Azure Formacion OMS

Camp en Tajamar: “OMS & Security Center, juntos pero no revueltos”

Published by:

Hola a todos,

Tengo el gusto de informaros e invitaros al próximo Camp Tecnológico de Infraestructura en el Colegio Tajamar el próximo 10 de Marzo donde hablaré de “OMS & Security Center, juntos pero no revueltos“.

 

A través de Operación Management Suite (OMS) y Azure Security Center conseguiremos monitorizar, securizar, generar alertas y automatizar acciones sobre nuestro centro de datos, ya sea on-premise como en cualquier proveedor de nube, Azure, Amazon, Google, etc, con apenas unos clicks.

He tenido la suerte de contactar con el Tech Club de Tajamar para poder contar y tratar de aleccionar sobre diversos servicios de Azure a sus estudiantes. Si estais interesados, podeis reservar vuestra plaza desde este link de MeetUp: https://www.meetup.com/es-ES/TechClubTajamar/events/247953576/

¿Estais preparados? No os oigo. ¿ESTAIS PREPARADOS? …. últimamente mucho Bob Esponja.

Que tengais una buena semana

Roberto

 

 

Azure Azure Stack Virtualizacion

¿Cómo escoger el tamaño ideal de mi Máquina Virtual de Azure? Serie – I Introduccion.

Published by:

Buenos dias,

En el último año he detectado numerosas dudas sobre una pregunta que, a priori, consideraba básica ¿Qué maquina virtual tengo que escoger para hacer este despliegue en Azure?¿Y para unos controladores de dominio?¿Y para un servicio de ADFS con alta disponibilidad en un único servidor?. A raiz de estas cuestiones, he preparado esta serie de post en la que voy a hacer un repaso en profundidad sobre cada tipo de máquina utilizar en cada caso, vamos, ¿qué tamaño me viene mejor para esta maquina virtual?

Hace poco lei un post donde comparaban Azure con Burger King. Tienes que pedir la hamburguesa a su gusto, no al tuyo 😉 , y tampoco puedes pedir el punto de la carne. Solo puedes elegir entre los menus que ofrecen y casi al instante tendras tu pedido. Básicamente no puedes decir …“Me gustaría una máquina con 2 núcleos y 64 GB de RAM y una unidad C de 200 GB”, sencillamente, no es posible ya que no existe ese tipo de IaaS en Azure, por el contrario, tenemos una enorme lista de Instancias preestablecida:

Ademas de saber qué tipo de Instancia elegir, tenemos un sinfin de detalles a tener en cuenta…

  • La unidad C: siempre es 127 GB,, a menos que subamos nuestra propia plantilla, o lo ampliemos con la VM apagada hasta un total de 2 TB

  • La IaaS necesita también tanto CPU como Memoria RAM, obviamente, asi como un disco con el sistema operativo desplegado. Esto no tiene diferencia con los equipos físicos.
  • Podemos crear un entorno de alta disponibilidad (HA), a través de los Scale-out, asimismo tenemos una SLA de un 99,5% o un 99,5%, con una única IaaS si utilizamos discos Premium, o implementamos mas de una instancia en los conjuntos de disponibilidad.
  • No hay que olvidarnos que podemos crear reglas de auto-escalado, aumentando el nuevo de nuestros servicios para responder a una gran demanda y bajando el número de los mismos a horas sin carga.

Bien, pasemos a ver los diferentes “menus” que Azure nos ofrece en base a al uso general, optimización de proceso, memoria o almacenamiento, GPU o alto rendimiento. Os dejo esta tabla:

Tipo Tamaños Descripción
Uso general B, Dsv3, Dv3, DSv2, Dv2, DS, D, Av2, A0-7 Uso equilibrado de la CPU en proporción de memoria. Ideal para desarrollo y pruebas, bases de datos pequeñas o medianas, y servidores web de tráfico bajo o medio.
Proceso optimizado Fsv2, Fs, F Uso elevado de la CPU en proporción de memoria. Bueno para servidores web de tráfico medio, aplicaciones de red, procesos por lotes y servidores de aplicaciones.
Memoria optimizada Esv3, Ev3, M, GS, G, DSv2, DS, Dv2, D Memoria alta en proporción de CPU. Excelente para servidores de bases de datos relacionales, memorias caché de capacidad media o grande y análisis en memoria.
Almacenamiento optimizado LS Alto rendimiento de disco y E/S. Perfecto para bases de datos SQL, NoSQL y macrodatos.
GPU NV, NC Máquinas virtuales especializadas específicas para la representación de gráficos pesados y la edición de vídeo. Están disponibles con uno o varios GPU.
Proceso de alto rendimiento H, A8-11 Nuestras máquinas virtuales de CPU más rápidas y eficaces con interfaces de red de alto rendimiento opcionales (RDMA).

