Azure: Laboratorios hands-on Microsoft trainings

El último artículo para finalizar el año que quiero compartir son una serie de prácticas de laboratorios de Azure y Microsoft 365 para aprender paso a paso algunas tareas comunes que se realizan en Azure y que también son útiles para los exámenes de certificación como por ejemplo AZ-104 Azure Administrator.

Los laboratorios o trainings están en ingles y son guiados:

1. Create a new user in Azure AD
   https://lnkd.in/gm2Qfr5A
2. Manage Azure AD identities
   https://lnkd.in/gGKN-7eX
3. Enable SSPR in Azure AD
   https://lnkd.in/ggKKt5NZ
4. Create a conditional access policy
   https://lnkd.in/gZigbcdQ
5. Explore Microsoft security score
   https://lnkd.in/gxaarvqK
6. Use secure score in Microsoft Defender to improve security posture
   https://lnkd.in/gFKnSFX5
7. Microsoft 365 Defender for Cloud Apps
   https://lnkd.in/gJjFwmpa
8. Explore the Service Trust Portal
   https://lnkd.in/g-ReCYKw
9. Explore the Microsoft Purview compliance portal
   https://lnkd.in/gP_-RSck
10. Explore compliance manager
    https://lnkd.in/gUd6BYaK
11. Manage subscriptions and RBAC
    https://lnkd.in/g4Jmzu9q
12. Manage governance via Azure Policy
    https://lnkd.in/gSF6vJPt
13. Manage Azure resources by using the Azure Portal
    https://lnkd.in/gFAzwgPd
14. Manage Azure resources by using ARM templates
    https://lnkd.in/g-Xf7Crj
15. Manage Azure resources by using Azure PowerShell
    https://lnkd.in/gPyDt2zW
16. Manage Azure resources by using Azure CLI
    https://lnkd.in/gqXTn9fN
17. Implement virtual networking
    https://lnkd.in/gRb8cbei
18. Implement inter-site connectivity
    https://lnkd.in/gU9Zt7Dc
19. Implement traffic management
    https://lnkd.in/geThBtbA
20. Manage Azure storage
    https://lnkd.in/gdYd7u-4
21. Manage virtual machines
    https://lnkd.in/gisq2g2e
22. Implement Azure web apps
    https://lnkd.in/gFs7vJQy
23. Implement Azure Container Instances
    https://lnkd.in/ghvPHPx9
24. Implement Azure Kubernetes Service
    https://lnkd.in/gXMa847F
25. Backup virtual machines
    https://lnkd.in/gJTVUnw8
26. Implement monitoring
    https://lnkd.in/gcd3hytY

Ampliacion con más laboratorios de Azure publicado en LinkenIN:

📌[Lab] Design and implement a Virtual Network in Azure
https://lnkd.in/gP_DJt9g
📌[Lab] Configure DNS settings in Azure
https://lnkd.in/gXc9WHNs
📌[Lab] Connect two Azure Virtual Networks using global virtual network peering
https://lnkd.in/gNED8Ys6
📌[Lab] Create and configure a virtual network gateway
https://lnkd.in/gHeDVTb8
📌[Lab] Create a Virtual WAN
https://lnkd.in/gfVccCgq
📌[Lab] Configure an ExpressRoute Gateway
https://lnkd.in/gE_q3a53
📌[Lab] Provision an ExpressRoute circuit
https://lnkd.in/gRqQe4gM
📌[Lab] Create and configure an Azure load balancer
https://lnkd.in/g9yKM6jA
📌[Lab] Create a Traffic Manager profile
https://lnkd.in/gpgvT6s3
📌[Lab] Deploy Azure Application Gateway
https://lnkd.in/gShY-UdT
📌[Lab] Create a Front Door for a highly available web application
https://lnkd.in/gtqmxChV
📌[Lab] Configure DDoS Protection on a virtual network
https://lnkd.in/grQb4c9b
📌[Lab] Deploy and configure Azure Firewall
https://lnkd.in/g44ZqJtb
📌[Lab] Secure your virtual hub using Azure Firewall Manager
https://lnkd.in/gbQvqrQp
📌[Lab] Restrict network access to PaaS resources with virtual network service endpoints
https://lnkd.in/gwvNJyc3
📌[Lab] Create an Azure private endpoint using Azure PowerShell
https://lnkd.in/gsReps3K
📌[Lab] Monitor a load balancer resource using Azure Monitor
https://lnkd.in/gj3FCr7s

Feliz Año y nos leemos el próximo!!

