Configuración de Microsoft Entra Domain Services para admitir la sincronización de perfiles de usuario para SharePoint Server

SharePoint Server incluye un servicio para sincronizar perfiles de usuario. Esta característica permite que los perfiles de usuario se almacenen en una ubicación central y estén accesibles en varios sitios y granjas de servidores de SharePoint. Para configurar el servicio de perfil de usuario de SharePoint Server, se deben conceder los permisos adecuados en un dominio administrado de Domain Services de Microsoft Entra. Para más información, consulte el artículo de sincronización de perfiles de usuario en SharePoint Server.

En este artículo se muestra cómo configurar Domain Services para permitir el servicio de sincronización de perfiles de usuario de SharePoint Server.

Antes de empezar

Para completar este artículo, necesitará los siguientes recursos y privilegios:

• Una suscripción de Azure activa.
  • Si no tiene una suscripción a Azure, cree una cuenta.
• Un inquilino de Microsoft Entra asociado a su suscripción, ya sea sincronizado con un directorio en el entorno local o con un directorio solo en la nube.
  • Si es necesario, cree un inquilino de Microsoft Entra o asocie una suscripción de Azure a su cuenta.
• Un dominio administrado de Microsoft Entra Domain Services habilitado y configurado en el inquilino de Microsoft Entra.
  • Si es necesario, complete el tutorial para crear y configurar un dominio administrado de Microsoft Entra Domain Services.
• Una máquina virtual de administración de Windows Server que esté unida al dominio administrado de Domain Services.
  • Si es necesario, complete el tutorial para crear una máquina virtual de administración.
• Una cuenta de usuario que sea miembro del grupo de administradores de Microsoft Entra DC en el inquilino de Microsoft Entra.
• El nombre de la cuenta de servicio de SharePoint para el servicio de sincronización de perfiles de usuario. Para más información sobre la cuenta de sincronización de perfiles, vea Plan de cuentas administrativas y de servicio en SharePoint Server. Para obtener el nombre de la cuenta de sincronización de perfiles del sitio web de Administración central de SharePoint, haga clic en Administración de aplicaciones>Administrar aplicaciones de servicio>Aplicación de servicio de perfiles de usuario. Para más información, vea Configuración de la sincronización de perfiles con la importación de Active Directory de SharePoint en SharePoint Server.

Introducción a las cuentas de servicio

En un dominio administrado, existe un grupo de seguridad denominado Microsoft Entra DC Service Accounts (Cuentas de servicio de controlador de dominio de Microsoft Entra) como parte de la unidad organizativa Usuarios. A los miembros de este grupo de seguridad se les delegan los privilegios siguientes:

• El privilegio Replicate Directory Changes (Replicación de cambios de directorio) en el atributo DSE raíz.
• El privilegio Replicate Directory Changes (Replicación de cambios de directorio) en el contexto de nomenclatura de Configuración (contenedor cn=configuration).

El grupo de seguridad Microsoft Entra DC Service Accounts (Cuentas de servicio de controlador de dominio de Microsoft Entra) también es un miembro del grupo integrado Acceso de compatible con versiones anteriores de Windows 2000.

Al agregarla a este grupo de seguridad, a la cuenta de servicio para el servicio de sincronización de perfiles de usuario de SharePoint Server se le conceden los privilegios necesarios para funcionar correctamente.

Habilitación de la compatibilidad para la sincronización de perfiles de usuario de SharePoint Server

La cuenta de servicio de SharePoint Server necesita los privilegios adecuados para replicar los cambios en el directorio y permitir que la sincronización de perfiles de usuario de SharePoint Server funcione correctamente. Para otorgar estos privilegios, agregue la cuenta de servicio usada para la sincronización de perfiles de usuario de SharePoint al grupo Microsoft Entra DC Service Accounts (Cuentas de servicio de controlador de dominio de Microsoft Entra).

Desde la máquina virtual de administración de Domain Services, siga estos pasos:

Nota:

Para editar la pertenencia a un grupo en un dominio administrado, debe haber iniciado sesión en una cuenta de usuario que sea miembro del grupo Administradores del controlador de dominio de AAD.

1. En la pantalla Inicio, seleccione Herramientas administrativas. Se muestra una lista de las herramientas de administración disponibles que se instalaron en el tutorial para crear una máquina virtual de administración.

2. Para administrar la pertenencia a un grupo, seleccione Centro de administración de Active Directory de la lista de herramientas administrativas.

3. En el panel izquierdo, elija el dominio administrado, como aaddscontoso.com. Aparecerá una lista de las unidades organizativas y los recursos existentes.

4. Seleccione la unidad organizativa Usuarios y elija el grupo de seguridad Microsoft Entra DC Service Accounts (Cuentas de servicio del controlador de dominio de Microsoft Entra).

5. Seleccione Miembros y elija Agregar...

6. Escriba el nombre de la cuenta de servicio de SharePoint y seleccione Aceptar. En el ejemplo siguiente, la cuenta de servicio de SharePoint se denomina spadmin: