y los menús desplegables de esta

página para generar informes que le permitan determinar la siguiente
información:
• ¿Cuántos usuarios se han registrado para el restablecimiento
de contraseña de autoservicio?
• Qué usuarios se han registrado para el restablecimiento de
contraseña de autoservicio
• ¿Qué información proporcionan los usuarios al registrarse
para el restablecimiento de contraseña de autoservicio?
• ¿Cuántos usuarios restablecieron sus contraseñas mediante el
autoservicio de restablecimiento de contraseñas en los 7 días
anteriores?
• ¿Qué métodos se utilizan para la autenticación al realizar un
restablecimiento de contraseña de autoservicio?
• ¿Se está produciendo alguna actividad sospechosa durante el
proceso de restablecimiento de contraseña de autoservicio?
• ¿Qué métodos de autenticación generan más problemas
durante el proceso de restablecimiento de contraseña de
autoservicio?
Más información Informes de autoservicio de restablecimiento de
contraseña
Puede obtener más información sobre la supervisión del restablecimiento de
contraseña de autoservicio en: https://docs.microsoft.com/azure/active-
directory/authentication/howto-sspr-reporting .

Recuerde las diferentes opciones de autenticación que se pueden
configurar para el autoservicio de restablecimiento de contraseñas y los
requisitos para las CA organizacionales al implementar la autenticación
AD basada en certificados.
HABILIDAD 3.2: IMPLEMENTAR LA

AUTENTICACIÓN MULTIFACTOR
Esta sección de habilidades trata sobre la implementación de la
autenticación multifactor (MFA) en un entorno de Microsoft 365. Para
dominar esta habilidad, deberá comprender los requisitos para
implementar la autenticación multifactor, cómo configurar la
autenticación multifactor para aplicaciones y usuarios, cómo administrar
la autenticación multifactor para usuarios y cómo informar sobre
multifactor utilización de autenticación.
• Diseñar una solución MFA
• Configurar MFA para aplicaciones o usuarios
• Administrar usuarios de MFA
• Informar sobre la utilización de MFA
Diseñar una solución MFA
Al implementar MFA con Microsoft 365, debe tomar decisiones sobre qué
capacidades de MFA se incluirán. MFA requiere que se use más de un
método de autenticación al iniciar sesión en un recurso integrado con
Microsoft 365. Por lo general, esto implica que el usuario proporcione sus
credenciales de nombre de usuario y contraseña, y luego proporcione uno
de los siguientes:
• Un código generado por una aplicación de
autenticación. Puede ser la aplicación Microsoft Authenticator o
una aplicación de autenticación de terceros, como la aplicación de
autenticación de Google.
• Una respuesta proporcionada a la aplicación de
autenticación de Microsoft Cuando se usa este método, Azure AD
proporciona un código en pantalla al usuario que se autentica, que
también debe seleccionarse en una aplicación que está registrada
con Azure AD.
• Una llamada telefónica a un número registrado con Azure
AD El usuario debe proporcionar un pin preconfigurado que el
servicio automatizado que realiza la llamada telefónica le indicará
que ingrese. Microsoft proporciona un saludo predeterminado
durante las llamadas telefónicas de autenticación, por lo que no
tiene que grabar uno para su propia organización.
• Un mensaje SMS enviado a un número de teléfono móvil
registrado en Azure AD El usuario proporciona el código enviado
en el mensaje como segundo factor durante la autenticación.
Al diseñar su solución, deberá tener una forma de garantizar que los
usuarios tengan acceso a la tecnología MFA adecuada. Esto puede
requerir que se le ocurra un método para asegurarse de que todos los
usuarios de su organización ya tengan la aplicación Microsoft
Authenticator instalada en sus dispositivos móviles antes de habilitar
MFA en sus cuentas.
Más información Plan para la autenticación multifactor
Puede obtener más información sobre el diseño de una solución de autenticación
multifactor para implementaciones de Office 365
en: https://docs.microsoft.com/office365/admin/security-and-compliance/multi-
factor-authentication-plan .
Configurar MFA para aplicaciones o usuarios
MFA no está habilitado de forma predeterminada en los inquilinos de
Microsoft 365. Antes de que pueda configurar cuentas para usar MFA,
deberá habilitar MFA en el arrendamiento. Para habilitar MFA en un
arrendamiento de Microsoft 365 Azure AD y configurar MFA para
usuarios específicos, realice los siguientes pasos:
1. En el Centro de administración de Azure Active Directory,
vaya a Usuarios y luego haga clic en Todos los usuarios .
2. Haga clic en Más y luego en Autenticación multifactor ,
como se muestra en la Figura 3-16 .
Figura 3-16 Configurar Azure MFA

3. Después de seleccionar esta opción, MFA se habilitará para el
arrendamiento y se le proporcionará una lista de usuarios similar a
la que se muestra en la Figura 3-17 .
Figura 3-17 Configurar usuarios para Azure MFA

4. Seleccione los usuarios que desea configurar para MFA, como
se muestra en la Figura 3-18 , y luego haga clic en Habilitar.
Figura 3-18 Configurar usuarios para Azure MFA
5. En el cuadro de diálogo Acerca de la activación de la
autenticación multifactor, que se muestra en la Figura 3-19 , haga
clic en Activar autenticación multifactor.
Figura 3-19 Habilitación de la autenticación multifactor

6. La próxima vez que los usuarios inicien sesión, se les pedirá
que se inscriban en la autenticación multifactor. Se le presentará un
cuadro de diálogo similar al que se muestra en la Figura 3-20 ,
pidiéndoles que proporcionen información adicional.
Figura 3-20 Se requiere más información
7. Y luego, elija entre proporcionar un número de teléfono
móvil, un número de teléfono de oficina o configurar una aplicación
móvil como se muestra en la Figura 3-21 .
Figura 3-21 Preferencias de contacto
8. Cuando especifica una de estas opciones, se le presenta un
código QR. Dentro de la aplicación, puede agregar una nueva cuenta
escaneando el código QR.
9. Una vez que haya configurado la aplicación, se le pedirá que
confirme que la configuración se ha completado correctamente
aprobando un inicio de sesión a través de la aplicación, como se
Figura 3-22 Verificar en

la aplicación
10. Una vez hecho esto, se le pedirá que proporcione información
de seguridad adicional en forma de número de teléfono, como se
Figura 3-23 Verificar en la aplicación

Puede configurar los siguientes ajustes del servicio de autenticación
multifactor como se muestra en la Figura 3-24 .
• Contraseñas de aplicaciones Permitir o no permitir que los
usuarios utilicen contraseñas de aplicaciones para aplicaciones que
no son de navegador y que no admiten la autenticación multifactor.
• Direcciones IP de confianza Configure una lista de
direcciones IP de confianza donde se omitirá MFA cuando se
configure la federación entre el entorno local y la tenencia de
Microsoft 365 Azure AD.
• Opciones de verificación Especifique qué opciones de
verificación están disponibles para los usuarios, incluidas llamadas
telefónicas, mensajes de texto, verificación basada en aplicaciones o
token de hardware.
• Recuerde la autenticación multifactor Decida si permitirá
que los usuarios recuerden la autenticación MFA durante un
período de tiempo específico en un dispositivo para que no sea
necesario realizar MFA cada vez que el usuario inicie sesión. El
valor predeterminado es 14 días.
Figura 3-24 Configuración del servicio MFA.
Más información Configurar la autenticación multifactor

Puede obtener más información sobre cómo configurar la autenticación
multifactor en: https://docs.microsoft.com/office365/admin/security-and-
compliance/set-up-multi-factor-authentication .
Administrar usuarios de MFA

Una vez que MFA está configurado para los usuarios, puede haber ciertas
ocasiones en las que desee obligar a los usuarios a proporcionar métodos
de contacto actualizados, es posible que desee revocar todas las
contraseñas de aplicaciones o puede que desee restaurar MFA en todos
los dispositivos recordados. Puede hacer esto realizando los siguientes
pasos:
1. Con una cuenta a la que se le ha asignado el rol de
administrador global, abra el Centro de administración de Azure AD
y seleccione el nodo Usuarios como se muestra en la Figura 3-
25 . Seleccione el usuario para administrar MFA.
Figura 3-25 Seleccione el usuario para administrar MFA

2. En la página de propiedades del usuario, seleccione Métodos
de autenticación.
3. En la página Métodos de autenticación, que se muestra en
la Figura 3-26 , seleccione qué acción realizar.
Figura 3-26 Métodos de autenticación
Si desea realizar un restablecimiento masivo para varios usuarios, realice
1. En la página Todos los usuarios, que se muestra en la Figura
3-27, haga clic en Autenticación multifactor
Figura 3-27 Lista de usuarios

2. En la página Usuarios de autenticación multifactor, que se
muestra en la Figura 3-28 , seleccione los usuarios para los que
desea restablecer la configuración de MFA y haga clic en
Administrar configuración de usuario.
Figura 3-28 Lista de usuarios

3. En la página Administrar configuración de usuario, que se
muestra en la Figura 3-29 , seleccione las tareas que desea realizar,
como solicitar a los usuarios que proporcionen métodos de
contacto nuevamente, eliminar todas las contraseñas de
aplicaciones existentes y restaurar MFA en los dispositivos
recordados. Después de la selección, haga clic en Guardar .
Figura 3-29 Gestión de la configuración de usuario

Más información Configurar la autenticación multifactor
Puede obtener más información sobre cómo configurar la autenticación
multifactor en: https://docs.microsoft.com/office365/admin/security-and-
compliance/set-up-multi-factor-authentication .
Bloqueo de cuenta
La configuración de bloqueo de cuenta para MFA, que se muestra en
la Figura 3-30 , le permite configurar las condiciones bajo las cuales se
producirá el bloqueo de MFA. En esta página puede configurar el número
de denegaciones de MFA que activarán el proceso de bloqueo de la
cuenta, cuánto tiempo antes de que se restablezca el contador de bloqueo
de la cuenta y el número de minutos hasta que se desbloquee la
cuenta. Por ejemplo, si el contador de bloqueo de la cuenta se restablece
después de 10 minutos, y el número de denegaciones de MFA para activar
el bloqueo de la cuenta se establece en cinco, cinco denegaciones en 10
minutos desencadenarán el bloqueo, pero cinco denegaciones en un
transcurso de 30 minutos no el contador de bloqueo de la cuenta se
restablecería durante ese período.
Figura 3-30 Configuración de bloqueo de cuenta
Bloquear / desbloquear usuarios

La configuración de usuario bloqueado, que se muestra en la Figura 3-31 ,
le permite bloquear usuarios específicos de un servidor MFA local para
que no puedan recibir solicitudes MFA. Cualquier solicitud enviada a un
usuario de la lista de usuarios bloqueados se rechazará
automáticamente. Los usuarios de la lista de usuarios bloqueados
permanecen bloqueados durante 90 días, después de lo cual se eliminan
de la lista de usuarios bloqueados. Para desbloquear a un usuario
bloqueado, haga clic en Desbloquear .
Figura 3-31 Lista de usuarios bloqueados
Alerta de fraude
La configuración de Alerta de fraude, que se muestra en la Figura 3-32 , le
permite configurar si los usuarios pueden denunciar solicitudes de
verificación fraudulentas. Una solicitud de verificación fraudulenta puede
ocurrir cuando un atacante tiene acceso a la contraseña de un usuario,
pero no tiene acceso a un método MFA alternativo. Un usuario se da
cuenta de esto al recibir un mensaje de MFA, ya sea a través de su
aplicación, un SMS o una llamada telefónica cuando no ha intentado
autenticarse en una carga de trabajo de Microsoft 365. Cuando un usuario
denuncia un fraude, puede elegir una opción para que su cuenta se
bloquee automáticamente durante 90 días, lo que indica que es probable
que la contraseña se vea comprometida.
Figura 3-32 Alerta de fraude
Tokens OATH
La página de tokens OATH , que se muestra en la Figura 3-33 , le permite
cargar un archivo CSV con formato especial que contiene los detalles y
claves de los tokens OATH que desea usar para múltiplesAutenticación de
factores. El archivo CSV con formato especial debe incluir una fila de
encabezado con el siguiente formato:

'' pn, número de serie, clave secreta, intervalo de tiempo, fabricante, modo
''
Cada archivo está asociado a un usuario específico. Si un usuario tiene

varios tokens OATH, estos deben incluirse en el archivo asociado con su
cuenta.
Figura 3-33 tokens OATH

Configuración de llamadas telefónicas
La configuración de llamadas telefónicas le permite configurar el número
de identificación de la persona que llama que se muestra cuando se
contacta al usuario para la autenticación MFA. Este número debe ser un
número de Estados Unidos. También puede usar la página de
configuración de llamadas telefónicas, que se muestra en la Figura 3-34 ,
para configurar mensajes de voz personalizados. Los mensajes de voz
deben estar en formato .wav o .mp3, no deben superar los 5 MB y durar
menos de 20 segundos.
Figura 3-34 Configuración de llamadas telefónicas
Más información Gestión de la configuración de MFA

Puede obtener más información sobre cómo administrar la configuración de MFA
en: https://docs.microsoft.com/azure/active-directory/authentication/howto-mfa-
mfasettings .
Informar sobre la utilización de MFA

Azure MFA proporciona varios informes que puede usar para
comprender cómo se usa MFA en su organización. Estos informes
incluyen:
• Historial de usuarios bloqueados Proporciona un historial
de solicitudes para bloquear o desbloquear usuarios.
• Alertas de uso y fraude Proporciona información sobre un
historial de alertas de fraude enviadas por los usuarios. También
proporciona información sobre el uso general de MFA.
• Uso de componentes locales Proporciona información sobre
la utilización de MFA a través de la extensión del servidor de
directivas de red, los servicios de federación de Active Directory y
el servidor MFA local.
• Historial de usuarios omitidos Proporciona información
sobre las solicitudes para omitir MFA por parte de un usuario
específico.
• Estado del servidor Proporciona datos de estado de los
servidores MFA asociados con la tenencia de Microsoft 365 de su
organización.
Más información Informes de autenticación multifactor de Azure
Puede obtener más información sobre los informes de autenticación multifactor de
Azure en: https://docs.microsoft.com/azure/active-
directory/authentication/howto-mfa-reporting .