Azure: Activar MFA como usuario de forma fácil para usar con Microsoft Authenticator App

Este articulo es muy breve, se trata de compartir como registrar el MFA como usuario de forma facil, para ello necesitareis descargar la Aplicacion de Microsoft Authenticator en vuestro móvil Android o iOS y seguir los pasos a partir de este link: https://aka.ms/mfasetup

En este video oficial oculto de Microsoft encontrareis todos los pasos explicados :

Descargar Microsoft Authenticator

• Android: Google Play para descargar Microsoft Authenticator aplicación.
• Apple iOS:  App Store para descargar Microsoft Authenticator aplicación.

Como siempre, espero que os sea de utilidad.

AKS: Creando un clúster con identidades administradas asignadas por Azure AD

Hey Community!!

En el articulo anterior vimos como solucionar un error a la hora de crear un clúster de AKS utilizando entidades de servicio generando un Service Principal de Azure AD, que era la forma correcta hasta la fecha de crear nuestro Azure Kubernetes Service (AKS) para que se pueda conectar con el resto de servicios de Azure como load balancer, discos virtuales y otros recursos de Azure.

A partir de ahora, al crear nuevos clúster de AKS se recomienda utilizar las identidades administradas por Azure AD (managed identities en ingles) para evitar toda la complejidad administrativa asociada a las entidades de servicio.

Con las identidades administradas de Azure AD obtenemos las siguientes ventajas:

• Rotación de credenciales automáticamente
• Reducción de tareas de mantenimiento en la gestión de identidades
• Olvidarnos de la necesidad de almacenar credenciales y password
• Evitamos que se tengan que guardar en los equipos de los developers
• Si eliminamos AKS se borra automáticamente la identidad en Azure AD

Un punto aclaratorio, que aparece en la documentación de Microsoft y crea confusión es que las identidades administradas para recursos de Azure es el nombre con el que ahora se conoce al servicio de Managed Service Identity (MSI).

También es importante recordar que las identidades administradas asignadas por Azure AD no están soportados por todos los servicios de Azure, podéis consultar la lista aquí: https://docs.microsoft.com/es-es/azure/active-directory/managed-identities-azure-resources/services-support-managed-identities

Como configurarlo en AKS desde el Portal

Para configurarlo en AKS, cuando estamos creando un nuevo clúster en la pestaña de Autenticación seleccionar la opción como se muestra en pantalla.

Como configurarlo en AKS desde Azure CLI

Si estamos creando el cluster mediante comandos de Azure CLI, tenemos que añadir el siguiente parametro --enable-managed-identity en el script.

$ az aks create --name [nombre-cluster] \ 
      --resource-group [nombre-grupo] \
      --enable-managed-identity

Una vez creado el clúster podemos comprobar los recursos generados:

Consideraciones importantes

En la documentación oficial de Microsoft nos avisa de los siguientes puntos:

• Los clústeres de AKS con identidades administradas solo se pueden habilitar durante la creación del clúster.
• Los clústeres de AKS existentes no se pueden actualizar para habilitar las identidades administradas.

Como conclusión final, el uso de entidades de servicio tradicional agrega complejidad al mantenimiento de Azure y AKS, por lo que es más fácil usar identidades administradas siempre que sea posible.

Espero que os sea de utilidad!!

 

Azure: Global Admin permisos y suscripciones en 5 minutos

Un tema que confunde mucho en Azure tiene que ver con el usuario Global Admin y porque no vemos ninguna suscripción dentro del tenant, asi como, poder elevarmos los privilegios de acceso para administrar todas las suscripciones.

Estructura de un tenant en Azure

Recordamos como es la estructura de un tenant en Azure con este diagrama.

En la imagen vemos que el Global Admin esta a nivel de Root y por debajo vemos el arbol de jerarquia donde aparecen las suscripciones, recursos, grupos, etc. pero por seguridad Azure no permite acceso a las suscripciones por defecto.