Como he empezado el post, en los próximos de la serie nos centraremos en los distintos grupos de IaaS, independientemente de sin son para uso con Linux o Windows

 

Como consejo personal, muchas veces al desplegar una VM en Azure seleccionaremos automáticamente la mas barata y luego iremos adaptándola al consumo, otras veces, dependiendo del uso y los recursos que hayamos estimado, seleccionamos un tipo en concreto, esperando haber acertado a la primera. Pero no hay que tomárselo como un “error”, todo lo contrario, es una de las grandes “ventajas” que nos ofrece cualquier proveedor de servicios en nube como es Azure, en cualquier momento podemos hacer un “re-size” y si no acertamos a la primera, pues a la segunda, o a la tercera.

Buena semana a todos,

Roberto

Azure Azure Security Center

Material de la sesión “Azure Security Center”.

Published by:

Buenos dias,

Para empezar el año con fuerzas, el pasado dia 18 de enero presenté un Webinar o Webcast sobre “Azure Security Center“. Un poquito de ¿Que es Azure Security Center?¿Que nos ofrece en sus dos versiones, la Free y la Estándar?¿Qué son las recomendaciones de seguridad?¿Que recursos de Azure supervisa este servicio?¿Qué son las directivas de seguridad?, etc., vamos, un paseo claro y conciso. Espero que os guste y os sea útil.

En cuanto al vídeo, tuvimos un pequeño percance y se ha grabado en 2 partes. 😉 Por un lado, os dejo la primera parte:

Y en este otro link, la segunda:

Dar las gracias al organizador de la misma, el Microsoft MVP Data Platform Juan Carlos Gilaranz desde su blog www.mundosql.es (@_juankar_), no dejeis de seguirle.

También os dejo en este Link, la PPT que utilicé.

Buena semana. Animo, que es lunes.

Roberto

Azure

¿Por que no puedo hacer ping desde mi VM de Azure? Que opciones tengo.

Published by:

Buenos dias,

La funcionalidad y utilidad de la herramienta “Ping” es harto conocida por todos nosotros. Básicamente, Ping usa el protocolo ICMP para medir la latencia de la conexión entre una máquina local y una máquina remota. Se considera que las conexiones que exceden una latencia predeterminada no están disponibles. En nuestro caso, consideraremos las dos máquinas remotas, ya que están en Azure.

En esta píldora vamos a habilitar la posibilidad de realizar ping entre Máquinas Virtuales de Azure. Vamos al lio.

La funcionalidad Ping en la máquina virtual Windows Azure está bloqueada de manera predeterminada por razones de seguridad, para habilitarla podemos hacerlo desde la funcionalidad “funciones avanzadas de firewall de Windows” en cada una de las máquinas virtual o una vez iniciada sesión en cada una de ellas, y desde una línea de comando ejecutar:

Lo normal es habilitar esta funcionalidad para test o pruebas de conectividad, algo meramente puntual.

En el caso de que queramos hacer ping desde nuestro centro de datos (on-premise) a Azure solo será posible si:

  • Tenemos una conexión a traves de VPN o ExpressRoute, y
  • Que el Firewall de la VM de Azure permita el tráfico ICMP entrante, detalle que ya hemos visto anteriormente.

En caso contrario, tendriamos que utilizar otras herramientas:

  • Powershell.- El siguiente cmdlet: Test-NetConnection.

  • Sysinternals Tools.- Una de las herramientas incluidas en las PsTools es PsPing, similar a Ping, que verifica la conectividad a una máquina remota usando una interfaz de línea de comando. La principal diferncia entre ambas es que PsPing no usa ICMP; en su lugar definimos qué puerto TCP apuntar. 

Que tengais una gran semana.

Aventuras Ilusion vida

Adios 2017, Bienvenido 2018. ¿Que tenemos preparado para este año?

