Instalación personalizada de Azure AD ConnectCustom installation of Azure AD Connect

Se utiliza Configuración personalizada de Azure AD Connect cuando se desea contar con más opciones para la instalación.Azure AD Connect Custom settings is used when you want more options for the installation. Se utiliza si tiene varios bosques o si desea configurar características opcionales que no se incluyen en la instalación rápida.It is used if you have multiple forests or if you want to configure optional features not covered in the express installation. Se usa en todos aquellos casos en que la opción Instalación rápida no vale para su implementación o topología.It is used in all cases where the express installation option does not satisfy your deployment or topology.

Antes de empezar a instalarlo, debe descargar Azure AD Connect y completar los pasos de los requisitos previos que se indican en Azure AD Connect: Hardware y requisitos previos.Before you start installing Azure AD Connect, make sure to download Azure AD Connect and complete the pre-requisite steps in Azure AD Connect: Hardware and prerequisites. Asegúrese también de que posee las cuentas necesarias que se describen en Azure AD Connect: cuentas y permisos.Also make sure you have required accounts available as described in Azure AD Connect accounts and permissions.

Si la configuración personalizada no coincide con la topología, por ejemplo, para actualizar DirSync, consulte la documentación relacionada sobre otros escenarios.If customized settings does not match your topology, for example to upgrade DirSync, see related documentation for other scenarios.

Instalación de Azure AD Connect con Configuración personalizadaCustom settings installation of Azure AD Connect

Configuración rápidaExpress Settings

En esta página, haga clic en Personalizar para iniciar la instalación con Configuración personalizada.On this page, click Customize to start a customized settings installation.

Instalación de los componentes necesariosInstall required components

Al instalar los servicios de sincronización, puede dejar desactivada la sección de configuración opcional y Azure AD Connect configurará todo automáticamente.When you install the synchronization services, you can leave the optional configuration section unchecked and Azure AD Connect sets up everything automatically. Configura una instancia de SQL Server 2012 Express LocalDB, crea los grupos apropiados y asigna permisos.It sets up a SQL Server 2012 Express LocalDB instance, create the appropriate groups, and assign permissions. Si desea cambiar los valores predeterminados, puede utilizar la tabla siguiente para conocer las opciones de configuración opcionales disponibles.If you wish to change the defaults, you can use the following table to understand the optional configuration options that are available.

Componentes necesarios

Configuración opcionalOptional Configuration DescripciónDescription
Usar un SQL Server existenteUse an existing SQL Server Permite especificar el nombre de SQL Server y el nombre de la instancia.Allows you to specify the SQL Server name and the instance name. Elija esta opción si ya dispone de un servidor de base de datos que le gustaría utilizar.Choose this option if you already have a database server that you would like to use. Si SQL Server no tiene la exploración habilitada, escriba el nombre de la instancia seguido de una coma y un número de puerto en el cuadro Nombre de instancia .Enter the instance name followed by a comma and port number in Instance Name if your SQL Server does not have browsing enabled. Luego, especifique el nombre de la base de datos de Azure AD Connect.Then specify the name of the Azure AD Connect database. Los privilegios de SQL Server determinan si se creará una nueva base de datos o el administrador de SQL debe crear la base de datos de antemano.Your SQL privileges determine whether a new database will be created or your SQL administrator must create the database in advance. Si dispone de permisos de asociación de seguridad de SQL, vea cómo instalar mediante una base de datos existente.If you have SQL SA permissions see How to install using an existing database. Si ha tenido permisos delegados (DBO), vea instalar Azure AD Connect con permisos de administrador delegados de SQL.If you have been delegated permissions (DBO) see Install Azure AD Connect with SQL delegated administrator permissions.
Usar una cuenta de servicio existenteUse an existing service account De forma predeterminada, Azure AD Connect usa una cuenta de servicio virtual para que la usen los servicios de sincronización.By default Azure AD Connect uses a virtual service account for the synchronization services to use. Si usa un servidor SQL Server remoto o un proxy que requiere autenticación, necesita usar una cuenta de servicio administrada o una cuenta de servicio en el dominio y conocer la contraseña.If you use a remote SQL server or use a proxy that requires authentication, you need to use a managed service account or use a service account in the domain and know the password. En esos casos, especifique la cuenta que se va a usar.In those cases, enter the account to use. Asegúrese de que el usuario que ejecuta la instalación es una SA en SQL, por lo que se puede crear un inicio de sesión para la cuenta de servicio.Make sure the user running the installation is an SA in SQL so a login for the service account can be created. Consulte Azure AD Connect: cuentas y permisos.See Azure AD Connect accounts and permissions.
Con la versión más reciente, el administrador SQL puede realizar ahora el aprovisionamiento de la base de datos fuera de banda y luego el administrador de Azure AD Connect puede instalarlo con derechos de propietario de la base de datos.With the latest build, provisioning the database can now be performed out of band by the SQL administrator and then installed by the Azure AD Connect administrator with database owner rights. Para más información, consulte Instalación de Azure AD Connect con permisos de administrador delegado de SQL.For more information see Install Azure AD Connect using SQL delegated administrator permissions.
Especificar grupos de sincronización personalizadaSpecify custom sync groups De forma predeterminada, Azure AD Connect crea cuatro grupos locales en el servidor cuando se instalan los servicios de sincronización.By default Azure AD Connect creates four groups local to the server when the synchronization services are installed. Estos grupos son: grupo Administradores, grupo Operadores, grupo Examinar y grupo Restablecimiento de contraseña.These groups are: Administrators group, Operators group, Browse group, and the Password Reset Group. Puede especificar sus grupos aquí.You can specify your own groups here. Los grupos deben ser locales en el servidor y no se pueden encontrar en el dominio.The groups must be local on the server and cannot be located in the domain.

Inicio de sesión de usuarioUser sign-in

Después de instalar los componentes necesarios, se le pide que seleccione el método de inicio de sesión único de usuario.After installing the required components, you are asked to select your users single sign-on method. En la tabla siguiente se proporciona una breve descripción de las opciones disponibles.The following table provides a brief description of the available options. Para obtener una descripción completa de los métodos de inicio de sesión, consulte las opciones de inicio de sesión de usuario.For a full description of the sign-in methods, see User sign-in.

