Requisitos previos de la sincronizar en la nube de Azure AD ConnectPrerequisites for Azure AD Connect cloud sync

En este artículo se proporciona una guía sobre cómo elegir y usar la sincronización en la nube de Azure Active Directory (Azure AD Connect) como solución de identidad.This article provides guidance on how to choose and use Azure Active Directory (Azure AD) Connect cloud sync as your identity solution.

Requisitos del agente de aprovisionamiento en la nubeCloud provisioning agent requirements

Para usar la sincronización en la nube de Azure AD Connect, se necesitan los siguientes elementos:You need the following to use Azure AD Connect cloud sync:

  • Credenciales de administrador de dominio o administrador de empresa para crear la gMSA (cuenta de servicio administrada de grupo) de sincronización en la nube de Azure AD Connect para ejecutar el servicio del agente.Domain Administrator or Enterprise Administrator credentials to create the Azure AD Connect Cloud Sync gMSA (group Managed Service Account) to run the agent service.
  • Una cuenta de administrador de identidades híbridas para su inquilino de Azure AD que no sea un usuario invitado.A hybrid identity administrator account for your Azure AD tenant that is not a guest user.
  • Un servidor local para el agente de aprovisionamiento con Windows 2016 o posterior.An on-premises server for the provisioning agent with Windows 2016 or later. Este servidor debe ser un servidor de nivel 0 basado en el modelo de nivel administrativo de Active Directory.This server should be a tier 0 server based on the Active Directory administrative tier model.
  • Configuraciones de firewall locales.On-premises firewall configurations.

Cuentas de servicio administradas de grupoGroup Managed Service Accounts

Una cuenta de servicio administradas de grupo es una cuenta de dominio administrado que proporciona administración automática de contraseñas, administración simplificada del nombre de entidad de seguridad de servicio (SPN), la posibilidad de delegar la administración a otros administradores y, además, amplía esta funcionalidad a varios servidores.A group Managed Service Account is a managed domain account that provides automatic password management, simplified service principal name (SPN) management,the ability to delegate the management to other administrators, and also extends this functionality over multiple servers. La sincronización en la nube de Azure AD Connect admite y usa una gMSA para ejecutar el agente.Azure AD Connect Cloud Sync supports and uses a gMSA for running the agent. Para poder crear esta cuenta, se le pedirán credenciales administrativas durante la instalación.You will be prompted for administrative credentials during setup, in order to create this account. La cuenta aparecerá como (domain\provAgentgMSA$).The account will appear as (domain\provAgentgMSA$). Para obtener más información sobre gMSA, consulte Cuentas de servicio administradas de grupo.For more information on a gMSA, see Group Managed Service Accounts

Requisitos previos de gMSA:Prerequisites for gMSA:

  1. El esquema de Active Directory del bosque del dominio de gMSA se tiene que actualizar a Windows Server 2016.The Active Directory schema in the gMSA domain's forest needs to be updated to Windows Server 2016.
  2. Módulos de RSAT de PowerShell en un controlador de dominioPowerShell RSAT modules on a domain controller
  3. Al menos un controlador de dominio en el dominio debe ejecutar Windows Server 2016.At least one domain controller in the domain must be running Windows Server 2016.
  4. Un servidor unido a un dominio en el que se está instalando el agente debe ser Windows Server 2016 o posterior.A domain joined server where the agent is being installed needs to be either Windows Server 2016 or later.

Cuenta de gMSA personalizadaCustom gMSA account

Si va a crear una cuenta de gMSA personalizada, debe asegurarse de que la cuenta tenga los permisos siguientes.If you are creating a custom gMSA account, you need to ensure that the account has the following permissions.

