Primeros pasos con Office 365

Office 365 abarca un conjunto de servicios en “la nube”, en muchos casos estos servicios son versiones de productos ya conocidos para quienes trabajan en IT hace algún tiempo como Exchange y Sharepoint, pero también existen servicios nativos que no los encontramos On Premises como por ejemplo Planner o Microsoft Teams.

Microsoft ofrece estos servicios en base a suscripción y esto puede ser abonado de forma mensual o anual. Dependiendo del plan y licencia qué servicios son incluidos.

Si bien Office 365 incluye múltiples planes, incluso algunos orientados al hogar, el foco del sitio (aprendiendoexchange.com) es a un nivel más corporativo, orientado a administradores e implementadores que se encuentran haciendo la transición de conocimiento hacia la nube o a entornos híbridos.

Teniendo esto en cuenta vamos a comenzar viendo los principales conceptos asociados a Office 365.


Qué es un Tenant en Office 365?

Básicamente un Tenant es la cuenta que se configura en Office 365 para la organización. Estos Tenants funcionan como contenedores individuales y son identificados con un subdominio bajo el dominio “onmicrosoft.com“. El nombre seleccionado para el Tenant debe ser único y en general se usa el nombre principal de la organización. Por ejemplo Empresa1 podría ser “empresa1.onmicrosoft.com” y los usuarios incluidos en Empresa1 de forma predeterminada se autenticarían y tendrían una dirección de correo del tipo “usuario@empresa1.onmicrosoft.com“.

Dado que usualmente las organizaciones tienen un nombre público registrado en DNS, esta es una de las primeras cosas que se configuran dentro de Office 365, usualmente el dominio externo de la organización, en este caso “empresa1.com“. Para esto es necesario validar la propiedad del nombre DNS dentro de Office 365. Una vez realizado esto es posible autenticarse y usar direcciones de correo “@empresa1.com” (sin necesidad de usar el onmicrosoft.com).


Identidades en Office 365

Para el manejo de usuarios y otros objetos en la nube, Office 365 usa como directorio Azure Active Directory (AAD).

Tenemos varios tipos de identidades:

  • Identidad solo en la nube (cloud only identity). Esto significa que los usuarios son creados y administrados directamente en la nube. Esto aplica a organizaciones que no cuentan con un servicio de directorio On Premises (en general Active Directory) o por algún motivo no quieren vincular las identidades locales con Azure AD. En este caso todo lo relativo a identidad y autenticación es manejado en Azure AD. La administración general de cuentas puede ser realizada desde el Office 365 Admin Center (https://portal.office.com) o mediante Windows Powershell. En la imagen a continuación se ve el caso de un administrador haciendo un cambio en el Centro de Administración de Office 365, por ejemplo creación de una cuenta, esto pasa por Azure AD y posteriormente queda visible el cambio en el Admin Center.

Qué es Office 365 | Office 365 Identidades - Identidad en la nube

  • Identidad sincronizada (Synchronized Identity). Esto aplica al caso de organizaciones que ya cuentan con usuarios configurados en Active Directory y se desea sincronizar estas identidades (de forma parcial o total) con la nube. Esto permite un cierto nivel de integración y habilita a escenarios híbridos. Para sincronizar información de Active Directory con Azure AD se utiliza Azure AD Connect, este es un servicio que se configura usualmente en un servidor dedicado y permite la sincronización de atributos y contraseñas (no en texto plano, sino que un hash) con Azure. De esta manera los usuarios pueden acceder a recursos locales así como recursos de la nube con los mismos datos de usuario y contraseña. A fines prácticos para el usuario sería como tener una única cuenta. Esta sincronización en general implica en primer instancia una etapa de ajustes donde entre otras cosas se chequea la configuración de determinados atributos y configuración de UPNs. Una vez realizado esto es posible avanzar con la configuración de la herramienta de sincronización (Azure AD Connect). En la imagen a continuación tenemos por un lado una organización con una instalación de Active Directory, Azure AD Connect configurado y sincronización de objetos y contraseñas con Azure Active Directory. En este caso la fuente autoritativa es Active Directory (on premises) por lo que los cambios se realizan localmente y posteriormente son sincronizados con Azure.

Office 365 Identidades - Identidad sincronizada

  • Identidad Federada (Federated Identity). Este caso aplica a escenarios avanzados a nivel de autenticación, por ejemplo cuando es requerido Single Sign On (SSO). Este modelo también requiere la sincronización de identidades, pero en este caso el directorio que valida estas identidades es uno On Premises. Esto significa que mientras todo funcione correctamente no es necesario sincronizar contraseñas. Para esto se debe instalar un servicio adicional: Active Directory Federation Services (ADFS) pero existen alternativas de terceros (no Microsoft). En la imagen a continuación se ve un proceso similar que en el caso de identidad sincronizada (ya que aplica también a este escenario) y en adición aparece un nuevo servicio: ADFS, en este caso los usuarios “federados” obtienen un token de seguridad a través de ADFS y posteriormente es pasado a Azure AD por autorización para acceder a los distintos servicios de Office 365.

Office 365 Identidades - Identidad federada

La tendencia actual en ambientes corporativos es ir por el modelo de identidad sincronizada con Azure AD y sin federación. El modelo de identidad federada implica mayor complejidad y mantenimiento, incluyendo más servidores y dependencias por lo que salvo que se cuente con requerimientos muy específicos, con la sincronización de cuentas y contraseñas en general es suficiente. En el siguiente enlace se puede encontrar más información sobre este caso:


Planes de Office 365

Office 365 se encuentra dividido en varias familias de servicios, a su vez cada familia incluye distintos planes:

  • Office 365 Business
  • Office 365 Enterprise
  • Office 365 Educación
  • Office 365 Gobierno

La selección del tipo de familia y plan varía en función al tipo de negocio. En este sentido Office 365 Business y Enterprise pueden generar cierta confusión, la principal diferencia entre estos 2 es la cantidad de usuarios soportados; Office 365 Business soporta un máximo de 300 mientras que Office 365 Enterprise soporta un número ilimitado de usuarios. En adición a esto existen otras diferencias muy específicas por ejemplo a nivel de cumplimiento pero estas pueden ir variando.

Licencias en Office 365

En Office 365 cada usuario activo requiere una licencia. Esta licencia es la que define que funcionalidad va a estar disponible para el usuario. Dentro de un Tenant es posible tener una combinación de licencias y dependiendo de los requerimientos qué tipo de licencia asignar a cada usuario.

Plan Enterprise

Este es el plan más común dentro de un entorno corporativo y E1 es el tipo de licencia más económica. Esta licencia incluye funcionalidad básica como acceso a Exchange Online, Sharepoint y Skype pero no incluye las aplicaciones de escritorio como Outlook y Word, esto es incluido dentro de Office 365 ProPlus o la licencia E3 que incluye las características del ProPlus + E1.

Actualmente el E5 es el más costoso e incluye funcionalidad avanzada. Por fuera de esto, como se mencionó anteriormente es posible combinar licencias de cada plan dependiendo de los requerimientos del usuario, para esto se adquieren pools de licencias y posteriormente se asignan a los usuarios en base a la funcionalidad requerida.

Planes en Office 365 - Plan Enterprise

En relación a Office 365 ProPlus, esto simplemente es la suscripción que nos habilita a instalar las aplicaciones de escritorio. Independientemente de que exista esta opción es posible usar otras versiones de Office mientras se encuentren soportadas por Office 365.

Plan Business

Este plan como se mencionó anteriormente tiene un límite de 300 usuarios y esta orientado a pequeñas y medianas empresas.

Actualmente existen 3 opciones:

Planes en Office 365 - Plan Business

Como se puede observar en la imagen, el plan Office 365 Empresa (Business) incluye aplicaciones de escritorio y acceso a OneDrive para almacenar documentos, el plan Office 365 Empresa Premium (Business Premium) incluye también acceso a servicios como Exchange Online y Sharepoint, por otro lado el plan Office 365 Empresa Essentials (Business Essentials) incluye únicamente acceso a servicios (no aplicaciones de escritorio).

Por información detallada sobre los distintos planes y características ver el siguiente enlace:


Con esto llegamos al final de esta introducción a Office 365. Si te interesa el tema podes suscribirte gratis al sitio con el formulario más abajo o dejar tus dudas en la sección de comentarios.

Por último algunos artículos relacionados:


Interacciones del lector

Comentarios

  1. Erbin baquero dice

    Hola es un buen resumen de introducción, les recomiendo hablar sobre las configuraciones híbridas para exchange y skype for business ya es bien importante comprenderlo en detalle

    • Gustavo dice

      Me sumo en la parte de skype for business, y de que manera se pueden importar y/o listar / agregar automaticamente (ya que la lista esta vacia y la tarea es manual) los contactos que uno posee en el correo y/o directorio de la empresa internamente. Ya que si bien hay una opcion para ello, no nos ha funcionado jamas!….estimo que por lo que leo se trataba de una bug reportado, que supuestamente iban a corregir pero jamas paso y el skype quedo alli en el olvido.

  2. Julio palma lópez dice

    Hola Daniel.

    Tengo varias dudas, pero la primera es ¿Cómo puedo saber la IP real de origen de un correo en ambiente hibrido?, es decir saber si el correo fue enviado desde un PC, Dispositivo móvil Etc

    • Gustavo dice

      Yo se que en el caso del servidor On-Premises puedes revisar los logs de los conectores y del IIS (OWA), habilitando el logging de los servicios / protocolos. En el caso de la nube estimo que eso lo tendras que realizar con powershell. Pero me sumo al pedido concreto y que seguramente Daniel sabra respoder con mas exactitud y profesionalismo.

