Error de contraseña en migración de passwords con ADMT

Si se encuentra utilizando ADMT para migrar usuarios y sus contraseñas, probablemente haya instalado la herramienta PES (Password Export Server) y al escribir la contraseña de la llave de cifrado recibe el siguiente mensaje de error:

The supplied password does not match this encryption key's password. ADMT´s Password Migration Filter DLL will not install without a valid encryption key.

Para solucionar este error, simplemente debemos abrir una consola de comandos (cmd.exe) elevada ***administrador*** y ejecutar el instalador de PES utilizando la herramienta msiexec como se muestra a continuación:

msiexec -i "instalador.msi"

Donde instalador es el nombre que tenga tu paquete de instalación, en mi caso fue de la siguiente forma:

Se abrirá el asistente y cuando lleguemos a la parte de la contraseña, la escribimos:

Y después de hacer clic en el botón OK veremos que ya no aparece el mensaje de error, en su lugar el asistente continuará.

Como siempre, espero sea de utilidad esta información!

Enterprise Mobility Suite (EMS) - Parte 1

En este artículo haré una breve introducción a Enterprise Mobility Suite (EMS), donde revisaremos de qué se trata y cómo se usa, en esta primera entrega vamos hablar de lo que es, y en las siguientes veremos con mayor detalle cada uno de sus componentes y configuración.

Antes que nada debemos saber que al tratarse de una "suite" estamos refiriéndonos a varios productos, y en efecto los productos que conforman EMS son los siguientes:

1. Azure AD Premium
2. Microsoft Intune
3. Azure Rights Management
4. Microsoft Advanced Threat Analytics

Ahora, para qué nos sirve esta suite?

Debido a la nueva visión de Microsoft "mobile first, cloud first" y con todo el auge de la nube y los dispositivos móviles, el mundo de TI es diferente, y esta suite juega un papel importante en este nuevo mundo, donde las conexiones a Internet son veloces, todos los dispositivos se encuentran conectados a Internet, se trabaja desde cualquier lugar y desde cualquier dispositivo, ya no necesitas estar sentado en tu oficina esperando por una reunión, puedes estar en ella donde quiera que te encuentres, lo cual hace a los usuarios más productivos, las compañías cada vez entienden más el concepto de "home office" y el ahorro en costos que esto conlleva, aparecen nuevas cosas como BYOD (Bring Your Own Device), es un hecho que ya las empresas no pueden seguir luchando contra la proliferación de dispositivos móviles, y en su lugar ahora la pregunta es cómo integrar estos equipos a la infraestructura de TI, cómo controlar la información que éstos contienen y el uso adecuado de la misma, cómo asegurarlos y protegerlos frente amenazas y cómo habilitamos a los usuarios para la movilidad empresarial. 

Visto lo anterior, empecemos a mirar más en detalle qué es EMS y como ayuda a las organizaciones a preparase para un mundo centrado en la nube y en los dispositivos.

Lo primero que debemos saber acerca de EMS es que se trata de un conjunto de servicios basado en la nube y se cobra por cada usuario de forma mensual.

Los servicios que conforman EMS bien pueden ser adquiridos por separado si no necesitamos hacer uso de toda la suite, sin embargo, resulta mucho más económico adquirir toda la suite, veamos las diferencias extraídas del sitio oficial de Microsoft EMS

Como se puede apreciar en las imágenes anteriores, tenemos un ahorro del 50%, lo cual la hace la oferta más atractiva y completa del mercado.

Bien, ya qué conocemos un poco más qué es, para qué nos puede servir y su valor, ahora revisemos de manera general cada uno de sus componentes.

