Instalar Microsoft Entra Connect mediante permisos de administrador delegados de SQL
Antes de la compilación más reciente de Microsoft Entra Connect, la delegación administrativa, al implementar configuraciones que requerían SQL, no se admitía. Los usuarios que querían instalar Microsoft Entra Connect necesitaban tener permisos de administrador del servidor (SA) en SQL Server.
Con la versión más reciente de Microsoft Entra Connect, el administrador de SQL ahora puede aprovisionar la base de datos fuera de banda y el administrador de Microsoft Entra Connect puede instalarla con derechos de propietario de la base de datos.
Antes de empezar
Para usar esta característica, debe darse cuenta de que hay varias partes móviles y cada una puede implicar a un administrador diferente en su organización. En la tabla siguiente se resumen los roles individuales y sus respectivas tareas en la implementación de Microsoft Entra Connect con esta característica.
| Rol | Descripción |
|---|---|
| Administrador de dominio o bosque de AD | Crea la cuenta de servicio de nivel de dominio que usa Microsoft Entra Connect para ejecutar el servicio de sincronización. Para obtener más información sobre las cuentas de servicio, consulte Cuentas y permisos. |
| Administrador de SQL | Crea la base de datos ADSync y concede acceso de inicio de sesión + dbo al administrador de Microsoft Entra Connect y a la cuenta de servicio creada por el administrador de dominio o bosque. |
| Administrador de Microsoft Entra Connect | Instala Microsoft Entra Connect y especifica la cuenta de servicio durante la instalación personalizada. |
Pasos para instalar Microsoft Entra Connect mediante permisos delegados de SQL
Para aprovisionar la base de datos fuera de banda e instalar Microsoft Entra Connect con permisos de propietario de la base de datos, siga estos pasos.
Nota
Aunque no es necesario, es muy recomendable seleccionar la intercalación de Latin1_General_CI_AS al crear la base de datos.
Solicite al administrador de SQL que cree la base de datos ADSync con una secuencia de intercalación sin distinción entre mayúsculas y minúsculas (Latin1_General_CI_AS). El modelo de recuperación, el nivel de compatibilidad y el tipo de contención se actualizan a los valores correctos cuando se instala Microsoft Entra Connect. Sin embargo, el administrador de SQL debe establecer correctamente la secuencia de intercalación. De lo contrario, Microsoft Entra Connect bloquea la instalación. Para recuperar el permiso SA, debe eliminar y volver a crear la base de datos.
Conceda al administrador de Microsoft Entra Connect y a la cuenta de servicio de dominio los permisos siguientes:
- Inicio de sesión de SQL
- Derechos de database owner(dbo) (propietario de la base de datos).
Nota
Microsoft Entra Connect no admite inicios de sesión con una membresía anidada. Esto significa que su cuenta de administrador de Microsoft Entra Connect y la cuenta de servicio de dominio deben vincularse a un inicio de sesión al que se conceden derechos dbo. Simplemente no puede ser miembro de un grupo asignado a un inicio de sesión con derechos dbo.
Envíe un correo electrónico al administrador de Microsoft Entra Connect que indica el nombre de instancia y el servidor SQL que se deben usar al instalar Microsoft Entra Connect.
Información adicional
Una vez aprovisionada la base de datos, el administrador de Microsoft Entra Connect puede instalar y configurar la sincronización local en su comodidad.
En caso de que el administrador de SQL haya restaurado la base de datos ADSync de una copia de seguridad anterior de Microsoft Entra Connect, debe instalar el nuevo servidor de Microsoft Entra Connect mediante una base de datos existente. Para obtener más información sobre cómo instalar Microsoft Entra Connect con una base de datos existente, consulte Instalar Microsoft Entra Connect mediante una base de datos de ADSync existente.