locked
Federación de Office 365 y Outlook 2010 e Inicio de Sesión unico RRS feed

  • Pregunta

  • Estimados

    en mi lugar de trabajo, se tiene la idea de implementar:

    Cuando se cree una cuenta nueva en Active Directory, se cree automáticamente la cuenta de correo en Office 365 (OWA). acá existe un Servidor Con Windows 2008 R2 Server, el cual es el servidor de dominio y el Correo se administra todo a través de la Nube de Microsoft sin servidor Exchange local.

    En el servidor de AD, existen muchas cuentas creadas aparte de las cuentas de correo creadas en OWA, las cuales corresponden a los mismos usuarios, pero los cuales no coinciden en su nombre de usuario.

    Me gustaría saber que riesgos se corren al no coincidir los nombres de usuario de correo y AD, que hacer antes de realizar la centralización de ambas credenciales.

    Se que a través de la pagina de Administración de OWA, existen 2 opciones: Inicio de sesión Único, y Sincronizacion de Active Directory, me gustaría saber para que sirve cada opción, cual seria la recomendada para mi caso.

    Saludos.

    • Cambiado Marcela Berri jueves, 11 de septiembre de 2014 22:10 Consulta O 365 integración
    jueves, 11 de septiembre de 2014 18:24

Respuestas

  • Raul,

    ¿Como estas? Exactamente, al implementar DirSync, se crea el usuario en Office 365 y sincroniza la contraseña. Pero deberás ingresar al portal de administración para luego asignarle las licencias correspondientes.

    Con respecto a tu otra consulta, en caso que elimines un usuario de tu AD local, se eliminara de Office 365 y quedara en la papelera de reciclaje de Office 365. No podras eliminar usuarios que esten sincronizados con tu Active Directory local desde Office 365. 

    Por otro lado, recorda que la sincronización de DirSync es de una sola vía, es decir replica los cambios de tu AD local hacia Office 365, pero no al reves.

    El atributo ImmutableID es utilizado para asociar tu cuenta de Active Directory local contra Office365. Es solamente eso.

    Saludos!!


    This posting is provided AS IS with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing! Mi blog http://nicolasgranata.com

    • Marcado como respuesta Uriel Almendra martes, 16 de septiembre de 2014 17:24
    viernes, 12 de septiembre de 2014 17:29

Todas las respuestas

  • Raul,

    ¿Como estas? Tal como comentas las opciones a utilizar son SSO(ADFS) y DirSync (Sincronizacion de Active Directory).

    Con la primera opcion (ADFS), basicamente lo que realizas es un inicio de sesion unico mediante una infraestructura local de Active Directory Federation Services contra Office 365. Es decir quien autentica las cuentas es tu dominio de Active Directory Local. 

    Las ventajas con esta opción son:

    • La autenticación no la realiza Office 365.
    • Podes controlar granularmente la autenticacion desde tu infrastructura local pudiendo denegar o filtrar permisos a determinados usuarios.
    • Los usuarios tendrán una sola credencial que servira tanto para autenticarte en tu Active Directory, como en clientes Outlook y dispositivos moviles.

    Las contras son las siguientes:

    • Mas complejo de implementar y mantener.
    • Mas costoso, por la infraestructura de servidor necesaria (mínimo 4 equipos) y certificados digitales a comprar.
    • En caso de una caída de internet en tu infraestructura, no podras iniciar sesion contra Office365.

    La segunda opción DirSync, la autenticacion la realiza Office 365. El servidor DirSync, solamente realiza una sincronizacion de todos tus usuarios on-premises hacia Office 365 como asi tambien una sincronizacion de Password para que el usuario tenga una mejor experiencia.

    Las contras con esta opción son:

    • No podes controlar granularmente la autenticacion desde tu infrastructura local pudiendo denegar o filtrar permisos a determinados usuarios.
    • La autenticacion esta en manos de Office 365

    Las ventajas son las siguientes:

    • Menos complejo de implementar y mantener.
    • Menos costoso, por la infraestructura de servidor necesaria. (1 solo servidor)
    • En caso de una caída de internet en tu infraestructura,  podras iniciar sesion contra Office365 desde cualquier lugar.

    En mayor o menor medida, son esas las diferencias basicas entre estas opciones.

    Igualmente te seteo la expectativa, que no podras generar usuarios en forma automatica con su buzon en Office 365 en caso que generes un nuevo usuario en tu AD local. Si, se genera el usuario si utilizas DirSync, pero no se asignara la licencia de Exchange Online para la creación del buzón.

    Te recomiendo utilizar DirSync para tu caso, por las ventajas que tiene. Aparte no hace falta que te preocupes porque el usuario de AD sea distinto a la cuenta de OWA, ya que podes forzar la sincronizacion mediante un atributo llamado ImmutableID de DirSync, pero eso ya es otra historia.

