¿Qué es un directorio de Azure AD?

Actualizado: 6 de julio de 2015

Se aplica a: Azure, Office 365, Windows Intune

Nota

En este tema se proporciona contenido de ayuda en línea para servicios en la nube, como Microsoft Intune y Office 365, que se basan en Microsoft Azure Active Directory para servicios de identidad y directorio.

En este tema se explican conceptos y tareas importantes relacionados con la administración de directorios de Azure AD e incluye las siguientes secciones:

  • ¿Qué es un inquilino de Azure AD?

  • Obtención de un directorio de Azure AD

    • Asociación de un directorio de Azure AD con una nueva suscripción de Azure

    • Crear un directorio de Azure AD al suscribirse a un servicio como organización

    • Administración de un directorio de aprovisionamiento predeterminado de Azure

  • Agregar y administrar varios directorios de Azure AD

  • Eliminar un directorio de Azure AD

    • Condiciones que deben cumplirse para eliminar un directorio de Azure AD

¿Qué es un inquilino de Azure AD?

En un área de trabajo física, la palabra "inquilino" puede definirse como un grupo o una compañía que ocupa un edificio. Por ejemplo, es posible que su organización disponga de un espacio de oficinas en un edificio. Puede que este edificio se encuentre en una calle con varias organizaciones más. En este caso, su organización se consideraría inquilina de dicho edificio. Este edificio es un activo de su organización; proporciona seguridad y garantiza que pueda desarrollar sin problemas las actividades propias de su negocio. También está separado de otras empresas en la misma calle. Esto garantiza que su organización y los activos que contiene están aislados de otras organizaciones.

En un área de trabajo habilitada en la nube, un inquilino puede definirse como un cliente o una organización que posee y administra una instancia específica de ese servicio en la nube. Con la plataforma de identidad proporcionada por Microsoft Azure, un inquilino es simplemente una instancia dedicada de Azure Active Directory (Azure AD) que su organización recibe y posee cuando se suscribe a un servicio en la nube de Microsoft, como Azure u Office 365.

Cada directorio de Azure AD es distinto e independiente de otros directorios de Azure AD. Del mismo modo que un edificio de oficinas para empresas es un activo seguro dedicado específicamente a su organización, un directorio de Azure AD se ha diseñado también para ser un activo seguro para el uso exclusivo de su organización. La arquitectura de Azure AD aísla los datos del cliente y la información de identidad para evitar contactos cruzados. Esto significa que los usuarios y los administradores de un directorio de Azure AD no tendrán acceso a los datos de otro directorio, ya sea de manera involuntaria o malintencionada.

Azure AD Tenant

Obtención de un directorio de Azure AD

Obtendrás un directorio de Azure AD cuando te suscriba a un servicio en la nube de Microsoft. Puede crear directorios adicionales según sea necesario. Por ejemplo, puede mantener el primer directorio como directorio de producción y, a continuación, crear otro directorio para pruebas o ensayos.

Nota

Cuando se haya suscrito a un primer servicio, se recomienda que utilice la misma cuenta de administrador asociada con su organización si se suscribe a otros servicios en la nube de Microsoft. Para obtener más información sobre los identificadores de usuario, consulte ¿Qué es mi identificador de usuario y por qué lo necesito?.

La primera vez que se suscribe a un servicio en la nube de Microsoft, como Azure, Microsoft Office 365 o Microsoft Intune, se le pedirá que proporcione detalles sobre su organización y el registro de nombres de dominio de Internet de su organización. Esta información se utilizará a continuación para crear una nueva instancia de directorio de Azure AD para su organización. Ese mismo directorio se usará para autenticar los intentos de inicio de sesión cuando se suscriba a varios servicios en la nube de Microsoft.

Los servicios adicionales aprovechan completamente las cuentas de usuario, las directivas, la configuración o la integración de directorios local que configure para ayudar a mejorar la eficiencia entre la infraestructura de identidad de la organización local y Azure AD.

Por ejemplo, si se suscribió originalmente a Microsoft Intune y completó los pasos necesarios para seguir integrando su Active Directory local con su directorio Azure AD mediante la implementación de la sincronización de directorios o servidores de inicio de sesión único, puede suscribirse a otro servicio en la nube de Microsoft, como Office 365, que también puede aprovechar los mismos beneficios de integración de directorios que ahora utiliza con Microsoft Intune.