Azure Active Directory Premium

Es la versión de Azure AD más completa que se ofrece para todo el tema de administración de identidad y acceso en la nube, puede ser integrado con una instalación de Windows Server Active Directory local (on-premise) lo cual permite la sincronización de usuarios o atributos locales hacia la nube, provee administración centralizada de servicios de nube  Microsoft tales como Office 365, CRM Online, Intune y cientos de aplicaciones SaaS de terceros. Esta edición de Azure AD que se incluye con EMS incorpora características ausentes en las ediciones Free y Basic, tales como: Reportes de seguridad avanzados, Password reset con writeback, con lo cual si un usuario cambia su contraseña en Azure, el cambio es enviado al directorio local, AAD Connect Health para monitorear el estado de salud de AAD Connect, en resumen, le edición de Azure AD incluida con EMS es lamás avanzada y completa.

Microsoft Intune

Es un servicio para la administración de dispositivos móviles (MDM), permite también la administración de las aplicaciones móviles (MAM), además se integra de manera sencilla con System Center Configuration Manager para hacer administración local desde una sola consola, el servicio permite administrar dispositivos Windows Phone, iOS y Android, y podemos implementar directivas de acceso a los recursos en estos dispositivos, así como también hacer borrado remoto de la información en caso de robo, bloquear dispositivos, cifrar la información, eliminación de apps administradas, los usuarios pueden instalar fácilmente sus apps desde el portal de autoservicio y más características que veremos cuando estemos hablando específicamente de este servicio.

Azure Rights Management

Se trata del servicio de protección de información de la organización que seguramente ya conocías en Windows Server: Active Directory Rights Management Services (AD RMS), pero ahora ha sido llevado a la nube como un servicio, lo cual nos evita la compleja instalación on-premise, este servicio permite proteger documentos de Office 365 y correos electrónicos contra eliminación, reenvío, impresión y más, no solo en dispositivos Microsoft, también protege información en Android y iOS. Ya tendremos un artículo donde técnicamente revisaremos su funcionamiento.

Advanced Threats Analytics

Un servicio avanzado de detección de amenazas antes de que se presenten, utiliza avanzados algoritmos de Machine Learning para detectar patrones y advertir sobre actividades sospechosas y avanzadas.

Bueno, dejaré hasta aquí esta breve introducción a Enterprise Mobility Suite, nos vemos en las siguientes entregas, y espero que los aspectos generales hayan sido comprendidos. Hasta la próxima! 

Aplicaciones híbridas en Azure

En esta ocasión voy a tratar un tema que seguro será de utilidad para muchas organizaciones, y es el tema de aplicaciones híbridas, pero antes de empezar veamos cuál es la problemática que esto resuelve.

Hoy en día se habla mucho de la nube, y una de las primeras preguntas que surge es cómo llevo lo que actualmente tengo on-premise a la nube, esta pregunta no es tan fácil de responder, todo depende de las necesidades de cada organización y de lo que esta considere debe o no estar en la nube, pero en esta ocasión centrémonos en las aplicaciones, como todos bien sabemos, muchas organizaciones no desean llevar todo lo que tienen a la nube, bien sean porque consideran que estando en sus instalaciones pueden tener un mejor control en cuanto a la seguridad o simplemente porque no tienen suficiente confianza en llevar aplicaciones que manejan datos sensibles a la nube, incluso algunas organizaciones por temas de ley no pueden almacenar datos en las nube pública, como lo puede ser el caso de la reserva bancaria.

Sin embargo, en muchos casos las organizaciones que no desean llevar todo a la nube han considerado llevar una parte de lo que tienen a la nube, dado que conocen todas las ventajas que la nube ofrece: pago por uso, escalabilidad, flexibilidad y muchos otros beneficios que hoy por hoy no son desconocidos por ninguna organización. Para entender un poco más veamos un ejemplo de cuándo una organización puede desear llevar solo una parte de la aplicación a la nube,

La siguiente imagen muestra una empresa típica que tiene una aplicación de línea de negocio (LOB) la cual usa un servidor web que se conecta a una base de datos en el backend, la aplicación también provee acceso a usuarios que se encuentran fuera de la organización.