Published by:

Buenos dias,

Navidades y septiembre suelen ser épocas de recapitular, de echar la vista atrás y ver cómo fue el año pasado, cosas y tareas que hemos hecho y que hemos dejado sin hacer, proyectos en los que he estado involucrado, personas con las que me he relacionado, aquellas que han venido o se han ido, grandes momentos y dificiles situaciones, victorias y derrotas,

Empecé a escribir mi blog como bitácora, como libro de ruta donde poder tomar nota de todas aquellas actuaciones, cambios, mejoras que realizaba, herramientas que probaba,  ya que en los diferentes empleos por los que he pasado no tenian herramientas de gestión del conocimiento,y, sinceramente, algo hay que hacer.

¿Cómo fue el año pasado?

En el terreno laboral, el año pasado acababa de empezar a trabajar en Insight Technology Solutions y estaba expectante por ver cómo me desenvolvía trabajando con profesionales de altisimo nivel, Victor, Pauliño, Javier, Carlos, David, etc., el liston estaba muy alto, y la verdad es que he participado en numerosos proyectos, he conocido a muchos clientes, de algunos de ellos guardo muy buen recuerdo, por ejemplo Jordi, que me enseñó lo que es tener una sala de videojuegos para relajarse en el trabajo, con gafas de realidad virtual y baquet, asi quién no se relaja!!!. Tal y como me habian avisado, ha habido mucho, pero que mucho trabajo, pero eso es buena señal ;-), en definitiva buen balance aunque siempre hay que mejorar.

También estoy muy orgulloso de varios detalles, como que me hayan nominado a Microsoft MVP dos pedazo de profesionales increibles, gracias Kino y gracias Santiago, asi como de haber participado como ponente en la Azure Bootcamp 2017, una verdadera pasada y …., en cuanto a lo laboral y a lo tecnológico, como veis, sigo con mi blog y poco mas que contar.

El principal cambio me ha venido en el terreno personal, la llegada del tercer mosquetero, mi bebe, mi rubio chiquitin de ojos relucientes y sonrisa eterna, ha trastocado nuestros planes, nuestro libro de ruta, esa vida que empezabamos a creer que podriamos recuperar, y, sobre todo, a empezar a dormir!!!

Los que teneis peques os sentireis identificados ¿Que conlleva el tener niños, y tres, en mi caso? Pues mucho mas trabajo en casa, mas lavadoras, mas lio, mas colegios, mas probabilidad de que traigan un virus o una bomba, mas discusiones de pareja (tomar nota), y, sobre todo, menos horas de sueño, si, se que he insistido pero es de lo que peor llevo, no dormir!!!!!, menos tiempo a mis locuras, a salir a correr, a tocar mi PRS Tremonti (snif, snif), a caminar por senderos y montañas, etc.

Pero también, y esto es lo importante, mas sonrisas, mas abrazos, mas “papi te quiero” (se me cae el alma al suelo), mas alegria, momentos inolvidables, aventuras, descubrir el mundo a traves de sus ojos, de sus manos, una experiencia inolvidable, única, porque cada niño es un universo distinto a cualquier otro. Una pasada de experiencia.

¿Cómo se presenta el año nuevo?

Pues viene cargadito, os hago un breve resumen de lo que os espera si me continuas siguiendo y leyendo:

Tengo previstas ya una serie de colaboraciones con Juan Carlos Gilaranz donde hablaremos de:

  • Azure Security Center,
  • Operation Management Suite,
  • migraciones ASM a ARM,
  • y mas cosillas.

También tengo preparados bastantes post para publicar en este blog, una serie de básicos de Azure que os ayudará a centrar y dimensionar los despliegues, sin olvidarnos de qué ponencias presentar para la Azure BootCamp 2018, y, seguir creciendo, mejorando y compartiendo todo lo que aprendo. Me gustaría hincarle el diente a los Containers y Kubernetes y estoy mirando lo de un canal de YouTube (quien sabe), con el tiempo que me queda al dia!!!

Asi que os dejo con vuestros regalos y yo … con los mios, mi chica y mis chicos, los tres mosqueteros.

Roberto

Azure Azure Security Center Formacion Seguridad

Sesion Azure Security Center, me siento seguroooo!!!