Recuerde los pasos que puede seguir para bloquear automáticamente a
los usuarios que responden incorrectamente a las solicitudes de MFA.
HABILIDAD 3.3: CONFIGURAR EL ACCESO A LA

APLICACIÓN
Cuando una aplicación se registra en Azure AD, los usuarios pueden
iniciar sesión única para acceder a esa aplicación de la misma manera que
inician sesión única una vez y acceden a cargas de trabajo de Microsoft
365 como Exchange Online y SharePoint Online. El registro de
aplicaciones permite a los usuarios acceder a aplicaciones de software
como servicio de proveedores externos, aplicaciones implementadas en el
entorno local de su organización y aplicaciones de línea de
negocios. Cuando se registra una aplicación con Azure AD, puede proteger
el acceso a esa aplicación mediante la implementación de la autenticación
multifactor y las políticas de acceso condicional.
• Configurar el registro de la aplicación en Azure AD
• Configurar el proxy de la aplicación de Azure AD
• Publica aplicaciones empresariales en Azure AD
Configurar el registro de la aplicación en Azure AD
Puede registrar una aplicación con Azure AD desde la galería de
aplicaciones empresariales. Luego, puede registrar una aplicación que
está desarrollando, configurar una aplicación local o agregar una
aplicación de terceros que no esté presente en la galería, como se muestra
en la Figura 3-35 . El registro de una aplicación permite a los usuarios que
tienen cuentas en el arrendamiento de Azure AD de su organización
poder iniciar sesión y usar esa aplicación con sus credenciales de
Microsoft 365, en lugar de tener que usar un conjunto separado de
credenciales registradas con la aplicación.
Figura 3-35 Agregar una aplicación
Más información Administración de aplicaciones con Azure AD

Puede obtener más información sobre la administración de aplicaciones con Azure
AD en: https://docs.microsoft.com/azure/active-directory/manage-apps/what-is-
application-management .
Planificación de la integración de la aplicación

Antes de comenzar el proceso de integración de aplicaciones con Azure
AD, es necesario conocer cuáles son los requisitos de autenticación de
cada aplicación. Azure AD admite la firma de certificados con aplicaciones
que usan WS-Federation, SAML 2.0, protocolos Open ID Connect e inicio
de sesión único con contraseña.
También deberá pensar en cómo podría querer proporcionar acceso de
inicio de sesión único a las aplicaciones alojadas en la red interna de su
organización. Puede hacer esto implementando Azure AD App
Proxy. Cuando hace esto, se instala un conector especial en un host de su
red interna, lo que permite a los usuarios tanto dentro como fuera de la
red autenticarse y acceder a la aplicación.
Más información Planificación de la integración de aplicaciones
Puede obtener más información sobre la planificación de la integración de
aplicaciones en: https://docs.microsoft.com/azure/active-directory/manage-
apps/plan-an-application-integration .
Administrar el acceso a las aplicaciones

La forma de asignar el acceso a las aplicaciones depende de la edición de
Azure AD para la que su organización tenga licencia. Si su organización
solo tiene una edición gratuita de Azure AD, solo podrá asignar acceso a
las aplicaciones por usuario. Si su organización licencia una edición paga
de Azure AD, podrá realizar asignaciones basadas en grupos. Cuando
realiza una asignación basada en grupo, si un usuario puede acceder a una
aplicación dependerá de si el usuario es miembro del grupo en el
momento en que intenta acceder a la aplicación.
Los grupos que se usan para asignar acceso a las aplicaciones pueden ser
cualquier forma de grupo de Azure AD, incluidos los grupos dinámicos
basados en atributos, los grupos de Active Directory locales o los grupos
administrados de autoservicio. Actualmente, no se admite la pertenencia
a grupos anidados cuando se trata de asignar acceso a aplicaciones a
través de Azure AD.
Más información Administrar el acceso a las aplicaciones
Puede obtener más información sobre cómo administrar el acceso a las
aplicaciones en: https://docs.microsoft.com/azure/active-directory/manage-
apps/what-is-access-management .
Asignar a los usuarios acceso a una aplicación

Para asignar un acceso de usuario o grupo a una aplicación empresarial,
realice los siguientes pasos:
1. En el Centro de administración de Azure AD, seleccione Azure
Active Directory y, en la sección Administrar, que se muestra en
la Figura 3-36 , haga clic en Aplicaciones empresariales .
Figura 3-36 Sección
de administración de Azure AD
2. En la hoja Aplicaciones empresariales, asegúrese
de seleccionar Todas las aplicaciones , como se muestra en
la Figura 3-37 , y luego seleccione la aplicación para habilitar el
acceso de los usuarios.
Figura 3-37 Todas las aplicaciones

3. Una vez que se abre la aplicación, haga clic en Usuarios y
grupos en el panel de navegación de la aplicación, que se muestra
en la Figura 3-38 .
Figura 3-38 Descripción general de la aplicación

4. En la página Usuarios y grupos de la aplicación, que se
muestra en la Figura 3-39 , haga clic en Agregar usuario . Tenga en
cuenta que usa el botón Agregar usuario para agregar también una
asignación de grupo si Azure AD tiene la licencia del nivel
adecuado.
Figura 3-39 Usuarios y grupos
5. En la página Agregar asignación, que se muestra en la Figura
3-40 , busque el usuario o grupo al que desea otorgar acceso a la
aplicación.
Figura 3-40 Agregar asignación de usuario y grupo

6. Cuando se selecciona el usuario o grupo, como se muestra en
la Figura 3-41 , haga clic en Seleccionar .
Figura 3-41 Seleccionar asignación de grupo.
7. Una vez que se selecciona el usuario o grupo, haga clic en
Asignar. Verifique que la asignación se haya realizado revisando la
lista recién actualizada de usuarios y grupos como se muestra en
la Figura 3-42 .
Figura 3-42 Usuarios y grupos de aplicaciones empresariales

Más información Asignar acceso a usuarios y grupos
en: https://docs.microsoft.com/azure/active-directory/manage-apps/methods-for-
assigning-users-and-groups .
Configurar el proxy de la aplicación de Azure AD

El proxy de aplicación de Azure AD permite a los usuarios de Internet
acceder a aplicaciones web que están alojadas en la red interna segura de
su organización, así como en la nube a través de una URL externa o un
portal de aplicaciones interno. Puede usar el proxy de aplicación de Azure
AD para permitir el acceso de inicio de sesión único a Teams, SharePoint,
Escritorio remoto y aplicaciones de línea de negocio.
El proxy de aplicación de Azure AD tiene las siguientes ventajas:
• No requiere que las aplicaciones se actualicen para funcionar
con el proxy de la aplicación.
• Las aplicaciones locales pueden aprovechar los controles de
autorización y los análisis de seguridad de Azure AD. Se pueden
aplicar características como la autenticación de múltiples factores y
las políticas de acceso condicional a las aplicaciones locales.
• El proxy de aplicación de Azure AD no requiere que se abran
puertos de entrada en el firewall perimetral de su organización.
• No requiere la implementación de dispositivos adicionales en
la red perimetral o interna local.
La arquitectura de Azure AD Application Proxy tiene el servicio Azure AD
Application Proxy ejecutándose en la nube con el conector Azure AD
Application Proxy ejecutándose en un servidor local. En esta
configuración, Azure AD, Azure AD Application Proxy Service y Azure AD
Application Proxy Connector administran la transmisión segura del token
de inicio de sesión de un usuario desde Azure AD a la aplicación web a la
que el usuario desea acceder.
El proxy de aplicación de Azure AD admite el inicio de sesión único y
funciona con las siguientes aplicaciones:
• Aplicaciones web que utilizan la autenticación integrada de
Windows para la autenticación
• Aplicaciones web que utilizan acceso basado en encabezado o
formulario
• Aplicaciones cliente integradas con la biblioteca de
autenticación de Active Directory
• Aplicaciones alojadas detrás de Remote Desktop Gateway
El proxy de aplicación de Azure AD funciona de la siguiente manera:
1. El usuario accede a la aplicación a través de una URL o un
portal de usuario final, que redirige al usuario a una página de
autenticación de Azure AD.
2. Una vez que el usuario se autentica correctamente, Azure AD
transmite un token al dispositivo del usuario.
3. El dispositivo reenvía el token al servicio de proxy de
aplicación de Azure AD.
4. El servicio de proxy de aplicación de Azure AD extrae el
nombre principal de usuario (UPN) y el nombre principal de
seguridad (SPN) del token.
5. El servicio de proxy de aplicación de Azure AD reenvía la
solicitud al conector de proxy de aplicación de Azure AD.
6. Si se ha configurado el inicio de sesión único, Azure AD
Application Proxy Connector realiza todas las tareas de
autenticación adicionales en nombre del usuario.
7. El conector de proxy de aplicación de Azure AD reenvía la
solicitud a la aplicación local.
8. La respuesta de la aplicación se enruta a través del conector
de proxy de aplicación de Azure AD y el servicio de proxy de
aplicación de Azure AD al usuario.
Más información Acceda a aplicaciones locales con Azure AD Application
Proxy
Puede obtener más información sobre el acceso remoto a aplicaciones locales a
través del proxy de aplicación de Azure Active Directory
en: https://docs.microsoft.com/azure/active-directory/manage-apps/application-
proxy .
El conector de proxy de aplicación de Azure AD es un agente que se
instala en un servidor local que ejecuta los sistemas operativos Windows
Server 2012 R2, Windows Server 2016 o Windows Server 2019. Los
equipos que hospedan los conectores de proxy de aplicación de Azure AD
deben poder enviar solicitudes salientes a Internet en el puerto TCP 443 y
también deben poder comunicarse con los servidores locales que
hospedan la aplicación a la que accederán los clientes remotos. Como se
mencionó anteriormente, no es necesario abrir puertos de entrada al
conector de proxy de aplicación de Azure AD para que funcione el
servicio.
Si su organización desea admitir el inicio de sesión único (SSO) para las
aplicaciones que usan la autenticación integrada de Windows (IWA), el
conector de proxy de aplicación de Azure AD debe instalarse en un equipo
con Windows Server que esté unido a un dominio o en un dominio o
bosque que tenga una relación de confianza con la computadora que aloja
la aplicación. Si no es necesario el inicio de sesión único en las
aplicaciones que usan IWA, el conector de proxy de aplicación de Azure
AD se puede instalar en un equipo que no esté unido al dominio.
Si bien es posible implementar solo un conector de proxy de aplicación de
Azure AD en la red interna protegida de su organización, Microsoft
recomienda que implemente varios conectores de proxy de aplicación de
Azure AD para asegurarse de que el servicio sea redundante y
permanezca disponible cuando el agente del conector de proxy de
aplicación de Azure AD automáticamente actualizaciones.
Windows Server debe tener TLS 1.2 habilitado antes de instalar el
conector de proxy de aplicación de Azure AD. Puede asegurarse de que
TLS 1.2 esté habilitado configurando las siguientes claves de registro y
reiniciando el servidor:

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \
SecurityProviders \ SCHANNEL \
Protocolos \ TLS 1.2]

SecurityProviders \
SCHANNEL \ Protocolos \ TLS 1.2 \ Cliente] "DisabledByDefault" = dword:

00000000
"Habilitado" = dword: 00000001

SecurityProviders \
SCHANNEL \ Protocolos \ TLS 1.2 \ Servidor] "DisabledByDefault" = dword:

00000000
"Habilitado" = dword: 00000001

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ .NETFramework \ v4.0.30319]
"SchUseStrongCry
pto "= dword: 00000001
Los conectores de proxy de aplicación de Azure AD no tienen estado y no

almacenan ningún dato en el equipo host de Windows Server. Los
conectores de proxy de aplicación de Azure AD sondean periódicamente
el servicio de proxy de aplicación de Azure AD para determinar si hay
actualizaciones disponibles. Las actualizaciones del conector de proxy de
aplicación de Azure AD se descargan y aplican automáticamente sin
necesidad de la intervención del administrador.
Puede usar grupos de conectores para asignar conectores de proxy de
aplicación de Azure AD específicos a aplicaciones locales
específicas. Puede agrupar varios conectores de proxy de aplicación de
Azure AD y, a continuación, asignar cada aplicación que desee que esté
disponible para el grupo. Los grupos de conectores son especialmente
útiles cuando las aplicaciones están alojadas en diferentes regiones. Por
ejemplo, imagine que tiene una aplicación web local alojada en Sydney,
Australia y otra alojada en Copenhague, Dinamarca. Puede crear un grupo
de conectores para los conectores de proxy de aplicación de Azure AD en
la ubicación de Dinamarca y asignarlo a la aplicación hospedada en
Dinamarca. A continuación, puede crear otro grupo de conectores para los
conectores de proxy de aplicación de Azure AD en la ubicación de
Australia y asignarlo a la aplicación alojada en Australia.
Más información Conectores de proxy de aplicación de Azure AD
Puede obtener más información sobre los conectores de proxy de aplicaciones de
Azure AD en: https://docs.microsoft.com/azure/active-directory/manage-
apps/application-proxy-connectors .
Más información Trabajo con servidores proxy locales
Puede obtener más información sobre cómo trabajar con servidores proxy locales
en: https://docs.microsoft.com/azure/active-directory/manage-apps/application-
proxy-configure-connectors-with-proxy-servers .
Publica aplicaciones empresariales en Azure AD

Azure incluye una galería que aloja miles de aplicaciones que están
configuradas para una fácil integración con Azure AD. Para agregar una
aplicación de la galería al inquilino de Azure AD asociado con el inquilino
de Microsoft 365 de su organización, debe iniciar sesión en el portal de
Azure con una cuenta a la que se le asignen privilegios de administrador
global. El siguiente procedimiento detalla cómo agregar una aplicación
empresarial desde la galería.
1. En el Centro de administración de Azure AD, seleccione Azure
Active Directory y, en la sección Administrar, que se muestra en
la Figura 3-43 , haga clic en Aplicaciones empresariales.
Figura 3-43 Sección de

administración de Azure AD
2. En la hoja Aplicaciones empresariales, asegúrese de
seleccionar Todas las aplicaciones , como se muestra en la Figura
3-44 , y haga clic en Nueva aplicación .
Figura 3-44 Todas las aplicaciones
3. En Agregar una aplicación, que se muestra en la Figura 3-45 ,
escriba el nombre de la aplicación que desea agregar. También
puede usar esta página para agregar una aplicación que esté
desarrollando, una aplicación local o una aplicación que no sea de la
galería.
Figura 3-45 Agregar una aplicación

4. En el panel de resultados de la búsqueda, haga clic en la
aplicación que desea agregar. Si la aplicación aún no se ha agregado
a su arrendamiento de Azure AD, tendrá la opción de agregarla
haciendo clic en Agregar , como se muestra en la Figura 3-46 .
Figura 3-46 Agregar GitHub
5. A continuación, se mostrará una página de inicio específica de
la aplicación. Complete el formulario en esta página para configurar
la aplicación para su organización.
Más información Agregar una aplicación a su arrendamiento de Azure AD
Puede obtener más información sobre cómo agregar aplicaciones a su
arrendamiento de Azure AD en: https://docs.microsoft.com/azure/active-
directory/manage-apps/add-application-portal .