Para obtener más información acerca de cómo integrar su directorio local con Azure AD, vea Integración de directorios.

Asociación de un directorio de Azure AD con una nueva suscripción de Azure

Puede asociar una nueva suscripción de Azure con el mismo directorio que autentica el inicio de sesión para una suscripción de Office 365 o Microsoft Intune existente. Inicie sesión en el Portal de administración de Azure con su cuenta profesional o educativa. El Portal de administración de Azure devuelve un mensaje que indica que fue imposible encontrar ninguna suscripción para esa cuenta. Seleccione Registrarse en Azure y el directorio estará disponible para su administración en el Portal de administración de Azure. Para obtener más información, consulte Administrar el directorio de su suscripción de Office 365 en Azure.

Associate Account 2

Para ver un vídeo sobre preguntas comunes relacionadas con el uso de Azure AD, consulte Azure Active Directory: preguntas comunes acerca del registro, el inicio de sesión y el uso.

Crear un directorio de Azure AD al suscribirse a un servicio como organización

Si aún no tiene una suscripción a un servicio en la nube de Microsoft, utilice uno de los siguientes vínculos para suscribirse. Con la suscripción a su primer servicio se creará un directorio de Azure AD automáticamente.

Administración de un directorio de aprovisionamiento predeterminado de Azure

Actualmente, al suscribirse a Azure, se crea automáticamente un directorio y la suscripción queda asociada a ese directorio. No obstante, si se suscribió por primera vez a Azure antes de octubre de 2013, el directorio no se habrá creado automáticamente. En ese caso, Azure puede haber "repuesto" su cuenta mediante el aprovisionamiento de un directorio predeterminado para ella. Su suscripción se asoció entonces con ese directorio predeterminado.

La reposición de directorios tuvo lugar en octubre de 2013 como parte de una mejora general del modelo de seguridad de Azure. Ayuda a ofrecer características de identidad organizativa a todos los clientes de Azure y garantiza que el acceso a todos los recursos de Azure se produce en el contexto de un usuario en un directorio. No es posible usar Azure sin un directorio. Para poder hacerlo, los usuarios que se hubieran registrado antes del 7 de julio de 2013 y no tuvieran un directorio, tenían que tener uno creado. Si ya tenía un directorio creado, su suscripción se asoció con ese directorio.

No hay costes asociados al uso de Azure AD. El directorio es un recurso gratuito. Hay un nivel de Azure Active Directory Premium adicional con licencia por separado y proporciona características adicionales, como la personalización de marca de empresa y el autoservicio de restablecimiento de contraseña.

Para cambiar el nombre del directorio que se muestra, haga clic en el directorio en el Portal de administración y haga clic en Configurar. Como se explica más adelante en este tema, puede agregar un nuevo directorio o eliminar uno que ya no necesite. Para asociar la suscripción a otro directorio, haga clic en Configuración>Subscriptions>Editar directorio. También puede crear un dominio personalizado mediante un nombre DNS que haya registrado en lugar del predeterminado *.onmicrosoft.com, que puede ser preferible para un servicio como SharePoint Online.

Para más información sobre cómo administrar el directorio, Administración del directorio de Azure AD.

Agregar y administrar varios directorios de Azure AD

Puede agregar un directorio de Azure AD en el Portal de administración de Azure. Seleccione la extensión de Active Directory a la izquierda y haga clic en Agregar.

Puede administrar cada directorio como un recurso totalmente independiente: cada directorio es un par con características completas y lógicamente independiente de otros directorios que administre; no existe ninguna relación principal-secundario entre los directorios. Esta independencia entre directorios incluye la independencia de recursos, la independencia administrativa y la independencia de sincronización.

  • Independencia de recursos. Si crea o elimina un recurso en un directorio, esto no tiene efecto en ningún recurso de los demás directorios, con la excepción parcial de los usuarios externos, según se describe más adelante. Si utiliza un dominio personalizado “contoso.com” con un directorio, este no se puede utilizar con ningún otro directorio.

  • Independencia administrativa. Si un usuario no administrador del directorio "Contoso", crea un directorio de prueba "Prueba". En ese caso:

    • De forma predeterminada, el usuario que crea un directorio se agrega como un usuario externo en ese nuevo directorio y se le asigna el rol de administrador global en ese directorio.