Published by:

Buenas noches a todos,

Se que es tarde pero aprovecho para adelantaros mi primera sesión para el nuevo año “Azure Security Center, me siento segurooo!!!!”.

Dar las gracias al organizador de la misma, el Microsoft MVP Data Platform Juan Carlos Gilaranz desde su blog www.mundosql.es (@_juankar_), no dejeis de seguirle.

Hablaré sobre ¿Que es Azure Security Center?¿Que nos ofrece en sus dos versiones, la Free y la Estándar?¿Qué son las recomendaciones de seguridad?¿Que recursos de Azure supervisa este servicio?¿Qué son las directivas de seguridad?, etc., vamos, un paseo claro y conciso. Espero que os guste y os sea útil.

Si este post lo pongo mañana, no me ibais a creer, ¿cierto?

Besos y abrazos,

Directorio Activo O365 OneDrive Powershell

Desplegar OneDrive for Business por membresia de grupos de Azure Active Directory para el caso de usuarios ya existentes. Parte II.

Published by:

Buenos dias,

Hace unas semanas veiamos cómo Desplegar OneDrive for Business por membresia de grupos de Azure Active Directory, donde descubrimos cómo desplegar OneDrive for Business a los usuarios que perteneciesen a un grupo de  Azure AD, teniendo la peculiaridad de no haberse creado todavia los perfiles de usuarios en Sharepoint Online, detalle importante.

Hoy me gustaría tratar el caso contrario, para cubrir todas las casuisticas, …. Y si el usuario ya ha estado utilizando OneDrive o ya tiene creado el perfil de usuario …. ¿que opciones tenemos?

Os planteo estas dos opciones, que dependerá de vuestras necesidades , elegancia del resultado y ganas que tengais de implantarlas:

1 Cambiar el administrador de la Colección de sitios

Inicialmente no parece una solución elegante, pero …. se trata de poner una cuenta como Administrador de todos los Onedrives que ya se han utilizado,

Cambiar el administrador de la colección de sitios para el sitio personal de un usuario específico . En SharePoint Admin Center > User Profiles > Manage User Profiles, buscamos el usuario y en el menú desplegable elegimos la opción Manage Site Collection owners

  • Cambiamos la cuenta, en este caso mi cuenta, Roberto Tejero, tanto de Administrador de la colección de sitios primaria como de Administradores de la colección de sitios, por la cuenta del nuevo administrador del sitio personal (por ejemplo Rick Admin)

  • En el caso de tener muchos usuarios, podríamos hacer este cambio de administrador utilizando un script que nos permita hacerlo de modo masivo, obviamente.

Esta opción tiene la peculiaridad de que se mantienen los OneDrive de los usuarios pero a nombre de otra persona, un Administrador Global. Los ficheros ni se eliminan ni se destruyen.

2 Eliminar todos los sitios personales.

Esta segunda opción consiste en eliminar todos los sitios personales utilizando el comando Remove-SPOSite por lo que una vez borrados estarias en disposición de aplicar el post del articulo comentado al principio. Es una solución mas elegante, obviamente.

Seria algo tan sencillo como:

Os dejo esta captura con los cmdlets get-sposite, remove-sposite y nuevamente el get-sposite donde no nos muestra nada ya que …. acabamos de borrar el site personal.

Pero como no todo podría ser tan sencillo, os cuento un par de incidencias:

Tener un listado de los nombres de los sites personales.-

Dependiendo de si son usuarios internos, externos, sincronizados o no, pues el nombre que tenemos que definir para borrar el Sitio personal es distinto. Aqui os dejo un link de cómo sacar un listado de todas las colecciones de Onedrive for Business:

https://support.office.com/en-us/article/How-to-display-a-list-of-OneDrive-for-Business-site-collections-8e200cb2-c768-49cb-88ec-53493e8ad80a

Políticas de retención.-

¿Que ocurre en el caso de que tengais configurada una política de retención o de suspensión de eDiscovery? Pues lo que os imaginais:

Obviamente, en este ejemplo bastaria con deshabilitar la política de retención o suspensión. ¿cómo? Nos vamos

Accedemos a nuestra política de retención, cambiamos el Status de On (Success) a Off (Success).

 

¡Ojo! que este proceso tarde unos minutos y si realizas el borrado del Site no te va a funcionar y borramos todos nuestros Sites personales.