    • Daniel Núñez Banega dice

      Hola Julio / Gustavo, para obtener esa información habría que revisar en varios lugares. Dependiendo de si el buzón se encuentra On Premises o en Exchange Online a donde conectarse.

      En el caso de Exchange On Premises habría que usar Message Tracking y en base a los datos obtenidos con esta herramienta buscar información del cliente en los logs de Internet Information Services. Lo más simple para analizar los logs de IIS sería con LogParser (pero esto sería opcional).

      En cuanto a Office 365, se podría usar Message Trace ya sea desde el Exchange Admin Center o desde el portal de Security & Compliance (este sería el recomendado), hacer una búsqueda del correo y posteriormente ya con los datos del mensaje hacer una búsqueda de auditoría. En la auditoría se detalla información específica de cliente.

  3. Juan Alfonso Gómez M. dice

    Hola buen día,
    Estoy en la etapa de implementar el Híbrido de mi Exchange, ya tengo sincronizado mi directorio activo con Azure, queremos hacer la migración de algunos buzones a la nube para evaluar su comportamiento, mi pregunta en concreto es: ¿Necesito adquirir un certificado SSL UCC para lograr una correcta sincronía y seguridad de mis buzones? Actualmente mi certificado esta creado internamente y me comentaron que este no es suficiente para terminar el proceso del Híbrido.

    Saludos.

    • Gustavo dice

      Juan Alfonso,

      Yo realice una implementacion hibrida express para luego pasar totalmente a la nube.
      El certificado es un requisito cuando das de alta los registros en el DNS y para validar el dominio, yo realice un certificado temporal en la web de COMODO. No recuerdo si te dejan crear un SAN (Subject Alternatiove Name) poco recuerdo, creo que termine haciendo un Wildcard con*.MiEmpresa.com. espero haber despejado tus dudas. Una vez finalizada la sincro, que te permite hacer un SSO o conservar tu contraseña por cada usuario actual pero en office 365 y si decides pasarte totalmente a la nube, puedes desestimar o cortar el conector con AD local (te va a quedar el usuario especialmente creado para la sincro en la nube) y pasado 1 semana o menos, los atributos que antes no podias editar o eran limitados por cada user, se van a convertir en atributos editables y veras mas propios de ofice 365. Yo tuve que realizar una pequeña limpieza u acomodamiento de algunos Alias, lo que si te comento que el @tempresa.onmicrosoft.com lo tienes que pasar como secundario, péro nunca aliminarlo.

      Espero haberte ayudado en algo.

      saludos Gustavo J. Rodrigo

    • Daniel Núñez Banega dice

      Hola Juan Alfonso, para el híbrido precisas un certificado confiable, en este caso un certificado público. No necesariamente UCC, pero en general es la opción más común. Esto puede variar dependiendo de los requerimientos.

  4. Gustavo dice

    Daniel,

    Un consulta obvia que te hago a ti y que si bien se la respuesta, te lo consulto por las dudas.

    Que pasa si se te corta internet respecto del correo interno y con una solucion puramente cloud. y que pasa si es hibrida, en ambos casos el flujo de correo interno (mas alla del bucle infinito entre un usuario en la nube y uno on-premises que no hay forma de solucionar, al menos yo no lo se) queda inutilizado cierto ?

    Saludos.!

    • Daniel Núñez Banega dice

      Hola Gustavo, si todos tus buzones están en la nube, el envío y recepción de correo no dependería de tu conexión a Internet. Si en cambio es una implementación híbrida y tenés buzones On Premises y otros buzones en Office 365, frente a la caída del enlace a Internet tus usuarios On Premises podrían enviar correos internos (entre ellos) y todos los correos salientes (hacia Internet u Office 365) quedarían encolados. Una vez reanudada la conectividad y dependiendo de la configuración, estos correos encolados se enviarían automáticamente en el próximo reintento.

      En el caso de los usuarios en Office 365, durante el período de tiempo que estés con el enlace a Internet caído les funcionaría el correo entre ellos y hacia Internet (salvo que tengas una configuración de transporte centralizada donde los correos siempre deban pasar por Exchange On Premises). Lo que no les funcionaría es el envío de correo a usuarios que se encuentren On Premises, estos correos quedarían encolados. Una vez reanudada la conectividad se deberían entregar los mensajes en el próximo reintento.

  5. Carlos Rotver dice

    Qué tal Daniel, gracias por esta oportunidad que nos brindas para exponer nuestras dudas. Como información estoy manejando un ambiente híbrido. Acá mis preguntas:

    1.- Al momento de habilitar un buzón de O365 (remoto) por Powershell, aunque en el comando se coloque el Remote Routing Address, éste no queda registrado en el buzón On-prem y hay que agregarlo a mano. Creo que es un BUG de MS. Te ha pasado esto? cómo lo manejas?

