Compartir a través de


Microsoft Entra Connect: cuentas y permisos

Obtenga información sobre las cuentas que se utilizan y crean, así como los permisos necesarios para instalar y usar Microsoft Entra Connect.

Diagrama que muestra información general de las cuentas necesarias de Microsoft Entra Connect.

Cuentas usadas para Microsoft Entra Connect

Microsoft Entra Connect usa tres cuentas para sincronizar la información de un entorno local de Windows Server Active Directory (Windows Server AD) con Microsoft Entra ID:

  • Cuenta del conector de AD DS: se usa para leer y escribir información en Windows Server AD mediante Servicios de dominio de Active Directory (AD DS).

  • Cuenta de servicio ADSync: se utiliza para ejecutar el servicio de sincronización y acceder a la base de datos SQL Server.

  • La cuenta del conector de Microsoft Entra: se usa para escribir información en Microsoft Entra ID.

También necesita las siguientes cuentas para instalar Microsoft Entra Connect:

  • Cuenta de administrador local: el administrador que está instalando Microsoft Entra Connect y tiene permisos de administrador local en el equipo.

  • Cuenta de administrador de empresa de AD DS: se usa de manera opcional para crear la cuenta de conector de AD DS requerida.

  • Microsoft Entra cuenta de administrador de identidad híbrida: se usa para crear la cuenta del conector de Microsoft Entra y para configurar el identificador de Microsoft Entra. Puede ver el administrador de identidades híbridas en el centro de administración de Microsoft Entra. Consulte Enumeración de asignaciones de roles de Microsoft Entra.

  • Cuenta de SA de SQL (opcional): se usa para crear la base de datos ADSync cuando se utiliza la versión completa de SQL Server. La instancia del servidor SQL Server puede ser local o remota respecto a la instalación de Microsoft Entra Connect. Esta cuenta puede ser la misma que la cuenta de administrador de empresa.

    El administrador de SQL Server puede realizar ahora el aprovisionamiento de la base de datos fuera de banda, y luego el administrador de Microsoft Entra Connect puede instalarla si la cuenta tiene permisos de propietario de base de datos (DBO). Para más información, consulte Instalación de Microsoft Entra Connect con permisos de administrador delegado de SQL.

Importante

A partir de la compilación 1.4.###.#, ya no puede usar una cuenta de administrador de empresa ni una cuenta de administrador de dominio como cuenta del conector de AD DS. Si intenta especificar una cuenta que sea administrador de empresa o administrador de dominio para Usar una cuenta existente, el asistente mostrará un mensaje de error, y no podrá continuar.

Nota:

Puede administrar las cuentas administrativas que se utilizan en Microsoft Entra Connect mediante un modelo de acceso empresarial. Una organización puede utilizar un modelo de acceso empresarial para hospedar cuentas administrativas, estaciones de trabajo y grupos en un entorno con unos controles de seguridad más estrictos que un entorno de producción. Para obtener más información, consulte Modelo de acceso empresarial.

El rol de administrador de identidad híbrida no es necesario tras la configuración inicial. Después de la instalación, la única cuenta necesaria es la cuenta del rol Cuentas de sincronización de directorio. En lugar de quitar la cuenta que tiene el rol de administrador de identidad híbrida, se recomienda cambiar el rol a un rol que tenga un nivel de permisos inferior. La eliminación completa de la cuenta podría presentar problemas si alguna vez necesita volver a ejecutar el asistente. Puede agregar permisos si necesita volver a usar el asistente de Microsoft Entra Connect.

Inicie la instalación de Microsoft Entra Connect

El asistente para instalación de Microsoft Entra Connect ofrece dos itinerarios:

  • Configuración rápida: en la configuración rápida de Microsoft Entra Connect, el asistente requiere más permisos para que pueda configurar fácilmente la instalación. El asistente crea usuarios y configura permisos para que no tenga que hacerlo.
  • Configuración personalizada: en la configuración personalizada de Microsoft Entra Connect, tiene más opciones y posibilidades en el asistente. Sin embargo, en algunos escenarios, es importante asegurarse personalmente de tener los permisos correctos.

Configuración rápida

En una configuración rápida, escriba esta información en el asistente para la instalación:

  • Credenciales del administrador de empresa de AD DS
  • Las credenciales de administrador de identidad híbrida de Microsoft Entra

Credenciales del administrador de empresa de AD DS

La cuenta de administrador de empresa de AD DS se usa para configurar Windows Server AD. Estas credenciales solo se utilizan durante la instalación. El administrador de empresa, y no el del dominio, debe asegurarse de que se pueden establecer los permisos de Windows Server AD en todos los dominios.

Si va a actualizar desde DirSync, las credenciales de administrador de organización de AD DS se usan para restablecer la contraseña de la cuenta que DirSync utiliza. También se necesitarán credenciales de administrador de identidad híbrida de Microsoft Entra.

Las credenciales de administrador de identidad híbrida de Microsoft Entra

Las credenciales de la cuenta de administrador de identidad híbrida de Microsoft Entra solo se usan durante la instalación. La cuenta se usa para crear la cuenta de conector de Microsoft Entra que sincroniza los cambios en Microsoft Entra ID. La cuenta también habilita la sincronización como una característica de Microsoft Entra ID.

Para más información, consulte Administrador de identidad híbrida.

Permisos necesarios de la cuenta del conector de AD DS para la configuración rápida

La cuenta del conector de AD DS se crea para leer y escribir en Windows Server AD. La cuenta tiene los siguientes permisos cuando se crea durante una instalación de configuración rápida:

Permiso Se usa para
- Replicación de cambios de directorio
- Replicación de todos los cambios de directorio
Sincronización de hash de contraseñas
Lectura y escritura de todas las propiedades Usuario Importación y Exchange híbrido
Lectura y escritura de todas las propiedades iNetOrgPerson Importación y Exchange híbrido
Lectura y escritura de todas las propiedades Grupo Importación y Exchange híbrido
Lectura y escritura de todas las propiedades Contacto Importación y Exchange híbrido
Restablecimiento de contraseña Preparación para habilitar la escritura diferida de contraseñas

Asistente para configuración rápida

En una instalación de configuración rápida, el asistente crea algunas cuentas y configuraciones automáticamente.

Captura de pantalla que muestra la página Configuración rápida en Azure AD Connect.

En la tabla siguiente se ofrece un resumen de las páginas del asistente para una configuración rápida, las credenciales que se recopilan y para qué se utilizan:

Página del asistente Credenciales recopiladas Permisos necesarios Propósito
N/D El usuario que ejecuta el asistente para la instalación. Administrador del servidor local. Se utiliza para crear la cuenta de servicio de ADSync que se usa para ejecutar el servicio de sincronización.
Conectar a Microsoft Entra ID Microsoft Entra credenciales de directorio. Rol de administrador de identidad híbrida en Microsoft Entra ID. - Se usa para habilitar la sincronización en el directorio Microsoft Entra.
- Se usa para crear la cuenta del conector de Microsoft Entra que se usa para las operaciones de sincronización en curso en Microsoft Entra id.
Conectarse a AD DS Credenciales de Windows Server AD. Miembro del grupo Administradores de empresa en Windows Server AD. Se usa para crear la cuenta del conector de AD DS en Windows Server AD y concederle permisos. Esta cuenta creada se utiliza para leer y escribir información de directorio durante la sincronización.

Configuración personalizada

En una instalación de configuración personalizada, tiene más opciones y posibilidades en el asistente.

Captura de pantalla que muestra la página Configuración rápida en Microsoft Entra Connect, con el botón Personalizar resaltado.