Poco mas que aportar por esta semana llena de enfermedades, urgencias, hospitales, fiebres, mocos, ibuprofenos, azitromicinas y …… alguna sorpresa que da la vida.

Buen fin de semana.

Azure

Azure Service Manager (ASM) vs Azure Resource Manager (ARM). ¿Que hago?,¿migro?¿me actualizo?

Published by:

Buenos dias,

Hay mucha información y literatura en Internet sobre las dos versiones de Azure, Azure Service Manager (ASM), versión 1 o classic, y Azure Resource Manager (ARM), versión 2, se habla de Cloud Services, IaaS, Worker Roles, migraciones de una versión a otra, etc., Si me gustaría compartir con vosotros una serie de Posts, primero explicando ambas versiones, el enfoque que tiene cada una, y en posteriores posts, como migrar nuestros recursos desde un despliegue clásico a uno en ARM.

Hoy ASM vs ARM. Espero no aburriros ya que es un poco teórico, hago una explicación básica, sencilla y directa. La práctica, lo que nos gusta lo dejo para los siguientes posts.

ASM

Modelo de despliegue basado en el Servicio:

  • El Cloud Service actua como un contenedor para hospedar los servicios, como por ejemplo las máquinas virtuales (IaaS), con todos sus componentes, ya sean interfaces de red, Direcciones IP públicas, nombres DNS, así como balanceador/equilibrador de carga, Endpoints de acceso ya sea via Powershell, RDP o SSH.
  • Asimismo se agrega el almacenamiento necesario donde ubicar los discos duros virtuales para una máquina virtual, incluido el sistema operativo, discos de datos temporales y adicionales.
  • Para finalizar, se incluiría una red virtual opcional que actúa como un contenedor adicional, en el que se puede crear una estructura de subredes y designar la subred en la que se encuentra nuestro Cloud Service.

ASM tiene el siguiente diagrama, todo integrado dentro de un Cloud Service:

ARM

Por otro lado, este modelo de despliegue se basa en “Recursos”:

  • Todos los recursos se despliegan dentro de un grupo de recursos (RG), nuestro contenedor lógico.
  • Básicamente, el almacenamiento, el tipo de instancia y la red (Interfaz de red, balanceador de carga, Network Segurity Group, VNet, Subred, etc), son los pilares de una VM, aunque podemos asignar y desasignar muchos de estos servicios sin tener que redesplegar el IaaS.
  • Disponemos de los Network Security Groups (NSG) – Grupos de Seguridad de Red que actuan como Firewalls aplicándose directamente contra una subred o contra una interfaz de red de una VM.
  • Las VMs se crean dentro de una VNet, ya sea nueva o existente.

El modelo de despliegue ARM tiene el siguiente diagrama:

Llegado a este punto solo nos queda reflexionar …

¿Por qué tengo que migrar mi infraestructura desplegada en Azure? Pros y Cons.

Situaciones en las que voy a valorar esta migración:

  • Actualización.- Obvio, si mi proveedor de nube se está actualizando ¿porque no hacerlo yo? ¿Por que quedarme obsoleto en la nube? Suena paradójico pero es real.
  • Contrato.- Por cambio de contrato. Estoy mirando si mi contrato actual de Cloud es mas económico que un Contrato tipo CSP. Para migrar a este tipo de facturación pago por uso necesito que todos mis recursos estén en ARM.
  • Mejoras.- Microsoft solo está aplicando las mejoras y las actualizaciones sobre ARM …. me estoy perdiendo lo mejor si no actualizo.
  • Ofertas.- Las ofertas y las nuevos productos, por ejemplo IaaS, version Av2, Av3, Dv2, Dv3, etc., solo están disponibles en ARM …. otra vez, … me lo estoy perdiendo!!!!
  • …..

¿Que ventajas me aporta estar en ARM?