Recuerde cuáles son los requisitos para los conectores de proxy de
aplicaciones de Azure AD.
HABILIDAD 3.4: IMPLEMENTAR EL ACCESO PARA

USUARIOS EXTERNOS DE CARGAS DE TRABAJO DE
MICROSOFT 365
Este objetivo se ocupa de la creación de cuentas de invitado y B2B, así
como los métodos para permitir el acceso externo a los recursos alojados
en una tenencia de Microsoft 365. Realice estas acciones cuando desee
permitir a las personas de una organización asociada, o usuarios
externos, como contratistas temporales, la capacidad de interactuar con
los recursos alojados en los servicios de Microsoft 365, como SharePoint
Online. Para dominar este objetivo, deberá comprender cómo crear
cuentas B2B, cómo crear cuentas de invitado y los factores que deberá
tener en cuenta a la hora de diseñar una solución que permita a los
usuarios externos acceder a los recursos de Microsoft 365.
• Crea cuentas B2B
• Crear cuentas de invitado
• Soluciones de diseño para acceso externo
Crea cuentas B2B

Las cuentas Business 2 Business (B2B) son un tipo especial de cuenta de
usuario invitado que reside en Azure Active Directory y donde puede
asignar privilegios. Las cuentas B2B se usan generalmente cuando desea
permitir que uno o más usuarios de una organización asociada tengan
acceso a los recursos alojados dentro de la tenencia de Microsoft 365 de
su organización. Por ejemplo, si los usuarios de la organización asociada
de Contoso, Tailwind Traders, necesitan interactuar y publicar contenido
en un sitio de Contoso SharePoint Online, un método para proporcionar el
acceso necesario es crear un conjunto de cuentas B2B.
Las cuentas B2B tienen las siguientes propiedades:
• Se almacenan en un arrendamiento de Azure AD
independiente de su organización, pero se representan como un
usuario invitado en el arrendamiento de su organización. El usuario
de B2B inicia sesión con la cuenta de Azure AD de su organización
para acceder a los recursos del arrendamiento de su organización.
• Se almacenan en el Active Directory local de su organización y
luego se sincronizan mediante Azure AD Connect y el tipo de
usuario especial UserType = Guest. Esto es diferente del tipo
habitual de sincronización en el que las cuentas de usuario se
sincronizan desde un directorio local, pero las cuentas de Azure AD
son cuentas tradicionales de Azure AD y no se les asigna el atributo
UserType = Guest.
Las cuentas de Azure Active Directory usan el atributo UserType para
mostrar información sobre la relación de la cuenta con la tenencia de la
organización. Se admiten los dos valores siguientes.
• Miembro Si el valor Miembro está presente, se considera que
el usuario pertenece a la organización anfitriona. Esto es apropiado
para empleados de tiempo completo, algunos tipos de contratistas
o cualquier otra persona en la nómina de la organización o dentro
de la estructura organizativa. La Figura 3-47 muestra una cuenta de
usuario con el atributo UserType establecido en Member.
Figura 3-47 Cuenta con el atributo Tipo de usuario establecido en

Miembro
• Invitado El valor del atributo Invitado para el tipo de usuario

indica que el usuario no está asociado directamente con la
organización. El tipo de usuario invitado se aplica a B2B y, en
general, a las cuentas de invitado. Se utiliza cuando la cuenta está
alojada en el directorio de otra organización o cuando la cuenta
está asociada con otro proveedor de identidad, como una identidad
de red social.
El atributo UserType no determina cómo inicia sesión el usuario, pero es
solo una indicación de la relación del usuario con la organización que
controla la tenencia de Azure AD. También se puede utilizar para
implementar políticas que dependan del valor de este atributo. Es la
propiedad del atributo de origen la que indica cómo se autentica el
usuario. Esta propiedad puede tener los siguientes valores:
• Usuario invitado Un invitado o usuario B2B que ha sido
invitado, pero aún no ha canjeado su invitación.
• Active Directory externo La cuenta de este usuario reside en
un directorio administrado por una organización asociada. Cuando
el usuario se autentica, lo hace con la instancia de Azure AD de la
organización asociada.
• Cuenta de Microsoft Una cuenta de invitado que se
autentica mediante una cuenta de Microsoft, como una cuenta de
Outlook.com o Hotmail.com.
• Active Directory de Windows Server. El usuario inicia
sesión desde una instancia local de Active Directory administrada
por la misma organización que controla el arrendamiento. Por lo
general, esto implica la implementación de Azure AD Connect. Sin
embargo, en el caso de un usuario B2B, el atributo UserType se
establece en Invitado.
• Azure Active Directory. El usuario ha iniciado sesión con
una cuenta de Azure AD administrada por la organización. En el
caso de un usuario B2B, el atributo UserType se establece en
Invitado.
Cuando crea el primer tipo de cuenta B2B, se envía una invitación al
usuario al que desea otorgar acceso B2B. El proceso de creación y envío
de esta invitación, que se muestra en la Figura 3-48 , también crea una
cuenta dentro del directorio de Azure AD de su organización. Esta cuenta
no tendrá credenciales asociadas. La razón de esto es que la autenticación
la realizará el proveedor de identidad del usuario B2B.
Figura 3-48 Creación de un usuario B2B invitado en el centro de administración de Azure AD
Hasta que se acepte la invitación, la propiedad de origen de una cuenta de

usuario invitado B2B invitado se establecerá en Usuario invitado como se
muestra en la Figura 3-49 . También puede reenviar la invitación en caso
de que el usuario objetivo no la reciba.
Figura 3-49 Atributo de origen establecido en Usuario invitado

Una vez que se acepta la invitación, el atributo de origen se actualizará a
Azure Active Directory externo como se muestra en la Figura 3-50 . Si la
cuenta del usuario está sincronizada desde una instancia de Active
Directory local, pero el tipo de usuario está configurado como Invitado, la
propiedad de origen aparecerá como Windows Server Active Directory.
Figura 3-50 Atributo de origen establecido en Azure Active Directory externo
Más información Azure AD B2B Collaboration

Puede obtener más información sobre los usuarios de colaboración B2B de Azure
AD en: https://docs.microsoft.com/azure/active-directory/b2b/user-properties .
Crear cuentas de invitado

Una cuenta B2B es una cuenta de invitado. Aunque los objetivos del
examen sugieren que existe una diferencia sustancial entre los dos, como
mucho la diferencia es que una cuenta de invitado podría considerarse un
tipo de cuenta B2B donde la cuenta es una cuenta de Microsoft o una
cuenta social. Por ejemplo, una cuenta de invitado puede tener una
dirección de correo electrónico @ outlook.com o puede ser una cuenta de
una red social, como una cuenta de Facebook. La diferencia entre los dos
es que, en general, una cuenta B2B implica una relación de empresa a
empresa, mientras que una cuenta de invitado implica una relación de
empresa a persona.
Las invitaciones a cuentas de invitado utilizan exactamente el mismo
proceso que las invitaciones a cuentas B2B descritas anteriormente. Se
envía una invitación, se crea una cuenta, el usuario acepta la invitación y
luego usa su cuenta para acceder a los recursos de Microsoft 365 para los
que se le han otorgado permisos.
Puede ver una lista de todos los usuarios en una instancia de Azure AD
que tienen cuentas de invitado configurando el menú desplegable Mostrar
en la vista Todos los usuarios en Solo usuarios invitados, como se muestra
en la Figura 3-51 .
Figura 3-51 Visualización de cuentas de invitados
Los usuarios invitados no pueden realizar determinadas tareas, incluida

la enumeración de usuarios, grupos y otros recursos de Azure AD. Puede
eliminar las limitaciones predeterminadas del usuario invitado realizando
1. En la hoja de Azure Active Directory, en Administrar, haga clic
en Configuración de usuario .
2. En la hoja Configuración de usuario, que se muestra en
la Figura 3-52 , haga clic en Administrar configuración de
colaboración externa .
Figura 3-52 Configuración de usuario invitado
3. En la página Configuración de colaboración externa, puede
eliminar las restricciones sobre los usuarios invitados
seleccionando No en Usuarios invitados Los permisos son
limitados, como se muestra en la Figura 3-53 .
Figura 3-53 Configuración de colaboración externa
Más información Agregar usuarios invitados
Puede obtener más información sobre este tema
en: https://docs.microsoft.com/azure/active-directory/b2b/b2b-quickstart-add-
guest-users-portal .
Soluciones de diseño para acceso externo
Al diseñar una solución para permitir el acceso externo a los recursos de
Office 365, es importante comprender que el uso compartido externo de
Office 365 y la colaboración B2B de Azure AD son casi lo mismo. A
excepción de OneDrive y SharePoint Online, todos los recursos
compartidos externos usan las API de invitación de colaboración B2B de
Azure AD.
OneDrive y SharePoint Online tienen un administrador de invitaciones
independiente y tienen una funcionalidad que difiere ligeramente del uso
compartido externo de Office 365 y la colaboración B2B de Azure AD. Esta
funcionalidad difiere de Azure AD B2B en varios aspectos, principalmente
en que OneDrive y SharePoint Online solo agregarán un usuario a la
instancia de Azure AD después de que el usuario haya canjeado su
invitación. Azure AD B2B agrega el usuario al directorio durante la
creación de la invitación. Esto significa que puede realizar acciones, como
otorgar acceso a un usuario invitado B2B de Azure AD antes de que haya
aceptado su invitación, porque estará presente en el directorio, algo que
no es posible con las invitaciones enviadas a través de OneDrive y
SharePoint en línea hasta el se ha aceptado la invitación.
Puede administrar el uso compartido externo de SharePoint en línea
mediante la página Compartir del centro de administración de
SharePoint. Puede configurar SharePoint para que solo se habilite el uso
compartido de Azure AD B2C seleccionando la opción Permitir compartir
solo con usuarios externos que ya existen en el directorio de su
organización, como se muestra en la Figura 3-54 .
Figura 3-54 Opciones para compartir en línea de SharePoint
Más información Uso compartido externo de B2B y Office 365

Puede obtener más información sobre el uso compartido externo y la colaboración
B2B de Azure AD en: https://docs.microsoft.com/azure/active-directory/b2b/o365-
external-user .
Puede usar la configuración de colaboración externa, que se muestra en
la figura 3-55 , a la que se puede acceder a través de la hoja Configuración
de usuario dentro de Azure Active Directory, para configurar las
siguientes opciones de colaboración:
• Los permisos de usuario invitado
están habilitados limitados de forma predeterminada, le permite
configurar usuarios invitados para que tengan los mismos permisos
que los usuarios estándar.
• Los administradores y los usuarios con el rol de invitador
invitado pueden invitar Los usuarios que tienen los roles de
administrador e invitado pueden enviar invitaciones.
• Los miembros pueden invitar Los usuarios que no son
administradores y a los que no se les ha asignado la función
de invitar invitados pueden enviar invitaciones.
• Los invitados pueden invitar Los usuarios con estado de
invitado pueden invitar a otros usuarios como invitados o usuarios
B2B.
• Habilitar el código de acceso de un solo uso para los
invitados Un código de acceso de un solo uso para los invitados
que no tienen una cuenta de Azure AD o Microsoft y para los que no
se ha configurado Google Federation. Los huéspedes que utilizan
códigos de acceso de un solo uso permanecen autenticados durante
24 horas.
• Permitir que se envíen invitaciones a cualquier
dominio La configuración predeterminada. Permite enviar
invitaciones de invitados y B2B a cualquier dominio.
• Denegar invitaciones a dominios especificados Le permite
crear una lista de bloqueo de dominios a los que no se pueden
enviar invitaciones de invitados y B2B.
• Permitir invitaciones solo a los dominios
especificados Utilice esta opción para permitir solo invitaciones de
invitados y de B2B a dominios específicos. Las invitaciones a
dominios que no están en la lista de permitidos están bloqueadas.
Figura 3-55 Configuración de colaboración
Más información Permitir o bloquear usuarios B2B de organizaciones

específicas
Puede obtener más información sobre cómo permitir el bloqueo de invitaciones
para que no se envíen a usuarios de organizaciones específicas
en: https://docs.microsoft.com/azure/active-directory/b2b/allow-deny-list .
Recuerde que puede configurar una lista de permisos de dominios
específicos a los que se pueden enviar invitaciones, o puede configurar
una lista de bloqueo donde solo bloquea invitaciones a dominios
específicos.
EXPERIMENTO MENTAL
Usted es el administrador de Microsoft 365 para Tailwind
Traders. Actualmente se encuentra en el proceso de configuración de
autenticación y autorización. Tiene acceso a una lista de las 100
contraseñas que se ven con más frecuencia en las filtraciones de
datos. Desea asegurarse de que los usuarios de su organización no
utilicen ninguna de estas contraseñas. Cuando se trata de contraseñas,
también desea capacitar a los usuarios para que resuelvan el problema
por sí mismos cuando olvidan su contraseña. Después de varios eventos
de compromiso de cuenta en el pasado, desea tener una idea de qué
usuarios tienen más probabilidades de tener cuentas comprometidas. De
manera similar, si los usuarios reciben notificaciones 2FA en su aplicación
Microsoft Authenticator, deben tener una forma de informar este evento
para que su equipo pueda investigar.
Su tarea final en la gestión de la autenticación y la autorización implica
una aplicación de contabilidad local. Desea que los usuarios que han
iniciado sesión en Microsoft 365 puedan acceder a esta aplicación con sus
credenciales de Microsoft 365 y sin necesidad de volver a autenticarse.
Con esta información en mente, responda las siguientes preguntas:
1. ¿Qué característica de autenticación de Azure AD puede usar
para asegurarse de que los usuarios no usen contraseñas que están
en la lista de las 100 contraseñas más utilizadas?
2. ¿Cómo puede asegurarse de que los usuarios puedan
recuperar el acceso a las cargas de trabajo de Microsoft 365 si
olvidan su contraseña sin ponerse en contacto con el servicio de
asistencia técnica?
3. ¿Qué informe debería consultar para determinar si es
probable que un usuario tenga una cuenta comprometida?
4. ¿Qué función de MFA debería habilitar para que los usuarios
puedan informar sobre notificaciones de MFA sospechosas?
5. ¿Qué necesita implementar localmente para permitir el
acceso a la aplicación de contabilidad mediante el inicio de sesión
único de Azure AD?

1. Complete y habilite la lista de contraseñas prohibidas
personalizadas de Azure AD con las contraseñas de la lista de las
100 más utilizadas.
2. Puede asegurarse de que los usuarios puedan recuperar el
acceso a las cargas de trabajo de Microsoft 365 si olvidan su
contraseña asegurándose de configurar el Autoservicio de
restablecimiento de contraseña. La función debe estar habilitada y
el usuario o grupo debe incluirse en el alcance de la función.
3. Consulte los usuarios marcados para el informe de riesgo
para determinar qué usuarios es probable que tengan cuentas
comprometidas.
4. Puede habilitar la opción Alerta de fraude para permitir que
los usuarios le notifiquen si reciben notificaciones de autorización
en su aplicación Microsoft Authenticator cuando no han intentado
la autenticación.
5. Implemente el conector de proxy de aplicación de Azure AD
de forma local para permitir el acceso a la aplicación de
contabilidad local mediante el inicio de sesión único de Azure AD.
RESUMEN DEL CAPÍTULO