Asistente para configuración personalizada

En la tabla siguiente se ofrece un resumen de las páginas del asistente para una configuración personalizada, las credenciales que se recopilan y para qué se utilizan:

Página del asistente Credenciales recopiladas Permisos necesarios Propósito
N/D El usuario que ejecuta el asistente para la instalación. - Administrador del servidor local.
- Si usa una instancia de SQL Server completa, el usuario debe ser Administrador del sistema (sysadmin) en SQL Server.
De forma predeterminada, se utiliza para crear la cuenta local que se usa como cuenta de servicio del motor de sincronización. La cuenta solo se crea cuando el administrador no especifica una cuenta determinada.
Instalación de servicios de sincronización, opción de cuenta de servicio Credenciales de cuenta de usuario de Windows Server AD o local. El asistente para instalación concede el usuario y los permisos. Si el administrador especifica una cuenta, esta se usa como cuenta de servicio para el servicio de sincronización.
Conectar a Microsoft Entra ID Microsoft Entra credenciales de directorio. Rol de administrador de identidad híbrida en Microsoft Entra ID. - Se usa para habilitar la sincronización en el directorio Microsoft Entra.
- Se usa para crear la cuenta del conector de Microsoft Entra que se usa para las operaciones de sincronización en curso en Microsoft Entra id.
Conectar sus directorios Credenciales de Windows Server AD para cada bosque que esté conectado a Microsoft Entra ID. Los permisos dependen de las características que se habiliten y se pueden encontrar en Creación de la cuenta del conector de AD DS. Esta cuenta se usa para leer y escribir información de directorio durante la sincronización.
Servidores de AD FS Para cada servidor de la lista, el asistente recopila credenciales cuando las credenciales de inicio de sesión del usuario que ejecuta el asistente no son suficientes para conectarse. Cuenta de administrador de dominio. Se usa durante la instalación y configuración del rol del servidor de Servicios de federación de Active Directory (AD FS).
Servidores proxy de aplicación web Para cada servidor de la lista, el asistente recopila credenciales cuando las credenciales de inicio de sesión del usuario que ejecuta el asistente no son suficientes para conectarse. Administrador local en el equipo de destino. Se utiliza durante la instalación y configuración del rol del servidor de proxy de aplicación web (WAP).
Credenciales de confianza del proxy Credenciales de confianza de los servicios de federación (las credenciales que el proxy utiliza para inscribirse y obtener un certificado de confianza de los servicios de federación (FS)). Cuenta de dominio que es un administrador local del servidor de AD FS. Inscripción inicial del certificado de confianza de FS WAP.
Página de cuenta de servicio de AD FS, Usar una opción de cuenta de usuario de dominio Credenciales de cuenta de usuario de Windows Server AD. Usuario de dominio. La cuenta de usuario de Microsoft Entra cuyas credenciales se especifiquen se usa como cuenta de inicio de sesión del servicio AD FS.

Creación de la cuenta del conector de AD DS

Importante

Se incluyó un nuevo módulo de PowerShell denominado ADSyncConfig.psm1 con la compilación 1.1.880.0 (publicada en agosto de 2018). El módulo integra una colección de cmdlets que le ayudan a configurar los permisos correctos de Windows Server AD para la cuenta del conector de Microsoft Entra Domain Services.

Para obtener más información, consulte Microsoft Entra Connect: configurar los permisos de cuenta del conector AD DS.

La cuenta que especifique en la página Conectar sus directorios debe crearse en Windows Server AD como un objeto de usuario normal (no se admiten VSA, MSA ni gMSA) antes de la instalación. Microsoft Entra Connect 1.1.524.0 y las versiones posteriores ofrecen la opción de permitir que el asistente de Microsoft Entra Connect cree la cuenta del conector de AD DS que se utiliza para conectarse a Windows Server AD.

La cuenta que especifique también debe tener los permisos necesarios. El asistente para instalación no comprueba los permisos, y los problemas solo se detectan durante el proceso de sincronización.

Los permisos que requiera dependen de las características opcionales que habilite. Si tiene varios dominios, se deben conceder los permisos para todos los dominios del bosque. Si no habilita ninguna de estas características, los permisos Usuario del dominio predeterminados son suficientes.