Independientemente de que se utilizan portales distintos para el acceso (ASM: https://manage.windowsazure.com vs ARM: https://portal.azure.com ), poco a poco todo se va migrando al portal nuevo y desaparece del clásico. Os dejo las que a mi parecer son las principales diferencias a tener en cuenta que nos pueden empujar a acelerar el movimiento de un Azure a otro:

  • Powershell.- Los cmdlets a utilizar son distintos, basta con ver que tenemos que cargar el módulode Azure (Clasic) o el de AzureRM (ARM).
  • Servicios vs Recursos.- Está claro que el modo de despliegue de cada una de las versiones es opuesta, ASM está orientado a Servicios, el despliegue se hacia de forma “paquetizada” y, normalmente habia que hacer un redespliegue de la solución por cada cambio vs ARM, orientada a Recurso,
  • RBAC.- Control de Acceso basado en Roles que se aplica en ARM. En la versión clásica teniamos poco por donde movernos ¿quien no recuerda este comentario?: O eres Service Administrator o eres Co-administrado. Vaaaamos.
  • Tagging.- Vamos, etiquetado. Esta solución de control de gasto solo se puede aplicar en ARM. Un punto mas.
  • Plantillas.- En ARM podemos crearnos y tenemos a nuestra disposición infinidad de plantillas JSON para automatizar al máximo nuestros despliegues.
  • Redespliegue.- Otro detalle para añadir es la opción de “Redesplegar” una solución desde una ya existente …. vamos
  • Nuevo portal.– El nuevo portal está desarrollado en HTML5 y en formato “Blade” … vamos que nunca se acaba.

Y alguna mas que se me pasará por alto.

Tabla de compatibilidad

Quiero dejar claro que muchos servicios de Azure ASM los podemos migrar directamente y también está claro que hay otros que no se pueden migrar, que tendremos que hacer un nuevo desarrollo. En resumen, recursos compatibles para la migración:

  • Máquinas virtuales
  • Conjuntos de disponibilidad
  • Cloud Services
  • Cuentas de almacenamiento
  • Redes virtuales
  • Puertas de enlace de VPN
  • Puertas de enlace de ExpressRoute (en la misma suscripción que solo Virtual Network)
  • Grupos de seguridad de red
  • Tablas de ruta
  • Direcciones IP reservadas

Vamos, la mayoría de los que nos importan.

El modelo de despliegue de “Cloud Services” tipo Web roles y Worker roles no es compatible con el modelo de despliegue ARM y, como ya hemos comentado, habrá que ver opciones y posibilidades que tenemos: Service Fabric, App Service, … nuevo desarrollo.

En el próximo Post…. Cómo migrar de ASM2ARM con herramientas oficiales: Azure Powershell.

Un abrazo a todos. Feliz Black Friday ….

No os lo gasteis todo, dejar algo para mañana.

Directorio Activo O365 OneDrive Powershell

Desplegar OneDrive for Business por membresia de grupos de Azure Active Directory.

Published by:

Buenas tardes, por fin es … Viernes!!!

Si la semana pasada veíamos cómo distribuir las licencias de Office 365 por membresia de Azure AD, esta semana os cuento una consulta que me hizo un cliente sobre si era posible desplegar OneDrive a los usuarios siguiendo el mismo criterio, por membresia a un grupo de Directorio Activo.

Se que es algo paradójico ya que Onedrive depende de Sharepoint Online pero ….. cuando accedemos a la asignación de licencias de Office 365 puedo activar/Desactivar las de Flow, Planner, Office ProPlus, etc., Sharepoint, pero ¿donde está la de OneDrive?

Suponia que si se actuaba directamente contra Sharepoint Online, seguro que encontrabamos la solución a esta situación que no se me habia dado antes, pero ????

Efectivamente, consultando al equipo de Soporte para Partners de Microsoft, me plantearon la manera de hacerlo a través de la administración de SharePoint Online, donde podemos controlar el acceso a OneDrive for Business.

En SharePoint Online, el Sitio Personal está habilitado por defecto para todos los usuarios a través del grupo “ Todos excepto usuarios externos” (Everyone except external users), pues vamos a cambiar los permisos en esta ubicación:

  • SharePoint Admin Center > User Profiles > Manage User Permissions

  • Si quitamos el checkbox al permiso  “Create Personal Site” , ningún podrán crear su MySite ni  OneDrive.

  • Como la finalidad es crear un grupo de Azure AD para ir incluyendo los usuarios que queremos que se les despliegue OneDrive, tenemos que crear el grupo y asignar permisos. Para nuestro ejemplo creamos un grupo de seguridad UsuariosOneDrives en el centro de administración de Office 365 y en SharePoint Admin Center > User Profiles > Manage User Permissions, les asignamos el permiso de “Create Personal Site”, marcando el check.

