Requisitos previos de Azure AD Connect

En este artículo se describen los requisitos previos y los requisitos de hardware de Azure Active Directory (Azure AD) Connect.

Antes de instalar Azure AD Connect

Antes de instalar Azure AD Connect, hay algunas cosas que necesita.

Azure AD

  • Necesita un inquilino de Azure AD. Obtiene uno con una prueba gratuita de Azure. Puede usar uno de los siguientes portales para administrar Azure AD Connect:
  • Agregue y compruebe el dominio que pretende usar en Azure AD. Por ejemplo, si tiene previsto usar contoso.com para los usuarios, asegúrese de que este dominio se ha comprobado y de que no usa solamente el dominio predeterminado contoso.onmicrosoft.com.
  • Un inquilino de Azure AD admite 50 000 objetos de forma predeterminada. Al comprobar el dominio, el límite se incrementa a 300 000 objetos. Si todavía necesita más objetos en Azure AD, abra una incidencia de soporte técnico para aumentar el límite aún más. Si necesita más de 500 000 objetos, necesitará una licencia, como Microsoft 365, Azure AD Premium o Enterprise Mobility + Security.

Preparación de los datos locales

Active Directory local

  • La versión del esquema de Active Directory y el nivel funcional del bosque deben ser Windows Server 2003 o una versión posterior. Los controladores de dominio pueden ejecutar cualquier versión siempre que se cumplan los requisitos de versión de esquema y nivel de bosque.
  • Si pretende usar la característica de escritura diferida de contraseñas, los controladores de dominio deben tener Windows Server 2016 o versiones posteriores.
  • El controlador de dominio usado por Azure AD debe ser grabable. No se admite el uso de un controlador de dominio de solo lectura (RODC), y Azure AD Connect no sigue las redirecciones de escritura.
  • No se admite el uso de bosques o dominios locales con nombres de NetBIOS con puntos (el nombre contiene un punto ".").
  • Se recomienda habilitar la papelera de reciclaje de Active Directory.

Directiva de ejecución de PowerShell

Azure Active Directory Connect ejecuta scripts de PowerShell firmados como parte de la instalación. Asegúrese de que la directiva de ejecución de PowerShell permita la ejecución de scripts.

La directiva de ejecución recomendada durante la instalación es "RemoteSigned".

Para más información sobre cómo establecer la directiva de ejecución de PowerShell, consulte Set-ExecutionPolicy.

Servidor de Azure AD Connect

El servidor de Azure AD Connect contiene datos de identidad críticos. Es importante que el acceso administrativo a este servidor esté protegido correctamente. Siga las instrucciones de Protección del acceso con privilegios.

El servidor de Azure AD Connect debería tratarse como un componente de nivel 0, tal como se documenta en el modelo de nivel administrativo de Active Directory.

Para más información sobre cómo proteger el entorno de Active Directory, vea Procedimientos recomendados para proteger Active Directory.

Requisitos previos de instalación

  • Azure AD Connect debe estar instalado en una instancia de Windows Server 2016 o una versión posterior unida a dominio.
  • Azure AD Connect no puede instalarse en Small Business Server o Windows Server Essentials antes de 2019 (se admite Windows Server Essentials 2019). El servidor debe usar Windows Server estándar o una versión superior.
  • El servidor de Azure AD Connect debe tener una GUI completa instalada. No se admite la instalación de Azure AD Connect en Windows Server Core.
  • El servidor de Azure AD Connect no debe tener la directiva de grupo de transcripción de PowerShell habilitada si usa el Asistente de Azure AD Connect para administrar la configuración de los Servicios de federación de Active Directory (AD FS). Puede habilitar la transcripción de PowerShell si usa el asistente de Azure AD Connect para administrar la configuración de sincronización.
  • Si se implementa AD FS:
  • Si los administradores globales tienen MFA habilitado, la dirección URL https://secure.aadcdn.microsoftonline-p.com debe estar en la lista de sitios de confianza. Se le solicita que agregue este sitio a la lista de sitios de confianza cuando se le pide un desafío MFA y no se ha agregado antes. Puede utilizar Internet Explorer para agregarla a los sitios de confianza.
  • Si tiene previsto usar Azure AD Connect Health para la sincronización, asegúrese de que también se cumplen los requisitos previos de Azure AD Connect Health. Para más información, consulte Instalación del agente de Azure AD Connect Health.