Característica Permisos
característica ms-DS-ConsistencyGuid Permisos de escritura para el atributo ms-DS-ConsistencyGuid documentado en Conceptos de diseño: uso de ms-DS-ConsistencyGuid as sourceAnchor.
Sincronización de hash de contraseñas - Replicación de cambios de directorio
- Replicación de todos los cambios de directorio
Implementación híbrida de Exchange Permisos de escritura en los atributos que se documentan en Escritura diferida híbrida de Exchange para usuarios, grupos y contactos.
Carpeta pública de correo de Exchange Permisos de lectura para los atributos que se documentan en carpetas públicas de correo electrónico de Exchange para las carpetas públicas.
escritura diferida de contraseñas Permisos de escritura en los atributos que se documentan en Introducción a la administración de contraseñas para los usuarios.
Escritura diferida de dispositivos Permisos concedidos con un script de PowerShell como se describe en Escritura diferida de dispositivo.
Escritura diferida de grupos Permite la escritura diferida de grupos de Microsoft 365 en un bosque que tenga Exchange instalado.

Permisos necesarios para la actualización

Al actualizar desde una versión de Microsoft Entra Connect a una nueva versión, necesita los siguientes permisos:

Principal Permisos necesarios Propósito
El usuario que ejecuta el Asistente para la instalación Administrador del servidor local Se utiliza para actualizar los archivos binarios.
El usuario que ejecuta el Asistente para la instalación Miembro de ADSyncAdmins Se utiliza para realizar cambios en las reglas de sincronización y en otras configuraciones.
El usuario que ejecuta el Asistente para la instalación Si utiliza una instancia completa de SQL Server: DBO (o similar) de la base de datos del motor de sincronización Se utiliza para realizar cambios de nivel de base de datos, como actualizar tablas con nuevas columnas.

Importante

En la compilación 1.1.484, se incluyó un error de regresión en Microsoft Entra Connect. El error requiere permisos sysadmin para actualizar la base de datos de SQL Server. Este error se corrigió en la compilación 1.1.647. Para actualizar a esta compilación, debe contar con permisos sysadmin. En este escenario, los permisos DBO no son suficientes. Si intenta actualizar Microsoft Entra Connect sin tener permisos sysadmin, se producirá un error en la actualización y Microsoft Entra Connect dejará de funcionar correctamente.

Detalles de las cuentas creadas

En las secciones siguientes se proporciona más información sobre las cuentas creadas en Microsoft Entra Connect.

Cuenta del conector de AD DS

Si utiliza una configuración rápida, se crea una cuenta que se usa para la sincronización en Windows Server AD. La cuenta creada se ubica en el dominio raíz del bosque en el contenedor Usuarios. El nombre de la cuenta tiene el prefijo MSOL_. La cuenta se crea con una contraseña larga y compleja que no expira. Si tiene una directiva de contraseñas en el dominio, asegúrese de que se permiten contraseñas largas y complejas para esta cuenta.

Captura de pantalla que muestra una cuenta del conector de AD DS con el prefijo MSOL en Microsoft Entra Connect.

Si usa una configuración personalizada, es responsable de crear la cuenta antes de iniciar la instalación. Consulte Creación de la cuenta del conector de AD DS.

Cuenta del servicio ADSync

El servicio de sincronización puede ejecutarse con diferentes cuentas. Puede ejecutarse con una cuenta de servicio virtual (VSA), una cuenta de servicio administrada de grupo (gMSA), una cuenta de servicio administrada independiente (sMSA) o una cuenta de usuario normal. Las opciones admitidas se cambiaron con la versión de abril de 2017 de Microsoft Entra Connect cuando realiza una instalación nueva. Si actualiza desde una versión anterior de Microsoft Entra Connect, estas otras opciones no están disponibles.