TipoType NombreName AccesoAccess Se aplica aApplies To
AllowAllow Cuenta de gMSAgMSA Account Lectura de todas las propiedadesRead all properties Objetos del dispositivo descendientesDescendant device objects
AllowAllow Cuenta de gMSAgMSA Account Lectura de todas las propiedadesRead all properties Objetos InetOrgPerson descendientesDescendant InetOrgPerson objects
AllowAllow Cuenta de gMSAgMSA Account Lectura de todas las propiedadesRead all properties Objetos del equipo descendientesDescendant Computer objects
AllowAllow Cuenta de gMSAgMSA Account Lectura de todas las propiedadesRead all properties Objetos foreignSecurityPrincipal descendientesDescendant foreignSecurityPrincipal objects
AllowAllow Cuenta de gMSAgMSA Account Control totalFull control Objetos del grupo descendientesDescendant Group objects
AllowAllow Cuenta de gMSAgMSA Account Lectura de todas las propiedadesRead all properties Objetos del usuario descendientesDescendant User objects
AllowAllow Cuenta de gMSAgMSA Account Lectura de todas las propiedadesRead all properties Objetos del contacto descendienteDescendant Contact objects
AllowAllow Cuenta de gMSAgMSA Account Creación o eliminación de objetos de usuarioCreate/delete User objects Este objeto y todos los objetos descendientesThis object and all descendant objects

Para conocer los pasos sobre cómo actualizar un agente existente para usar una cuenta gMSA, consulte Cuentas de servicio administradas de grupo.For steps on how to upgrade an existing agent to use a gMSA account see Group Managed Service Accounts.

En el Centro de administración de Azure Active DirectoryIn the Azure Active Directory admin center

  1. Cree una cuenta de administrador de identidades híbridas exclusiva para la nube en su inquilino de Azure AD.Create a cloud-only hybrid identity administrator account on your Azure AD tenant. De esta manera, puede administrar la configuración del inquilino en caso de que los servicios locales fallen o no estén disponibles.This way, you can manage the configuration of your tenant if your on-premises services fail or become unavailable. Descubra cómo agregar una cuenta de administrador de identidades híbridas exclusiva para la nube.Learn about how to add a cloud-only hybrid identity administrator account. La finalización de este paso es esencial para garantizar que no queda bloqueado fuera de su inquilino.Finishing this step is critical to ensure that you don't get locked out of your tenant.
  2. Agregue uno o varios nombres de dominio personalizados al inquilino de Azure AD.Add one or more custom domain names to your Azure AD tenant. Los usuarios pueden iniciar sesión con uno de estos nombres de dominio.Your users can sign in with one of these domain names.

En su directorio de Azure Active DirectoryIn your directory in Active Directory

Ejecute la herramienta IdFix para preparar los atributos del directorio para la sincronización.Run the IdFix tool to prepare the directory attributes for synchronization.

En el entorno localIn your on-premises environment

  1. Identifique un servidor host unido a un dominio en el que se ejecuta Windows Server 2016 o superior con 4 GB de RAM como mínimo y un entorno de ejecución .NET 4.7.1 o posterior.Identify a domain-joined host server running Windows Server 2016 or greater with a minimum of 4-GB RAM and .NET 4.7.1+ runtime.

  2. La directiva de ejecución de PowerShell en el servidor local debe establecerse en Undefined o RemoteSigned.The PowerShell execution policy on the local server must be set to Undefined or RemoteSigned.

  3. Si hay un firewall entre los servidores y Azure AD, configure los elementos siguientes:If there's a firewall between your servers and Azure AD, configure the following items:

    • Asegúrese de que los agentes pueden realizar solicitudes de salida a Azure AD a través de los puertos siguientes:Ensure that agents can make outbound requests to Azure AD over the following ports:

      Número de puertoPort number Cómo se usaHow it's used
      8080 Descarga las listas de revocación de certificados (CRL) al validar el certificado TLS/SSLDownloads the certificate revocation lists (CRLs) while validating the TLS/SSL certificate.
      443443 Controla toda la comunicación saliente con el servicio.Handles all outbound communication with the service.
      8080 (opcional)8080 (optional) Si el puerto 443 no está disponible, los agentes notifican su estado cada 10 minutos en el puerto 8080.Agents report their status every 10 minutes over port 8080, if port 443 is unavailable. Este estado se muestra en el portal de Azure AD.This status is displayed in the Azure AD portal.
    • Si el firewall fuerza las reglas según los usuarios que las originan, abra estos puertos para el tráfico de servicios de Windows que se ejecutan como un servicio de red.If your firewall enforces rules according to the originating users, open these ports for traffic from Windows services that run as a network service.

