Aprovisionamiento de Active Directory en Microsoft Entra ID: configuración

  • Artículo

El siguiente documento le guiará a través de la configuración de Microsoft Entra Cloud Sync para el aprovisionamiento desde Active Directory a Microsoft Entra ID. Si busca información sobre el aprovisionamiento de Microsoft Entra ID a AD, consulte Configuración: Aprovisionamiento de Active Directory en Microsoft Entra ID mediante Microsoft Entra Cloud Sync

En la siguiente documentación se muestra la nueva experiencia de usuario guiada para Microsoft Entra Cloud Sync.

Para obtener información adicional y un ejemplo de cómo configurar la sincronización en la nube, vea el vídeo siguiente.

Configuración del aprovisionamiento

Para configurar el aprovisionamiento, siga estos pasos.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador híbrido como mínimo.
  2. Vaya a Identidad>Administración híbrida>Microsoft Entra Connect>Cloud Sync. Captura de pantalla de la página de inicio de Cloud Sync..
  1. Seleccione Nueva configuración.
  2. Seleccione AD en sincronización de Microsoft Entra ID. Captura de pantalla de la incorporación de una configuración.
  3. En la pantalla de configuración, seleccione su dominio y si quiere habilitar la sincronización del hash de contraseñas. Haga clic en Crear.

Captura de pantalla de una nueva configuración.

  1. Se abrirá la pantalla Introducción. Desde aquí, puede seguir configurando la sincronización en la nube.

Captura de la pantalla Introducción.

  1. La configuración se divide en las 5 secciones siguientes.
Sección Descripción
1. Incorporación de filtros de ámbito Use esta sección para definir qué objetos aparecen en Microsoft Entra ID.
2. Asignación de atributos Use esta sección para asignar atributos entre los usuarios o grupos locales con objetos de Microsoft Entra.
3. Prueba Pruebe la configuración antes de implementarla.
4. Visualización de propiedades predeterminadas Vea la configuración predeterminada antes de habilitarlas y realice cambios donde corresponda.
5. Habilitación de la configuración Una vez lista, habilitará la configuración, y los usuarios o grupos comenzarán a sincronizarse.

Nota:

Durante el proceso de configuración, la cuenta de servicio de sincronización se creará con el formato ADToAADSyncServiceAccount@[TenantID].onmicrosoft.com y es posible que reciba un error si la autenticación multifactor está habilitada para la cuenta de servicio de sincronización o si otras directivas de autenticación interactivas se habilitan por error para la cuenta de sincronización. La eliminación de la autenticación multifactor o de cualquier directiva de autenticación interactiva para la cuenta de servicio de sincronización debe resolver el error para que pueda completar la configuración sin problemas.

Especificación del ámbito de aprovisionamiento a usuarios y grupos específicos

De forma predeterminada, el agente de aprovisionamiento sincronizará un subconjunto de los usuarios y grupos de Active Directory. Puede especificar aún más el ámbito del agente para sincronizar usuarios y grupos específicos mediante el uso de grupos o unidades organizativas de Active Directory locales.

Captura de pantalla del icono de filtros de ámbito.

Puede configurar grupos ni unidades organizativas dentro de una configuración.

Nota:

No se pueden usar grupos anidados con ámbito de grupo. Los objetos anidados más allá del primer nivel no se incluirán al determinar el ámbito mediante grupos de seguridad. Use solo el filtrado de ámbito de grupo para escenarios piloto, ya que hay limitaciones para sincronizar grupos grandes.

  1. En la pantalla de configuración Introducción. Haga clic en Add scoping filters (Agregar filtros de ámbito) junto al icono Agregar filtros de ámbito o en Filtros de ámbito situado a la izquierda, en Administrar.

Captura de pantalla de los filtros de ámbito.

  1. Seleccione el filtro de ámbito. El filtro puede ser uno de los siguientes:
    • Todos los usuarios: limita la configuración que se va a aplicar a todos los usuarios que se están sincronizando.
    • Grupos de seguridad seleccionados: limita la configuración que se va a aplicar a grupos de seguridad específicos.
    • Unidades organizativas seleccionadas: limita la configuración que se va a aplicar a unidades organizativas específicas.
  2. En el caso de los grupos de seguridad y las unidades organizativas, proporcione el nombre distintivo (DN) adecuado y haga clic en Agregar.
  3. Una vez configurados los filtros de ámbito, haga clic en Guardar.
  4. Después de guardar, debería ver un mensaje en el que se indica lo que debe hacer para configurar la sincronización en la nube. Puede hacer clic en el vínculo para continuar. Captura de pantalla del desplazamiento para asignar el ámbito de los filtros.
  5. Una vez cambiado el ámbito, debe reiniciar el aprovisionamiento para iniciar una sincronización inmediata de los cambios.