Partiendo del anterior escenario, se puede dar una situación común y es que en determinados momentos la cantidad de usuarios que ingresan a la aplicación aumenta, lo cual obliga a incrementar el número de servidores para satisfacer la demanda, esto se traduce en aumento de costos y complejidad de implementación.

En este caso, es cuando las organizaciones piensan en la nube, específicamente en llevar una parte de su aplicación a ella, y claramente en este escenario lo ideal sería llevar los servidores de aplicación a la nube y mantener en las instalaciones (on-premise) la base de datos, donde seguramente tenemos información que no deseamos llevar, como puede ser datos relacionados con tarjetas de crédito.

Con lo anterior tenemos el beneficio de solo pagar por el uso que tenga la aplicación, ya que la misma solo tiene alta demanda en determinados periodos de tiempo, el resto de tiempo (que es la mayor parte) tendrá una baja carga, lo cual claramente nos ayuda a disminuir costos, además podemos aumentar o disminuir capacidad de manera flexible según lo requiera la aplicación.

Como podemos apreciar en la imagen anterior, los usuarios ya no realizan una conexión directamente a las aplicaciones que se encuentran dentro de la red corporativa, sino a a las aplicaciones alojados en Azure, en este caso es la aplicación quien se conecta a la base de datos que se encuentra en la red de la organización, a esto es a lo que se conoce como aplicaciones híbridas, tema al cual le dedicaré algunos artículos en este blog.

Ahora la pregunta es: cómo lo hacemos, se requiere algún cambio a nivel del código de la aplicación o tal vez se requieran cambios a nivel de infraestructura de red. En la siguiente entrega empezaremos a resolver todas estas preguntas.

Microsoft CloudWeek - Uniandes

El día de ayer finalizó en la Universidad de Los Andes en Bogotá el evento Microsoft CloudWeek, se trata de un evento realizado por Microsoft Colombia en el cual se pretende enseñar a los estudiantes de pregrado, maestría y doctorado las bondades de Microsoft Azure, cada día se habló de un tema diferente:

Lunes - DevOps
Martes - IaaS
Miércoles - Machine Learning
Jueves - Microservicios
Viernes - Azure AD

Precisamente mi charla fue la del viernes, donde hablé acerca de Azure Active Directory: Usuarios, Grupos, Autenicación Multifactor (MFA) y Azure AD Connect.

No se trataba solamente de charlas, sino de talleres, los participantes contaron con una suscripción de Azure y pudieron poner e prueba todo lo que se explicó, sin lugar a dudas se trata de una excelente iniciativa de Microsoft, la cual se seguirá ejecutando en otras universidades.

Azure AD Connect 1.1 Disponible

Hola a todos,

En este artículo vamos a revisar de manera general que novedades incorpora la última versión de Azure AD Connect, disponible aquí, que sin lugar a duda, se ha convertido en una herramienta clave a la hora de sincronizar nuestras identidades con la nube.

Empecemos con la primer novedad.

Actualizaciones automáticas

Personalmente esta es la característica que me mas me ha gustado, ya que cada que salia una nueva versión era necesario bajar el paquete de instalación y hacer el "upgrade" de forma manual. En cambio hora para quienes tenga la herramienta configurada en modo express gozarán de la actualización automática de la misma, así que tendremos todas las mejoras que salgan sin necesidad de hacer nada, en ese orden de ideas esta es la última vez que haremos la instalación para actualizar la herramienta.

Como siempre el asistente nos informa que hay una versión anterior de la herramienta instalada, hacemos clic en Upgrade

Luego nos solicita las credenciales de un usuario con rol de administrador global hacemos clic en Next

Viene marcada por defecto la opción para que el proceso de sincronización inicie tan pronto como termine la instalación, hacemos clic en Upgrade

Nos avisará cuando todo termine de manera satisfactoria.

Y listo, de esta forma tendremos actualizada nuestra herramienta, y como mencioné antes, es la última vez que haremos esto. ¡un alivio!