    Te dejo informacion:

    http://technet.microsoft.com/en-us/library/hh689731.aspx

    http://social.technet.microsoft.com/wiki/contents/articles/9082.office-365-and-adfs-active-directory-federation-service-installation.aspx

    http://blogs.office.com/2014/04/15/synchronizing-your-directory-with-office-365-is-easy/

    http://technet.microsoft.com/en-us/library/dn635310(v=office.15).aspx

    http://technet.microsoft.com/en-us/library/hh852415.aspx

    http://technet.microsoft.com/en-us/library/hh852478.aspx

    Espero que te sea util!

    Saludos!


    This posting is provided AS IS with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing! Mi blog http://nicolasgranata.com

    • Propuesto como respuesta Uriel Almendra viernes, 12 de septiembre de 2014 14:38
    viernes, 12 de septiembre de 2014 0:06
  • Nicolas

    muchas gracias por responder, ya estoy claro que la segunda opción la de Dirsync es la que tomaremos, te quería hacer unas consultas para poder aclararme con lo que me indicaste en tu respuesta.

    Al yo tener implementado Dirsync, si yo creo una cuenta nueva en Active Directory, se creara automáticamente la cuenta en Office 365, las contraseñas quedarían sincronizadas, pero yo como administrador de OWA tendré luego que ingresar a la pagina de Administración y asignarle la licencia correspondiente a las cuentas creadas en AD, es correcto esto?.

    La otra consulta, Si yo elimino una cuenta de usuario en AD local, se eliminaría automáticamente, la cuenta de correo en OWA, y si yo elimino una cuenta de correo en OWA, se eliminaría automáticamente la cuenta en AD local?.

    y otra consulta, al utilizar el atributo llamado ImmutableID de DirSync, este parámetro que es lo que modifica?, el nombre de usuario del correo OWA, o el nombre de usuario de la cuenta de Active Directory?.

    Muchas Gracias.

    viernes, 12 de septiembre de 2014 14:47
  • Raul,

    ¿Como estas? Exactamente, al implementar DirSync, se crea el usuario en Office 365 y sincroniza la contraseña. Pero deberás ingresar al portal de administración para luego asignarle las licencias correspondientes.

    Con respecto a tu otra consulta, en caso que elimines un usuario de tu AD local, se eliminara de Office 365 y quedara en la papelera de reciclaje de Office 365. No podras eliminar usuarios que esten sincronizados con tu Active Directory local desde Office 365. 

    Por otro lado, recorda que la sincronización de DirSync es de una sola vía, es decir replica los cambios de tu AD local hacia Office 365, pero no al reves.

    El atributo ImmutableID es utilizado para asociar tu cuenta de Active Directory local contra Office365. Es solamente eso.

    Saludos!!


    This posting is provided AS IS with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing! Mi blog http://nicolasgranata.com

    • Marcado como respuesta Uriel Almendra martes, 16 de septiembre de 2014 17:24
    viernes, 12 de septiembre de 2014 17:29
  • Nicolas

    Gracias por tu pronta respuesta, agradecido por tu aclaración

    quería molestarte con 2 consultas mas:

    Existe algún comando en Powershell para asignar automáticamente las licencias de office 365 a las nuevas cuentas creadas en AD en unión con Dirsync a OWA, o hay que pasar por la pagina de Administración de OWA.

    y lo otro, la idea es una vez implementado el Dirsync de AD con OWA, cuando comience el proceso de admisión de nuestra Universidad, a una persona de Admisión, se le va a asignar la tarea de crear las cuentas de AD las cuales se sincronizaran automáticamente con OWA, para evitar que esta persona se conecte a nuestros servidores, para crear las cuentas, se puede crear un Script para que esta persona, lo ejecute y vaya creando las cuentas de Ad sin pasar por el servidor? si me pudieras guiar te lo agradecería.

    de antemano muchas gracias.


    jueves, 25 de septiembre de 2014 17:14
  • Raul,

    ¿Como estas? Si, podes asignar en forma automática licencias de Office 365 a través del Powershell:

    • http://technet.microsoft.com/en-us/library/dn530773.aspx
    • http://windowsitpro.com/office-365/office-365-licensing-windows-powershell

    Con respecto a tu otra consulta, es posible pero se debe tener en cuenta lo siguiente:

    • Lo podra realizar desde un script, siempre y cuando la maquina desde donde se ejecute sea del dominio de active directory a donde pertenece el controlador de dominio.
    • La maquina debera tener cargado las herramientas administrativas de Active Directory.
    • El usuario debera tener permisos para realizar la creacion de usuarios en Active Directory.

    Te dejo uno script que te puede ser util:

    http://gallery.technet.microsoft.com/scriptcenter/PowerShell-Create-Active-7e6a3978

    A continuacio te dejo los comandos de Active Directory:

    http://technet.microsoft.com/en-us/library/ee617195.aspx

    http://blogs.technet.com/b/heyscriptingguy/archive/2013/10/31/powertip-create-a-new-user-in-active-directory-with-powershell.aspx

    Saludos!


    This posting is provided AS IS with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing! Mi blog http://nicolasgranata.com

    viernes, 26 de septiembre de 2014 1:55