    • Si el firewall o proxy le permite configurar sufijos seguros, agregue conexiones a *.msappproxy.net y *.servicebus.windows.net.If your firewall or proxy allows you to specify safe suffixes, add connections to *.msappproxy.net and *.servicebus.windows.net. En caso contrario, permita el acceso a los intervalos de direcciones IP del centro de datos de Azure, que se actualizan cada semana.If not, allow access to the Azure datacenter IP ranges, which are updated weekly.

    • Los agentes necesitan acceder a login.windows.net y login.microsoftonline.com para el registro inicial.Your agents need access to login.windows.net and login.microsoftonline.com for initial registration. Abra el firewall también para esas direcciones URL.Open your firewall for those URLs as well.

    • Para la validación de certificados, desbloquee las siguientes direcciones URL: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 y www.microsoft.com:80.For certificate validation, unblock the following URLs: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80, and www.microsoft.com:80. Estas direcciones URL se utilizan para la validación de certificados con otros productos de Microsoft, por lo que es posible que estas direcciones URL estén bloqueadas.These URLs are used for certificate validation with other Microsoft products, so you might already have these URLs unblocked.

    Nota

    La instalación del agente de aprovisionamiento en la nube en Windows Server Core no se admite.Installing the cloud provisioning agent on Windows Server Core is not supported.

Requisitos adicionalesAdditional requirements

Requisitos de TLSTLS requirements

Nota

La seguridad de la capa de transporte (TLS) es un protocolo que proporciona comunicaciones seguras.Transport Layer Security (TLS) is a protocol that provides for secure communications. Si se cambia la configuración de TLS, todo el bosque se verá afectado.Changing the TLS settings affects the entire forest. Para más información, consulte Actualización para habilitar TLS 1.1 y TLS 1.2 como protocolos seguros predeterminados de WinHTTP en Windows.For more information, see Update to enable TLS 1.1 and TLS 1.2 as default secure protocols in WinHTTP in Windows.

El servidor de Windows que hospeda el agente de aprovisionamiento en la nube de Azure AD Connect debe tener TLS 1.2 habilitado antes de instalarlo.The Windows server that hosts the Azure AD Connect cloud provisioning agent must have TLS 1.2 enabled before you install it.

Para habilitar TLS 1.2, siga estos pasos.To enable TLS 1.2, follow these steps.

  1. Establezca las siguientes claves del Registro:Set the following registry keys:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
    
  2. Reinicie el servidor.Restart the server.

Restricciones conocidasKnown limitations

Estas son las limitaciones conocidas:The following are known limitations:

Sincronización deltaDelta Synchronization

  • El filtro de ámbito de grupos para la sincronización diferencial no admite más de 1500 miembros.Group scope filtering for delta sync does not support more than 1500 members.
  • Cuando se elimina un grupo que se usa como parte de un filtro de ámbito de grupo, los usuarios que pertenecen a dicho grupo no se eliminan.When you delete a group that's used as part of a group scoping filter, users who are members of the group, don't get deleted.
  • Al cambiar el nombre de la unidad organizativa o del grupo que se encuentra en el ámbito, la sincronización diferencial no eliminará los usuarios.When you rename the OU or group that's in scope, delta sync will not remove the users.

Registros de aprovisionamientoProvisioning Logs

  • Los registros de aprovisionamiento no distinguen claramente entre las operaciones de creación y actualización.Provisioning logs do not clearly differentiate between create and update operations. Es posible que se muestre una operación de creación para una actualización, y viceversa.You may see a create operation for an update and an update operation for a create.

Cambio del nombre de grupo o de la unidad organizativaGroup re-naming or OU re-naming

  • Si cambia el nombre de un grupo o de una unidad organizativa de AD que se encuentra en el ámbito de una configuración determinada, el trabajo de sincronización en la nube no podrá reconocer el cambio de nombre en AD.If you rename a group or OU in AD that's in scope for a given configuration, the cloud sync job will not be able to recognize the name change in AD. El trabajo no entrará en cuarentena y permanecerá en buen estado.The job won't go into quarantine and will remain healthy.

Pasos siguientesNext steps