Instalar y configurar la sincronización de directorios con Microsoft Entra Connect

  • 7 minutos

Microsoft Entra Connect requiere un equipo unido a un dominio para hospedar el servicio de sincronización. La mayoría de las organizaciones implementan un servidor de sincronización dedicado.

Requisitos

Después de configurar Azure con un inquilino de Active Directory, debe completar las tareas principales para implementar la sincronización de directorios mediante los pasos siguientes:

  1. Agregue el dominio de AD DS en Azure, compruebe el dominio y, después, establézcalo como el dominio principal.

  2. Descargue e instale Microsoft Entra Connect.

    A screenshot of the Microsoft Entra Connect blade in the Microsoft Entra admin center. The administrator is about to download the Microsoft Entra Connect feature.

  3. Ejecute el Asistente para la configuración de Microsoft Entra Connect. (De manera opcional, puede configurar Microsoft Entra Connect para sincronizar unidades organizativas específicas en el entorno de AD DS local).

    A screenshot of the Microsoft Entra Connect Wizard's Express Settings page. The administrator can choose Customize or Use express settings. The current AD forest is CONTOSO..

  4. Habilite características opcionales, como la sincronización de hash de contraseñas, la escritura diferida de contraseñas y la implementación híbrida de Exchange.

  5. Ejecute Microsoft Entra Connect y deje que configure el entorno para la sincronización de directorios

  6. Valide los resultados de la sincronización.

    A screenshot of the Microsoft Entra Connect Wizard, Domain/OU Filtering tab. The administrator has selected the Sync selected domains and OU options, in addition to the various OUs from the returned Contoso.com list.

Después de configurar Microsoft Entra Connect y de realizar la sincronización inicial, puede volver a configurar las opciones de sincronización, en caso necesario. La instalación del software Microsoft Entra Connect incluye varias aplicaciones relacionadas con la sincronización de directorios. Al ejecutar Microsoft Entra Connect, tiene la opción de usar la configuración de la instalación Rápido, que configura la sincronización de directorios con los valores más usados, o bien puede optar por personalizar las opciones de configuración.

Si decide utilizar la instalación personalizada, al principio de la configuración puede elegir usar un servidor SQL Server personalizado en lugar de una base de datos local. También puede optar por usar una cuenta de servicio existente, en lugar de la que crea el proceso de instalación automática. Además, puede especificar grupos de sincronización personalizados. De manera predeterminada, Microsoft Entra Connect crea los grupos Administradores, Operadores, Examinar y Restablecimiento de contraseña, pero puede optar por usar sus propios grupos personalizados para este propósito.

De manera predeterminada, Microsoft Entra Connect configura la sincronización de hash de contraseñas para el modo de sincronización de directorios. Si elige la instalación personalizada, también puede elegir la opción Federación con AD FS o la autenticación de paso a través. Como alternativa, puede configurar la sincronización de directorios de forma manual si tiene un servidor de federación que no sea de Microsoft u otra solución existente implementada.

La instalación de Microsoft Entra Connect personalizada también le permite elegir la forma de identificar a los usuarios. De manera predeterminada, el programa de instalación da por hecho que los usuarios solo se representan una vez en todos los directorios. Sin embargo, si tiene un escenario en el que existen identidades de usuario en varios directorios, debe elegir el atributo correspondiente. Puede elegir entre las opciones que se describen en la tabla siguiente.

Opción Descripción
Atributo mail Esta opción une a los usuarios y contactos si el atributo Mail tiene el mismo valor en bosques diferentes.
ObjectSID y msExchangeMasterAccountSID Esta opción une a un usuario habilitado en un bosque de cuentas con un usuario deshabilitado en un bosque de recursos de Exchange. También se conoce como buzón vinculado en Exchange.
sAMAccountName y mailNickname Esta opción combina atributos adicionales en las ubicaciones de un directorio donde se espera encontrar el Id. de inicio de sesión para el usuario.
Mi propio atributo Esta opción le permite seleccionar su propio atributo.
Delimitador de origen Este atributo permanece inmutable mientras siga vigente un objeto de usuario. En otras palabras, este atributo es la clave principal que vincula el objeto de usuario local con el objeto de usuario en Microsoft Entra ID. Dado que este atributo no se puede cambiar más adelante, debe elegir cuidadosamente un atributo para usarlo con este propósito. Una opción predeterminada es objectGUID, ya que este atributo no cambia a menos que la cuenta de usuario se mueva entre bosques y dominios.

Puede configurar el atributo UserPrincipalName en la misma ventana. Este es el atributo que los usuarios utilizan al iniciar sesión en Microsoft Entra ID. Los dominios que se usan para este propósito, también conocido como el Sufijo UPN, deben comprobarse en Microsoft Entra ID antes de sincronizar los objetos de usuario.

En algunos casos, es posible que quiera sincronizar solo un subconjunto de los usuarios desde la instancia de AD DS local. Microsoft Entra Connect le permite seleccionar un grupo específico de usuarios que desea sincronizar con Microsoft Entra ID. Debe crear este grupo antes de ejecutar Microsoft Entra Connect. Después de completar la configuración, puede agregar y quitar usuarios de este grupo para mantener la lista de objetos de usuario que deberían estar presentes en Microsoft Entra ID. También puede usar unidades organizativas de la instancia de AD DS local como el ámbito para la replicación. En el paso final, Microsoft Entra Connect le permite configurar algunas características opcionales disponibles en Microsoft Entra ID P1 o P2.