• La autenticación moderna admite tecnologías como la
autenticación multifactor, la autenticación con tarjeta inteligente, la
autenticación basada en certificados y proveedores de identidad de
terceros basados en SAML.
• Microsoft 365 admite una variedad de métodos de
autenticación para SSPR y MFA, que incluyen contraseña, preguntas
de seguridad, dirección de correo electrónico, aplicación Microsoft
Authenticator, token de hardware OATH, SMS, llamadas de voz y
contraseñas de aplicaciones.
• Al configurar el autoservicio de restablecimiento de
contraseña, habilite varios métodos de autenticación y solicite el
uso de 2 métodos de autenticación separados antes de permitir el
restablecimiento de contraseña.
• Smart-Lockout es una tecnología que le permite bloquear a
los atacantes que intentan forzar las contraseñas de los usuarios.
• Un usuario de su organización no puede usar ninguna
contraseña que esté en la lista personalizada de elementos
prohibidos de Azure.
• La autenticación basada en certificados es compatible con
entornos federados en los que Azure AD confía en una CA
organizativa y la CRL se publica en una ubicación accesible en
Internet.
• La arquitectura de informes de Azure AD le permite
supervisar los inicios de sesión, los inicios de sesión riesgosos, los
usuarios marcados por riesgo y la actividad del administrador azul.
• Los métodos de autenticación de múltiples factores incluyen
llamada al teléfono, mensaje de texto al teléfono, notificación a
través de la aplicación móvil o código de verificación desde la
aplicación móvil o token de hardware.
• Las aplicaciones deben registrarse en Azure AD antes de que
los usuarios puedan acceder a ellas a través del inicio de sesión
único de Azure AD.
• El proxy de aplicación de Azure AD permite a los usuarios de
Internet acceder a aplicaciones web alojadas en la red interna
segura de su organización, así como en la nube a través de una URL
externa o un portal de aplicaciones interno.
• El servicio de proxy de aplicación de Azure AD se ejecuta en la
nube con el conector de proxy de aplicación de Azure AD que se
ejecuta en un servidor local.
• Los equipos que hospedan los conectores de proxy de
aplicación de Azure AD deben poder enviar solicitudes salientes a
Internet en los puertos TCP 80 y 443 y también deben poder
comunicarse con los servidores locales que hospedan la aplicación
a la que accederán los clientes remotos.
• Las cuentas Business 2 Business (B2B) son un tipo especial de
cuenta de usuario invitado que reside en Azure Active Directory y
al que puede asignar privilegios.
• La autenticación de las cuentas de invitado se produce a
través de un proveedor de confianza, después de lo cual el usuario
obtiene acceso a los recursos a los que se les han asignado permisos
dentro de Azure AD.
Capítulo 4
Planificación de cargas de trabajo y
aplicaciones de Office 365
Antes de que existieran en la nube, muchas cargas de trabajo de Office
365 se alojaban localmente en centros de datos
organizacionales. Algunos clientes todavía tienen algunos servidores de
carga de trabajo de Office 365 implementados localmente, mientras
que otras cargas de trabajo están en la nube, y algunos incluso existen
en un estado híbrido, con servidores locales que trabajan junto con
servidores en la nube. Del mismo modo, la implementación de las
aplicaciones de Office 365 ha cambiado. Si bien es posible que haya
implementado versiones anteriores de Office, como Office 2007, desde
una unidad de CD-ROM o un recurso compartido de red, hoy es
probable que implemente aplicaciones de Office 365 directamente
desde Office 365 o mediante otras herramientas automatizadas. En este
capítulo, aprenderá a planificar las implementaciones de cargas de
trabajo del servidor de Office 365 y a planificar cómo implementar las
aplicaciones de Office que interactúan con esas cargas de trabajo del
servidor.
Habilidades cubiertas en este capítulo:

• Planificar la implementación de cargas de trabajo de Office
365
• Planificar la implementación de aplicaciones de Office 365
HABILIDAD 4.1: PLANIFICAR LA IMPLEMENTACIÓN

DE CARGAS DE TRABAJO DE OFFICE 365
Esta sección de habilidades trata sobre las cargas de trabajo de Office 365,
incluidos Exchange, SharePoint y Skype for Business. En esta sección,
aprenderá a identificar los requisitos que existen cuando ejecuta una
implementación local y en la nube, cómo configurar la conectividad y el
flujo de datos para cada carga de trabajo, y los pasos que seguiría para
migrar estas cargas de trabajo desde un entorno local a la nube.
• Identificar requisitos híbridos
• Planifique la conectividad y el flujo de datos para cada carga de
trabajo
• Planificar la conectividad de la carga de trabajo de Microsoft 365
• Planificar la estrategia de migración para cargas de trabajo
Identificar requisitos híbridos

Las implementaciones híbridas tienen algunos componentes ubicados en
las instalaciones y otros componentes ubicados en la nube. Por ejemplo,
con una implementación híbrida de Exchange, puede alojar algunos
buzones de correo en su centro de datos local y otros buzones de correo
en la nube de Office 365. Las tres cargas de trabajo principales de Office
365, Exchange, SharePoint Server y Skype for Business, tienen sus
propios requisitos híbridos independientes.
Intercambio híbrido
Antes de que una organización que tiene una implementación de
Exchange solo local pueda cambiar a una implementación híbrida, deberá
cumplir con ciertos requisitos previos. El primer requisito es que una
organización debe tener Exchange 2007 o una versión posterior local. Por
lo tanto, si su organización tiene implementado Exchange 2003, no podrá
implementar Exchange en una configuración híbrida.
La versión de Exchange que ha implementado determina el tipo de
implementación híbrida que está disponible (consulte la Tabla 4-1 ).
Tabla 4-1 Opciones de implementación híbrida
Implementación local Opciones de implementación híbrida

Exchange 2007 • Implementación híbrida basada en Exchange 2
• Implementación híbrida basada en Exchange 2


Intercambio 2019 • Implementación híbrida basada en Exchange 2
Al seleccionar una opción de implementación híbrida, debe elegir la

versión más moderna disponible para su organización. Por ejemplo, si su
organización ha implementado Exchange 2013, su preferencia debe ser
configurar una implementación híbrida basada en Exchange 2019.
Las implementaciones híbridas requieren que los sistemas de Exchange
locales tengan la actualización acumulativa más reciente o el paquete
acumulativo de actualizaciones implementado. Por lo general, la versión
anterior a la actualización acumulativa o el paquete acumulativo de
actualizaciones más reciente también funcionará, pero las actualizaciones
acumulativas o los paquetes acumulativos de actualizaciones anteriores
no serán compatibles. Las actualizaciones acumulativas y los paquetes
acumulativos de actualizaciones generalmente se publican
trimestralmente.
Debe tener roles específicos implementados dentro de la organización de
Exchange local. Los roles que se implementan dependen de la opción de
implementación híbrida que elija. Estos requisitos son los siguientes:
• Implementación híbrida de Exchange 2010 Un mínimo de
un servidor Exchange 2010 con las funciones de servidor Buzón de
correo, Transporte de concentradores y Acceso de cliente
instaladas. También puede cumplir con los requisitos previos
implementando estos roles de Exchange 2010 en servidores
separados. Los registros DNS públicos de detección automática
para dominios SMTP existentes apuntan al servidor de acceso de
cliente local.
un servidor con las funciones Buzón y Acceso de cliente
instaladas. Los requisitos previos también se pueden cumplir
implementando estos roles en servidores separados. Los registros
DNS públicos de detección automática para dominios SMTP
existentes apuntan al servidor de acceso de cliente local.
un servidor con la función de servidor Buzón de correo
instalada. Los registros DNS públicos de detección automática para
los dominios SMTP existentes apuntan al servidor de buzones de
correo local.
un servidor con la función de servidor Buzón de correo
instalada. Los registros DNS públicos de detección automática para
dominios SMTP existentes apuntan al servidor de buzones de
correo local.
Las implementaciones de Exchange híbrido tienen los siguientes
requisitos adicionales:
• Azure AD Connect está configurado para sincronizar Active
Directory local con Azure Active Directory.
• Los dominios personalizados se registran con el
arrendamiento de Azure AD de su organización.
• Conecte la organización de Office 365 al Centro de
administración de Exchange. Debe hacer esto antes de ejecutar el
Asistente de configuración híbrida.
• Instale certificados digitales válidos comprados a una CA de
confianza en la instancia de IIS en los servidores de Exchange
configurados en la implementación híbrida. La URL externa de
Exchange Web Services y el extremo de detección automática
especificados en los registros DNS públicos de su organización
deben aparecer en la sección Nombre alternativo del sujeto (SAN)
de estos certificados.
• Si la implementación de Exchange de su organización utiliza
servidores de transporte perimetral y desea configurar esos
servidores para el transporte de correo seguro híbrido, deberá
asegurarse de que EdgeSync esté configurado antes de ejecutar el
Asistente de configuración híbrida.
• Si hay buzones de correo habilitados para mensajería
unificada en la implementación de Exchange local y desea migrarlos
a Office 365, se deben cumplir las siguientes condiciones antes de
migrar estos buzones de correo:
• Debe haber implementado Lync Server 2019, Lync
Server 2013 o Skype for Business Server 2015 o posterior e
integrarlo con el sistema de telefonía local de su
organización. Alternativamente, tiene Skype for Business
Online integrado con el sistema de telefonía local de su
organización.
• Tiene directivas de buzón de correo de mensajería
unificada creadas en Exchange Online que tienen nombres
que reflejan las directivas de buzón de correo de mensajería
unificada que se usan con la implementación local.
Más información Requisitos previos de implementación de Hybrid Exchange
Puede obtener más información sobre los requisitos previos de implementación de
intercambio híbrido en: https://docs.microsoft.com/exchange/hybrid-deployment-
prerequisites .
SharePoint híbrido
Más allá de los conceptos básicos de tener una instancia de Active
Directory local funcional y una tenencia configurada de Microsoft 365,
deberá tener una granja de servidores de SharePoint Server local
funcional. Esta granja de SharePoint Server debe configurarse para que
todos los servicios se ejecuten localmente en la granja como granjas que
aprovechan los servicios federados y no son compatibles con una
configuración híbrida.
Deberá configurar la aplicación web principal de SharePoint en la granja
de SharePoint local para usar un certificado de una CA pública de
confianza de terceros para la seguridad de la capa de transporte (TLS),
también conocida como comunicación de capa de sockets seguros
(SSL). Microsoft recomienda usar el certificado predeterminado de
SharePoint Security Token Services (STS) al configurar cargas de trabajo
híbridas y no es necesario tener un nuevo certificado para este servicio
emitido por una CA pública de terceros.
Deberá configurar un dispositivo de proxy inverso para admitir la
conectividad entrante para su implementación híbrida de SharePoint si
desea admitir los siguientes servicios:
• Búsqueda híbrida entrante
• Servicios de conectividad empresarial híbrida
• Hybrid Duet Enterprise Online para Microsoft SharePoint y
SAP
El certificado que se usa para la autenticación y el cifrado entre el
dispositivo de proxy inverso y SharePoint Online debe configurarse como
un certificado comodín o tener un nombre alternativo de sujeto
adecuado. También debe ser emitido por una autoridad de certificación
de terceros pública de confianza.
Más información Híbrido para Sharepoint
Puede obtener más información sobre los requisitos de Hybrid for SharePoint
Server en: https://docs.microsoft.com/sharepoint/hybrid/install-and-configure-
sharepoint-server-hybrid .
Skype empresarial híbrido

Al configurar Skype Empresarial en una configuración híbrida con Skype
Empresarial Online, deberá asegurarse de seguir los siguientes pasos:
• Skype empresarial online debe estar habilitado en la tenencia
de Microsoft 365.
• Todos los servidores locales deben ejecutar Skype for
Business Server 2019, Skype for Business Server 2015 o Lync
Server 2013. También se admite una implementación que tenga
una combinación de servidores, siempre que esa combinación se
limite a dos versiones diferentes de Skype. por Business Server o
Lync Server. No puede configurar una implementación híbrida si
los tres servidores están presentes en el entorno local.
• Debe federar el entorno local con Microsoft 365. Si bien la
federación es más complicada que la opción de sincronización de
identidad predeterminada de Azure AD Connect, puede usar Azure
AD Connect para configurar la federación. Hacerlo requerirá la
implementación de servidores de Servicios de federación de Active
Directory en su entorno local, aunque Azure AD Connect facilita
este proceso.
• Debe configurar el entorno local para compartir el espacio de
direcciones SIP con Skype empresarial online. Esto permitirá que
Skype Empresarial Online aloje cuentas de usuario para el mismo
conjunto de dominios SIP que el entorno local. También permitirá
que los mensajes se enruten dentro del entorno híbrido.
• Debe habilitar el espacio de direcciones SIP compartido para
Skype Empresarial Online. La configuración de este espacio de
direcciones compartido es el segundo elemento para garantizar que
los mensajes se puedan enrutar entre los entornos locales y en la
nube.
Microsoft también recomienda que configure OAuth entre Exchange local
y Skype empresarial online si tiene tanto Exchange como Skype
empresarial en una configuración híbrida.
Más información Skype Empresarial Híbrido
Puede obtener más información sobre cómo configurar Skype empresarial híbrido
en: https://docs.microsoft.com/skypeforbusiness/hybrid/configure-federation-with-
skype-for-business-online .
Planificar la conectividad y el flujo de datos de la carga de

trabajo de Microsoft 365
Cada carga de trabajo de Microsoft 365 tiene diferentes requisitos en lo
que respecta a la conectividad de red. Estos requisitos generalmente
implican garantizar que los registros DNS apropiados estén configurados
en zonas que se pueden resolver públicamente, pero en algunos casos
implica la configuración que permite el tráfico entrante en un firewall
externo.
Conectividad híbrida de Exchange

Los puertos, protocolos y puntos finales que se enumeran en la Tabla 4-
2 deben configurarse para permitir la conectividad adecuada en una
implementación híbrida de Exchange.
Tabla 4-2 Puertos, protocolos y puntos finales híbridos de Exchange
Protocolo Protocolo de nivel Funcionalidad híbrida Punto final loc

superior
TCP 25 SMTP / TLS Flujo de correo híbrido • Ex
(SMTP) 2016/20
• Ex
/ Edge
• Ex
/ Edge
TCP 443 Detección Detección automática • Bu

(HTTPS) automática 2016/20
• Ex
2010/20
TCP 443 EWS Libre / ocupado, sugerencias por • Bu

(HTTPS) correo, seguimiento de mensajes 2016/20
• Ex
2010/20
TCP 443 Detección Al usar OAuth • Bu

automática, EWS 2016/20
• Ex
2010/20
Más información Puertos, protocolos y terminales híbridos de Exchange

Puede obtener más información sobre los puertos, protocolos y puntos finales
híbridos de Exchange en: https://docs.microsoft.com/exchange/hybrid-deployment-
prerequisites#hybrid-deployment-protocols-ports-and-endpoints .
Conectividad híbrida de SharePoint Server

En una configuración híbrida de SharePoint Server, debe asegurarse de
que se cumplan los siguientes requisitos de red:
• Asegúrese de que el registro DNS que se puede resolver
públicamente para el sitio principal de SharePoint apunta al
extremo externo del dispositivo de proxy inverso, que publica el
sitio principal en Internet.
• Asegúrese de que el sitio principal de SharePoint tenga un
enlace para un certificado TLS de una autoridad de certificación de
confianza pública.
• Elija una estrategia de colección de sitios adecuada. Las
opciones incluyen colección de sitios con nombre de host,
aplicación web basada en ruta con asignaciones de acceso
alternativas o aplicación web basada en ruta sin asignación de
acceso alternativa.
• Configure el DNS dividido para que los clientes internos se
conecten a la dirección IP interna del sitio principal de SharePoint y
los clientes externos se conecten al extremo externo del dispositivo
de proxy inverso.
Más información Sharepoint Server Hybrid Connectivity
Puede obtener más información sobre la conectividad híbrida de SharePoint
Server en: https://docs.microsoft.com/sharepoint/hybrid/configure-inbound-
connectivity .
Conectividad híbrida de Skype Empresarial

En una configuración híbrida, todos los registros DNS externos de Skype
Empresarial deben apuntar a servidores locales. Existen requisitos
específicos de resolución de DNS para los siguientes registros:
• El registro SRV de DNS para _sipfederationtls._tcp.
<Sipdomain.com> debe resolverse en las direcciones IP externas de
Access Edge. Los servidores Edge deben poder resolver este
registro en la configuración híbrida.
• DNS Un registro o registros para el servicio de conferencia
web perimetral deben resolverse en las direcciones IP externas del
perímetro de conferencia web. Este registro o registros deben
poder ser resueltos por las computadoras de cualquier usuario en
la red interna de la organización.
El firewall de su organización debe configurarse para aceptar el tráfico
entrante de los nombres de dominio de Office 365:
• * .lync.com
• * .teams.microsoft.com
• * .broadcast.skype.com
• * .skypeforbusinesss.com
• * .sfbassets.com
• * .skype.com
Más información Conectividad híbrida de Skype Empresarial
Puede obtener más información sobre la conectividad híbrida de Skype
Empresarial en: https://docs.microsoft.com/skypeforbusiness/hybrid/configure-
hybrid-connectivity .
Planificar la estrategia de migración para cargas de trabajo

La estrategia de migración que elija dependerá de la carga de trabajo. Los
buzones de correo de Exchange requieren un enfoque diferente a la
estrategia que usará para mover la conectividad de SharePoint o los
servicios de Skype Empresarial.
Estrategia de migración de intercambio

La forma de migrar los buzones de correo de Exchange de una
implementación local a Exchange Online dependerá de la naturaleza de su
implementación existente. El enfoque que usa con Exchange 2007 puede
ser diferente al que usa si tiene Exchange 2019, pero dependerá de la
cantidad de buzones de correo que se deben mover. La tabla 4-3 enumera
la diferencia entre los diferentes métodos que puede usar para migrar
desde un entorno de mensajería local a Exchange Online.
Tabla 4-3 Comparación del tipo de migración
Entorno de mensajería local Número de ¿Se administrarán las Método de migr

buzones de cuentas de usuario de
correo forma local?
Exchange 2007 a Exchange Menos de No Migración de co
2019 2000
Exchange 2007 Menos de No Migración por e
2000
Exchange 2007 Más de 2000 sí Migración por e
de movimiento
implementación
Exchange 2010 a Exchange Más de 2000 sí Migración de m
2019 en implementac
Exchange 2010 o posterior Sin maximo No Migración míni
sin sincronización de exprés
directorios en curso
Sistema de mensajería local Sin maximo sí Migración IMAP
que no es de Exchange
Más información Elegir una ruta de migración
Puede obtener más información sobre cómo elegir una ruta de migración
en: https://docs.microsoft.com/exchange/mailbox-migration/decide-on-a-
migration-path .
Migración IMAP
Las migraciones IMAP usan el protocolo IMAP para mover el contenido de
los buzones de correo de los usuarios locales a Exchange Online. Las
migraciones IMAP son adecuadas cuando el servidor de correo local no
ejecuta Exchange Server, sino que ejecuta una solución de servidor de
correo alternativa.
La migración IMAP es compatible con las siguientes soluciones de
mensajería locales:
• Courier-IMAP
• Ciro
• Palomar
• UW-IMAP
Las migraciones IMAP implican los siguientes pasos generales:
1. Un administrador de inquilinos crea cuentas de usuario de
Office 365 y les asigna licencias de usuario de Exchange
Online. Esto aprovisiona las cuentas de usuario con buzones de
correo de Exchange Online.
2. El administrador de inquilinos crea un archivo CSV. Este
archivo CSV incluye una fila para cada usuario local que se migrará
a Exchange Online mediante IMAP. Este archivo CSV debe incluir las
contraseñas utilizadas por cada usuario de buzón de correo IMAP
local. Se recomienda restablecer las contraseñas de los usuarios de
buzones de correo IMAP locales para simplificar este proceso.
3. El administrador crea y luego activa un lote de migración
IMAP. Esto se puede hacer usando el panel de Migración, disponible
en la consola de Microsoft 365.
4. Una vez que se inicia el lote de migración, ocurre lo siguiente:
1. Exchange Online crea una solicitud de migración para
cada usuario en el archivo CSV.
2. Cada solicitud de migración incluye las credenciales del
usuario en el sistema de mensajería IMAP local.
3. Los mensajes del buzón IMAP de cada usuario se copian
en el buzón de Exchange Online correspondiente hasta que
se migran todos los datos.
5. Exchange Online proporciona un correo electrónico de estado
al administrador informándole del estado de la migración. Este
correo electrónico contiene estadísticas sobre la cantidad de
buzones de correo que se migraron correctamente, cuántos no se
pudieron migrar y cualquier informe de error.
6. Exchange Online y el sistema de mensajería IMAP se
sincronizan cada 24 horas para mover cualquier mensaje nuevo
desde el entorno local a Exchange Online.
7. Una vez que se han resuelto todos los problemas de
migración, el administrador actualiza los registros MX para que
apunten a Exchange Online. Una vez que el correo fluye a Exchange
Online, el administrador elimina los lotes de migración.
Más información Migraciones IMAP a Exchange Online
Puede obtener más información sobre las migraciones IMAP
en: https://docs.microsoft.com/exchange/mailbox-migration/migrating-imap-
mailboxes/migrating-imap-mailboxes .
Servicio de Importación
La carga de red le permite importar archivos PST a Office 365. Esto se
puede hacer cargando directamente los archivos en Azure Blob Storage o
enviando discos duros a Microsoft y haciendo que importen los datos
directamente.
Para importar archivos PST, realice los siguientes pasos:
1. En la sección de gobierno de datos del centro de seguridad y
cumplimiento, use la sección de importación para crear una clave
de firma de acceso compartido (SAS), también conocida como la
URL de SAS. Esta clave proporciona el permiso y la ubicación
necesarios para cargar archivos PST en una ubicación de
almacenamiento de Azure.
2. Descargue e instale la herramienta Azure AzCopy. Utilice
AzCopy con la URL de SAS para cargar uno o más archivos PST.
3. Una vez cargados, revise la lista de archivos PST que se han
transferido correctamente a Office 365. Puede hacerlo con Azure
Storage Explorer.
4. Cree un archivo de asignación que asigne los archivos PST
cargados a los buzones de correo de Office 365. Este archivo debe
estar en formato CSV.
5. Cree un trabajo de importación de PST desde la sección de
gobierno de datos del centro de seguridad y cumplimiento. El
archivo de asignación se especifica al crear este trabajo.
6. Ejecute el trabajo para importar los datos a los buzones de
correo de Office 365 correspondientes.
Más información Servicio de importación
Puede obtener más información sobre el servicio de importación
en: https://docs.microsoft.com/office365/securitycompliance/use-network-upload-
to-import-pst-files .
Estrategia de migración de SharePoint Server

Si bien es posible cargar directamente un archivo a la vez en un inquilino
en línea de SharePoint, o instalar el cliente de sincronización de OneDrive
y hacer que ese contenido se sincronice automáticamente con OneDrive o
SharePoint en línea, la mayoría de las organizaciones que migran desde
una implementación de SharePoint Server local a SharePoint online
utilizará la herramienta de migración de SharePoint.
La herramienta de migración de SharePoint (SPMT) permite la migración
de archivos desde bibliotecas de documentos de SharePoint Server
locales a SharePoint Online. También puede usar SPMT para migrar
recursos compartidos de archivos existentes a SharePoint Online. Para
permitir la migración de elementos web, 24 horas antes de realizar una
migración con SPMT, debe configurar las siguientes opciones en el Centro
de administración de SharePoint:
• Permitir a los usuarios ejecutar secuencias de comandos
personalizadas en sitios personales
• Permitir a los usuarios ejecutar secuencias de comandos del
cliente en sitios creados por autoservicio
Al ejecutar la herramienta, tiene la opción de especificar una migración
desde una implementación local de SharePoint o desde un recurso
compartido de archivos. Al migrar un sitio local de SharePoint, deberá
especificar la ubicación del sitio, las credenciales para acceder a ese sitio y
la biblioteca de documentos específica que desea migrar. Si está migrando
un recurso compartido de archivos local a SharePoint en línea, deberá
especificar la ubicación del recurso compartido de archivos, la URL del
sitio de SharePoint Online que es el destino de los archivos migrados y la
biblioteca de documentos dentro de ese sitio que alojar los archivos.
Después de realizar una migración, tiene la opción de guardar el trabajo
de migración para que se pueda ejecutar en otro momento. Esto le
permite migrar cualquier archivo que se haya modificado o creado
después de la última migración desde la ubicación de origen al sitio en
línea de SharePoint de destino.
Más información Herramienta de migración de Sharepoint
Puede obtener más información sobre la herramienta de migración de SharePoint
en: https://docs.microsoft.com/sharepointmigration/how-to-use-the-sharepoint-
migration-tool .
Estrategia de migración de Skype Empresarial

Puede mover usuarios de una implementación local a la nube mediante el
panel de control de administración de Skype empresarial o el cmdlet
Move-CsUser de PowerShell. Ambas herramientas se utilizan en el
entorno local. También es posible utilizar estas herramientas para mover
usuarios de Skype.for Business Online a un host local cuando Skype for
Business Online está en una configuración híbrida. Puede mover un
usuario de Skype a Business Online directamente a Teams solo si Skype
for Business Server 2019 o Skype for Business Server 2015 con la
actualización acumulativa 8 o posterior está implementado en el entorno
local.
Al migrar usuarios de un entorno local a la nube, el usuario que realiza la
migración debe tener la función CSServerAdministrator en la
implementación local de Skype empresarial Server y debe ser la función
de administrador global de Microsoft 365 o tener la función de Microsoft
365 Skype. para los roles de Administrador de empresas y Administrador
de usuarios de Microsoft 365.
Más información Migración de Skype Empresarial
Puede obtener más información sobre la migración de Skype Empresarial
en: https://docs.microsoft.com/skypeforbusiness/hybrid/move-users-between-on-
premises-and-cloud .

Recuerde las diferentes opciones para la migración de Exchange.
HABILIDAD 4.2: PLANIFICAR LA IMPLEMENTACIÓN

DE APLICACIONES DE OFFICE 365
Este objetivo se ocupa de la implementación de aplicaciones de Office 365
en los equipos cliente. En el pasado, podía convertir las aplicaciones de
Office 365 en una imagen de implementación; sin embargo, con las
aplicaciones de Office 365 es más probable que aproveche la naturaleza
en línea del producto y utilice Office 365, en lugar de un recurso
compartido de implementación local, como fuente de instalación. para el
producto. Esto es especialmente cierto para aquellas organizaciones de
Microsoft 365 que no tienen una infraestructura local más allá de los
equipos cliente. Para dominar este objetivo, deberá comprender cómo
administrar la descarga de Office 365, planificar las aplicaciones de Office
365, incluidas las actualizaciones y la conectividad, así como planificar
Office en línea y la implementación de Office 365 Pro plus.
• Administrar descargas de software de Office 365
• Planificar las aplicaciones de Office 365
• Planificar las actualizaciones de las aplicaciones de Office 365 Pro
plus
• Planificar la conectividad de Office 365 Pro plus
• Planificar Office en línea
• Planificar la implementación de Office 365 Pro plus
Administrar descargas de software de Office 365

Dependiendo de las políticas de su organización, es posible que desee
permitir que los usuarios instalen software directamente desde el portal
de Microsoft 365, restringir esta capacidad por completo o permitir que
los usuarios instalen algunas aplicaciones pero restringirles la instalación
de otras. Office 365 ProPlus es la versión de Microsoft Office que está
disponible para los usuarios con la licencia adecuada en un
arrendamiento de Microsoft 365. Office 365 ProPlus incluye los siguientes
productos de software:
• Acceso
• Sobresalir
• InfoPath
• Una nota
• panorama
• PowerPoint
• Editor
• Palabra
Dependiendo de la suscripción de Microsoft 365 asociada con un
arrendamiento, Skype for Business, Project y Visio, y otras aplicaciones
también pueden estar disponibles.
Para configurar qué software de Office pueden instalar los usuarios desde
el portal, realice los siguientes pasos:
1. Cuando inicie sesión en Microsoft 365 con una cuenta de
usuario que tenga permisos de administrador, abra el Centro de
administración de Microsoft 365, haga clic en Configuración de
descarga de software en Software de Office como se muestra en
la Figura 4-1 .
Figura 4-1 Administrar software de usuario

2. Para impedir que los usuarios implementen software desde el
portal de Office 365, cambie el control deslizante junto al software
enumerado como se muestra en la Figura 4-2 .
Figura 4-2 Permitir solo Office y Skype for Business
El software que los usuarios podrán instalar depende del tipo de
suscripción a Microsoft 365. Las diferentes suscripciones de Microsoft
365 tienen diferentes opciones de software. También es probable que las
opciones de software cambien con el tiempo.
Si bien puede hacer que el software Office 365 esté disponible para los
usuarios a través del portal de Microsoft 365, esto no significa que los
usuarios podrán instalar automáticamente este software
correctamente. Al permitir a los usuarios autoabastecerse de software
desde el portal de Microsoft 365, tenga en cuenta lo siguiente:
• Para ejecutar correctamente Office 365, los usuarios
necesitarán una licencia de Office 365.
• Para que los usuarios puedan instalar el software que
descargaron del portal de Office 365, deberán tener privilegios de
administrador local en su computadora. Esto significa que el
autoaprovisionamiento de software a través del portal de Office
365 es una estrategia adecuada en escenarios de Bring Your Own
Device (BYOD) donde el usuario es el propietario de la
computadora y es responsable de su configuración. El
autoaprovisionamiento de software es una preocupación menor
parala mayoría de los entornos en los que a cada usuario se le
asigna una computadora con un entorno operativo estándar (SOE),
ya que los usuarios de estos entornos rara vez tienen credenciales
de administrador local.
• Si no pone el software de Office a disposición de los usuarios,
verán un mensaje que les informa que las instalaciones de Office se
han deshabilitado cuando naveguen a la página Software en el
portal de Office 365.
• Office 365 ProPlus solo se ejecuta en los siguientes sistemas
operativos:
• Windows 7
• Windows 8
• Windows 8.1
• Windows 10
• Windows Server 2008 R2
• Windows Server 2012
• Windows Server 2012 R2
Más información Controle qué software pueden instalar los usuarios desde el
portal
Puede obtener más información sobre cómo controlar el software de Office que los
usuarios pueden instalar desde el portal de Office 365
en: https://docs.microsoft.com/DeployOffice/manage-software-download-settings-
office-365 .
De forma predeterminada, si un usuario instala Office 365 ProPlus desde
el portal de Microsoft 365, también se instalarán todos los programas
incluidos con Office 365 ProPlus (Access, Excel, InfoPath, OneNote,
Outlook, PowerPoint, Publisher y Word). Los administradores pueden
configurar las implementaciones para que solo se instalen algunos de
estos programas, no todos. Puede configurar qué programas están
excluidos de Office 365 ProPlus mediante la herramienta de
implementación de Office. Aprenderá más sobre la configuración de la
herramienta de implementación de Office más adelante en este capítulo.
Más información Excluir programas de Office 365 Proplus
Puede obtener más información sobre cómo excluir programas de Office 365
ProPlus en: https://docs.microsoft.com/DeployOffice/configuration-options-for-the-
office-2016-deployment-tool .
Planificar las aplicaciones de Office 365

Microsoft ha hecho que las aplicaciones Word, Excel, Outlook, PowerPoint
y OneNote estén disponibles para las plataformas móviles iOS y
Android. Hay varias formas de instalar estas aplicaciones en estos
dispositivos.
La primera es navegar al portal de Microsoft 365 utilizando el dispositivo
móvil en el que desea instalar cada aplicación. Desde aquí puede hacer
clic en Instalar Office como se muestra en la Figura 4-3 .
Figura 4-3 Lista de aplicaciones disponibles para la plataforma iPad