Tipo de cuenta Opción de instalación Descripción
VSA Rápida y personalizada, abril de 2017 y versiones posteriores Esta opción se utiliza para todas las configuraciones rápidas, excepto para las instalaciones en un controlador de dominio. Para una configuración personalizada, es la opción predeterminada.
gMSA Personalizada, abril de 2017 y versiones posteriores Si utiliza una instancia remota de SQL Server, se recomienda usar una cuenta gMSA.
Cuenta de usuario Rápida y personalizada, abril de 2017 y versiones posteriores Durante la instalación, se crea una cuenta de usuario con el prefijo AAD_ solo cuando Microsoft Entra Connect se instala en Windows Server 2008 y cuando se instala en un controlador de dominio.
Cuenta de usuario Rápida y personalizada, marzo de 2017 y versiones anteriores Se crea una cuenta local con el prefijo AAD_ durante la instalación. En una instalación personalizada, puede especificar una cuenta diferente.

Si usa Microsoft Entra Connect con una compilación de marzo de 2017 o anterior, no restablezca la contraseña en la cuenta de servicio. Windows destruye las claves de cifrado por motivos de seguridad. No puede cambiar la cuenta por ninguna otra sin reinstalar Microsoft Entra Connect. Si actualiza a una compilación de abril de 2017 o posterior, puede cambiar la contraseña de la cuenta de servicio, pero no la cuenta utilizada.

Importante

Se puede establecer la cuenta de servicio solo en la primera instalación. No se puede cambiar la cuenta de servicio una vez finalizada la instalación.

En la siguiente tabla se describen las opciones predeterminadas, recomendadas y admitidas para la cuenta del servicio de sincronización.

Leyenda:

  • Negrita = la opción predeterminada y, en la mayoría de los casos, la opción recomendada.
  • Cursiva = la opción recomendada cuando no es la opción predeterminada.
  • 2008 = la opción predeterminada cuando se instala en Windows Server 2008
  • Sin negrita = opción admitida
  • Cuenta local = cuenta de usuario local en el servidor
  • Cuenta de dominio = cuenta de usuario de dominio
  • sMSA = cuenta de servicio administrada independiente
  • gMSA = cuenta de servicio administrada de grupo
Base de datos local
Express
Base de datos local/SQL Server local
Personalizado
SQL Server remoto
Personalizado
equipo unido a un dominio VSA
Cuenta local (2008)
VSA
Cuenta local (2008)
Cuenta local
Cuenta de dominio
sMSA, gMSA
gMSA
Cuenta de dominio
Controlador de dominio Cuenta de dominio gMSA
Cuenta de dominio
sMSA
gMSA
Cuenta de dominio

VSA

Una cuenta de servicio virtual (VSA) es un tipo especial de cuenta que no tiene contraseña y está administrada por Windows.

Captura de pantalla que muestra la cuenta de servicio virtual (VSA).

La cuenta de servicio virtual está pensada para utilizarla en escenarios en los que el motor de sincronización y SQL Server están en el mismo servidor. Si utiliza SQL Server remoto, se recomienda usar una cuenta gMSA en lugar de una cuenta de servicio virtual.

La característica de cuenta de servicio virtual requiere Windows Server 2008 R2 o versiones posteriores. Si instala Microsoft Entra Connect en Windows Server 2008, la instalación vuelve a utilizar una cuenta de usuario en lugar de una cuenta de servicio virtual.

gMSA

Si utiliza una instancia remota de SQL Server, se recomienda usar una cuenta gMSA. Para más información sobre cómo preparar Windows Server AD para gMSA, consulte Información general sobre las cuentas de servicio administradas de grupo.

Para usar esta opción, en la página Instalar componentes necesarios, seleccione Usar una cuenta de servicio existente y, luego, Cuenta de servicio administrada.

Captura de pantalla que muestra la selección de cuenta de servicio administrada en Windows Server.

También puede usar una cuenta sMSA en este escenario. Sin embargo, solo puede utilizar una cuenta sMSA en el equipo local, y no hay ninguna ventaja en usar una cuenta sMSA en lugar de la cuenta de servicio virtual predeterminada.

La característica sMSA requiere Windows Server 2012 o posterior. Si necesita usar una versión anterior del sistema operativo y utiliza SQL Server remoto, debe emplear una cuenta de usuario.