Hay que tener en cuenta que este proceso deshabilita MySite al completo, no solo OneDrive for Business.

Otro detalle a tener en cuenta, si únicamente queremos deshabilitar el que se muestre el Icono/Acceso directo a OneDrive for Business, la opción en este caso es esconderle del menú de aplicaciones. Pues vamos, SharePoint Admin Center > Settings

En este caso ningún usuario verá el icono de la aplicación desde el menú de aplicaciones, pero sí podrán acceder a OneDrive si introducen manualmente la URL en el navegador.

¿Dónde esta OneDrive for Business?

Agradecer enormemente al grupo de Soporte para Partners de Microsoft que me han echado no una mano, las dos en este caso y otros muchos. Gracias a Goretti, Pedro, Carlos, Jose Manuel, David, Rafael, Alberto, y muchos mas, seguro que se me olvida alguno.

La semana que viene, ¿que ocurre si esto lo queremos desplegar en usuarios que ya tienen creado MySite y tienen contenido en OneDrive?.

Buen fin de semana,

Administración Azure Directorio Activo O365

Asignación de licencias de O365 a usuarios por membresía de grupo en Azure Active Directory

Published by:

Buenos dias,

Una de las últimas funcionalidades de Azure que mas estoy recomendando e implantando es la asignación de licencias a usuarios por membresia de grupo de Directorio Activo al que pertenezcan. Algo en principio sencillo pero que hasta hace poco no estaba disponible.

Como todo, tiene sus ventajas e inconvenientes, pero en este caso, yo solo le veo ventajas, reduce las tareas administrativas en mas de un 70%, gestionas las altas y bajas o reasignas licencias de tu Office 365 con solo introducir o sacar a un usuario de un grupo de Directorio Activo que se sincroniza con Azure AD, espectacular.

Por mi experiencia, esto lo podias realizar de antemano recurriendo a PowerShell, ese gran desconocido. Puedes ver diversos scripts, yo te muestro este de Ivan Cañizares (@icanizares), muy interesante:

Hoy os comento esta nueva funcionalidad que Microsoft ha introducido en Azure Active Directory mediante la cual podremos asignar licencias de cualquier producto de Office 365 a través de la pertenencia o membresia a un grupo de Directorio Activo o Azure Active Directory. Hay que puntualizar que se requiere que nuestro Azure AD sea:

  • Azure AD Basic,
  • Azure AD Premium
  • EMS+Security

Step 1: Creación de grupos.

Un detalle que me gustaría incidir en él es que los grupos de seguridad que vamos a utilizar para asignar las licencias de O365 son independientes de su ubicación (Cloud vs On-Premise), asi como el usuario. Mejor imposible, o sea, que podemos tener o no sincronizado nuestro Directorio Activo On-Premise con Azure Active Directory, es independiente de esta característica.

En este caso vamos a crear varios grupos para desplegar unas licencias, por ejemplo de EMS+Security y de Project Online Premium.

Recordar las mejores practicas, asignar permisos, recursos, servicios o licencias a grupos, y luego incluir los usuarios en dichos grupos, no a usuarios directamente. Es un consejo.

Step 2: Configuración de licencias en Azure AD.

En este punto, accedemos al Portal de Azure con las credenciales adecuadas: una cuenta con uno de los siguientes roles:

  • administrador global, o
  • administrador de cuentas de usuario

Despues, accedemos a Azure Active Directory, posteriormente pulsamos en Licencias,  y, para terminar,  Todos los productos, donde vamos a poder ver y administrar todos los productos que hayamos adquirido, como por ejemplo los siguientes y, los que vamos a desplegar en nuestro ejemplo: Enterprise Mobility + Security y Project Online.

¿Cómo procedemos ahora? Seleccionaremos uno de los grupos de licencias, por ejemplo, Enterprise Mobility + Security E5:

para despues, seleccionar la opción + Asignar, que nos aparece arriba, donde nos llevará a la asignación a un Grupo o a Usuarios (Punto 1) y a las opciones de asginación (Punto 2).