Intervalo de sincronización reducido

En versiones anteriores de la herramienta, el intervalo de sincronización por defecto era de 3 horas, y cambiar este parámetro no era soportado, sin embargo tres horas en muchos entornos puede ser un período de tiempo bastante largo, a partir de esta nueva versión es soportado cambiar este intervalo a través de PowerShell, eso sí, no puede ser inferior a 30 minutos.

Podemos hacer uso del cmdlet Get-ADSyncScheduler para ver laconfiguración de sincronización.

En la siguiente imagen podemos observar la configuración por defecto

Y podemos apreciar que el parámetro CustomizedSyncCycleInterval se encuentra vacío, es aquí donde podemos configurar un valor no inferior a 30 minutos, que si observamos es el nuevo valor por omisión,sin embargo, es posible que necesitemos configurar este parámetro con un valor superior, por ejemplo una hora, veamos como hacerlo:

Set-ADSyncScheduler -CustomizedSyncCycleInterval 01:00:00

Autenticación moderna

Con esta nueva versión es posible iniciar sesión con un administrador que tenga habilitada la autenticación multifactor (MFA), ahora Azure AD Connect utiliza Azure AD Authentication Library (ADAL) y protocolos de autenticación moderna que hacen esto posible.

Filtro por Dominio/OU

Esto también es algo realmente fantástico, anteriormente esto era posible pero se trataba de una tarea "post-installation" y no era tan obvia y fácil de encontrar, en cambio ahora podemos elegir tanto filtrado de OU como de dominio directamente desde el asistente de instalación. A continuación podemos observar que elegimos solamente la OU llamada Office 365 para sincronizar hacia Azure AD. Algo importante a tener en cuenta, es que si tenemos por ejemplo algún sub-dominio que no sea alcanzado por la herramienta no permitirá continuar con el proceso.

Cambiar el método de inicio de sesión

Anteriormente si por ejemplo elegíamos el modo de sincronización de password y tiempo después deseábamos cambiar a federación era necesario reinstalar la herramienta para elegir el otro modo, ahora si abrimos la herramienta nos presentará una nueva opción llamada Change user sign-in 

Como se aprecia en la imagen anterior, estamos usando actualmente el modo Password Synchronization pero tenemos la opción de elegir Federation with ADFS y seguir los pasos del asistente para habilitar la federación.

Como vemos, cada vez se incluyen numerosas mejoras a esta herramienta, mis más sinceras felicitaciones al grupo de producto de Azure Active Directory quienes trabajan arduamente día a día para traernos estas mejoras.

Crear aplicación web con autenticación en Azure Active Directory

En esta ocasión vamos a ver un sencillo ejemplo para crear una aplicación web ASP.NET con Visual Studio 2015 la cual realiza la autenticación de los usuarios directamente en Azure Active Directory.

Primero, iniciamos Visual Studio 2015 y creamos un nuevo proyecto

En la parte de plantillas seleccionamos Cloud y elegimos la plantilla Aplicación web ASP.NET, le ponemos un nombre al proyecto, en mi caso CloudApp  y luego hacemos clic en Aceptar

Se abrirá la ventana que nos permite crear el nuevo proyecto, de las varias plantillas existentes, vamos a elegir Web Forms, si observamos en la parte derecha de la ventana veremos el botón Cambiar autenticación y también podemos notar que debajo del mismo se encuentra el texto Autenticación: Cuentas de usuario individuales

Hacemos clic en el botón Cambiar autenticación y se abrirá la siguiente ventana:

Como podemos apreciar en la imagen anterior, tenemos varias opciones para realizar la autenticación, por defecto viene marcada la opción Cuentas de usuario individuales, pero en nuestro caso marcaremos la opción Cuentas profesionales y educativas esta es la opción que se utiliza para realizar autenticación con Azure Active Directory como bien podemos leer en la descripción del cuadro de diálogo.

