DESCRIPCIÓN: Este taller intensivo de 3 horas está diseñado para profesionales de TI, administradores de sistemas y cualquier persona interesada en la seguridad de la identidad en la nube. Enfocándonos en Microsoft Entra ID, exploraremos cómo esta poderosa herramienta puede ayudarte a gestionar y proteger las identidades y accesos en tu organización.
OBJETIVOS:
- Comprender los fundamentos y la importancia de la gestión de identidades en la nube con Microsoft Entra ID.
- Aprender a configurar y administrar Microsoft Entra ID en un entorno de Microsoft.
- Profundizar en características avanzadas, incluyendo la gestión de accesos privilegiados, las revisiones de acceso y la gestión de riesgos de identidad.
- Realizar ejercicios prácticos para aplicar los conceptos aprendidos en escenarios del mundo real.
- NOTAS PREVIAS
- ACTIVAR LICENCIA DE ENTRA ID P2
- CONFIGURAR SERVIDOR DE AD DS
- CONFIGURAR MICROSOFT ENTRA ID CONNECT (EN LA MÁQUINA VIRTUAL)
- CONFIGURAR ACCESO CONDICIONAL
- ASIGNAR LICENCIAS A USUARIOS
- CONFIGURAR PRIVILEGED IDENTITY MANAGEMENT
- CONFIGURAR ACCESO CONDICIONAL DESDE PLANTILLA (OPCIONAL)
Se usarán dos navegadores (o perfiles de navegadores):
- Navegador A: Para el usuario Global Administrator del Tenant
- Navegador B: Para el usuario creado en AD DS
En Navegador A
- Ingresar en https://entra.microsoft.com
- En el menú de la izquierda ir a Billing > Licenses
- En Licenses, ir al menú “All Products”
- En “All Products” hacer clic en Try/Buy
- Activar Microsoft Entra ID P2
- Ingresar Correo eletrónico
- Completar formulario.
- Si le pide crear un nuevo Tenant, continue el proceso.
- En el Server Manager, ir a “Add Roles and features”
- Instalar el rol “Active Directory Domain Services”, luego seguir las instrucciones
- Luego de realizar la instalación del Rol, se activará una notificación en el Server Manager, ingresar en la alerta para promover el servidor como controlador de dominio, luego seguir las instrucciones:
- Add a New Forest: Indicar nombre del Bosque de dominio.
- Escribir Contraseña DSRM
- Clic en continuar, hasta al botón de instalar
- Luego, reiniciar la máquina virtual.
- En en menu del Sistema operativo, en Active directory Users and Computer, crear un usuario (recordar la contraseña), Deshabilitar la opción “User must change password at next logon”
- Desde la máquina virtual ingresar en https://entra.microsoft.com
- Ir a Identity > Hybrid management > Microsoft Entra Connect > Cloud sync.
- Seleccione Agente a la izquierda.
- Seleccione Descargar el agente local y, después, Aceptar términos y descargar.
- Una vez descargado el paquete del agente de aprovisionamiento de Microsoft Entra, ejecute el archivo de instalación AADConnectProvisioningAgentSetup.exe desde la carpeta de descargas.
- En la pantalla de presentación, elija Acepto los términos y las condiciones de la licencia y seleccione Instalar.
- Cuando finalice la instalación, se iniciará el asistente para configuración. Seleccione Siguiente para iniciar la configuración.
- En la pantalla Seleccionar extensión, seleccione Aprovisionamiento basado en HR (Workday y SuccessFactors) / Microsoft Entra Connect Cloud Sync y haga clic en Siguiente.
- Inicie sesión con su cuenta de administrador global de Microsoft Entra.
- Inicie sesión con su cuenta de administrador de dominio de Active Directory. Seleccione Aceptar y Siguiente para continuar.
- En la pantalla Conectar Active Directory, si el nombre de su dominio aparece en Dominios configurados, continúe en el paso siguiente. De lo contrario, escriba el nombre del dominio de Active Directory y seleccione Agregar directorio.
- Seleccione Next (Siguiente) para continuar.
- En la pantalla Configuración completa, seleccione Confirmar.
- Una vez completada esta operación, se le debería notificar que la configuración del agente se ha comprobado correctamente. Puede seleccionar Salir.
- Si la pantalla de presentación inicial no desaparece, seleccione Cerrar.
- En el portal de https://entra.microsoft.com en Identity > Hybrid management > Microsoft Entra Connect > Cloud sync. En Agents, validar que aparece el agente.
- Luego, en Identity > Hybrid management > Microsoft Entra Connect > Cloud sync ir a New Configuration y seleccionar “AD to Microsoft Entra ID Sync”
- Escoger al dominio del AD DS, habilitar el Password Hash Syncronization
- Y hacer clic en crear.
- En overview, en Enable your configuration (required), hacer clic en Review and enable.
En Navegador A
- Ir a Protection > Conditional Access > Named Locations, hacer clic en Countries Location
- Indicar nombre
- Escoger pais: Panamá
- En Protection > Conditional Access, hacer clic en “Create new Policy”
- Indicar nombre de la política.