Al hacer clic en Obtener aplicaciones de Office, se abrirá una página en
el sitio web de Microsoft que proporcionará un enlace a la página de la
aplicación en la tienda de aplicaciones del proveedor correspondiente. La
Figura 4-4 muestra la página de la App Store de Apple que se abre cuando
se abre el enlace de Excel en el portal de Microsoft 365. Luego, la
aplicación se puede descargar de la App Store e instalar en el dispositivo.
Figura 4-4 Aplicación de Excel en la App Store de Apple

Estas aplicaciones también se pueden instalar directamente desde la
tienda de aplicaciones del proveedor del sistema operativo de cada
dispositivo móvil. Para usar todas las funciones disponibles de cada
aplicación, como acceder a documentos en OneDrive para la Empresa que
están asociados con la suscripción a Microsoft 365 de su organización,
será necesario iniciar sesión en la aplicación con las credenciales de su
cuenta de usuario de Microsoft 365. Las características premium
incluyen:
• La capacidad de realizar un seguimiento de los cambios,
cambiar la orientación de la página, insertar elementos del gráfico y
agregar WordArt y efectos de imagen en la aplicación Word.
• Use tablas dinámicas, agregue y modifique elementos de
gráficos en la aplicación Excel.
• Use la Vista del presentador con notas del orador, realice
ediciones de audio y video y use estilos de imagen en la aplicación
PowerPoint.
• Opciones de soporte técnico de Microsoft.
Seleccione la opción Iniciar sesión de una aplicación, que se muestra en
la Figura 4-5 , para conectar la aplicación a una suscripción de Microsoft
365.
Figura 4-
5 Iniciar sesión en Office 365
Más información Office 365 y dispositivos móviles

Puede obtener más información sobre la implementación
en: https://support.office.com/article/Office-365-mobile-setup---Help-7dabb6cb-
0046-40b6-81fe-767e0b1f014f?CorrelationId=93e770bc-f158-40da- 8052-
f27b45564eee .
Planificar las actualizaciones de las aplicaciones de Office
365 Pro plus
Office 365 proporciona nuevas características y actualizaciones a los
programas de Office de forma regular. Dependiendo de su organización,
puede elegir entre un canal de actualización que proporcione nuevas
funciones a medida que estén disponibles, o puede elegir un canal de
actualización que proporcione nuevas funciones con menos
frecuencia. Los siguientes canales de actualización de Office 365 están
disponibles:
• Canal mensual Este canal proporciona a los usuarios las
funciones más recientes. Las actualizaciones se realizan
mensualmente.
• Canal semestral Este canal ofrece a los usuarios nuevas
funciones con menos frecuencia. Las actualizaciones ocurren en
enero y julio.
• Canal semestral (dirigido) Utilice este canal para usuarios
piloto y probadores de compatibilidad cuando utilice un canal
semestral. Esto permite a estos usuarios probar las actualizaciones
y los cambios antes de que se publiquen en el canal semestral. Las
actualizaciones de este canal ocurren en marzo y septiembre.
Puede configurar qué canal de actualización se usa editando el archivo
configuration.xml para la herramienta de implementación de Office o
configurando la configuración de directiva de grupo de Canal de
actualización en Configuración del equipo \ Plantillas administrativas \
Microsoft Office 2016 (Máquina) \ Actualizaciones cuando la plantilla de
directiva de grupo de Office 2016 los archivos están instalados. También
puede configurar los ajustes del canal de versiones en el Centro de
administración de Microsoft 365 a través de Configuración de descarga de
software, como se muestra en la Figura 4-6 .
Figura 4-6 Configuración de actualización de funciones
Más información Canales de actualización de Office 365

Puede obtener más información sobre las actualizaciones de la aplicación Office
365 Pro plus en: https://docs.microsoft.com/deployoffice/overview-of-update-
channels-for-office-365-proplus .
Planificar la conectividad de Office 365 ProPlus

La conectividad de red para Office 365 ProPlus depende de cómo haya
determinado que desea instalar actualizaciones. Si desea administrar la
implementación de la actualización desde una ubicación en la red interna
de su organización, los equipos cliente solo necesitarán poder acceder a la
ubicación en la red que aloja las actualizaciones. Es más probable que la
mayoría de las implementaciones de Office 365 ProPlus utilicen la opción
predeterminada de obtener actualizaciones de Microsoft a través de
Internet. Para obtener actualizaciones de Office 365 ProPlus a través de
Internet, los equipos cliente necesitarán acceso a las redes de entrega de
contenido de Office.
Las redes de entrega de contenido de Office (CDN) se utilizan no solo para
la implementación de actualizaciones de Office 365 ProPlus, sino que
también mejoran el rendimiento de las páginas de SharePoint Online al
hospedar versiones en caché de activos estáticos en ubicaciones más
cercanas a los usuarios de la organización. El acceso a las CDN de Office
365 se realiza a través del protocolo HTTP / 2. Esto maximiza la
compresión y mejora las velocidades de descarga cuando los clientes
acceden al contenido alojado en las CDN. Las CDN de Office 365 se
hospedan con Akamai. Para garantizar el mejor rendimiento y minimizar
la latencia, asegúrese de que el tráfico de los clientes de Office 365
ProPlus a las CDN de Office no se enrute a través de proxies y, en su lugar,
pueda pasar directamente del cliente a la CDN de Office. Office 365
ProPlus también requiere conectividad a Internet para su activación y
reactivación.
Más información Redes de entrega de contenido de Office 365
Puede obtener más información sobre las redes de entrega de contenido de Office
365 en: https://docs.microsoft.com/office365/enterprise/content-delivery-
networks .
Planificar Office en línea

Office Online le permite acceder a la funcionalidad básica de una variedad
de aplicaciones de Microsoft Office a través de un navegador web
compatible. Puede abrir Word Online, Excel Online, PowerPoint Online y
OneNote Online directamente desde el portal de Microsoft 365, como se
Figura 4-7 Office en línea

Las personas con cuentas de usuario de Microsoft 365 podrán acceder a
los documentos almacenados en ubicaciones organizativas como
OneDrive para empresas y SharePoint Online. Los documentos también
podrán abrirse directamente desde la aplicación web de Outlook. La
Figura 4-8 muestra la interfaz de la aplicación web Word Online Office.
Figura 4-8 Word en línea
Más información Office Online

Puede obtener más información sobre Office Online
en: https://support.office.com/article/Get-started-with-Office-Online-in-Office-365-
5622c7c9-721d-4b3d-8cb9-a7276c2470e5 .
Planificar la implementación de Office 365 Pro plus

Puede usar varios métodos para implementar Office 365 ProPlus en una
computadora. En esta sección, aprenderá sobre implementaciones
manuales, implementaciones centralizadas, la herramienta de
implementación de Office, el archivo configuration.xml y hacer clic para
ejecutar frente a MSI.
Despliegue manual
El método típico de implementar Office 365 ProPlus en una computadora
es que un usuario acceda a los archivos de instalación desde el portal de
Microsoft 365. Puede instalar Office 365 ProPlus en una computadora
realizando los siguientes pasos:
1. Inicie sesión en la computadora con una cuenta de usuario
que sea miembro del grupo de administradores locales.
2. Abra un navegador web e inicie sesión en el portal de Office
365 en https://portal.office.com . Puede hacer clic en Instalar
Office si desea instalar usando el valor predeterminado, o hacer clic
en Otras instalaciones si desea elegir entre la opción de 32 bits y
de 64 bits.
3. Si desea instalar la versión de 64 bits de Office ProPlus,
seleccione el idioma y haga clic en Avanzado como se muestra en
la Figura 4-9 .
Figura 4-9 Instale Office en su PC

4. Una vez que haga clic en Avanzado, puede seleccionar entre la
opción de 32 bits y la de 64 bits. Una vez que haya seleccionado la
opción adecuada, haga clic en Instalar . Esto iniciará la descarga del
archivo de instalación Hacer clic y ejecutar del instalador de Office
365 ProPlus.
5. Elija Guardar o Ejecutar el archivo de instalación. A menudo
es sensato guardar el archivo y luego ejecutarlo, ya que esto
simplifica el proceso de ejecutar el instalador nuevamente en caso
de que algo interrumpa el proceso de instalación.
6. Una vez que se haya descargado el instalador Click-to-Run,
haga doble clic en él para iniciar la instalación. En el cuadro de
diálogo Control de cuentas de usuario, verifique que el nombre del
programa esté configurado en Microsoft Office, como se muestra en
la Figura 4-10 , y luego haga clic en Sí. Comenzará el proceso de
instalación.
Figura 4-
10 Control de cuentas de usuario
7. En el programa "¡Ya está todo listo!" , que se muestra en
la Figura 4-11 , haga clic en Cerrar .
Figura 4-11 Office está instalado

8. Abra una de las aplicaciones de Office ProPlus. La primera vez
que ejecute uno, se le presentará la pantalla "Office está casi listo"
que se muestra en la Figura 4-12 . Haga clic en Aceptar e inicie
Word, o cualquier aplicación de Office ProPlus que haya
seleccionado para ejecutar primero.
Figura 4-12 La oficina está casi lista

9. En la página de Word Reciente que se muestra en la Figura 4-
13 , haga clic en "Iniciar sesión para aprovechar al máximo Office".
Figura 4-13 Página reciente de Word
10. En la página Iniciar sesión, que se muestra en la Figura 4-14 ,
ingrese la dirección de correo electrónico de su cuenta de Office
365 y haga clic en Siguiente .
Figura 4-
14 Iniciar sesión
11. En la página Cuenta profesional o educativa que se muestra
en la Figura 4-15 , ingrese la contraseña y haga clic en Iniciar
sesión .
Figura 4-
15 Ingrese las credenciales de la cuenta profesional o educativa
12. Una vez que haya iniciado sesión, su cuenta aparecerá en la
página Reciente como se muestra en la Figura 4-16 y los
documentos almacenados en Office 365 estarán disponibles.
Figura 4-16 Inicio de sesión en Office 365
Más información Instalación manual de Office 365 Proplus
Puede obtener más información sobre la instalación de Office 365 ProPlus
en: https://support.office.com/article/Download-and-install-Office-using-Office-365-
for-business-on-your-PC-or-Mac -72977511-dfd1-4d8b-856f-405cfb76839c .
Despliegue central
Con una preparación especial, Office 365 ProPlus puede descargarse en
una carpeta compartida local y luego implementarse de forma
centralizada. Para usar este método de implementación central, el
departamento de TI debe usar la herramienta de implementación de
Office para descargar el software Office 365 ProPlus de los servidores de
Microsoft en Internet. Si bien es posible implementar Office 365 ProPlus
de forma centralizada, la instalación exitosa de Office 365 ProPlus
requiere la capacidad de que el software se active en los servidores de
Microsoft Office 365 en Internet. No puede usar una solución de
activación de licencias por volumen, como un servidor de Servicios de
administración de claves (KMS), para activar Office 365 ProPlus incluso
cuando lo está implementando de forma centralizada.
Herramienta de implementación de Office
La herramienta de implementación de Office permite a los departamentos
de TI realizar las siguientes tareas:
• Generar una fuente de instalación de Hacer clic y ejecutar
para Office 365 Esto permite a los administradores crear una
fuente de instalación local para Office 365 en lugar de requerir que
los archivos se descarguen para cada cliente desde Internet.
• Generar Hacer clic y ejecutar para clientes de Office
365 Esto permite a los administradores configurar cómo se instala
Office 365 ProPlus. Por ejemplo, bloquear la instalación de
PowerPoint.
• Crear un paquete de App-V Permite a los administradores
configurar Office 365 ProPlus para trabajar con la virtualización de
aplicaciones.
Para instalar la herramienta de implementación de Office, realice los
siguientes pasos:
1. En la computadora en la que desea implementar la
herramienta de implementación de Office, abra un navegador web y
navegue hasta la siguiente
dirección: https://www.microsoft.com/download/details.aspx?id=49
117 .
2. En la página web Herramienta de implementación de Office
para hacer clic y ejecutar, que se muestra en la Figura 4-17 , haga
clic en Descargar .
Figura 4-17 Herramienta de implementación de Office para hacer clic
y ejecutar
3. Guarde el archivo de instalación en una ubicación en la
computadora. La Figura 4-18 muestra el archivo descargado en la
carpeta Descargas.
Figura 4-18 Archivo de instalación de la herramienta de

implementación de Office.
4. Una vez descargada la herramienta de implementación, haga
doble clic en el archivo ejecutable autoextraíble para iniciar la
configuración de la herramienta de implementación.
5. En el cuadro de diálogo Control de cuentas de usuario, haga
clic en Sí .
6. En la página Términos de licencia del software de Microsoft,
seleccione la opción Haga clic aquí para aceptar los términos de
licencia del software de Microsoft y haga clic en Continuar .
7. En la página Buscar carpeta, seleccione la carpeta en la que
almacenar los archivos asociados con la herramienta. Si bien estos
archivos se pueden extraer en cualquier lugar, deberá interactuar
con la herramienta con frecuencia, por lo que debe crear una
carpeta en la carpeta raíz de un volumen.
8. Se extraerán cuatro archivos como se muestra en la Figura 4-
19 .
Figura 4-19 Carpeta de la herramienta de implementación

La herramienta de implementación de Office es una utilidad de línea de
comandos que ofrece a los administradores tres opciones generales:
• El modo de descarga permite a los administradores descargar
la fuente de instalación de Hacer clic y ejecutar para Office 365
ProPlus, así como los archivos del paquete de idioma en una
ubicación central local.
• El modo de configuración permite la configuración e
instalación de paquetes de idioma y productos de Office de hacer
clic y ejecutar.
• El modo de empaquetador permite la creación de un paquete
de App-V a partir de archivos de instalación de Hacer clic y ejecutar
descargados.
• El modo de personalización le permite aplicar la nueva
configuración de la aplicación a las computadoras que ya tienen
Office 365 ProPlus instalado.
La herramienta de implementación de Office debe ejecutarse desde un
símbolo del sistema elevado en los modos / configure y / packager. Para
ejecutar la herramienta de implementación de Office en modo de
descarga en un archivo de configuración almacenado en la carpeta c: \
ClickToRun, use la sintaxis:

Setup.exe / descargar c: \ ClickToRun \ configuration.xml.
Para ejecutar la herramienta de implementación de Office en el modo de

configuración, cuando la herramienta está alojada en el recurso
compartido \\ SYD-Deploy \ O365 y el archivo de configuración está
almacenado en el recurso compartido \\ SYD-Deploy \ Configs, ejecute el
comando:

\\ SYD-Deploy \ O365 \ Setup.exe / configure \\ SYD-Deploy \ Configs \
Configuration.xml.
Más información Herramienta de implementación de Office

Puede obtener más información sobre la herramienta de implementación de Office
en: https://docs.microsoft.com/deployoffice/overview-of-the-office-2016-
deployment-tool .
Configuration.xml
La herramienta de implementación se envía con tres archivos
Configuration.xml de ejemplo: Configuration-Office365-x64.xml,
Configuration-Office365-x86.xml y Configuration-
Office2019Enterprise.xml. Utilice estos archivos Configuration.xml para
realizar las siguientes tareas:
• Agregue o elimine productos de Office de una instalación.
• Agregue o elimine idiomas de la instalación.
• Especifique las opciones de visualización, como si la
instalación se realiza de forma silenciosa.
• Configure las opciones de registro, como la cantidad de
información que se registrará en el registro.
• Especifique cómo funcionarán las actualizaciones de software
con Hacer clic y ejecutar.
La Figura 4-20 muestra uno de los archivos Configuration.xml de ejemplo
que está disponible con la herramienta de implementación de Office.
Figura 4-20 Configuración de Office365 x65.xml
Los atributos importantes incluyen:

• SourcePath Cuando ejecuta la herramienta en modo de
descarga, el atributo SourcePath determina la ubicación donde se
almacenarán los archivos Click-to-Run. Cuando ejecuta la
herramienta en el modo de configuración, el atributo SourcePath
determina el origen de la instalación.
• OfficeClientEdition Este valor es obligatorio y debe
establecerse en 32 o 64. Esto determina si se recuperan o instalan
las versiones x86 o x64 de las aplicaciones de Office.
• Versión Si este elemento no está configurado, se descargará o
instalará la versión más reciente de los archivos. Si se establece una
versión, esa versión de los archivos se descargará o instalará.
• Pantalla El elemento de pantalla le permite especificar qué
información ve el usuario durante la implementación. Las opciones
son:
• Nivel = Ninguno El usuario no ve la interfaz de usuario,
la pantalla de finalización, los cuadros de diálogo de error o la
primera ejecución de la interfaz de usuario.
• Nivel = COMPLETO El usuario ve la interfaz de usuario
de Hacer clic y ejecutar, la pantalla de presentación de la
aplicación y los cuadros de diálogo de error normales.
• AcceptEULA = True El usuario no ve el cuadro de
diálogo Términos de licencia del software de Microsoft.
• AcceptEULA = False El usuario verá el cuadro de
diálogo Términos de licencia del software de Microsoft.
• ExcludeApp Utilice este elemento para excluir la instalación
de aplicaciones. Los valores válidos de este atributo son los
siguientes:
• Acceso
• Sobresalir
• Groove (utilizado para OneDrive para empresas)
• InfoPath
• Lync (utilizado para Skype Empresarial)
• Una nota
• OneDrive
• panorama
• PowerPoint
• Proyecto
• Editor
• SharePointDesigner
• Visio
• Palabra
• ID de idioma Este elemento le permite especificar qué
paquetes de idioma están instalados. Por ejemplo, tiene en-us para
inglés de EE. UU. Puede tener varios elementos de ID de idioma,
uno para cada idioma que desee instalar.
• Registro Este elemento le permite deshabilitar el registro,
habilitar el registro y especificar la ruta donde se escribirá el
archivo de registro.
• ID de producto Este elemento le permite especificar qué
productos instalar. Las opciones disponibles son:
• O365ProPlusRetail Office 365 ProPlus
• VisioProRetail Visio Pro
• ProjectProRetail Profesional de proyectos
• Diseñador de SharePoint SPDRetail
• Eliminar Si este elemento se establece TODO = VERDADERO,
se eliminan todos los productos de Hacer clic y ejecutar.
• Actualizaciones El elemento de actualizaciones le permite
configurar cómo se administran las actualizaciones e incluye las
siguientes opciones:
• Habilitado Cuando se establece en verdadero, el
sistema de actualización Click-to-Run buscará
actualizaciones.
• UpdatePath Si este elemento no está configurado, las
actualizaciones se recuperarán de los servidores de Microsoft
en Internet. Si el elemento está configurado en una ruta de
red, local o HTTP, las actualizaciones se obtendrán de la ruta
especificada.
• TargetVersion Le permite aplicar actualizaciones a una
versión de compilación de Office específica. Si no se
especifica, se actualiza la versión más reciente.
• Fecha límite Especifica la fecha límite en la que se
deben aplicar las actualizaciones. Puede utilizar Fecha límite
con la versión de destino para obligar a que las aplicaciones
de Office se actualicen a una versión específica en una fecha
específica. La fecha límite solo se aplicará a un único conjunto
de actualizaciones. Para asegurarse de que las aplicaciones de
Office estén siempre actualizadas, es necesario revisar la
fecha límite cuando haya nuevas actualizaciones disponibles.
Más información Configuration.Xml
Puede obtener más información sobre el formato de Configuration.xml
en: https://docs.microsoft.com/deployoffice/configuration-options-for-the-office-
2016-deployment-tool .
Hacer clic y ejecutar frente a MSI
Hacer clic y ejecutar y MSI son dos formatos diferentes a través de los
cuales las aplicaciones de Office se pueden distribuir a los usuarios. Hacer
clic y ejecutar ofrece las siguientes características:
• Instalación de transmisión continua La instalación
de transmisión continua permite ejecutar una aplicación antes de
que se complete la instalación. Cuando la instalación de una
aplicación se transmite, la primera parte de la aplicación instalada
proporciona la funcionalidad mínima necesaria para que la
aplicación se ejecute. Esto permite al usuario comenzar a trabajar
con la aplicación mientras se completa la instalación.
• Servicio integrado La funcionalidad Hacer clic y ejecutar de
Office 365 ProPlus significa que las actualizaciones están incluidas
en la instalación. En lugar de instalar Office de manera tradicional y
luego ejecutar una verificación de Windows Update para ubicar e
instalar las actualizaciones relevantes, las actualizaciones
relevantes ya están incluidas en los archivos de instalación de
Hacer clic y ejecutar. El servicio Slipstreamed significa que los
usuarios finales tienen la versión más segura y actualizada de la
aplicación de inmediato, en lugar de tener que esperar a que se
complete el ciclo de actualización posterior a la implementación.
• Licencias basadas en usuarios Las licencias basadas
en usuarios significan que la licencia de Office 365 ProPlus está
asociada con la cuenta de usuario de Office 365, no con la
computadora en la que el usuario inició sesión. Dependiendo del
tipo de licencia asociada con el usuario y el arrendamiento, el
usuariopuede instalar Office 365 ProPlus en hasta cinco
computadoras diferentes, así como tabletas y teléfonos. Es posible
eliminar licencias de equipos que hayan tenido instalado Office 365
ProPlus en un momento anterior.
• Activación minorista Office 365 ProPlus se activa mediante
métodos minoristas en lugar de licencias por volumen. La
activación se produce a través de Internet. Esto significa que la
computadora debe conectarse a Internet cada 30 días; de lo
contrario, Office ProPlus ingresará al modo de funcionalidad
reducida.
• Conjuntos de aplicaciones a nivel de SKU A menos que un
administrador configure un archivo de configuración adecuado,
Office 365 ProPlus instala todos los productos del conjunto. Los
productos que se instalen dependerán de las características
específicas de la suscripción a Office 365, pero esto generalmente
significa Access, Excel, InfoPath, OneNote, Outlook, PowerPoint,
Publisher y Word. Los productos instalados se instalarán para
todos los usuarios del arrendamiento. No es posible elegir instalar
el programa PowerPoint para algunos usuarios pero no para otros
cuando todos los usuarios están usando el mismo archivo de
instalación y archivo de configuración de Hacer clic y ejecutar. Es
posible implementar conjuntos de aplicaciones separados para los
usuarios, pero esto requiere archivos de configuración separados
para cada conjunto de aplicaciones.
Los archivos MSI son un método mediante el cual se empaquetan las
aplicaciones. Los archivos MSI permiten a los departamentos de TI de la
organización automatizar las aplicaciones de implementación, como
Office, utilizando herramientas como Microsoft Intune y System Center
Configuration Manager. Los archivos MSI son apropiados para
organizaciones que tienen un entorno de escritorio administrado y son
menos adecuados para los tipos de escenarios "Traiga su propio
dispositivo" en los que los productos Click-to-Run, como Office 365
ProPlus, son adecuados. Los archivos MSI ofrecen las siguientes
características:
• Los archivos MSI de instalación clásica se pueden instalar
haciendo doble clic en el archivo del instalador, se pueden
implementar mediante la directiva de grupo, Microsoft Intune,
System Center Configuration Manager o productos de
implementación de aplicaciones de terceros. La aplicación no está
disponible para el usuario hasta que se complete la instalación de la
aplicación. Esto difiere de la tecnología de transmisión del método
Click-to-Run que permite al usuario comenzar a usar una aplicación
con un conjunto reducido de funciones antes de que se complete la
instalación de la aplicación.
• Servicio en capasLos archivos MSI representan la aplicación
en el momento en que se empaquetó como un archivo MSI. Esto
significa que después de la implementación será necesario que el
departamento de TI aplique las actualizaciones de software
necesarias a la aplicación. Dependiendo de la antigüedad del
archivo MSI y la cantidad de actualizaciones de software que se han
lanzado desde que se empaquetó la aplicación por primera vez,
puede tomar bastante tiempo para que la aplicación se actualice al
nivel de parche actual después de que se implementó. Esto aumenta
sustancialmente la cantidad de tiempo entre la implementación de
una aplicación y la posibilidad de que el usuario utilice la aplicación
para realizar su función de trabajo. Los departamentos de TI
pueden actualizar los archivos MSI con las últimas actualizaciones y
parches, pero este es un proceso complejo, generalmente manual,
que requiere implementar la aplicación en una computadora de
referencia, actualizar la aplicación,crea el nuevo archivo MSI
actualizado. Con la tecnología Click-to-Run, las actualizaciones de la
aplicación se deslizan en la aplicación por Microsoft, lo que significa
que la aplicación está actualizada con actualizaciones tan pronto
como se implementa.
• Licencias por volumen Las versiones de Office que puede
implementar desde un archivo MSI, incluidas Office 2016 y Office
2019, tienen ediciones que admiten las licencias por volumen. Las
licencias por volumen le ofrecen la opción de utilizar una clave de
licencia por volumen. Las licencias por volumen no son algo que sea
compatible automáticamente con el formato MSI y depende de las
propiedades del software implementado. Las licencias por volumen
solo están disponibles para organizaciones que tienen acuerdos de
licencias por volumen con Microsoft.
• Activación por volumen Al igual que las licencias por
volumen, la activación por volumen no es una propiedad de un
archivo MSI, sino una característica que es compatible con algunas
versiones de Office que usan este formato de empaquetado. La
activación por volumen permite activar una gran cantidad de
productos, ya sea mediante el uso de una clave de activación
especial que se utiliza cada vez que se realiza la instalación, o
mediante tecnologías como un servidor de servicios de gestión de
claves (KMS) en la red interna de la organización. La activación por
volumen solo está disponible para organizaciones que tienen
acuerdos de licencias por volumen.
• Instalación selectiva de aplicaciones En lugar de
implementar todos los productos en la suite de Office, el método de
implementación basado en MSI facilita a las organizaciones la
implementación de productos individuales en la suite. Por ejemplo,
es posible elegir implementar Word y Excel para algunos usuarios y
PowerPoint para otros.
• Limitaciones del escenario A diferencia de Office 365
ProPlus de hacer clic y ejecutar, que utiliza activación minorista, las
versiones con licencia por volumen de Office 2016 y Office 2019 se
pueden usar en servidores de Servicios de escritorio remoto, se
pueden implementar en dispositivos USB de Windows To Go y se
pueden implementado en redes que no tienen conectividad a
Internet.
Si bien existen diferencias entre Office 365 ProPlus de hacer clic y
ejecutar y Office 2019 basado en MSI, también existen ciertas similitudes:
• Ambos se pueden configurar a través de la Política de grupo.
• Ambos proporcionan telemetría visible a través del Panel de
telemetría.
• Las extensiones diseñadas para la versión Office 2019 de un
producto funcionarán con la versión Office 365 de ese producto.
Más información Click-to-Run versus MSI
Puede obtener más información sobre Click-to-Run versus MSI
en: http://blogs.technet.com/b/office_resource_kit/archive/2013/03/05/the-new-
office-garage-series-who-moved- my-msi.aspx .

Recuerde los diferentes elementos utilizados en los archivos
Configuration.xml.
EXPERIMENTO MENTAL
Hay un número cada vez mayor de usuarios de tabletas iPad y Android en
Contoso que desean utilizar estos dispositivos móviles para realizar
tareas laborales. Varios de los usuarios de tabletas Android ya han
instalado aplicaciones de Google Play Store, pero no pueden acceder a los
documentos almacenados en SharePoint en línea. Algunos de los usuarios
de iPad han escuchado que las aplicaciones de Office están disponibles,
pero no saben por dónde empezar cuando se trata de obtenerlas. Para sus
equipos de escritorio, está interesado en implementar Office 365 ProPlus
de forma centralizada mediante archivos de hacer clic y ejecutar.
Don Funk es un usuario de Contoso. Don acaba de comprar una nueva
computadora portátil de consumo para usar en casa y quiere configurar
Outlook y Skype for Business. Don inicia sesión en su equipo de trabajo
unido al dominio con el nombre de usuario contoso \ don.funk. Don inicia
sesión en Office 365 con don.funk@contoso.com nombre de usuario . El
inicio de sesión único está configurado con Office 365.
Con esta información en mente, responda las siguientes preguntas:
1. ¿Qué instrucciones debería dar a los usuarios de iPad sobre la
ubicación de aplicaciones de Office?
2. ¿Qué instrucciones debe dar a los usuarios de tabletas
Android que ya han instalado aplicaciones de Google Play Store?
3. ¿Qué herramienta debería utilizar para obtener los archivos
de hacer clic y ejecutar de Office 365 ProPlus de los servidores de
Microsoft en Internet?
4. ¿Qué archivo debería editar para recuperar una versión
específica de los archivos de hacer clic y ejecutar de Office 365
ProPlus?

1. Debe indicar a los usuarios de iPad que inicien sesión en el
portal de Microsoft 365. Esto les permitirá ver las aplicaciones
disponibles relacionadas con Office 365 para iPad. También les
proporcionará enlaces directos a esas aplicaciones en la tienda de
aplicaciones.
2. Debe indicarles que inicien sesión en sus cuentas de Microsoft
365 en cada aplicación para que puedan obtener acceso a los
documentos almacenados en ubicaciones empresariales.
3. Debe usar la herramienta de implementación de Office,
también conocida como la herramienta de implementación de
Office para hacer clic y ejecutar, para obtener los archivos de hacer
clic y ejecutar de Office 365 ProPlus de Internet.
4. Debe editar el archivo configuration.xml apropiado para
especificar una versión específica de los archivos de Office 365
ProPlus.