En la imagen anterior, el paso número 1 es seleccionar en dónde realizaremos la autenticación, ya que existe la posibilidad de elegir Nube o Local, en nuestro caso elegimos Nube: organización única

En el paso número 2 debemos elegir nuestro dominio, en mi caso tengo un nombre de dominio personalizado, de lo contrario debe aparecer el nombre de dominio terminado en .onmicrosoft.com

Por último, en el paso número 3 tenemos la opción de marcar la casilla de verificación Leer datos del directorio para el caso en que la aplicación necesite consultar el directorio utilizando la API Graph.

Podemos observar que el texto bajo el botón Cambiar autenticación ha cambiado

 También podemos notar la posibilidad de desplegar como aplicación web o en una máquina virtual de Azure

En nuestro caso haremos el despliegue como Aplicación web

Con esto ya tenemos lo necesario, ahora hacemos clic en Aceptar

En la ventana que se abre, nos solicita configurar la aplicación web de Microsoft Azure, debemos indicar el nombre que llevará la aplicación, se agrega el dominio .azurewebsites.net al final del nombre que elijamos, los datos restantes son la suscripción, región y si usamos un servidor de base de datos, en la siguiente imagen se muestra en detalle. Al finalizar hacemos clic en Crear

Se abrirá la ventana de Publicación web donde veremos el método de publicación, el servidor y su puerto, nombre del sitio, usuario, contraseña y URL. Aquí lo único que debemos hacer es clic en el botón Validar conexión para comprobar que la conexión se realice de forma exitosa. Hacemos clic en Siguiente

En la siguiente ventana verificamos que esté marcada la opción Habilitar la autenticación de organización dejamos el resto de opciones como están y hacemos clic en Siguiente

La siguiente, es la última pantalla, simplemente nos permite hacer una visualización de todos los archivos del proyecto, en este caso lo omitiremos y solamente haremos clic en el botón Publicar 

Esperamos....

Al finalizar se abrirá el navegador y solicitará credenciales de Azure para continuar

Después de proporcionar las credenciales saldrá un mensaje que indicando que la aplicación solicita permiso para leer datos de perfil y data del directorio, hacemos clic en Aceptar

Oops! algo salió mal

No cargó el sitio, y en su lugar obtuve un error, no desesperar, vamos al portal de Azure a revisar.

Vemos que efectivamente se encuentra desplegada la aplicación en Azure

Ingresamos a la aplicación haciendo clic sobre el nombre y en las opciones de la parte superior hacemos clic en Configurar

Bajamos por las opciones hasta encontrar la parte de autenticación o autorización y hacemos clic en la franja verde, que como vemos indica que nos llevará al nuevo portal.

Una vez en el nuevo portal hacemos clic en Activado

En la parte de proveedores de autenticación que se despliega seleccionamos Azure Active Directory Sin configurar

Y luego en modo de administración activamos rápido. dejamos la opción Crear nueva aplicación de AD dejaré el mismo nombre para la aplicación y hacemos clic en Aceptar

Al final debe quedar de la siguiente manera:

Hacemos clic en la opción Guardar de la parte superior

Bien, luego de hacer lo anterior, volvemos a intentar ingresar a la aplicación, y luego de escribir las credenciales de un usuario creado en Azure AD vemos que en efecto cargó la aplicación.

Bien, y esto es todo por hoy, espero esta información les sea de utilidad. Un saludo.

Crear sitio web de Joomla en Azure

Entre muchas de las ventajas que ofrece la plataforma Azure de Microsoft, se encuentra la posibilidad de crear un sitio web en cuestión de minutos, existen plantillas listas para usar, en esta ocasión mostraré cómo crear un sitio web en Joomla de manera rápida y sencilla, pero no solamente tenemos la posibilidad de usar Joomla sino diversos CMS como por ejemplo WordPress, Drupal, Umbraco, entre otros. 

Empecemos, lo primero es ingresar al portal de administración de Azure

Nos ubicamos en Aplicaciones web

En la parte inferior hacemos clic en Nuevo

Seleccionamos  Aplicación web y luego de la Galería

En Buscar aplicaciones de Microsoft Azure seleccionamos CMS en la parte de categorías, y en la lista buscamos Joomla

En la siguiente parte, podemos poner los datos de configuración de nuestro sitio web.

