Decisión de diseño: consideraciones de autenticación de usuarios

Active Directory Domain Services (AD DS): este servicio es la infraestructura de Active Directory local tradicional que admite GPO, autenticación Kerberos y uniones de dominio. Se puede crear y alojar un AD DS nuevo en máquinas virtuales en la nube. Como alternativa, una infraestructura de AD DS existente puede convertirse en un modelo híbrido con algunos controladores en Azure y otros locales. En ambos escenarios de implementación, el dominio de AD DS se puede sincronizar con Azure Active Directory (AAD) mediante Azure AD Connect.

Azure Active Directory (Azure AD): este servicio es el servicio de administración de identidades y dispositivos móviles basado en la nube de autenticación de Azure que proporciona autenticación de usuarios. Azure AD no admite la autenticación de dispositivos, las uniones a dominios ni los objetos de política de grupo (GPO). Sin embargo, Azure AD se puede combinar con Azure Active Director Domain Services (AAD DS) para proporcionar el nivel mínimo de soporte necesario para Citrix en Azure.

Azure Active Directory Domain Services (Azure AD DS): este servicio es un servicio de dominio administrado alojado en la nube. Este servicio admite GPO, autenticación Kerberos y uniones de dominio. La diferencia entre Azure AD DS y AD DS es que los controladores de dominio de AD los administra Microsoft en lugar de usted. Azure AD DS se integra directamente con Azure AD y es una excelente opción para las implementaciones de Citrix basadas en la nube.

Estas son las preguntas que debe responder en relación con la infraestructura de Active Directory:

¿Debo seguir usando solo mi infraestructura de Active Directory local?

  • Fácil de implementar con solo instalar Cloud Connectors y unirlos al dominio local

  • Citrix Cloud se puede configurar para usar solo el dominio de AD local

  • No es necesario usar ni sincronizar con Azure AD, lo que deja que Azure AD se use únicamente como administración de identidades para la administración de Azure

  • Para evitar la latencia que introduce la autenticación de dominios, Citrix recomienda colocar los controladores de dominio cerca de los hosts de Citrix Virtual Delivery Agent (VDA) y de los Cloud Connectors.

  • Es posible que se requiera la aprobación de seguridad de la información (infosec) para colocar controladores de dominio en Azure

  • No se recomienda para implementaciones que usan Microsoft 365 y que tienen usuarios que inician sesión en Azure AD para ese servicio

¿Debo extender Active Directory local mediante el modo híbrido con Azure AD Connect?

  • Microsoft recomienda este diseño cuando tiene una infraestructura de AD local existente y necesita alguna de estas funciones:
    • extensiones de esquema
    • delegación restringida de Kerberos basada en cuentas
  • Siempre debe haber al menos un controlador de dominio de Active Directory disponible para los Cloud Connectors y los VDA. Este diseño evita cualquier cuellos de botella o latencia en la autenticación durante el procesamiento de la directiva de grupo, las uniones al dominio y los eventos de autenticación

  • Citrix recomienda este modelo cuando tiene cargas de trabajo de Citrix que aún están en las instalaciones

  • Citrix recomienda este modelo si se van a utilizar los servicios de Citrix Cloud, como Endpoint Management.

  • Coloque al menos dos controladores de dominio en Azure y utilice Azure AD Connect para sincronizar AAD con AD DS a través de ExpressRoute o VPN

  • El uso de Windows 10 con una licencia de beneficio de uso híbrido requiere que las cuentas de equipo y las cuentas de usuario estén en el mismo Azure Active Directory

  • Es posible que se requiera la aprobación de seguridad de la información (infosec) para colocar controladores de dominio en Azure

  • Si se utilizan tarjetas inteligentes, Kerberos debe estar habilitado en un controlador de dominio

¿Debo establecer un nuevo Azure Active Directory (AAD)?

  • Microsoft recomienda este modelo cuando utiliza una implementación solo en la nube o cuando no tiene una infraestructura de AD local existente.

  • Citrix recomienda este diseño cuando todas las cargas de trabajo de Citrix están en Azure y utilizan uno de estos servicios:
    • Citrix DaaS
  • Planear usar Azure AD Connect para sincronizar Azure AD con Azure AD DS y habilitar la sincronización de hash de contraseñas

  • Si se utilizan tarjetas inteligentes, Kerberos debe estar habilitado para Azure AD DS

  • El uso de Windows 10 con una licencia de beneficio de uso híbrido requiere que las cuentas de equipo y las cuentas de usuario estén en el mismo Azure Active Directory

  • Azure AD DS no admite extensiones de esquema, confianzas unidireccionales ni delegación restringida basada en cuentas para Kerberos

  • Azure AD DS no admite privilegios de administrador empresarial o de dominio

¿Debo usar Azure AD como proveedor de identidades de Citrix Cloud?

  • Citrix Cloud admite Azure AD y AD DS para la autenticación

  • Al usar Azure AD como proveedor de identidades de Citrix Cloud, usted mantiene el control de las políticas de contraseñas y puede inhabilitar cuentas fácilmente.

  • El uso de Azure AD proporciona autenticación multifactor (MFA) para aumentar la postura de seguridad de Citrix Cloud

  • Cuando se marca Azure AD, Citrix Cloud tiene una página de inicio de sesión con marca

  • Azure AD amplía Citrix Cloud para admitir opciones de identidad federada como Okta, Ping o ADFS

  • Requiere la función de administrador global para el consentimiento para permitir que Citrix Cloud se conecte a Azure AD. Si el acceso a esta función no está disponible, considere la posibilidad de utilizar otros proveedores de identidad, como AD local o el proveedor de identidades predeterminado de Citrix.

¿Debo habilitar la autenticación multifactor (MFA) en las cuentas de Azure Active Directory?

  • La autenticación multifactor siempre se recomienda para cualquier recurso al que se acceda a través de Internet. La autenticación multifactor reduce los vectores de ataque disponibles y aumenta la postura de seguridad del sistema.

  • Azure AD simplifica la habilitación de la MFA y se integra fácilmente con el proveedor de identidades de Citrix Cloud

  • Si no usa Azure AD para MFA, tenga en cuenta otros proveedores de identidad, como Okta, para proporcionar esta seguridad adicional

Enlaces a otros recursos

Azure Active Directory y Citrix XenApp y XenDesktop

Consideraciones de diseño de identidad híbrida de Azure Active Directory

Administración de identidad y acceso de Citrix Cloud

Consejos de Citrix: Consejos de Citrix sobre las zonas de aterrizaje de Azure a escala empresarial (parte 2)

Comparar los Active Directory Domain Services autogestionados, Azure Active Directory y los Azure Active Directory Domain Services administrados

¿Qué es la identidad híbrida con Azure Active Directory?

Los servicios de XenApp y XenDesktop admiten los servicios de dominio de Azure AD

Decisión de diseño: consideraciones de autenticación de usuarios