• La implementación híbrida de Exchange requiere Exchange
2007 o una versión posterior local.
• La versión de Exchange que ha implementado determina el
tipo de implementación híbrida que está disponible. Al seleccionar
una opción de implementación híbrida, debe elegir la versión más
moderna disponible para su organización.
• La aplicación web principal de SharePoint en la granja de
SharePoint local debe usar un certificado de una CA pública de
confianza de terceros.
• Una implementación híbrida de Skype Empresarial requiere
federación.
• Utiliza una migración de movimiento remoto (también
conocida como un lote) cuando tiene una implementación híbrida
de Exchange existente.
• En una migración por etapas, migra los buzones de correo de
su organización de Exchange local a Office 365 en grupos,
denominados lotes.
• En una migración total, todos los buzones de correo de una
implementación de Exchange local se migran a Office 365 en un
solo lote de migración.
• La carga de red le permite importar archivos PST a Office 365.
• La mayoría de las organizaciones que están migrando desde
una implementación de SharePoint Server local a SharePoint en
línea usarán la herramienta de migración de SharePoint.
• Una copia activada de Office 365 ProPlus debe poder
comunicarse con los servidores de Microsoft en Internet cada 30
días. Si esta comunicación no se produce, Office 365 ProPlus
entrará en modo de funcionalidad reducida.
• La herramienta de implementación de Office es una utilidad
de línea de comandos que se usa si desea centralizar la
implementación de archivos de hacer clic y ejecutar de Office 365
desde una ubicación en su red de área local.
• Puede usar la herramienta de implementación de Office para
descargar los archivos de hacer clic y ejecutar de Office 365 y los
archivos del paquete de idioma de los servidores de Microsoft en
Internet.
• Utiliza la herramienta de implementación de Office en modo
de descarga para recuperar archivos de los servidores de Microsoft
en Internet.
• Utilice la herramienta de implementación de Office en el
modo de configuración para instalar Office 365 mediante una
fuente de instalación en la red de área local.
• El archivo configuration.xml se usa con la herramienta de
implementación de Office tanto en el modo de descarga como en el
de configuración. En el modo de descarga, le permite especificar
qué archivos se descargan. En el modo de configuración, le permite
especificar cómo se instalan las aplicaciones y paquetes de idioma
de Office Click-to-Run y cómo se aplican las actualizaciones.
Índice
A
Bloqueo de cuenta, 184
Adquirir un nombre de dominio, 2
Dominios y fideicomisos de Active Directory, 117
Usuarios activos, 23 , 42 , 81
Agregar, 23
Agregar un dominio, 4
Agregar miembro, 150
Agregar usuario, 191
Agregar usuario, 191
Add-AzureADGroupMember, 137
Add-AzureADGroupOwner, 137
Direcciones de correo electrónico adicionales, 20
Los administradores y usuarios en el rol de invitador invitado pueden
invitar, 205
ADModify.NET, 115
Asignar roles en cargas de trabajo, 146
Permitir, 27
Permitir invitaciones solo a los dominios especificados, 205
Permitir que se envíen invitaciones a cualquier dominio, 205
AllowSyncCyleInterval, 123
Contraseñas de aplicaciones, 161 , 180
ASIGNAR LICENCIAS A USUARIOS, 142
Métodos de autenticación, 95 , 162 , 164 , 182
Métodos de autenticación, 95
EVITAR LAS HORQUILLAS DE RED, 29
Configuración de Azure Active Directory, 33
Etiquetas y protección de Azure Information Protection (AIP), 32
B
PLANIFICACIÓN DE ANCHO DE BANDA, 30
Línea de base, 32
Administrador de facturación, 37
Historial de usuario bloqueado, 187
C
Llámame, 51
Verificar DNS, 14
Instalación clásica, 238
Clientes configurados con direcciones APIPA, 26
Seguridad de la aplicación en la nube, 33
Autenticación en la nube, 34
SÓLO EN LA NUBE, 34
Registros CNAME, 3
Políticas de acceso condicional, 95
Configuración.xml, 235
Configurar el proxy de la aplicación Azure AD, 193
Conectores, 124
Contoso.com, 24
Colaborador, 149
Controlado, 84
Crear un plan de respuesta de salud del servicio interno, 51
Crear un punto final de migración, 73
Crear horario, 66
CurrentEffectiveSyncCycleInterval, 123
Aprobador de acceso a la caja de seguridad del cliente, 38
Personalizar horario, 66
CustomizedSyncCycleInterval, 123
CUTOVER MIGRATION, 75
D
Tablero, 65
Gobierno de datos, 85
Informes de prevención de pérdida de datos, 54
Plazo, 237
Predeterminado, 27
ADMINISTRADORES DELEGADOS, 42
Importación Delta, 126
Sincronización Delta, 126
Denegar invitaciones a dominios especificados, 205
Diseño de la configuración del nombre de dominio, 24
Pantalla, 236
DNS, 98
Dominios 8
MI
Editar dominios, 19
Editar direcciones de correo electrónico y nombre de usuario, 23
CONEXIONES DE RED EGRESS LOCALMENTE, 29
Dirección de correo electrónico, 22
Uso de la aplicación de correo electrónico, 59
Habilite el código de acceso de un solo uso de correo electrónico para
invitados, 205
HABILITAR LA AUTENTICACIÓN MODERNA EN INTERCAMBIO EN
LÍNEA, 162
Habilitado, 237
CATEGORÍAS DE PUNTOS FINALES, 28
Aplicaciones empresariales, 189
Evaluar Microsoft 365 para organización, 43
Intercambio, 20
Administrador de Exchange, 38
Informes de auditoría de Exchange, 54
Exportación, 126
Directorio activo externo, 200
Configuración de colaboración externa, 202
F
Autenticación federada, 35
Coincidencia de archivos, 70
Archivos, 60
Configuración del cortafuegos, 26
Alerta de fraude, 185
Sincronización completa, 125 - 126
GRAMO
Obtener aplicaciones de Office, 223
Administrador global, 37
Grupos, 143
Los permisos de usuario invitado son limitados, 205
Huéspedes, 199
H
Administrador del servicio de asistencia (contraseña), 38
Alto, 174
Muy regulado, 32
PRERREQUISITOS DE DESPLIEGUE DE INTERCAMBIO HÍBRIDO, 212
AUTENTICACIÓN HÍBRIDA MODERNA, 96
SharePoint híbrido, 212
Skype empresarial híbrido, 212
I
Migración IMAP, 216
Importar varios usuarios, 80
Importar archivos PST, 84
SERVICIO DE IMPORTACIÓN, 217 - 218
CONECTIVIDAD A INTERNET PARA CLIENTES, 26
Introducción, xiii
Usuario invitado, 199
L
ID de idioma, 236
Servicio por capas, 238
LDAP, 98
Nivel = COMPLETO, 236
Nivel = Ninguno, 236
Administrador de licencias, 39
Administración limitada, 42
Ubicación, 172
Registro, 236
Bajo, 174
METRO
Uso del buzón, 57
Buzones de correo, 21
MaintenanceEnabled, 124
Administrar identidades de Azure AD, 131
GESTIÓN DE LOS PUNTOS FINALES DE OFFICE 365, 29
Despliegue manual, 228
Mdm.contoso.com, 25
Medio, 174
Miembro, 199
Lector de centro de mensajes, 39
Uso de dispositivos de Microsoft Teams, 65
Actividad de usuario de Microsoft Teams, 65
MIGRAR DATOS A SHAREPOINT ONLINE, 68
Migración de grupos a Microsoft 365, 83
Comparación de migración, 78
Gestión de dispositivos móviles para registros DNS de Microsoft 365, 13
Teléfono móvil, 161
Autenticación moderna, 158
Supervisar el estado de Azure AD Connect, 122
Supervisar las asignaciones de licencias, 46
Supervisar el estado del servicio, 52
Mover buzones de correo, 73
Autenticación multifactor, 177
Registros MX, 3
NORTE
Nombre, 143
Redes, 25
Nueva aplicación, 196
Nueva solicitud de servicio por teléfono, 51
Próximo, 4, 80 , 106 , 231
NextSyncCyclePolicyType, 124
NextSyncCycleStartTimeInUTC, 124
Sin puerta de enlace predeterminada, 26
Sin opción, 42
O
Fichas de hardware OATH, 161
Informe de registro de auditoría de Office 365, 54
Paquete de administración de Office 365 para System Center Operations
Manager, 52
API de comunicaciones de servicio de Office 365, 52
Herramienta de implementación de Office, 235
OFICINA ONLINE, 228
OfficeClientEdition, 235
INFORME DE ACTIVIDADES DE ONEDRIVE PARA EMPRESAS, 60
Abierto, 84
Optimizar, 27
Otras instalaciones, 228
PUERTOS FUERA DE FUEGO, 28
Propietario, 60 , 149
PAG
Autenticación de paso, 120
Contraseña, 143 , 160
POLÍTICAS DE CADUCIDAD DE CONTRASEÑAS, 163
Sincronización de contraseña, 112 , 120 , 129
Plan para el cambio, 52
Planificación de aplicaciones de Office 365, 222
Planifique las cargas de trabajo y las aplicaciones de Office 365, 209
Administrador de servicios Power BI, 39
ID de producto, 236
Perfil, 143
ProjectProRetail, 237
Propiedades, 143
ProPlusRetail, 236
Informes de protección, 54
Autenticación del servidor proxy, 26
PurgeRunHistoryInterval, 124
R
Elevar el nivel funcional del bosque, 97
Reactivar, 172
Lector, 149
Destinatarios, 21
CARPETAS DE REDIRECCIÓN, 71
Recuerde la autenticación multifactor , 181
MIGRACIÓN REMOTA EN MOVIMIENTO, 73
Quitar, 237
Eliminar AzureADGroup, 137
Remove-AzureADGroupMember, 137
Remove-AzureADGroupOwner, 137
Restablecer contraseña, 138
Resolver, 172
Restaurar, 83
Activación minorista, 238
EVENTOS DE RIESGO, 173 , - 174
INICIAR SESIÓN DE RIESGO, 169 , 171 , 174
Roles y administradores, 149 - 151
Informes de reglas, 55
S
Salvar, 42 , 183
Limitaciones del escenario, 239
INFORMES DE HORARIO, 65 , 67
Seguridad y cumplimiento, 85
NIVELES DE SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN, 31
Preguntas de seguridad, 160
Instalación de aplicaciones selectivas, 239
Sensible, 32
Estado del servidor, 187
SERVICIO DE RESPUESTA DE SALUD, 52
Establecer como principal, 23
Ajustes, 8, 151
Configuración, 3
Administrador de SharePoint, 40
ADMINISTRADOR EN LÍNEA DE SHAREPOINT, 40
Conectividad híbrida de SharePoint Server, 214
Estrategia de migración de SharePoint Server, 218
INFORME DE USO DEL SITIO DE SHAREPOINT, 61
Mostrar contraseña, 143
Iniciar sesión, 231
Inicios de sesión desde dispositivos infectados, 173
Inicios de sesión desde ubicaciones desconocidas, 173
Actividad de Skype Empresarial, 62
Actividad del organizador de conferencias de Skype Empresarial, 63
Actividad para participantes de conferencias de Skype Empresarial, 63
REGISTROS DNS DE SKYPE PARA EMPRESAS, 13
Calculadora de ancho de banda de Skype Empresarial Online, 30
REGISTROS CNAME EN LÍNEA DE SKYPE FOR BUSINESS, 12
Actividad de igual a igual de Skype Empresarial, 62
Skype.contoso.com, 24
Servicio Slipstream, 237
Configuración de descarga de software, 220
SourcePath, 235
Detecciones de spam, 55
SPD Minorista, 237
Registros SRV, 3
MÉTODO DE MIGRACIÓN POR ETAPAS, 73 - 74
StatingModeEnaled, 124
Almacenamiento utilizado, 60 - 61
Soporte, 50
SyncCycleEnabled, 124
SyncCycleInProgress, 124
Errores de sincronización, 122
Editor de reglas de sincronización, 128
Servicio de sincronización, 122 , 124
Gerente de servicios de sincronización, 126
T
Segmentación, 70
TargetVersion, 237
Administrador de comunicaciones de Teams, 40
Ingeniero de soporte de comunicaciones de Teams, 40
Especialista en soporte de comunicaciones de Teams, 41
Administrador de servicios de Teams, 41
Políticas de gestión de amenazas, 32
Prueba Microsoft 365, 45
Direcciones IP confiables, 180
U
Desbloquear, 184
UpdatePath, 237
Actualizaciones, 237
Usuario, 172
Administrador de acceso de usuario, 149
Configuración de usuario, 202
Licencias basadas en usuarios, 237
Usuarios, 80
Usuarios y grupos, 191
V
Opciones de verificación, 180
Verificar dominio personalizado, 5
Versión, 236
VisioProRetail, 237
Activación por volumen, 239
Licencias por volumen, 239
W
Directorio activo de Windows Server, 200
Y
Actividad de Yammer, 64
Uso del dispositivo Yammer, 64
Informe de actividad de grupos de Yammer, 64
Fragmentos de código
Muchos títulos incluyen código de programación o ejemplos de
configuración. Para optimizar la presentación de estos elementos, vea
el libro electrónico en modo horizontal de una sola columna y ajuste el
tamaño de fuente al valor más pequeño. Además de presentar el código
y las configuraciones en el formato de texto ajustable, hemos incluido
imágenes del código que imitan la presentación que se encuentra en el
libro impreso; por lo tanto, cuando el formato reajustable pueda
comprometer la presentación del listado de código, verá un enlace
"Haga clic aquí para ver la imagen del código". Haga clic en el enlace
para ver la imagen del código de fidelidad de impresión. Para volver a
la página anterior vista, haga clic en el botón Atrás en su dispositivo o
aplicación.

34 MS 100

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

34 MS 100

Uploaded by

Copyright:

Available Formats

Contenido de un vistazo

ORGANIZACIÓN DE ESTE LIBRO

ERRATAS, ACTUALIZACIONES Y ASISTENCIA PARA

Habilidades en este capítulo:

HABILIDAD 1.1: ADMINISTRAR DOMINIOS

Agregar y configurar dominios adicionales

Adquirir un nombre de dominio

Comprar un dominio a través de Microsoft 365

Configurar un nombre de dominio personalizado

Verificar dominio personalizado

Configurar cargas de trabajo para un nuevo nombre de

Figura 1-5 registro TXT en Azure DNS

Registros DNS relacionados con Exchange Online

Tipo Prioridad Nombre de host Valor

Figura 1-6 registro TXT en Azure DNS

Figura 1-7 registro MX en Azure DNS

Figura 1-8 registro SPF en Azure DNS

Registro CNAME de detección automática

Registros de texto de federación de intercambio

Registro CNAME de Exchange Federation

Registros DNS relacionados con Skype Empresarial

Figura 1-10 Registros DNS relacionados con Skype Empresarial

Registros CNAME de Skype Empresarial Online

Tipo Nombre de host Valor

Registros SRV de Skype Empresarial Online

Gestión de dispositivos móviles para registros DNS de Microsoft

Tabla 1-4 Registros DNS de administración de dispositivos móviles de Microsoft 365

Tipo Nombre de host Valor

Verificación de la configuración de DNS

Más información Preguntas frecuentes sobre dominios de Microsoft 365

Establecer dominio predeterminado

Establecer nombre de dominio principal

Figura 1-13 Dominios aceptados en el centro de administración de

Configurar identidades de usuario para un nuevo nombre

Administrar la dirección de correo electrónico

Es posible cambiar la dirección de correo electrónico principal una vez

Puede realizar una actualización masiva de direcciones de correo

Figura 1-17 Seleccionar varios usuarios

Figura 1-18 Seleccionar varios usuarios

Direcciones de correo electrónico adicionales

Figura 1-21 Destinatarios

Figura 1-25 Editar dirección de correo electrónico

Haga clic aquí para ver la imagen del código

Diseñar la configuración del nombre de dominio

Sugerencia para el examen

HABILIDAD 1.2: PLANIFICAR UNA

Planificar la infraestructura local de Microsoft 365

Conectividad a Internet para clientes

Administrar puntos finales de Office 365

Puertos de firewall de salida

Protocolo Puerto Usado por

TCP 995 POP3 seguro

Evitar las horquillas de la red

Implementar dispositivos SD-Wan

Recomendar ancho de banda

Mejora de los niveles de seguridad

Gestión de acceso privilegiado

Una solución de autenticación e identidad solo en la nube es adecuada si:

Hash de contraseña SYNC con inicio de sesión único

Autenticación de paso a través con inicio de sesión único

Proveedores de identidad y autenticación de terceros

Sugerencia para el examen

HABILIDAD 1.3: CONFIGURAR TENENCIA Y

Configurar las funciones de suscripción y arrendatario y la