Inicio de sesión del usuario

Inicio de sesión únicoSingle Sign On option DescripciónDescription
Sincronización de hash de contraseñasPassword Hash Sync Los usuarios pueden iniciar sesión en los servicios en la nube de Microsoft, como Office 365, con la misma contraseña que usan en su red local.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Las contraseñas de usuario se sincronizan en Azure AD en forma de hash de contraseña y la autenticación tiene lugar en la nube.The users passwords are synchronized to Azure AD as a password hash and authentication occurs in the cloud. Consulte Sincronización de hash de contraseñas para más información.See Password hash synchronization for more information.
Autenticación de paso a travésPass-through Authentication Los usuarios pueden iniciar sesión en los servicios en la nube de Microsoft, como Office 365, con la misma contraseña que usan en su red local.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. La contraseña de los usuarios se pasa al controlador de dominio de Active Directory local para su validación.The users password is passed through to the on-premises Active Directory domain controller to be validated.
Federación con AD FSFederation with AD FS Los usuarios pueden iniciar sesión en los servicios en la nube de Microsoft, como Office 365, con la misma contraseña que usan en su red local.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Los usuarios se redirigen a su instancia local de AD FS para iniciar sesión y la autenticación se realiza de forma local.The users are redirected to their on-premises AD FS instance to sign in and authentication occurs on-premises.
Federación con PingFederateFederation with PingFederate Los usuarios pueden iniciar sesión en los servicios en la nube de Microsoft, como Office 365, con la misma contraseña que usan en su red local.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Los usuarios se redirigen a su instancia local de PingFederate para iniciar sesión y la autenticación se realiza de forma local.The users are redirected to their on-premises PingFederate instance to sign in and authentication occurs on-premises.
No configurarDo not configure No se instala ni configura ninguna característica de inicio de sesión de usuario.No user sign-in feature is installed and configured. Elija esta opción si ya tiene un servidor de federación de terceros u otra solución existente ya instalada.Choose this option if you already have a 3rd party federation server or another existing solution in place.
Habilitar el inicio de sesión únicoEnable Single Sign on Esta opción está disponible tanto con la sincronización de hash de contraseñas como con la autenticación de paso a través, y proporciona una experiencia de inicio de sesión único para los usuarios de escritorio de la red corporativa.This options is available with both password hash sync and pass-through authentication and provides a single sign on experience for desktop users on the corporate network. Para más información, consulte Inicio de sesión único.See Single sign-on for more information.
Tenga en cuenta para los clientes de AD FS esta opción no está disponible porque AD FS ya ofrece el mismo nivel de inicio de sesión único.Note for AD FS customers this option is not available because AD FS already offers the same level of single sign on.

Conectarse a AzureConnect to Azure AD

En la pantalla Conectarse a Azure AD, especifique una cuenta de administrador global y una contraseña.On the Connect to Azure AD screen, enter a global admin account and password. Si seleccionó Federación con AD FS en la página anterior, no inicie sesión con una cuenta en un dominio en el que planee habilitar la federación.If you selected Federation with AD FS on the previous page, do not sign in with an account in a domain you plan to enable for federation. Se recomienda utilizar una cuenta en el dominio predeterminado onmicrosoft.com, que se incluye con su inquilino de Azure AD.A recommendation is to use an account in the default onmicrosoft.com domain, which comes with your Azure AD tenant.

Esta cuenta solo se usa para crear una cuenta de servicio en Azure AD y no se utiliza una vez completado el asistente.This account is only used to create a service account in Azure AD and is not used after the wizard has completed.
Inicio de sesión del usuario

Si la cuenta de administrador global tiene MFA habilitado, será preciso que vuelva a especificar la contraseña en el elemento emergente de inicio de sesión y a completar el desafío MFA.If your global admin account has MFA enabled, then you need to provide the password again in the sign-in popup and complete the MFA challenge. Dicho desafío puede ser especificar un código de verificación o una llamada telefónica.The challenge could be a providing a verification code or a phone call.
Inicio de sesión del usuario en MFA

La cuenta de administrador global también puede tener habilitado Privileged Identity Management.The global admin account can also have Privileged Identity Management enabled.

Si aparece un error y tiene problemas de conectividad, consulte Solución de problemas de conectividad con Azure AD Connect.If you receive an error and have problems with connectivity, then see Troubleshoot connectivity problems.

Páginas bajo la sección SincronizaciónPages under the Sync section

Conectar sus directoriosConnect your directories

Para conectarse a Active Directory Domain Services, Azure AD Connect necesita el nombre del bosque y las credenciales de una cuenta con permisos suficientes.To connect to your Active Directory Domain Service, Azure AD Connect needs the forest name and credentials of an account with sufficient permissions.

Directorio de conexión

Después de escribir el nombre del bosque y de hacer clic en Agregar directorio, aparece un cuadro de diálogo emergente con las siguientes opciones:After entering the forest name and clicking Add Directory, a pop-up dialog appears and prompts you with the following options:

OpciónOption DescripciónDescription
Crear nueva cuentaCreate new account Seleccione esta opción si desea que el asistente de Azure AD Connect cree la cuenta de AD DS que Azure AD Connect necesita para conectarse con el bosque de AD durante la sincronización de directorios.Select this option if you want Azure AD Connect wizard to create the AD DS account required by Azure AD Connect for connecting to the AD forest during directory synchronization. Si selecciona esta opción, escriba el nombre de usuario y la contraseña de una cuenta de administrador de organización.When this option is selected, enter the username and password for an enterprise admin account. Para crear la cuenta de AD DS requerida, se usará la cuenta de administrador de organización proporcionada por el asistente de Azure AD Connect.The enterprise admin account provided will be used by Azure AD Connect wizard to create the required AD DS account. Puede escribir la parte del dominio con el formato NetBios o FQDN, es decir, FABRIKAM\administrator o fabrikam.com\administrator.You can enter the domain part in either NetBios or FQDN format, that is, FABRIKAM\administrator or fabrikam.com\administrator.
Usar cuenta existenteUse existing account Seleccione esta opción si desea proporcionar una cuenta existente de AD DS que Azure AD Connect usará para conectarse con el bosque de AD durante la sincronización de directorios.Select this option if you want to provide an existing AD DS account to be used Azure AD Connect for connecting to the AD forest during directory synchronization. Puede escribir la parte del dominio con el formato NetBios o FQDN, es decir, FABRIKAM\syncuser o fabrikam.com\syncuser.You can enter the domain part in either NetBios or FQDN format, that is, FABRIKAM\syncuser or fabrikam.com\syncuser. Esta cuenta puede ser una cuenta de usuario normal porque solo tiene los permisos de lectura predeterminados.This account can be a regular user account because it only needs the default read permissions. Sin embargo, en función del escenario, puede que necesite permisos adicionales.However, depending on your scenario, you may need more permissions. Para más información, consulte Azure AD Connect: cuentas y permisos.For more information, see Azure AD Connect Accounts and permissions.