Asignación de atributos

Microsoft Entra Cloud Sync le permite asignar fácilmente atributos entre los objetos de usuario o de grupo locales y los objetos de Microsoft Entra ID.

Captura de pantalla del icono de atributos de mapa.

Puede personalizar las asignaciones de atributos predeterminadas según sus necesidades empresariales. Esto significa que puede cambiar o eliminar asignaciones de atributos existentes o crear nuevas asignaciones de atributos.

Captura de pantalla de las asignaciones de atributos predeterminadas.

Después de guardar, debería ver un mensaje en el que se indica lo que debe hacer para configurar la sincronización en la nube. Puede hacer clic en el vínculo para continuar. Captura de pantalla del desplazamiento para los filtros de atributos.

Para más información, consulte la asignación de atributos.

Extensiones de directorio y asignación de atributos personalizados.

Microsoft Entra Cloud Sync le permite ampliar el directorio con extensiones y proporciona la asignación de atributos personalizados. Para obtener más información, vea Extensiones de directorio y asignación de atributos personalizados.

Aprovisionamiento a petición

Microsoft Entra Cloud Sync le permite probar los cambios de configuración mediante la aplicación de estos cambios a un solo usuario o grupo.

Captura de pantalla del icono de prueba.

Puede utilizar esta característica para validar y comprobar que los cambios realizados en la configuración se aplicaron correctamente y que se están sincronizando correctamente con Microsoft Entra ID.

Captura de pantalla del aprovisionamiento a petición.

Después de realizar la prueba, debería ver un mensaje en el que se indica lo que debe hacer para configurar la sincronización en la nube. Puede hacer clic en el vínculo para continuar. Captura de pantalla del desplazamiento para las pruebas.

Para más información, consulte el aprovisionamiento a petición.

Eliminaciones accidentales y notificaciones por correo electrónico

La sección de propiedades predeterminadas proporciona información sobre eliminaciones accidentales y notificaciones por correo electrónico.

Captura de pantalla del icono de propiedades predeterminadas.

La característica de eliminación accidental está diseñada para protegerle de los cambios de configuración accidentales y de los cambios en el directorio local que afectarían a un gran número de usuarios y grupos.

Esta característica permite:

  • configurar la capacidad de evitar eliminaciones accidentales automáticamente
  • establecer el número de objetos (umbral) más allá del cual la configuración surtirá efecto
  • configurar una dirección de correo electrónico de notificación para que puedan recibir una notificación por correo electrónico cuando el trabajo de sincronización en cuestión se ponga en cuarentena para este escenario

Para más información, consulte Eliminaciones accidentales.

Haga clic en el lápiz situado junto a la opción Aspectos básicos para cambiar los valores predeterminados de una configuración.

Captura de pantalla de los aspectos básicos.

Habilitación de la configuración

Una vez que haya finalizado y probado la configuración, puede habilitarla.

Captura de pantalla del icono de revisión y habilitación.

Haga clic en Enable configuration (Habilitar configuración) para habilitarla.

Captura de pantalla de la habilitación de una configuración.

Cuarentenas

La sincronización en la nube supervisa el estado de la configuración y establece los objetos incorrectos en un estado de cuarentena. Si todas o la mayoría de las llamadas realizadas al sistema de destino no tienen éxito sistemáticamente debido a un error (como en el caso de credenciales de administrador no válidas), el trabajo de sincronización se establece en un estado de cuarentena. Para más información, consulte la sección sobre la solución de problemas de Cuarentenas.

Reinicio del aprovisionamiento

Si no quiere esperar a la siguiente ejecución programada, desencadene la ejecución del aprovisionamiento mediante el botón Restart sync (Reiniciar sincronización).

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador híbrido como mínimo.
  2. Vaya a Identidad>Administración híbrida>Microsoft Entra Connect>Cloud Sync. Captura de pantalla de la página de inicio de Cloud Sync..
  1. En Configuración, seleccione su configuración.

Captura de pantalla de reinicio de la sincronización.

  1. En la parte superior, seleccione Restart sync (Reiniciar sincronización).

Eliminación de una configuración

Para eliminar una configuración, siga estos pasos.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador híbrido como mínimo.
  2. Vaya a Identidad>Administración híbrida>Microsoft Entra Connect>Cloud Sync. Captura de pantalla de la página de inicio de Cloud Sync..
  1. En Configuración, seleccione su configuración.

Captura de pantalla de la eliminación.

  1. En la parte superior de la pantalla de configuración, seleccione Eliminar configuración.

Importante

No se pide confirmación antes de eliminar una configuración. Asegúrese de que esta es la acción que desea realizar antes de seleccionar Eliminar.

Pasos siguientes