Averiguar si somos Global Admin

Para saber si somos Global Admin en el portal en Azure Active Diretory, en la pantalla de información general se muestra el rol actual que tenemos asignado.

Para saber que usuarios tiene el rol del global admin entraremos en la opcion de «Roles y administradores» y seleccionaremos la opcion «Administradores Globales» de la lista.

Tambien podemos usar comando Powershell para obtener la info del Directorio y conocer los Company Administrator:

PS Azure:\> Connect-AzureAD
PS Azure:\> Get-AzureADDirectoryRole

ObjectId DisplayName Description
-------- ----------- -----------
266xxxxxx-xxxxxxxxx Directory Readers Can read basic directory information. Commonly used to grant di…
9ecxxxxxx-xxxxxxxxx Helpdesk Administrator Can reset passwords for non-administrators and Helpdesk Adminis…
b97xxxxxx-xxxxxxxxx Company Administrator Can manage all aspects of Azure AD and Microsoft services that …

PS Azure:\> Get-AzureADDirectoryRoleMember -ObjectId "b97xxxxx-xxxxxxxxxxxxxxxx"
ObjectId displayName UserPrincipalName 
-------- ---------- ----------------- 
a1c-xxxxx Santi     santi.onmicrosoft.com Member

Mas info: powershell-module-azuread-get-azureaddirectoryrole

Permisos de acceso y privilegios

El caso es que, nosotros podemos ser Global Admin en el tenant y por defecto los privilegios de acceso no estan operativos hay que activarlos dentro de Azure Active Directory en la opción de propiedades como se muestra en la imagen.

Para ello, en Access management for Azure resources debemos poner Yes para activar los privilegios en el formulario y pulsar Save.

Que pasa si boton aparece desactivado

El botón puede estar desactivado, porque puede que no tengamos permisos de Global Admin en el Tenant, por lo que hay que:

1. Invitarnos a nosotros mismos como usuario Guest desde Azure Active Directory
2. Aceptar la invitación con un link que recibiremos en nuestro correo
3. Darnos permisos de Global Admin dentro del tenant de Azure Active Directory

A partir de ese momento, repetiremos el paso anterior para activar la opción que tendrá que aparecer activada para pulsar el Yes.

Colaboración Externa

En caso de administración de una suscripción con un usuario invitado externo, que no perteneciente al tenant actual, el Global Admin tendrá que habilitar previamente la configuración de los usuarios externos:

Realizar login de nuevo

En cualquier caso, después de realizar cualquier paso anterior, pueden pasar unos minutos hasta que se registre en cambio en Azure y funcione, pero es muy importante volver a realizar login de nuevo en el portal de Azure para entrar con los nuevos permisos y ver la información en pantalla correctamente.

Más info detallada: elevate-access-global-admin

Como siempre, espero que os resulte de utililidad!!

 

Azure: Servicios relacionados con Azure AD en 5 minutos

En este articulo, te recomiendo que veas los anteriores, recordamos que Azure AD no solo sirve para soluciones alojadas en Azure, se puede utilizar tanto por la nube como por soluciones hibridas y veremos como los servicios relacionados con Azure AD nos ayudan con estos escenarios.

Un concepto importarte es diferenciar entre Active Directory y Azure AD ya que se complementan entre ellos.

Active Directory: Es un servicio disponible on-premise y usa Network Authentication como NTLM,Kerbernos o LDAP para acceso y autorización, vamos lo tradicional en entornos Windows.

Azure AD: Es un servicio de identidades exclusivamente cloud que usa oAuth2, OIDC y SAML para acceso y autorización basado en web y apis.

Un escenario común que podemos encontrar se muestra en este diagrama:

En lugar de utilizar tecnologías como Kerberos o LDAP para acceder a Active Directory tenemos una serie de servicios que nos ayudan con todas estas tareas de administración y gestion de usuarios y aplicaciones que detallamos a modo de guia de consulta

Lista de Servicios disponibles según tipo de Edición

Azure AD B2B: es una solución que permite habilitar el acceso a las aplicaciones de la empresa desde identidades externas. En lugar de crear cuentas (invitadas) en el directorio de su organización para socios comerciales, Azure AD B2B les permite a sus socios comerciales usar sus propias credenciales de autenticación.

Azure AD B2C: es una solución para permitir que las aplicaciones web y móviles orientadas al consumidor aprovechen las cuentas sociales existentes (Facebook, Microsoft, Google, Amazon, LinkedIn) o cuentas locales personalizadas. Es la evolución del Servicio de control de acceso (ACS) de Azure AD.

Azure AD Connect: es la solución para conectar y sincronizar entre la infraestructura de identidad local en Windows Server AD con Azure AD. Es una herramienta con un asistente que configura los componentes necesarios para la conexión, incluida la sincronización y el inicio de sesión.

Azure AD Connect Health: permite monitorización y supervisión de los componentes de identidad para  obtener información del estado general de la integración entre el servicio local de Windows Server AD/ AD Federation Service y Azure AD.

Azure AD Application Proxy: permite a los usuarios mediante SSO acceder de forma remota y segura a aplicaciones web locales como escritorio remoto, sitios de SharePoint, aplicaciones de negocio locales, etc. sin la necesidad de construir una VPN o una infraestructura de red complicada.

Azure AD Identity Protection: es un servicio de seguridad que permite obtener información sobre posibles vulnerabilidades y riesgos de seguridad que afectan a los usuarios de la empresa. Por ejemplo, Identity Protection puede usar el conocimiento de credenciales filtradas o inicios de sesión desde ubicaciones geográficas a las que sería imposible viajar.

Azure AD Domain Services: proporciona servicios de dominio totalmente administrados (no hace falta implementar controladores de dominio), como unión de dominio, política de grupo, LDAP, Kerberos / NTLM, etc., que son compatibles con Active Directory de Windows Server. Esta característica le permite usar estos servicios sin la necesidad de construir y administrar máquinas virtuales (VM) de Azure que ejecuten Windows Server Active Directory o mantener una conexión VPN de sitio a sitio entre Azure y su infraestructura de directorio local.

Azure AD Directory Join: este servicio permite que los dispositivos con Windows 10 se conecten con Azure AD, lo que permite a los usuarios iniciar sesión en Windows utilizando cuentas de Azure AD. Al hacerlo, se habilitará SSO en los recursos de Azure AD, el acceso a la Tienda Windows de la empresa, las restricciones de acceso a los dispositivos mediante la política de grupo y más. Directory Join es adecuado para dispositivos que no pueden unirse a un dominio.

*Nota: Quedan otros servicios AD que ire añadiendo más adelante en cuanto pueda evaluarlos.

Como veis Azure AD tiene un montón se servicios relacionados y es importante conocerlos porque nos pueden aportar mucho valor en nuestras arquitecturas y agilizar la seguridad para las aplicaciones de la empresa.

 

Azure: Azure AD buenas practicas seguridad en 5 minutos

Aunque Azure gestiona muchas partes de la seguridad en la plataforma, muchas veces no tenemos en cuenta la seguridad en Azure Active Directory en el apartado de identidades y acceso al portal de Azure y los grupos de recursos.

Modelo de confianza cero

La idea es aplicar el principio o modelo de confianza cero que consiste en nunca confiar, siempre verificar y establecer el acceso condicional de Azure basado en el usuario, su ubicación, sus dispositivos y la aplicación para determinar si debe permitir, limitar o bloquear el acceso.

Dentro de este modelo, las buenas practicas recomendadas las encontramos en la lista:

• Activar el acceso condicional
• Consultar diariamente Security Center
• Planeamiento de mejoras de seguridad rutinarias
• Centralizar la administración de identidades
• Administrar inquilinos conectados
• Habilitar el inicio de sesión único
• Habilitar la administración de contraseñas
• Exigir a los usuarios la verificación MFA
• Uso del control de acceso basado en rol
• Menor exposición de las cuentas con privilegios
• Controlar las ubicaciones donde se encuentran los recursos
• Uso de Azure AD para la autenticación de almacenamiento

A parte de las recomendaciones generales tener en cuenta las siguientes:

• Máximo de 3 a 5 global admins
• Asignar un máximo de 3 propietarios en las suscripciones
• Habilitar MFA para cuentas con permisos o privilegios en la suscripción
• Quitar cuentas externas con permisos o privilegios de la suscripción
• Quitar cuentas en desuso con privilegios de la suscripción
• Gestión de identidades privilegiadas (Habilitar permisos temporales bajo demanda).

Referencia: https://docs.microsoft.com/es-es/azure/security/fundamentals/identity-management-best-practices

 

Azure: Registrar aplicación con Azure AD en 5 minutos

Dentro de Azure Active Directory no solo registramos los usuarios y grupos, también debemos registrar las aplicaciones que vamos a utilizar y darles permisos de acceso ya sea mediante certificados o secretos de aplicación.

Aclaración importante

• No se pueden crear credenciales para una aplicación nativa.
• No se puede usar ese tipo en una aplicación automatizada.

Pasos para registrar aplicaciones

Para ello, utilizando el ejemplo oficial de Microsoft seguimos los siguientes pasos:

1. Entrar en Azure Portal.
2. Seleccionar Azure Active Directory
3. Seleccionar App registrations
4. Seleccionar Nuevo registro
5. Asignar nombre para la nueva aplicación que vamos a registrar, por ejemplo «example-app» y el tipo de cuenta.
6. En Redirect URI,  seleccionar Web para indicar el tipo de aplicación y la URI al que se envía el token de acceso
7. Después de configurar los valores, seleccione Registrar
8. Al finalizar se ha creado una aplicación de Azure AD y una entidad de servicio.

 

Próximos pasos después de registrar aplicaciones

Una vez registrada la aplicación se deberán completar el resto de pasos:

• Asignar la aplicación a un rol
• Obtener valores para iniciar sesión
• Cargar Certificados y/o definir secretos
• Configurar directivas de acceso sobre los recursos
• Comprobar los permisos de Azure AD
• Comprobar los permisos de suscripción de Azure
• Procedimiento para certificados con MMC

Información detallada: howto-create-service-principal-portal

 

Azure: Identidades y accesos en Azure AD en 5 minutos

Azure AD es el servicio de directorio multitenant que proporciona administración de identidad y acceso en la nube, se trata de una de las piezas claves dentro de la plataforma de Azure para gestión de las identidades y accesos de las aplicaciones y servicios, en este video entenderemos en 5 minutos mediante explicaciones muy sencillas los fundamentos de como funcionan los servicios de Azure AD, Grupos de recursos y activar de RBAC en Microsoft Azure.

Dentro de las características de Azure AD y gestión de identidades encontramos:

• Single sign-on
• Reverse proxy
• Multi-Factor Authentication
• Role based access control (RBAC)
• Security monitoring, alerts, and machine learning-based reports
• Consumer identity and access management
• Device registration
• Privileged identity management
• Identity protection
• Hybrid identity management/Azure AD connect
• Azure AD access reviews

Link Oficial: fundamentals/identity-management-overview

Precios y Ediciones

Azure AD tiene 4 ediciones segun el modelo de precios tendremos más caracteristicas:

• Free: No tiene ningun coste (ver limitaciones en web)
• Basic/Office365: ver caracteristicas en web
• Premium P1: ver caracteristicas en web
• Premium P2: ver caracteristicas en web
• La edicion Free esta incluida con una suscripción de Azure.

Info Precios: https://azure.microsoft.com/es-es/pricing/details/active-directory

 

Modelos de identidad de Office 365

Office 365 usa Azure Active Directory (Azure AD), una identidad de usuario basada en la nube y un servicio de autenticación que se incluye con su suscripción a Office 365, para administrar las identidades y la autenticación de Office 365. La configuración correcta de la infraestructura de identidades es fundamental para administrar el acceso de usuarios y los permisos de Office 365 para la organización.

• Identidad solo de nube
• Identidad híbrida

Mas info: https://docs.microsoft.com/es-es/office365/enterprise/about-office-365-identity

Mensaje de «Access to Azure Active Directory» en Azure, explicacion es este link: https://stackoverflow.com/questions/38680483/how-to-remove-or-cancel-access-to-azure-active-directory-subscription