Directorio de conexión

No se admiten las cuentas de administrador de organización ni de administrador de dominioEnterprise Admin and Domain Admin accounts not supported

A partir de la compilación 1.4.18.0, ya no se admite el uso de una cuenta de Administrador de Organización o de Administrador de Dominio como cuenta de AD DS Connector.As of build 1.4.18.0 it is no longer supported to use an Enterprise Admin or a Domain Admin account as the AD DS Connector account. Si intenta ingresar una cuenta que es un administrador de empresa o administrador de dominio al especificar usar la cuenta existente, recibirá el siguiente error:If you attempt to enter an account that is an enterprise admin or domain admin when specifying use existing account, you will receive the following error:

“No está permitido usar una cuenta de administrador de empresa o dominio para su cuenta de bosque de AD. Deje que Azure AD Connect cree la cuenta o especifique una cuenta de sincronización con los permisos correctos. <Más información>”“Using an Enterprise or Domain administrator account for your AD forest account is not allowed. Let Azure AD Connect create the account for you or specify a synchronization account with the correct permissions. <Learn More>”

Configuración de inicio de sesión de Azure ADAzure AD sign-in configuration

Esta página le permite revisar los dominios UPN presentes en el entorno local de AD DS y que se han comprobado en Azure AD.This page allows you to review the UPN domains present in on-premises AD DS and which have been verified in Azure AD. Esta página también le permite configurar el atributo que se usará para userPrincipalName.This page also allows you to configure the attribute to use for the userPrincipalName.

Dominios sin comprobarUnverified domains
Revise los dominios marcados como Not Added (Sin agregar) y Not Verified (Sin comprobar).Review every domain marked Not Added and Not Verified. Asegúrese de que los dominios que usa se han comprobado en Azure AD.Make sure those domains you use have been verified in Azure AD. Cuando haya comprobado los dominios, haga clic en el símbolo de actualización.Click the Refresh symbol when you have verified your domains. Para más información, consulte agregar y comprobar el dominioFor more information, see add and verify the domain

UserPrincipalName: userPrincipalName es el atributo que los usuarios utilizan al iniciar sesión en Azure AD y Office 365.UserPrincipalName - The attribute userPrincipalName is the attribute users use when they sign in to Azure AD and Office 365. Los dominios utilizados, también conocidos como sufijo UPN, deben comprobarse en Azure AD antes de que se sincronicen los usuarios.The domains used, also known as the UPN-suffix, should be verified in Azure AD before the users are synchronized. Microsoft recomienda mantener el atributo userPrincipalName predeterminado.Microsoft recommends to keep the default attribute userPrincipalName. Si este atributo no es enrutable y no se puede comprobar, se puede seleccionar otro.If this attribute is non-routable and cannot be verified, then it is possible to select another attribute. Por ejemplo, se puede seleccionar email como atributo que contiene el identificador de inicio de sesión.You can for example select email as the attribute holding the sign-in ID. El uso de cualquier atributo distinto de userPrincipalName se conoce como id. alternativo.Using another attribute than userPrincipalName is known as Alternate ID. El valor del atributo Alternate ID debe seguir el estándar RFC822.The Alternate ID attribute value must follow the RFC822 standard. Se puede utilizar un identificador alternativo con la sincronización de hash de contraseñas, la autenticación de paso a través y la federación.An Alternate ID can be used with password hash sync, pass-through authentication, and federation. El atributo no debe definirse en Active Directory como de valores múltiples, aunque solo tenga un valor.The attribute must not be defined in Active Directory as multi-valued, even if it only has a single value. Para más información sobre el identificador alternativo, haga clic aquí.For more information on the Alternate ID, please click here.

Nota

Al habilitar la autenticación de paso a través, debe tener al menos un dominio verificado para continuar con el asistente.When you enable Pass-through Authentication you must have at least one verified domain in order to continue through the wizard.

Advertencia

El uso de un identificador alternativo no es compatible con todas las cargas de trabajo de Office 365.Using an Alternate ID is not compatible with all Office 365 workloads. Para más información, consulte Configuración del identificador de inicio de sesión alternativo.For more information, refer to Configuring Alternate Login ID.

Filtrado por dominio y unidad organizativaDomain and OU filtering

De forma predeterminada, todos los dominios y las unidades organizativas se sincronizan.By default all domains and OUs are synchronized. Si hay algunos dominios o unidades organizativas que no desee sincronizar con Azure AD, puede anular la selección de estos.If there are some domains or OUs you do not want to synchronize to Azure AD, you can unselect these domains and OUs.
Filtrado de DomainOUDomainOU filtering
En esta página del asistente se configura el filtrado basado en dominio y unidad organizativa.This page in the wizard is configuring domain-based and OU-based filtering. Si tiene previsto realizar cambios, consulte el filtrado basado en dominio y el filtrado basado en unidad organizativa antes de realizar estos cambios.If you plan to make changes, then see domain-based filtering and ou-based filtering before you make these changes. Algunas unidades organizativas son esenciales para la funcionalidad y siempre se deben seleccionar.Some OUs are essential for the functionality and should not be unselected.