Configuración del servidor de Azure AD Connect

Se recomienda reforzar el servidor de Azure AD Connect para reducir la superficie de ataque de seguridad para este componente crítico de su entorno de TI. La aplicación de estas recomendaciones lo ayudará a reducir algunos riesgos de seguridad de su organización.

  • Trate Azure AD Connect igual que un controlador de dominio y otros recursos de nivel 0. Para más información, vea Modelo de nivel administrativo de Active Directory.
  • Restrinja el acceso administrativo al servidor de Azure AD Connect a solo los administradores del dominio o a otros grupos de seguridad rigurosamente controlados.
  • Cree una cuenta dedicada para todo el personal con privilegios de acceso. Los administradores no deben explorar la Web, consultar su correo electrónico y realizar las tareas de productividad cotidianas con cuentas con privilegios elevados.
  • Siga las instrucciones que se proporcionan en Protección del acceso con privilegios.
  • Deniegue el uso de la autenticación NTLM con el servidor AADConnect. A continuación, se indican algunas maneras de hacerlo: restringir NTLM en el servidor AADConnect y restringir NTLM en un dominio
  • Asegúrese de que todas las máquinas tienen una contraseña de administrador local única. Para más información, vea cómo la solución de contraseña de administrador local (LAPS) puede configurar contraseñas aleatorias únicas en cada estación de trabajo y almacenarlas en Active Directory protegidas mediante una ACL. Solo los usuarios autorizados válidos pueden leer o solicitar el restablecimiento de estas contraseñas de cuenta de administrador local. Puede obtener las soluciones de contraseña de administrador local para su uso en estaciones de trabajo y servidores desde el Centro de descarga de Microsoft. Puede encontrar orientación adicional para el funcionamiento de un entorno con soluciones de contraseña de administrador local y estaciones de trabajo de acceso privilegiado en Estándares operativos basados en el principio del origen limpio.
  • Implemente estaciones de trabajo de acceso privilegiado dedicadas para todo el personal con acceso con privilegios a los sistemas de información de su organización.
  • Siga estas instrucciones adicionales para reducir la superficie expuesta a ataques de su entorno de Active Directory.
  • Consulte Supervisión de cambios en la configuración de federación para configurar alertas para supervisar los cambios en la confianza establecida entre el Idp y Azure AD.
  • Habilite Multi Factor Authentication (MFA) para todos los usuarios que tengan acceso con privilegios en Azure AD o AD. Uno de los problemas de seguridad con el uso de AADConnect es que si un atacante puede obtener el control sobre el servidor de Azure AD Connect, puede manipular a los usuarios de Azure AD. Para evitar que un atacante use estas funcionalidades para tomar el control de las cuentas de Azure AD, MFA ofrece protecciones para que, aunque un atacante logre, por ejemplo, restablecer la contraseña de un usuario mediante Azure AD Connect, no pueda omitir el segundo factor.

SQL Server usado por Azure AD Connect

  • Azure AD Connect requiere una base de datos de SQL Server para almacenar datos de identidad. De manera predeterminada, se instala SQL Server 2019 Express LocalDB (versión ligera de SQL Server Express). SQL Server Express tiene un límite de tamaño de 10 GB que le permite administrar aproximadamente 100 000 objetos. Si tiene que administrar un volumen superior de objetos de directorio, es necesario que el asistente para la instalación apunte a otra instalación de SQL Server. El tipo de instalación de SQL Server puede afectar al rendimiento de Azure AD Connect.
  • Si usa una instalación diferente de SQL Server, se aplican estos requisitos:
    • Azure AD Connect admite todas las versiones de SQL Server desde 2012 (con el Service Pack más reciente) hasta SQL Server 2019. Azure SQL Database no se admite como una base de datos.
    • Debe usar una intercalación de SQL sin distinción de mayúsculas y minúsculas. Estas intercalaciones se identifican porque el nombre incluye _CI_. No se admite el uso de una intercalación que distinga mayúsculas de minúsculas identificada por _CS_ en su nombre.
    • Solo se puede tener un motor de sincronización por cada instancia de SQL. No se puede compartir una instancia de SQL con FIM/MIM Sync, DirSync o la Sincronización de Azure AD.