    2.- Las licencias se asignan por grupos de AD en On-prem. Hay casos donde se da de baja un usuario y luego lo contratan de nuevo (en poco tiempo, no más de 20 días) el usuario tenía licencia de 365 por estos grupos, luego se le quitan por la baja, y luego se agrega el usuario nuevamente al grupo de licencias. En estos casos, hay que asignarle la licencia directamente desde el portal o por PW, ya que no sincroniza bien. Te ha pasado esto también?

    3.- Información que estaba en una “Nota” dentro del Outlook, se pierde parte del contenido de la misma.

    Muchas gracias por tú ayuda.

    Saludos!

    • Daniel Núñez Banega dice

      Hola Carlos, respondo consultas:
      1. En entornos híbridos, podes crear los buzones directamente en Office 365 (Buzón remoto) o podes crearlo On Premises y posteriormente moverlo a la nube. La opción que estampa todos los atributos necesarios es la 2da (crearlo on premises y moverlo a la nube). En definitiva, para evitar problemas, al momento te recomendaría primero crear el buzón en Exchange On Premises y luego moverlo a Office 365.
      2. Te dejo un artículo de troubleshooting de problemas comunes usando licenciamiento en base a grupos:
      https://docs.microsoft.com/es-es/azure/active-directory/users-groups-roles/licensing-groups-resolve-problems
      3. Este punto no me queda 100% claro, te referís a que se migró un elemento pero le falta el contenido?

      Saludos!

  6. Jairo Arteaga Rojas dice

    Hola Daniel
    Gracias por la oportunidad de expresarnos y a la vez el tiempo en respondernos.

    Tengo una consulta, si yo quisiera que la sincronizacion de un entorno híbrido sea bidireccional, que herramienta podría utilizar, sabiendo que el ad connect es unidireccional, que herramienta podría utilizar

    Quedo muy agradecido por tu tiempo

    • Daniel Núñez Banega dice

      Hola Jairo, en principio habría que entender bien el requerimiento específico. AAD Connect tiene características de writeback (por lo que ciertos atributos podrían ser sincronizados desde Azure AD al AD On Premises). Esto dependiendo del licenciamiento podría ser utilizado para varias cosas como por ejemplo sincronización de contraseñas (lo que habilitaría a que usuarios cambien la contraseña en la nube y esta se sincronice con Active Directory) o por ejemplo algunos atributos relacionados a Exchange para que funcione bien el entorno híbrido.

  7. Lester Carias dice

    Hola Daniel, muchas gracias por transmitir tus conocimientos.
    Mis consultas son las siguientes:
    1. Tengo todas mis cuentas de correo en un servidor virtual de Zimbra (ver 8.7.11 GA), quiero migrar todas las cuentas con sus respectivos buzones hacia O365 pero deseo dejar este server de Zimbra siempre activo por aquello de dejar un respaldo de correos (que todos los correos queden copiados en Zimbra y posterior viajen a O365).

    2. Si mi decision fuera migrar todas la cuentas y buzones y deshabilitar el server de Zimbra, existe alguna opcion o posibilidad de regresar todos los buzones nuevamente a Zimbra por si se decidiera no seguir pagando el servicio de O365 en un tiempo futuro.

    Que requisitos, pasos, consideraciones se deben de tomar en cuentaq en los escenarios involucrados en mis consultas?

    • Jairo Arteaga Rojas dice

      Hola estimado Daniel
      Nuevamente agradecido por tu tiempo y conocimientos.
      El escenario es un Ad local y los buzones en 365
      Mi consulta es saber que herramienta propia de MS permitiría la sincronizacion bidireccional.
      Para que pueda permitir hacer el cambio de contraseña desde el ad o desde el portal office
      Saludos
      Jairo Arteaga

    • Daniel Núñez Banega dice

      Hola Lester, lo primero sería definir qué mecanismo usar para la migración, si usar herramientas de terceros o herramientas nativas de Office 365. En este caso la migración de datos sería una copia por lo que no debería afectar los buzones en origen.
      Una vez con los buzones en Office 365 sería posible cambiar los registros en DNS para los correos dejen de pasar por el Zimbra y pasen directamente por O365.
      En caso de rollback, nuevamente dependería de las herramientas que tengas a disposición.

      El proceso no es tan simple como para detallarlo en un comentario por lo que te dejo un link a un artículo de Microsoft que te puede ser util como para tener algunas lineas generales:
      https://docs.microsoft.com/es-es/exchange/mailbox-migration/migrating-imap-mailboxes/migrating-imap-mailboxes

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *