Blog de Amazon Web Services (AWS)

Integración de Microsoft AD administrado por AWS con Microsoft 365

Por: Caio Ribeiro César, Principal Microsoft Specialist Solutions Architect, LATAM

 

AWS Directory Service le permite ejecutar Microsoft Active Directory (AD) como un servicio administrado. AWS Directory Service para Microsoft Active Directory, también conocido como AWS Managed Microsoft AD, está habilitado por Windows Server 2012 R2. Cuando selecciona e inicia este tipo de directorio, se crea como un par de controladores de dominio de alta disponibilidad conectados a la nube privada virtual (VPC). Los controladores de dominio se ejecutan en diferentes zonas de disponibilidad en una región de su elección y tienen funcionalidad de varias regiones . AWS configura y administra automáticamente la supervisión y recuperación del host, la replicación de datos, las instantáneas y las actualizaciones de software.

En este blog, discutiremos cómo integrar AWS Managed Microsoft AD con el servicio Microsoft 365 de Microsoft.

Para este blog y laboratorio, utilizaremos:

  • Un dominio público. Hemos adquirido el dominio «c4iocesar.club».
  • AWS administrado por Microsoft AD con el mismo dominio (c4iocesar.club).
  • Prueba de Microsoft 365, validando el dominio c4iocesar.club (utilizando Amazon Route 53 para crear registros DNS).
  • Creación de usuarios en AWS Managed Microsoft AD (AWS MAD).
  • Azure AD Connect para exportar datos de Microsoft AD administrado por AWS a Microsoft 365.
  • Pruebe el envío de un correo electrónico a un usuario sincronizado en Microsoft 365.

Paso 1) Uso del dominio público «c4iocesar.club».

En este paso, adquirimos un nuevo dominio. Para los clientes que ya tienen el dominio público, pueden continuar con el siguiente paso.

Paso 2) AWS administrado Microsoft AD con el mismo dominio (c4iocesar.club).

Para los clientes que ya poseen AWS MAD y los usuarios creados con el mismo dominio, pueden continuar con el siguiente paso.

En nuestro escenario, hemos creado un AD administrado de AWS siguiendo los pasos de este artículo.

 

 

Paso 3) Prueba de Microsoft 365, validando el dominio c4iocesar.club (utilizando Amazon Route 53 para crear registros DNS).

Si M365 (Microsoft 365) ya está validado con el mismo dominio utilizado por AWS Managed Microsoft AD, puede continuar con el siguiente paso.

En la consola de AWS, en el servicio Amazon Route 53, se creó una zona hospedada denominada «c4iocesar.club»

 

Obtengo los valores de los servidores de nombres de la zona alojada pública y los configuro en mi registrador para obtener el control total de Amazon Route 53.

 

 

Servidores Route 53 NS

 

 

Regístrese, apuntando a la ruta 53 NS

Después de unas horas, realizamos una consulta DNS para validar que ya estamos utilizando Amazon Route 53 para los registros.

 

 

Ahora validaremos este dominio en el portal M365. Es importante recordar que esta validación solo funcionará después de confirmar que sus registros DNS son funcionales.

Vaya al Centro de administración de M365 y seleccione «Dominios – Agregar dominio».  En la pantalla que aparece, introduce el nombre de tu dominio público en el campo «Nombre de dominio»:

 

 

En el siguiente paso, seleccione la opción para agregar una entrada TXT a sus registros DNS y anote el valor a usar:

 

 

Ahora, en la consola de AWS, creamos una entrada TXT en Amazon Route 53 con la información indicada en el paso anterior:

 

 

Después de unas horas, verificamos el dominio en M365. A continuación, procederemos a la creación de los registros MX, CNAME y TXT para Exchange Online y Exchange Online Protection.

 

 

Paso 4) Creación de usuarios en AWS Managed AD

Si ya tiene usuarios creados en AWS Managed Microsoft AD, continúe con el siguiente paso. Para crear usuarios en AWS MAD, haremos lo siguiente:

a. Cree un Windows EC2, con seamless domain join para el dominio c4iocesar.club.

 

 

 

*Este EC2 debe tener asignada una función de IAM que tenga políticas gestionadas por AWS AmazonSSMManagedInstanceCore y AmazonsSMDirectoryServiceAccess.

 

b. Hemos iniciado sesión en esta instancia e instalamos herramientas de administración Usuarios y equipos de Active Directory (ADUC).

 

 

c. Ahora que tenemos ADUC, hemos creado dos usuarios en AWS Managed Microsoft AD (User One y User Two ):

 

 

Paso 5) Azure AD Connect para exportar datos de AD administrados por AWS a Microsoft 365

En esta misma instancia de Windows EC2, instalaremos Azure AD Connect para exportar los objetos a Microsoft 365 (tome en cuenta que este es un laboratorio, vea que un entorno productivo necesita un Azure AD Connect dedicado).

Descargamos el portal M365 para asegurarnos de la última versión.

 

 

En la configuración, elegimos la opción «personalizar»:

 

Ahora agregamos la credencial de administrador MAD predeterminada de AWS, o para una mejor granularidad, una cuenta con permisos personalizados (delegar permisos a su cuenta de conector de Active Directory Domain Services (AD DS). Este paso es obligatorio. Compruebe que la instalación rápida con el usuario solicitado (Enterprise Admin) no es posible en AWS Managed Microsoft AD.

 

 

Hemos seleccionado la opción de autenticación PassThrough para eliminar la necesidad de un entorno de Servicios de federación de Active Directory (ADFS):

 

 

Nos autenticamos con el usuario administrador de Microsoft 365:

 

 

Conectamos el directorio AWS Managed Microsoft AD y hemos creado una nueva cuenta para la tarea de sincronización:

 

Utilizamos el valor UserPrincipalName para el nombre de usuario de Azure AD :

 

 

Filtramos solo la OU necesaria para sincronizar con Microsoft 365. Recordando que el usuario de sincronización (C4IOCESAR\ aadconnect) no tendrá acceso a la OU nativa de “Users” u otras OU’s predeterminadas existentes.

 

 

Configuramos el valor predeterminado de Azure AD para administrar la conversión de objeto inmutable (MS-DS-ConsistencyGUID) utilizada en Azure AD (ImmutableID).

 

 

No configuraremos el filtrado de objetos:

 

 

Hemos habilitado la funcionalidad de sincronización hash de contraseñaspara garantizar que las credenciales de Microsoft AD gestionadas por AWS sean las mismas que las que utiliza Microsoft 365:

 

 

Ejecutamos la opción “configure” y luego la opción “install”

 

Podemos esperar el batch de exportación y validar los objetos en Microsoft 365, o ejecutar la sincronización manual a través de PowerShell:

Import-Módulo ADSync

Start-adSyncCycle —PolicyType Delta

Figura: Usuarios ya sincronizados con Microsoft 365

 

Paso 6) Pruebe el envío de un correo electrónico a un usuario sincronizado en Microsoft 365.

Ahora que los usuarios existen en ambos entornos, habilitaremos el buzón “User One” para la prueba final.

 

 

Iniciar sesión en el portal de Microsoft 365:

 

 

Y aquí está, nuestro buzón de correo que se ejecuta en M365 con un usuario sincronizado de AWS Managed Microsoft AD:

 

 

En este blog, hemos integrado AWS Managed Microsoft AD con el servicio Microsoft 365. Esta integración proporcionará una capa de identidad de usuario final que se ejecuta en un modelo de servicio administrado en varias zonas de disponibilidad, con la posibilidad de expandir réplicas a varias regiones. También recomendamos implementar un Azure AD Connect adicional en una segunda zona de disponibilidad. Este servidor debe estar en modo “Staging” para mejorar la resiliencia en la capa de exportación de objetos de Microsoft AD administrada por AWS a Microsoft 365.

Además, siguiendo los pasos de este blog, la solución PTA (Pass Through Authentication) con agentes adicionales no solo para eliminar la necesidad de Servicios de federación de Active Directory, sino también mejorar la alta disponibilidad.

Finalmente, nuestra arquitectura se veria así:

 

 

  1. Instancia de Windows EC2 que realiza acceso a AWS Managed Microsoft AD (AWS MAD).
  2. Otra instancia con Azure AD Connect exportando datos desde AWS Managed Microsoft AD a Azure Active Directory.
  3. Comunicación de Azure AD Connect con Azure AD.
  4. Integración de Azure AD con Microsoft 365.
  5. Azure AD utilizará Azure AD Connect para el modelo de autenticación (AutenticaciónPassThrough).
  6. Azure AD Connect tiene una comunicación coherente con AWS MAD (para exportar hashes de contraseña, por ejemplo). AWS MAD se implementa en un entorno de zona de disponibilidad múltiple.
  7. El usuario inicia sesión en Microsoft 365 con credenciales de Microsoft AD administradas por AWS.

Para obtener más información sobre AWS Managed Microsoft AD, haga clic aquí.

 

Este artículo fue traducido del Blog de AWS en Portugués

 

Sobre el autor

Caio Ribeiro Cesar es Arquitecto de Soluciones Especialista en Microsoft en AWS Brasil.

 

 

 

 

Revisor

Daniel Maldonado es Arquitecto de Soluciones en AWS México.