Cuentas

  • Debe tener una cuenta de administrador global de Azure AD para el inquilino de Azure AD con el que desea realizar la integración. Esta cuenta debe ser una cuenta profesional o educativa y no puede ser una cuenta Microsoft.
  • Si usa la configuración rápida o actualiza desde DirSync, debe tener una cuenta de administrador de empresa para la instancia de Active Directory local.
  • Si usa la ruta de acceso de instalación de configuración personalizada, dispone de más opciones. Para más información, consulte Configuración de la instalación personalizada.

Conectividad

  • El servidor de Azure AD Connect necesita resolución DNS para intranet e Internet. El servidor DNS debe ser capaz de resolver nombres en su Active Directory local y en los puntos de conexión de Azure AD.

  • Azure AD Connect requiere conectividad de red a todos los dominios configurados.

  • Si tiene firewalls en la intranet y necesita abrir puertos entre los servidores de Azure AD Connect y los controladores de dominio, vea La identidad híbrida requería puertos y protocolos para más información.

  • Si el proxy o firewall limita a qué direcciones URL se puede acceder, deben abrirse las direcciones URL que se documentan en URL de Office 365 e intervalos de direcciones IP. Consulte también Guardado en la lista de IP seguras de las direcciones URL de Azure Portal en el servidor proxy o firewall.

  • Azure AD Connect (versión 1.1.614.0 y posteriores) usa de forma predeterminada TLS 1.2 para cifrar la comunicación entre el motor de sincronización y Azure AD. Si TLS 1.2 no está disponible en el sistema operativo subyacente, Azure AD Connect recurre de mayor a menor a los protocolos anteriores (TLS 1.1 y TLS 1.0). Desde la versión 2.0 de Azure AD Connect en adelante. Ya no se admiten TLS 1.0 ni 1.1, y se produce un error en la instalación si TLS 1.2 no está habilitado.

  • Antes de la versión 1.1.614.0, Azure AD Connect usa de forma predeterminada TLS 1.0 para cifrar la comunicación entre el motor de sincronización y Azure AD. Para cambiar este protocolo a TLS 1.2, siga los pasos que se describen en Habilitación de TLS 1.2 en Azure AD Connect.

  • Si usa un proxy de salida para realizar la conexión a Internet, se tiene que agregar la siguiente configuración del archivo C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config con el fin de que el Asistente para instalación y la sincronización de Azure AD Connect se puedan conectar a Internet y Azure AD. Este texto debe escribirse en la parte inferior del archivo. En este código, <PROXYADDRESS> representa el nombre de host o la dirección IP de proxy real.

        <system.net>
            <defaultProxy>
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Si el servidor proxy requiere autenticación, la cuenta de servicio debe encontrarse en el dominio. Use la ruta de instalación de configuración personalizada para especificar una cuenta de servicio personalizada. También necesita otro cambio en el archivo machine.config. Con este cambio en el archivo machine.config, el asistente para instalación y el motor de sincronización responden a las solicitudes de autenticación del servidor proxy. En todas las páginas del Asistente para instalación, excepto la página Configurar, se usan las credenciales del usuario que ha iniciado sesión. En la página Configurar al final del Asistente para instalación, el contexto se cambia a la cuenta de servicio que creó. La sección del archivo machine.config debería tener este aspecto:

        <system.net>
            <defaultProxy enabled="true" useDefaultCredentials="true">
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Si la configuración del proxy se realiza en una instalación existente, los servicios de sincronización de Microsoft Azure AD debe reiniciarse una vez para que Azure AD Connect lea la configuración del proxy y actualice el comportamiento.

  • Cuando Azure AD Connect envía una solicitud web a Azure AD como parte de la sincronización de directorios, Azure AD puede tardar hasta 5 minutos en responder. Es habitual que los servidores proxy tengan la configuración de tiempo de espera de inactividad de conexión. Asegúrese de que la configuración esté establecida en 6 minutos o más.

Para más información, vea el artículo de MSDN sobre el elemento de proxy predeterminado. Para obtener más información si tiene problemas de conectividad, consulte Solución de problemas de conectividad.

Otros

Opcional: use una cuenta de usuario de prueba para comprobar la sincronización.

Requisitos previos de los componentes

PowerShell y .NET Framework

Azure AD Connect depende de Microsoft PowerShell 5.0 y .NET Framework 4.5.1. Necesita que esta versión o una posterior esté instalada en el servidor.

Habilitación de TLS 1.2 en Azure AD Connect

Antes de la versión 1.1.614.0, Azure AD Connect usa de forma predeterminada TLS 1.0 para cifrar la comunicación entre el servidor de sincronización y Azure AD. Puede configurar las aplicaciones .NET para que empleen TLS 1.2 de forma predeterminada en el servidor. Para más información sobre TLS 1.2, vea el aviso de seguridad de Microsoft 2960358.

  1. Asegúrese de que la revisión de .NET 4.5.1 esté instalada en el sistema operativo. Para más información, vea el aviso de seguridad de Microsoft 2960358. Puede que ya tenga esta revisión o una posterior instalada en el servidor.

  2. Para todos los sistemas operativos, establezca esta clave del registro y reinicie el servidor.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    "SchUseStrongCrypto"=dword:00000001
    
  3. Si también desea habilitar TLS 1.2 entre el servidor del motor de sincronización y una instancia de SQL Server remota, asegúrese de que tiene instaladas las versiones necesarias para que TLS 1.2 sea compatible con Microsoft SQL Server.

Requisitos previos de DCOM en el servidor de sincronización

Durante la instalación del servicio de sincronización, Azure AD Connect comprueba la presencia de la siguiente clave del Registro:

  • HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

En esta clave del Registro, Azure AD Connect comprobará si los valores siguientes están presentes y no están dañados:

Requisitos previos para la instalación y la configuración de la federación

Administración remota de Windows

Cuando use Azure AD Connect para implementar AD FS o el proxy de aplicación web (WAP), compruebe estos requisitos:

  • Si el servidor de destino está unido al dominio, compruebe que está habilitada la opción Administración remota de Windows.
    • En una ventana de comandos de PowerShell con privilegios elevados, use el comando Enable-PSRemoting –force.
  • Si el servidor de destino es un equipo WAP no unido al dominio, hay un par de requisitos adicionales:
    • En el equipo de destino (equipo WAP):
      • Asegúrese de que el servicio Administración remota de Windows/ WS-Management (WinRM) se está ejecutando mediante el complemento Servicios.
      • En una ventana de comandos de PowerShell con privilegios elevados, use el comando Enable-PSRemoting –force.
    • En el equipo en el que se está ejecutando el asistente (si el equipo de destino no está unido al dominio o el dominio no es de confianza):
      • En una ventana de comandos de PowerShell con privilegios elevados, use el comando Set-Item.WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate.
      • En el Administrador de servidores:
        • Agregue un host WAP de red perimetral a un grupo de máquinas. En el Administrador de servidores, seleccione Administrar > Agregar servidores y, a continuación, use la pestaña DNS.
        • En la pestaña Todos los servidores del Administrador de servidores, haga clic con el botón derecho en el servidor WAP y seleccione Administrar como. Escriba las credenciales locales (no de dominio) para el equipo WAP.
        • Para validar la conectividad remota de PowerShell, en la pestaña Todos los servidores del Administrador de servidores, haga clic con el botón derecho en el servidor WAP y seleccione Windows PowerShell. Debe abrirse una sesión remota de PowerShell para asegurarse de que se pueden establecer sesiones remotas de PowerShell.

Requisitos del certificado TLS/SSL

  • Se recomienda utilizar el mismo certificado TLS/SSL en todos los nodos de la granja de AD FS, así como todos los servidores del Proxy de aplicación web.
  • El certificado debe ser del tipo X 509.
  • Puede usar un certificado autofirmado en servidores de federación en un entorno de laboratorio de pruebas. Para un entorno de producción, se recomienda obtener el certificado de una entidad de certificación pública.
    • Si usa un certificado que no es de confianza pública, asegúrese de que el certificado instalado en cada servidor del Proxy de aplicación web sea de confianza tanto en el servidor local como en todos los servidores de federación.
  • La identidad del certificado debe coincidir con el nombre del servicio de federación (por ejemplo, sts.contoso.com).
    • La identidad es una extensión de nombre alternativo del firmante (SAN) de tipo dNSName, o bien, si no hay ninguna entrada de SAN, el nombre del firmante se especifica como un nombre común.
    • Puede haber varias entradas de SAN en el certificado, siempre que una de ellas coincida con el nombre de servicio de federación.
    • Si piensa usar Workplace Join, se necesita un SAN adicional con el valor enterpriseregistration, seguido del sufijo de nombre principal de usuario (UPN) de su organización, por ejemplo, enterpriseregistration.contoso.com.
  • No se admiten certificados basados en claves CryptoAPI Next Generation (CNG) ni en proveedores de almacenamiento de claves (KSP). Como resultado, debe usar un certificado basado en un proveedor de servicios de cifrado (CSP) y no un proveedor de almacenamiento de claves (KSP).
  • Se admiten certificados comodín.

Resolución de nombres para los servidores de federación

  • Configure registros DNS para el nombre de AD FS (por ejemplo, sts.contoso.com) para la intranet (servidor DNS interno) y la extranet (DNS público a través de su registrador de dominios). Para el registro DNS de la intranet, asegúrese de que usa registros D y no registros CNAME. Es necesario usar registros A para que funcione correctamente la autenticación de Windows desde la máquina unida al dominio.
  • Si va a implementar más de un servidor de AD FS o servidor Proxy de aplicación web, asegúrese de que ha configurado el equilibrador de carga y que los registros DNS para el nombre de AD FS (por ejemplo, sts.contoso.com) apuntan al equilibrador de carga.
  • Para que la autenticación integrada de Windows funcione para las aplicaciones del explorador que usan Internet Explorer en la intranet, asegúrese de que se agrega el nombre de AD FS (por ejemplo, sts.contoso.com) a la zona de intranet en Internet Explorer. Este requisito se puede controlar mediante la directiva de grupo e implementarlo en todos los equipos unidos a un dominio.

Componentes de soporte de Azure AD Connect

Azure AD Connect instala los siguientes componentes en el servidor en el que está instalado Azure AD Connect. Esta lista es para una instalación rápida básica. Si decide usar una instancia de SQL Server diferente en la página Instalar servicios de sincronización, SQL Express LocalDB no se instalará localmente.

  • Azure AD Connect Health
  • Utilidades de la línea de comandos de Microsoft SQL Server 2019
  • Microsoft SQL Server 2019 Express LocalDB
  • Cliente nativo de Microsoft SQL Server 2019
  • Paquete de redistribución de Microsoft Visual C++ 14

Requisitos de hardware de Azure AD Connect

En la tabla siguiente se muestran los requisitos mínimos de un equipo con sincronización de Azure AD Connect.

Cantidad de objetos en Active Directory CPU Memoria Tamaño de disco duro
Menos de 10.000 1,6 GHz 4 GB 70 GB
10.000–50.000 1,6 GHz 4 GB 70 GB
50.000–100.000 1,6 GHz 16 GB 100 GB
Para 100 000 objetos o más, se requiere la versión completa de SQL Server. Por motivos de rendimiento, es preferible la instalación local.
100.000–300.000 1,6 GHz 32 GB 300 GB
300.000–600.000 1,6 GHz 32 GB 450 GB
Más de 600.000 1,6 GHz 32 GB 500 GB

Los requisitos mínimos para equipos que ejecutan AD FS o servidores Proxy de aplicación web son:

  • CPU: 1,6 GHz con doble núcleo o superior
  • Memoria: 2 GB o superior
  • VM de Azure: configuración A2 o superior

Pasos siguientes

Obtenga más información sobre la Integración de las identidades locales con Azure Active Directory.