Si usa el filtrado basado en unidad organizativa con la versión de Azure AD Connect anterior a 1.1.524.0, las unidades organizativas nuevas que se agreguen posteriormente se sincronizan de forma predeterminada.If you use OU-based filtering with Azure AD Connect version before 1.1.524.0, new OUs added later are synchronized by default. Si quiere que las unidades organizativas nuevas no se sincronicen, puede configurarlas cuando el asistente se haya completado con el filtrado basado en la unidad organizativa.If you want the behavior that new OUs should not be synchronized, then you can configure it after the wizard has completed with ou-based filtering. Para Azure AD Connect versión 1.1.524.0 o posterior, puede indicar si desea que las unidades organizativas nuevas se sincronicen o no.For Azure AD Connect version 1.1.524.0 or after, you can indicate whether you want new OUs to be synchronized or not.

Si tiene previsto usar el filtrado basado en el grupo, asegúrese de que se incluye la unidad organizativa con el grupo y que no se filtran con el filtrado de la unidad organizativa.If you plan to use group-based filtering, then make sure the OU with the group is included and not filtered with OU-filtering. El filtrado de la unidad organizativa se evalúa antes del filtrado basado en el grupo.OU filtering is evaluated before group-based filtering.

También es posible que algunos dominios no sean accesibles debido a restricciones del firewall.It is also possible that some domains are not reachable due to firewall restrictions. De forma predeterminada estos dominios no estarán seleccionados y tendrán una indicación de advertencia.These domains are unselected by default and have a warning.
Dominios no accesibles
Si la ve, asegúrese de que efectivamente no se pueda acceder a estos dominios y, por lo tanto, esta advertencia sea esperada.If you see this warning, make sure that these domains are indeed unreachable and the warning is expected.

Identificación de forma exclusiva de usuariosUniquely identifying your users

Seleccione cómo deben identificarse los usuarios en los directorios localesSelect how users should be identified in your on-premises directories

La característica Correspondencia entre bosques permite definir cómo se representan los usuarios de los bosques de AD DS en Azure AD.The Matching across forests feature allows you to define how users from your AD DS forests are represented in Azure AD. Un usuario puede estar representado solo una vez en todos los bosques o tener una combinación de cuentas habilitadas y deshabilitadas.A user might either be represented only once across all forests or have a combination of enabled and disabled accounts. En algunos bosques, el usuario también puede aparecer representado como un contacto.The user might also be represented as a contact in some forests.

Único

ConfiguraciónSetting DescripciónDescription
Los usuarios solo se representan una vez en todos los bosquesUsers are only represented once across all forests Todos los usuarios se crean como objetos individuales en Azure AD.All users are created as individual objects in Azure AD. Los objetos no se combinan en el metaverso.The objects are not joined in the metaverse.
Atributo MailMail attribute Esta opción une a los usuarios y contactos si el atributo Mail tiene el mismo valor en bosques diferentes.This option joins users and contacts if the mail attribute has the same value in different forests. Esta opción se utiliza cuando los contactos se han creado mediante GALSync.Use this option when your contacts have been created using GALSync. Si elige esta opción, no se sincronizarán con Azure AD los objetos de usuario cuyo atributo Mail no esté relleno.If this option is chosen, User objects whose Mail attribute aren't populated will not be synchronized to Azure AD.
ObjectSID y msExchangeMasterAccountSID/ msRTCSIP-OriginatorSidObjectSID and msExchangeMasterAccountSID/ msRTCSIP-OriginatorSid Esta opción une un usuario habilitado en un bosque de cuentas con un usuario deshabilitado en un bosque de recursos.This option joins an enabled user in an account forest with a disabled user in a resource forest. En Exchange, esta configuración se conoce como buzón vinculado.In Exchange, this configuration is known as a linked mailbox. Esta opción también se puede usar si solo usa Lync y Exchange no está presente en el bosque de recursos.This option can also be used if you only use Lync and Exchange is not present in the resource forest.
sAMAccountName y MailNickNamesAMAccountName and MailNickName Esta opción combina atributos donde se espera que pueda encontrarse el identificador de inicio de sesión para el usuario.This option joins on attributes where it is expected the sign-in ID for the user can be found.
Un atributo específicoA specific attribute Esta opción le permite seleccionar su propio atributo.This option allows you to select your own attribute. Si elige esta opción, no se sincronizarán con Azure AD los objetos de usuario cuyo atributo (seleccionado) no esté relleno.If this option is chosen, User objects whose (selected) attribute aren't populated will not be synchronized to Azure AD. Limitación: asegúrese de seleccionar un atributo que pueda encontrarse en el metaverso.Limitation: Make sure to pick an attribute that already can be found in the metaverse. Si selecciona un atributo personalizado (que no está en el metaverso), el asistente no podrá completarse.If you pick a custom attribute (not in the metaverse), the wizard cannot complete.

Seleccione cómo deben identificarse los usuarios con Azure AD: delimitador de origenSelect how users should be identified with Azure AD - Source Anchor

El atributo sourceAnchor es inmutable mientras siga vigente un objeto de usuario.The attribute sourceAnchor is an attribute that is immutable during the lifetime of a user object. Es la clave principal que vincula el usuario local con el usuario de Azure AD.It is the primary key linking the on-premises user with the user in Azure AD.

ConfiguraciónSetting DescripciónDescription
Let Azure manage the source anchor for me (Dejar que Azure administre automáticamente el delimitador de origen)Let Azure manage the source anchor for me Seleccione esta opción si desea que Azure AD elija automáticamente el atributo.Select this option if you want Azure AD to pick the attribute for you. Si selecciona esta opción, el asistente de Azure AD Connect aplica la lógica de selección de atributo sourceAnchor que se describe en la sección Azure AD Connect: Conceptos de diseño: Uso de msDS-ConsistencyGuid como sourceAnchor.If you select this option, Azure AD Connect wizard applies the sourceAnchor attribute selection logic described in article section Azure AD Connect: Design concepts - Using ms-DS-ConsistencyGuid as sourceAnchor. El asistente indica qué atributo se ha elegido como atributo de delimitador de origen una vez finalizada la instalación personalizada.The wizard informs you which attribute has been picked as the Source Anchor attribute after Custom installation completes.
Un atributo específicoA specific attribute Seleccione esta opción si desea especificar un atributo existente de AD como atributo sourceAnchor.Select this option if you wish to specify an existing AD attribute as the sourceAnchor attribute.