    • Los administradores del directorio "Contoso" no tienen privilegios administrativos directos en el directorio "Prueba", a menos que el administrador de "Prueba" les otorgue específicamente estos privilegios. Los administradores de "Contoso" pueden controlar el acceso al directorio "Prueba" en virtud del control que tengan de la cuenta de usuario que creó "Prueba".

    Y si cambia (agrega o quita) un rol de administrador de un usuario en un directorio, el cambio no afecta a ningún rol de administrador que ese usuario pueda tener en otro directorio.

  • Independencia de sincronización. Puede configurar cada Azure AD de manera independiente para que los datos se sincronicen desde una sola instancia de:

    • La herramienta de sincronización de directorios, para sincronizar los datos con un único bosque de AD.

    • El conector de Azure Active Directory para Forefront Identity Manager, para sincronizar datos con uno o varios bosques locales u orígenes de datos distintos de AD.

También tenga en cuenta que, a diferencia de otros recursos de Azure, los directorios no son recursos secundarios de una suscripción a Azure. Entonces, si cancelas o dejas que tu suscripción a Azure expire, aún podrás tener acceso a los datos de tu directorio mediante PowerShell de Azure, la API Azure Graph u otras interfaces, como el Centro de administración de Office 365. También puede asociar otra suscripción con el directorio.

Eliminar un directorio de Azure AD

Un administrador global puede eliminar un directorio de Azure AD desde el Portal de administración de Azure. Antes de eliminar un directorio, asegúrese de que realmente no lo necesita, ya que también se eliminarán todos los recursos que contiene.

Nota

Si el usuario inicia sesión con una cuenta profesional o educativa, el usuario no debe intentar eliminar su directorio particular. Por ejemplo, si el usuario ha iniciado sesión como joe@contoso.onmicrosoft.com, no puede eliminar el directorio que tiene contoso.onmicrosoft.com como dominio predeterminado.

Condiciones que deben cumplirse para eliminar un directorio de Azure AD

Azure AD requiere que se cumplan determinadas condiciones para eliminar un directorio. Esto reduce el riesgo de que la eliminación de un directorio afecte negativamente a usuarios o aplicaciones, como la capacidad de los usuarios de iniciar sesión en Office 365 o de tener acceso a recursos en Azure. Por ejemplo, si se elimina de forma involuntaria un directorio de una suscripción, los usuarios no podrían tener acceso a los recursos de Azure de esa suscripción.

Se comprueban las condiciones siguientes:

  • El único usuario en el directorio es el administrador global que eliminará el directorio. Se deben eliminar los otros usuarios antes de poder eliminar el directorio. Si los usuarios se sincronizan localmente, se deberá desactivar la sincronización y se deberá eliminar a los usuarios en el directorio en la nube mediante el Portal de administración o el módulo de Azure para Windows PowerShell. No existen requisitos para eliminar grupos o contactos, como los contactos agregados desde el centro de administración de Office 365.

  • No puede haber aplicaciones en el directorio. Las aplicaciones se deben eliminar antes de poder eliminar el directorio.

  • No puede haber suscripciones a ningún servicio de Microsoft Online Services, como Microsoft Azure, Office 365 o Azure AD Premium, asociadas al directorio. Por ejemplo, si se ha creado un directorio predeterminado en Azure en su nombre, no puede eliminar este directorio si la suscripción a Azure aún se basa en este directorio para la autenticación. De igual forma, no puede eliminar un directorio si otro usuario le ha asociado una suscripción. Para asociar su suscripción a un directorio diferente, inicie sesión en el Portal de administración de Azure y haga clic en Configuración en el panel de navegación izquierdo. A continuación, haga clic en Suscripciones y en Editar directorio. Para obtener más información acerca de las suscripciones de Azure, consulte Cómo se asocian las suscripciones a Azure con Azure AD.

    Nota

    Si se cancela la suscripción y desea eliminar un directorio, inicie sesión con otra suscripción y agregue el administrador global del directorio como coadministrador de la suscripción. A continuación, cierre la sesión e iníciela de nuevo con la cuenta de coadministrador de la suscripción. A continuación, debería poder eliminar el directorio si se cumplen todas las demás condiciones.

  • No se pueden vincular proveedores de Multi-Factor Authentication al directorio.

Recursos de la comunidad