- En Users:
- Include > “All Users”
- Exclude,
- Marcar “Directory Roles”, escoger “Global Administrator”
- Marcar “Users and groups”, escoger usuario “On-Premises Directory Synchronization Service Account”
- En Target resource, marcar “All cloud apps”
- En “Conditions” ir a “Locations”,
- Marcar Yes en “Configure”
- Include, marcar “Any location”
- Exclude, marcar selected locations. Escoger la locación creada en el paso 1
- En Grant seleccionar Block access, despues hacer clic en Select
- En Enable Policy, Marcar “On”
- Puede aparecer un mensaje donde pide deshabilitar el “Security Defaults”, proceder a desactivar el mismo.
- Hacer clic en “Save”
- Ir a Identity > Users > All Users y verificar que está el usuario previamente creado en el AD DS. En Navegador B
- Hacer inicio de sesión en https://office.com con el usuario que se creó en el AD DS (Usar el UPN indicado en Entra ID y la contraseña asignada en el AD DS) En Navegador A
- Notifique que pudieron hacer inicio de sesión y cerrar la sesión del usuario.
- Repitiendo, las instrucciones del paso 1, cambiar el país por uno diferente a Panamá. En Navegador B
- Espere unos minutos, luego, repetir las instrucciones del paso 4, comparta con el grupo los resultados.
- Cierre la sesión En Navegador A
- Repita las instrucciones del paso 1.
En Navegador A
- Ir a Identity > Users > All Users e ingresar en cada perfil de usuario.
- Ingresar en la pestaña Properties
- En el apartado Setting hacer clic en el botón de edición (es una imagen de un lápiz)
- En Usage location escoger el país: Panamá
- Hacer clic en Save y cerrar la pestaña de Properties
- De nuevo, en la pestaña del usuario, ir a Manage > Licenses y hacer clic en Assignments
- En Select licenses, seleccionar Microsoft Entra ID P2
- Hacer clic en Save y cerrar la pestaña de Update license assignments
- Repetir para cada usuario creado
En Navegador A
- En https://entra.microsoft.com/ ir a Identity governance > Privileged Identity Management
- En Privileged Identity Management ir a Manage > Microsoft Entra roles
- En Microsoft Entra roles ir a Manage > Roles y escoger el rol User Administrator
- En User Administrator, ir a Manage > Assignments, y hacer clic en Add assignments
- En Membership, hacer clic en Select member(s) y escoger el usuario sincronizado con el AD DS
- Hacer clic en Next, dejar Assignment type: Eligible y el check en Permanently eligible
- Hacer clic Assign
- En la pantalla del rol User Administrator, ir a Manage > Roles settings y hacer clic en Edit y hacer las siguientes configuraciones:
- On activation, require: None
- Require justification on activation: check
- Require approval to actívate: check
- Select approver(s): Escoger el usuario Global administrador
- Hacer clic en Update
En Navegador B
- En https://entra.microsoft.com/ Ir a Identity > Users > All Users y tartar de editar las propiedades del usuario On-Premises Directory Synchronization Service Account
- Validar que no puede editar las propiedades del usuario.
- Luego, ir a Identity governance > Privileged Identity Management, luego ir a Tasks > My roles
- En el rol User Administrator, hacer clic en la acción “Activate”
- Completar el formulario de “Reason”
- Hacer clic en Activate
En Navegador A 15. Ir a Identity governance > Privileged Identity Management, luego, ir a Tasks > Approve requests 16. En Requests for role activations, seleccionar el rol pendiente y hacer clic en Approve 17. Completar el formulario de “Justification” 18. Hacer Clic en Confirm.
En Navegador B
- Ir a Identity > Users > All Users y tartar de editar las propiedades del usuario On-Premises Directory Synchronization Service Account
- Validar que puede editar las propiedades del usuario.
En Navegador A
- En Protection > Conditional Access, hacer clic en “Create new Policy from template”
- Navegue y revise todas las plantillas disponibles.
- Escoja la plantilla “Securing security info registration”
- Haga clic en Review + create
- Dejar como está y hacer clic en Create
- Ir a Policies, ingresar en la política recién creada con el nombre “Securing security info registration”
- Ir a Users > Exclude y en Users and Groups, incluir al usuario On-Premises Directory Synchronization Service Account en la lista de usuarios excluidos.
- Explorar las demás opciones de configuración.
- En Enable Policy, Marcar “On”
- Hacer clic en “Save”
En Navegador B
- Desde otro navegador, hacer inicio de sesión en https://office.com con el usuario que se creó en el AD DS (Usar el UPN indicado en Entra ID y la contraseña asignada en el AD DS)
- Comparta sus resultados.
En Navegador A
- Luego, Ir a Protection > Conditional Access > Named Locations, hacer clic en IP ranges location:
- Definir un nombre
- Hacer check en Mark as trusted location
- En el simbolo de + agregar el rango de red (el rango de red es su IP pública con /32 al final, Ejemplo 8.8.8.8/32)
- Hacer clic en Save
En Navegador B
- Nuevamente, Desde otro navegador, hacer inicio de sesión en https://office.com con el usuario que se creó en el AD DS (Usar el UPN indicado en Entra ID y la contraseña asignada en el AD DS)
- Completar la configuración del MFA