Vayamos por partes como dice Jack…. Primero selecciono el grupo de Azure AD para distribuir las licencias de EMS+S (ZZZ_O365_Licen_EMS), para despues,

Asignar las características que quiero distribuir, como por ejemplo, los de la imagen superior. Hay que tener en cuenta que cada tipo de Licencia viene asociado con distintas características. Por ejemplo, un Plan Office 365 Enterprise E5 viene con las siguientes y algunas mas:

Una vez hemos terminado la selección. Pulsamos el botón de “Asignar” que lanzará una tarea en segundo plano para procesar todos los componentes de este grupo y asignarles la licencia.

Step 3: Comprobación de la asignación.

Importante, comprobar que lo que hemos configurado funciona 😉

Por un lado podemos ver la asignación de las licencias a nuestro grupo, volvemos a ir al mismo lugar del punto anterior, Azure Active Directory > Usuarios y grupos > Todos los grupos, donde seleccionaremos nuestro grupo en cuestión, Licencias. Es aqui donde confirmaremos si las licencias se han asignado a los miembros y/o si hay errores que requieran nuestra atención y corrección.

Y por otro, están las opciones de auditoría de logs. Ya sabeis, en Azure Active Directory > Usuarios y grupos > “nuestro grupo” > Registros de auditoría. Tenga en cuenta las siguientes actividades:

Vemos claramente los registros de empezar a aplicar licencias basadas en grupo y Terminar de aplicar las licencias basadas en grupo a los usuarios, que contiene un resumen de cuántos usuarios se han procesado correctamente y el número de usuarios a los que no se pudieron asignar las licencias de grupo.

Step 4: Corolario.

1 Transición desde Direct to Group-Based.

Llegados a este punto, nos podemos preguntar, ¿por qué veo ahora usuarios que tienen licencias asignadas en modo Directo (Direct) o Heredados (inherited)? Ademas vemos que el modo Heredado nos añade la información del grupo del que se hereda esta situación:

Lo que está claro es que si teníamos asignadas las licencias individualmente y ahora se asignan por la pertenencia a un grupo de Azure AD, se están asignado doblemente dichas licencias. No quiere decir que se estén asignado 2 licencias a un mismo usuario.

¿Como se realiza la transición desde una situación a otra?

Para pasar de la licencia directa a la basada en grupos, todo lo que tenemos que hacer es eliminar la asignación de licencia directa. Esto es tan simple como seleccionar uno o aquellos usuarios a los que se les haya asignado un tipo específico de licencia, y luego hacer clic en el botón Eliminar. Cuidado, como siempre hay que tenerlo cuando se desasignan licencias, permisos, servicios, etc.

2 ¿Que ocurre con la acumulación de licencias?.

Esta situación es de 1+1. Si un usuario pertenece a un grupo ZZZ_O365_Licen_E3, que tiene 9/13 caracterísitcas asignadas y también pertenece a otro grupo ZZZO365_Licen_Teams que tiene 1/13 asignadas, pues se realiza la suma, obteniendo 10/13 funcionalidades.

3 Limitaciones a tener en cuenta.

  • Repetir lo comentado. Si a un usuario se le asigna una licencia por membresia de grupo y directamente consume una única licencia.
  • Las licencias asignadas por membresia de grupo se gestionan desde el portal de Azure. Las licencias asignadas desde el portal de Office 365 se gestionan desde éste portal.
  • La eliminación de un usuario de un grupo de licencias dará lugar a que los servicios de Office 365 se queden una etapa “suspendida” en lugar de “desactivada”, sobre todo para evitar la pérdida de datos.
  • Otro detalle a tener en cuenta es que aunque las asignaciones de licencias nuevas y modificaciones surten efecto en minutos (por ejemplo, habilitar Teams en una asignación de licencia existente), hay situaciones en las que una licencia no se asignará automáticamente, por ejemplo, si se tienen más miembros en un grupo que licencias disponibles o por asignaciones de licencias conflicto. Las notificaciones del portal de Azure nos aconsejarán sobre cómo solucionar los problemas, indicándonos que tendremos un botón Reproceso disponible para volver a aplicar las asignaciones una vez los hayamos resuelto.

Links de interes

Para más información sobre el conjunto de características de administración de licencias mediante grupos, consulte los artículos siguiente

Llevo con este post desde antes de verano para publicarlo. Espero que os guste y os ayude. Un abrazo, comienza Noviembre!!!!

Un abrazo,