Cuenta de usuario

El asistente para instalación crea una cuenta de servicio local (a menos que especifique en la configuración personalizada la cuenta que se desea usar). La cuenta lleva delante AAD_ y se usa para el servicio de sincronización real como cuenta de ejecución. Si instala Microsoft Entra Connect en un controlador de dominio, la cuenta se crea en el dominio. La cuenta de servicio AAD_ debe estar ubicada en el dominio si:

  • Utiliza un servidor remoto que ejecuta SQL Server.
  • Usa a un proxy que requiere autenticación.

Captura de pantalla que muestra la cuenta de usuario del servicio de sincronización en Windows Server.

La cuenta de servicio AAD_ se crea con una contraseña larga compleja que no expira.

Esta cuenta se utiliza para almacenar de forma segura las contraseñas de las otras cuentas, que se almacenan cifradas en la base de datos. Las claves privadas de las claves de cifrado se protegen con el cifrado de clave secreta de los servicios criptográficos mediante la API de protección de datos de Windows (DPAPI).

Si usa una instancia completa de SQL Server, la cuenta de servicio es el DBO de la base de datos creada para el motor de sincronización. El servicio no funcionará según lo previsto con ningún otro permiso. También se crea un inicio de sesión de SQL Server.

A la cuenta también se le conceden permisos para archivos, claves del Registro y otros objetos relacionados con el motor de sincronización.

Cuenta del conector de Microsoft Entra

Se crea una cuenta en Microsoft Entra id. para que el servicio de sincronización lo use. Puede identificar esta cuenta por su nombre para mostrar.

Captura de pantalla que muestra la cuenta de Microsoft Entra con el prefijo DC1.

El nombre del servidor en el que se usa la cuenta se puede identificar en la segunda parte del nombre de usuario. En la imagen anterior, el nombre del servidor es DC1. Si tiene servidores de ensayo, cada servidor tiene su propia cuenta.

Una cuenta de servidor se crea con una contraseña larga y compleja que no expira. A la cuenta se le concede el rol especial Cuentas de sincronización de directorio que solo tiene permisos para realizar tareas de sincronización de directorio. No se puede conceder este rol integrado especial fuera del asistente de Microsoft Entra Connect. El centro de administración de Microsoft Entra muestra esta cuenta con el rol Usuario.

Microsoft Entra ID tiene un límite de 20 cuentas de servicio de sincronización.

  • Para obtener la lista de cuentas de servicio de Microsoft Entra existentes en la instancia de Microsoft Entra, ejecute el siguiente comando:

    $directoryRoleId = Get-MgDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"}
    Get-MgDirectoryRoleMember -DirectoryRoleId $directoryRoleId.Id | Select -ExpandProperty AdditionalProperties
    
  • Para eliminar las cuentas de servicio de Microsoft Entra sin usar, ejecute el siguiente comando:

    Remove-MgUser -UserId <Id-of-the-account-to-remove>
    

Nota:

Para poder usar los comandos de PowerShell, debe instalar el módulo Microsoft Graph PowerShell y conectarse a la instancia de Microsoft Entra ID mediante Connect-MgGraph.

Para más información sobre cómo administrar o restablecer la contraseña de la cuenta de Microsoft Entra Connect, consulte Administración de la cuenta de Microsoft Entra Connect.

Para obtener más información sobre Microsoft Entra Connect, consulte estos artículos:

Tema Vínculo
Descargar Microsoft Entra Connect Descargar Microsoft Entra Connect
Instalación mediante una configuración rápida Instalación rápida de Microsoft Entra Connect
Instalación mediante una configuración personalizada Instalación personalizada de Microsoft Entra Connect
Actualización desde DirSync Actualización desde la herramienta de Sincronización de AAD (DirSync)
Después de la instalación Comprobación de la instalación y asignación de licencias

Pasos siguientes

Más información sobre la integración de las identidades locales con Microsoft Entra ID.