1. Escribimos el nombre que llevará la URL, todos los sitios en Azure quedan con el dominio azurewebsites.net, así que en mi caso elegí azurecloudla por lo cual mi dirección URL mediante la cual tendré acceso al sitio de manera pública queda de la siguiente manera http://azurecloudla.azurewebsites.net, si queremos usar nuestro propio nombre de dominio, también es posible, pero lo veremos en un próximo artículo.

2. Dejamos la opción por defecto para que cree una nueva base de datos de MySQL, en caso de que ya tengamos una montada, nos da la opción de usar la existente.

3. Aquí dejamos por defecto, luego hablaremos sobre el escalado de aplicaciones.

Después de la tercera opción hay otra parte llamada Configuración de la implementación he dividido la imagen en dos partes, ya que en un solo pantallazo no se puede observar toda la información.

1, Ponemos en nombre que llevará nuestro sitio, en este caso Azurecloud Latam Joomla

2. Ponemos un nombre para la cuenta de administración, en este caso el mismo sugirió elnombre jadmin con este usuario se realizarán todas las tareas de administración de Joomla.

3. La contraseña del usuario del paso 3

4. Una dirección de correo para el administrador del sitio.

Luego nos solicitará los datos para crear la nueva base de datos de MySQL

1. Ponemos un nombre a la base de datos

2. Elegimos la región.

3. Marcamos la casilla para aceptar los términos legales

4. Clic para finalizar con la creación del sitio

Una vez finalizada la creación, podemos ver en la columna Dirección URL nuestra nueva dirección azurecloudla.azurewebsites.net

Si queremos personalizar y empezar a trabajar con nuestro sitio simplemente agregamos a la URL /administrator tal como se muestra a continuación:

Esto nos llevará al sitio de administración de Joomla donde debemos digitar el nombre de usuario y contraseña que creamos durante la instalación.

Con esto, ya tendremos nuestro sitio web basado en Joomla en cuestión de minutos!

Bien, esto es todo y espero esta información les sea de utilidad. Hasta la próxima.

Vídeo: Azure Active Directory - Módulo de PowerShell

Hola a todos, a continuación les dejo un nuevo episodio de la serie de Fundamentos de Azure Active Directory, en esta ocasión veremos cómo instalar el módulo de Windows PowerShell para Azure Active Directory, el cual nos permite realizar cualquier tipo de tarea en nuestro directorio de Azure desde la línea de comando, ideal para automatización de tareas.

Video: Azure Active Directory - Modelos de Identidad

A continuación el segundo vídeo de mi serie Azure Active Directory, en el cual hablo sobre los siguientes modelos de identidad:

• Identidad en la nube
• Identidad sincronizada
• Identidad Federada

Espero sea de utilidad, y recuerden que cualquier comentario sobre los vídeos o cosas que desean ver en esta serie pueden hacerla sin temor, todas las sugerencias son bienvenidas.

Video: Introducción a Microsoft Azure Active Directory

Inicio este año estrenando mi canal en Channel 9 y que mejor que hablando sobre Azure Active Directory, así que les dejo mi primer vídeo de una serie que estoy creando sobre los fundamentos de esta tecnología, la idea y si la fuerza me acompaña es sacar un vídeo cada semana. Espero les guste.

Microsoft MVP 2016

Este es el primer post de mi blog para este nuevo año 2016, y que mejor forma de iniciar que con esta gran noticia, he sido reconocido por segundo año consecutivo como MVP, en esta ocasión en la categoría Enterprise Mobility debido a los recientes cambios en el programa.

Sin lugar a dudas, este será un año con bastantes retos, y hay bastante por hacer, así que por ahora me dedicaré a recargar baterías para lo que se viene. Un saludo para todos y feliz 2016!