Conectar Directorios Activos de nuestras suscripciones de Azure y Office 365.

Buenos dias, empezamos la semana hablando de las bondades de Azure Directorio Activo (AAD).

Hoy queria mostraros cómo conectar los Directorios Activos asociados a nuestras suscripciones de Azure y de Office 365. ¿Para qué? Imaginaros que tenemos replicado nuestro Directorio Activo On-Premises con Office 365, algo habitual, y lo que necesitamos es asignar determinados privilegios sobre servicios que están en Azure a usuarios de nuestro Directorio Activo On-Premises. Vamos, lo mas normal.

Os expongo ambos entornos para que quede todo claro:

1 Azure. Esta es nuestra suscripción de Azure donde tenemos nuestro Azure Active Directory (AAD1)

Nuestro AAD se denomina Roberto Azure AD y solo tenemos un usuario, que, obviamente tiene el rol de Global Administrator (GA).

2 Office 365. Esta es nuestra suscripción de Office 365 donde también tenemos nuestro Azure Active Directory (AAD2). Como bien sabeis cada suscripción de O365 tiene asociado su AAD. En este caso tenemos sincronizado nuestro Directorio Activo On-Premises con la suscripción de O365 con AAD Connect, una situación cada día mas habitual.

El nombre de Nuestro Azure AD de la suscripción de Office 365 cuyo nombre es «Trasto», con las siguientes cuentas, que, como ya he comentado, vienen sincronizadas del Directorio Activo On-Premises:

El objetivo es conectar ambos Directorios Activos para poder asignar permisos sobre los servicios de Microsoft Azure a los usuarios de Directorio Activo On-Premises.

Step by Step

1 Añadir nuevo Directorio Activo.- Dentro de la suscripción de AAD1 seleccionamos añadir Directorio. Pulsaremos en el botón de 

Nos vamos moviendo sobre Active Directory, Directory, Custom Create …

En añadir directorio, seleccionaremos «Usar Directorio existente». Tenemos que tener preparadas las credenciales de Global Administrator (GA)  de la suscripción de O365 y seguir las instrucciones.

2 Introducimos credenciales.- En cuanto aceptamos nos informará de que es muy buena idea el cerrar todos los browsers que tengamos abiertos:

Introducimos credenciales de GA de AAD2 en AAD1 para conectar ambos Directorios Activos.

Y, atención, somos informados de lo que vamos a realizar, introduciremos la cuenta GA de la suscripción de Azure (AAD1) como  Administrador Global del Directorio Activo asociado a la suscripción de O365 (AAD2).

O sea, que somos los «Masters» de la suscripción de O365!!!!! con nuestra cuenta de Azure.

 

3 Comprobación de acceso.- Como podemos observar desde nuestro AAD1, hemos conectado AAD2 y vemos todos sus usuarios, grupos, etc.,

Asimismo, vemos que la cuenta GA de AAD1 está como Global Administrator de AAD2.

4 Añadir nuevo usuario.- En este punto añadiremos un usaurio de AAD2 a AAD1. Desde AAD1, añadimos usuario. De las cuatro opciones que tenemos seleccionamos «Usuario en otro Directorio de Microsoft Azure AD.

 

Escribimos el usuario y esperamos el visto bueno de Azure AD. Le asignaremos el rol de «Usuario», simple, sin mas pretensiones.

Verificamos que ya aparece el usuario en AAD1

5 Asignamos recursos.- Para terminar y alcanzar nuestro objetivo, asignaremos permisos de «Contribuidor» al usuario de AAD2, por ejemplo, sobre un Resource Group de Azure. Accedemos a nuestro Resource Group, en mi ejemplo es RG_WebAppTest, Usuarios, añadir acceso, hemos seleccionado «Contributor» y como usuarios …… Tachán!!!! aparece nuestro usuario de AAD2:

Prueba superada.

Aqui os dejo un video que lo explica muy bien:

Que tengais un gran semana,

Roberto