Puesto que no se puede cambiar el atributo, debe pensar en un atributo que sea adecuado usar.Since the attribute cannot be changed, you must plan for a good attribute to use. Un buen candidato es objectGUID.A good candidate is objectGUID. Este atributo no cambiará, salvo que la cuenta de usuario se mueva entre bosques o dominios.This attribute is not changed, unless the user account is moved between forests/domains. Evite los atributos que puedan cambiar si una persona se casa o se cambian las asignaciones.Avoid attributes that would change when a person marries or change assignments. No se pueden utilizar los atributos con @-sign, por lo que no se puede utilizar el correo electrónico ni userPrincipalName.You cannot use attributes with an @-sign, so email and userPrincipalName cannot be used. El atributo también distingue mayúsculas de minúsculas, por lo que si mueve un objeto entre bosques, asegúrese de conservar las mayúsculas y minúsculas.The attribute is also case-sensitive so when you move an object between forests, make sure to preserve the upper/lower case. Los atributos binarios tienen codificación base64, pero otros tipos de atributo permanecerán en su estado sin codificar.Binary attributes are base64-encoded, but other attribute types remain in its unencoded state. En escenarios de federación y en algunas interfaces de Azure AD, este atributo se conoce también como immutableID.In federation scenarios and some Azure AD interfaces, this attribute is also known as immutableID. En los conceptos de diseño encontrará más información sobre el delimitador de origen.More information about the source anchor can be found in the design concepts.

Filtrado de sincronización basado en gruposSync filtering based on groups

El filtrado por grupos permite sincronizar solo un pequeño subconjunto de objetos para una prueba piloto.The filtering on groups feature allows you to sync only a small subset of objects for a pilot. Para utilizar esta característica, cree un grupo específicamente para este propósito en su entorno de Active Directory local.To use this feature, create a group for this purpose in your on-premises Active Directory. Luego, agregue los usuarios y grupos que se deben sincronizar con Azure AD como miembros directos.Then add users and groups that should be synchronized to Azure AD as direct members. Posteriormente puede agregar y quitar usuarios a este grupo para mantener la lista de objetos que deban estar presentes en Azure AD.You can later add and remove users to this group to maintain the list of objects that should be present in Azure AD. Todos los objetos que quiere sincronizar deben ser un miembro directo del grupo.All objects you want to synchronize must be a direct member of the group. Los usuarios, grupos, contactos y equipos o dispositivos deben ser miembros directos.Users, groups, contacts, and computers/devices must all be direct members. No se resuelve la pertenencia a grupos anidados.Nested group membership is not resolved. Cuando se agrega un grupo como miembro, solo se agrega el grupo en sí, no sus miembros.When you add a group as a member, only the group itself is added and not its members.

Filtrado de sincronización

Advertencia

Esta característica solo está destinada a admitir una implementación piloto.This feature is only intended to support a pilot deployment. No se debe usar en una implementación de producción completa.Do not use it in a full-blown production deployment.

En una implementación de producción completa va a ser difícil mantener un grupo único con todos los objetos que se sincronizan.In a full-blown production deployment, it is going to be hard to maintain a single group with all objects to synchronize. En su lugar, se debe usar uno de los métodos de configuración del filtrado.Instead you should use one of the methods in Configure filtering.

Características opcionalesOptional Features

Esta pantalla le permite seleccionar las características opcionales para situaciones específicas.This screen allows you to select the optional features for your specific scenarios.

Advertencia

Las versiones de Azure AD Connect 1.0.8641.0 y las anteriores se basan en Azure Access Control Service para la escritura diferida de contraseñas.Azure AD Connect versions 1.0.8641.0 and older rely on the Azure Access Control service for password writeback. Este servicio se retirará el 7 de noviembre de 2018.This service will be retired on November 7th 2018. Si está usando cualquiera de estas versiones de Azure AD Connect y ha habilitado la escritura diferida de contraseñas, puede que los usuarios pierdan la capacidad de cambiar o restablecer sus contraseñas una vez que el servicio se retire.If you are using any of these versions of Azure AD Connect and have enabled password writeback, users may lose the ability to change or reset their passwords once the service is retired. No se admitirá la escritura diferida de contraseñas con estas versiones de Azure AD Connect.Password writeback with these versions of Azure AD Connect will not be supported.

Para más información sobre Azure Access Control Service consulte Control de migración desde Azure Access Control ServiceFor more information on the Azure Access Control service see How to: Migrate from the Azure Access Control service

Haga clic aquí para descargar la versión más reciente de Azure AD Connect.To download the latest version of Azure AD Connect click here.

Características opcionales

Advertencia

Si actualmente tiene activo DirSync o Azure AD Synx, no active ninguna de las características de escritura diferida en Azure AD Connect.If you currently have DirSync or Azure AD Sync active, do not activate any of the writeback features in Azure AD Connect.

Características opcionalesOptional Features DescripciónDescription
Implementación híbrida de ExchangeExchange Hybrid Deployment La característica de implementación híbrida de Exchange permite la coexistencia de buzones de Exchange en un entorno local y en Office 365.The Exchange Hybrid Deployment feature allows for the co-existence of Exchange mailboxes both on-premises and in Office 365. Azure AD Connect sincroniza un conjunto específico de atributos de Azure AD en su directorio local.Azure AD Connect is synchronizing a specific set of attributes from Azure AD back into your on-premises directory.
Carpetas públicas de correo de ExchangeExchange Mail Public Folders La característica Carpetas públicas de correo de Exchange permite sincronizar objetos de carpeta pública habilitada para correo desde su instancia local de Active Directory con Azure AD.The Exchange Mail Public Folders feature allows you to synchronize mail-enabled Public Folder objects from your on-premises Active Directory to Azure AD.
Aplicación Azure AD y filtro de atributosAzure AD app and attribute filtering Al habilitar la aplicación Azure AD y el filtro de atributos, se puede adaptar el conjunto de atributos sincronizados.By enabling Azure AD app and attribute filtering, the set of synchronized attributes can be tailored. Esta opción agrega dos páginas más de configuración al asistente.This option adds two more configuration pages to the wizard. Para más información, consulte Aplicación Azure AD y filtro de atributos.For more information, see Azure AD app and attribute filtering.
Sincronización de hash de contraseñaPassword hash synchronization Si seleccionó la federación como solución de inicio de sesión. puede habilitar esta solución.If you selected federation as the sign-in solution, then you can enable this option. La sincronización de hash de contraseñas se puede usar como opción de copia de seguridad.Password hash synchronization can then be used as a backup option. Para más información, consulte Sincronización de hash de contraseñas.For additional information, see Password hash synchronization.
Si seleccionó la autenticación de paso a través, esta opción también se puede habilitar para garantizar la compatibilidad a los clientes heredados y como opción de respaldo.If you selected Pass-through Authentication this option can also be enabled to ensure support for legacy clients and as a backup option. Para más información, consulte Sincronización de hash de contraseñas.For additional information, see Password hash synchronization.
escritura diferida de contraseñasPassword writeback Al habilitar la escritura diferida de contraseñas, los cambios de contraseña que se originan en Azure AD se escriben en su directorio local.By enabling password writeback, password changes that originate in Azure AD is written back to your on-premises directory. Para más información, consulte Introducción a la administración de contraseñas.For more information, see Getting started with password management.
Escritura diferida de gruposGroup writeback Si utiliza la característica Grupos de Office 365 , estos grupos pueden estar representados en su instancia de Active Directory local.If you use the Office 365 Groups feature, then you can have these groups represented in your on-premises Active Directory. Esta opción solo está disponible si dispone de Exchange en su Active Directory local.This option is only available if you have Exchange present in your on-premises Active Directory. Para más información, consulte Escritura diferida de grupos.For more information, see Group writeback.
Escritura diferida de dispositivosDevice writeback Permite realizar una escritura diferida de objetos de dispositivo en Azure AD para su Active Directory local para escenarios de acceso condicional.Allows you to writeback device objects in Azure AD to your on-premises Active Directory for Conditional Access scenarios. Para más información, consulte Habilitación de la escritura diferida de dispositivos.For more information, see Enabling device writeback in Azure AD Connect.
Sincronización de atributos de las extensiones de directoriosDirectory extension attribute sync Al habilitar la sincronización de atributos de las extensiones de directorios, los atributos especificados se sincronizan con Azure AD.By enabling directory extensions attribute sync, attributes specified are synced to Azure AD. Para más información, consulte Extensiones de directorio.For more information, see Directory extensions.

Aplicación Azure AD y filtro de atributosAzure AD app and attribute filtering

Si desea limitar los atributos que se sincronizan con Azure AD, empiece por seleccionar los servicios que utiliza.If you want to limit which attributes to synchronize to Azure AD, then start by selecting which services you are using. Si realiza cambios en la configuración en esta página, será preciso seleccionar explícitamente un servicio nuevo, para lo que debe volver a ejecutarse el Asistente para la instalación.If you make configuration changes on this page, a new service has to be selected explicitly by rerunning the installation wizard.

Aplicaciones de características opcionales

En función de los servicios seleccionados en el paso anterior, esta página mostrará todos los atributos sincronizados.Based on the services selected in the previous step, this page shows all attributes that are synchronized. Esta lista es una combinación de todos los tipos de objeto que se están sincronizando.This list is a combination of all object types being synchronized. Si hay algunos atributos concretos que no necesita sincronizar, puede anular la selección de los mismos.If there are some particular attributes you need to not synchronize, you can unselect those attributes.

Atributos de características opcionales

Advertencia

Si quita los atributos, se podrá ver afectada la funcionalidad.Removing attributes can impact functionality. Para conocer los procedimientos recomendados, consulte Atributos sincronizados con Azure Active Directory.For best practices and recommendations, see attributes synchronized.

Sincronización de atributos de las extensiones de directoriosDirectory Extension attribute sync

En Azure AD, el esquema se puede extender con los atributos personalizados agregados por la organización o con otros atributos de Active Directory.You can extend the schema in Azure AD with custom attributes added by your organization or other attributes in Active Directory. Para utilizar esta característica, seleccione Sincronización de atributos de las extensiones de directorios en la página Características opcionales.To use this feature, select Directory Extension attribute sync on the Optional Features page. En esta página puede seleccionar más atributos para la sincronización.You can select more attributes to sync on this page.

Nota

El cuadro de atributos disponibles distingue mayúsculas de minúsculas.The Available attributes box is case sensitive.

Sincronización de Azure AD Connect: Extensiones de directorio

Para más información, consulte Extensiones de directorio.For more information, see Directory extensions.

Habilitación del inicio de sesión único (SSO)Enabling Single sign on (SSO)

Configurar el inicio de sesión único para su uso con la sincronización de contraseñas o la autenticación de paso a través es un proceso sencillo que solo se debe completar una vez para cada bosque que se está sincronizando con Azure AD.Configuring single sign-on for use with Password Synchronization or Pass-through authentication is a simple process that you only need to complete once for each forest that is being synchronized to Azure AD. La configuración se realiza en dos pasos:Configuration involves two steps as follows:

  1. Crear la cuenta de equipo necesaria en su instancia de Active Directory local.Create the necessary computer account in your on-premises Active Directory.
  2. Configurar la zona de intranet de las máquinas cliente para admitir el inicio de sesión único.Configure the intranet zone of the client machines to support single sign on.

Creación de la cuenta de equipo en Active DirectoryCreate the computer account in Active Directory

Para cada bosque que se ha agregado en Azure AD Connect, debe proporcionar las credenciales de administrador de dominio para poder crear la cuenta de equipo en cada bosque.For each forest that has been added in Azure AD Connect, you will need to supply Domain Administrator credentials so that the computer account can be created in each forest. Las credenciales solo se usan para crear la cuenta y no se almacenan ni se usan para ninguna otra operación.The credentials are only used to create the account and are not stored or used for any other operation. Basta con agregar las credenciales en la página Enable Single sign on (Habilitar el inicio de sesión único) del asistente para Azure AD Connect, tal y como se muestra a continuación:Simply add the credentials on the Enable Single sign on page of the Azure AD Connect wizard as shown:

Habilitar el inicio de sesión único

Nota

Puede omitir un bosque particular si no desea usar el inicio de sesión único con ese bosque.You can skip a particular forest if you do not wish to use Single sign on with that forest.

Configuración de la zona de intranet para máquinas clienteConfigure the Intranet Zone for client machines

Para asegurarse de que el cliente inicia sesión automáticamente en la zona de intranet, debe comprobar que la dirección URL forma parte de la zona de intranet.To ensure that the client sign-ins automatically in the intranet zone you need to ensure that the URL is part of the intranet zone. Así se asegurará de que el equipo unido a un dominio envía automáticamente un vale de Kerberos cuando está conectado a la red corporativa.This ensures that the domain joined computer automatically sends a Kerberos ticket to Azure AD when it is connected to the corporate network. En un equipo que tenga las herramientas de administración de directiva de grupo:On a computer that has the Group Policy management tools.

  1. Abra las herramientas de administración de directivas de grupo.Open the Group Policy Management tools

  2. Edite la directiva de grupo que se aplicará a todos los usuarios.Edit the Group policy that will be applied to all users. Por ejemplo, la directiva de dominio predeterminada.For example, the Default Domain Policy.

  3. Vaya a User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page y seleccione Site to Zone Assignment List (Lista de asignación de sitio a zona), como en la imagen siguiente.Navigate to User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page and select Site to Zone Assignment List per the image below.

  4. Habilite la directiva y escriba el siguiente elemento en el cuadro de diálogo.Enable the policy, and enter the following item in the dialog box.

    Value: `https://autologon.microsoftazuread-sso.com`  
    Data: 1  
    
  5. Debería tener un aspecto similar al siguiente:It should look similar to the following:
    Zonas de intranet

  6. Haga clic en Ok (Aceptar) dos veces.Click Ok twice.

Configuración de federación con AD FSConfiguring federation with AD FS

La configuración de AD FS con Azure AD Connect es muy sencilla y solo se necesitan unos pocos clics.Configuring AD FS with Azure AD Connect is simple and only requires a few clicks. Antes de la configuración se requiere lo siguiente.The following is required before the configuration.

  • Un servidor Windows Server 2012 R2 o posterior para el servidor de federación con la administración remota habilitadaA Windows Server 2012 R2 or later server for the federation server with remote management enabled
  • Un servidor Windows Server 2012 R2 para el servidor Web Application Proxy con la administración remota habilitadaA Windows Server 2012 R2 or later server for the Web Application Proxy server with remote management enabled
  • Un certificado SSL para el nombre del servicio de federación que desea usar (por ejemplo, sts.contoso.com)An SSL certificate for the federation service name you intend to use (for example sts.contoso.com)

Nota

Puede actualizar el certificado SSL de la granja de AD FS con Azure AD Connect incluso si no lo usa para administrar la confianza de federación.You can update SSL certificate for your AD FS farm using Azure AD Connect even if you do not use it to manage your federation trust.

Requisitos previos de la configuración de AD FSAD FS configuration pre-requisites

Para configurar la granja de AD FS mediante Azure AD Connect, asegúrese de que WinRM está habilitado en los servidores remotos.To configure your AD FS farm using Azure AD Connect, ensure WinRM is enabled on the remote servers. Asegúrese de haber completado las otras tareas de requisitos previos de federación.Make sure you have completed the other tasks in federation prerequisites. Además, revise los requisitos de puertos enumerados en la Tabla 3: Azure AD Connect y servidores de federación/WAP.In addition, go through the ports requirement listed in Table 3 - Azure AD Connect and Federation Servers/WAP.

Creación de una nueva granja de AD FS o utilización de una granja de AD FS existenteCreate a new AD FS farm or use an existing AD FS farm

Puede utilizar una granja de AD FS existente o crear una nueva granja de AD FS.You can use an existing AD FS farm or you can choose to create a new AD FS farm. Si decide crearla, debe proporcionar el certificado SSL.If you choose to create a new one, you are required to provide the SSL certificate. Si el certificado SSL está protegido mediante contraseña, se le solicitará dicha contraseña.If the SSL certificate is protected by a password, you are prompted for the password.

Granja de AD FS

Si elige usar una granja de AD FS existente, vaya directamente a la pantalla de configuración de la relación de confianza entre AD FS y Azure AD.If you choose to use an existing AD FS farm, you are taken directly to the configuring the trust relationship between AD FS and Azure AD screen.

Nota

Azure AD Connect puede usarse para administrar solo una granja de AD FS.Azure AD Connect can be used to manage only one AD FS farm. Si tiene una confianza de federación existente con Azure AD configurada en la granja de servidores de AD FS seleccionada, la confianza se volverá a crear de nuevo desde el principio con Azure AD Connect.If you have existing federation trust with Azure AD configured on the selected AD FS farm, the trust will be re-created again from scratch by Azure AD Connect.

Especificación de los servidores de AD FSSpecify the AD FS servers

Especifique los servidores específicos en que desea instalar AD FS.Enter the servers that you want to install AD FS on. Puede agregar uno o más servidores según su necesidades de planeación de capacidad.You can add one or more servers based on your capacity planning needs. Una todos los servidores de AD FS (no es necesario para los servidores WAP) a Active Directory antes de realizar esta configuración.Join all AD FS servers (not required for the WAP servers) to Active Directory before you perform this configuration. Microsoft recomienda instalar un único servidor de AD FS para las implementaciones piloto y de prueba.Microsoft recommends installing a single AD FS server for test and pilot deployments. Después, agregue e implemente más servidores para satisfacer sus necesidades de escalado, para lo que debe ejecutar Azure AD Connect después de la configuración inicial.Then add and deploy more servers to meet your scaling needs by running Azure AD Connect again after initial configuration.

Nota

Antes de realizar esta configuración asegúrese de que todos los servidores se han unidos a algún dominio de AD.Ensure that all your servers are joined to an AD domain before you do this configuration.

Servidores de AD FS

Especificación de los servidores Proxy de aplicación webSpecify the Web Application Proxy servers

Especifique cuáles desea que sean los servidores Proxy de aplicación web.Enter the servers that you want as your Web Application proxy servers. El servidor Proxy de aplicación web se implementa en la red perimetral (a través de extranet) y admite solicitudes de autenticación desde la extranet.The web application proxy server is deployed in your DMZ (extranet facing) and supports authentication requests from the extranet. Puede agregar uno o más servidores según su necesidades de planeación de capacidad.You can add one or more servers based on your capacity planning needs. Microsoft recomienda instalar un único servidor proxy de aplicación web para las implementaciones piloto y de prueba.Microsoft recommends installing a single Web application proxy server for test and pilot deployments. Después, agregue e implemente más servidores para satisfacer sus necesidades de escalado, para lo que debe ejecutar Azure AD Connect después de la configuración inicial.Then add and deploy more servers to meet your scaling needs by running Azure AD Connect again after initial configuration. Se recomienda tener un número equivalente de servidores proxy para realizar la autenticación desde la intranet.We recommend having an equivalent number of proxy servers to satisfy authentication from the intranet.

Nota

  • Si la cuenta que usa no es un administrador local en los servidores WAP, se le solicitarán las credenciales de administrador.If the account you use is not a local admin on the WAP servers, then you are prompted for admin credentials.
  • Antes de ejecutar este paso asegúrese de que hay conectividad HTTP/HTTPS entre el servidor de Azure AD Connect y el servidor Proxy de aplicación web.Ensure that there is HTTP/HTTPS connectivity between the Azure AD Connect server and the Web Application Proxy server before you run this step.
  • Asegúrese también de que hay conectividad HTTP/HTTPS entre el Servidor de aplicaciones web y el servidor de AD FS para permitir que fluyan las solicitudes de autenticación.Ensure that there is HTTP/HTTPS connectivity between the Web Application Server and the AD FS server to allow authentication requests to flow through.
  • Aplicación web

    Se le solicita que escriba las credenciales, con el fin de que el Servidor de aplicaciones web pueda establecer una conexión segura con el servidor de AD FS.You are prompted to enter credentials so that the web application server can establish a secure connection to the AD FS server. Estas credenciales deben ser un administrador local en el servidor de AD FS.These credentials need to be a local administrator on the AD FS server.

    Proxy

    Especificación de la cuenta de servicio para el servicio AD FSSpecify the service account for the AD FS service

    El servicio de AD FS requiere una cuenta de servicio de dominio para autenticar usuarios y la información de usuario de búsqueda en Active Directory.The AD FS service requires a domain service account to authenticate users and lookup user information in Active Directory. Puede admitir dos tipos de cuentas de servicio:It can support two types of service accounts:

    • Cuenta de servicio administrada de grupo : se introdujo en Active Directory Domain Services con Windows Server 2012.Group Managed Service Account - Introduced in Active Directory Domain Services with Windows Server 2012. Este tipo de cuenta proporciona servicios, como AD FS, que utilizan una única cuenta sin necesidad de actualizar la contraseña de la misma de forma periódica.This type of account provides services, such as AD FS, a single account without needing to update the account password regularly. Utilice esta opción si tiene controladores de dominio de Windows Server 2012 en el dominio al que pertenecen los servidores de AD FS.Use this option if you already have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.
    • Cuenta de usuario de dominio : para este tipo de cuenta debe especificar una contraseña y actualizarla de forma periódica cuando cambie o expire.Domain User Account - This type of account requires you to provide a password and regularly update the password when the password changes or expires. Utilice esta opción solo si no tiene controladores de dominio de Windows Server 2012 en el dominio al que pertenecen los servidores de AD FS.Use this option only when you do not have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.

    Si ha seleccionado Cuenta de servicio administrada de grupo y esta característica no se ha usado nunca en Active Directory, se le pedirán las credenciales de administrador de organización.If you selected Group Managed Service Account and this feature has never been used in Active Directory, you are prompted for Enterprise Admin credentials. Estas se usarán para iniciar el almacén de claves y habilitar la característica en Active Directory.These credentials are used to initiate the key store and enable the feature in Active Directory.

    Nota

    Azure AD Connect realiza una comprobación para detectar si el servicio AD FS ya está registrado como nombre de entidad de seguridad de servicio en el dominio.Azure AD Connect performs a check to detect if the AD FS service is already registered as a SPN in the domain. AD DS no permite a los nombres duplicados de entidades de seguridad de servicio registrarse a la vez.AD DS will not allow duplicate SPN’s to be registered at once. Si se encuentra un nombre duplicado de entidad de seguridad de servicio, no podrá continuar hasta que se elimine este.If a duplicate SPN is found, you will not be able to proceed further until the SPN is removed.

    Cuenta de servicio de AD FS

    Selección del dominio de Azure AD que desee federarSelect the Azure AD domain that you wish to federate

    Esta configuración se utiliza para configurar la relación de federación entre AD FS y Azure AD.This configuration is used to setup the federation relationship between AD FS and Azure AD. Configura a AD FS para que emitir tokens de seguridad en Azure AD y configura Azure AD para confiar en los tokens de esta instancia de AD FS específica.It configures AD FS to issue security tokens to Azure AD and configures Azure AD to trust the tokens from this specific AD FS instance. Esta página solo permite configurar un único dominio en la instalación inicial.This page only allows you to configure a single domain in the initial installation. Si vuelve a ejecutar Azure AD Connect después podrá configurar más dominios.You can configure more domains later by running Azure AD Connect again.

    Dominio de Azure AD

    Comprobación del dominio de Azure AD seleccionado para la federaciónVerify the Azure AD domain selected for federation

    Cuando se selecciona el dominio que se va a federar, Azure AD Connect proporciona la información necesaria para comprobar un dominio no comprobado.When you select the domain to be federated, Azure AD Connect provides you with necessary information to verify an unverified domain. Para saber cómo usar esta información, consulte el artículo sobre incorporación y comprobación del dominio.See Add and verify the domain for how to use this information.

    Dominio de Azure AD

    Nota

    AD Connect intenta comprobar el dominio durante la fase de configuración.AD Connect tries to verify the domain during the configure stage. Si continúa la configuración sin agregar los registros de DNS necesarios, el asistente no podrá completar la configuración.If you continue to configure without adding the necessary DNS records, the wizard is not able to complete the configuration.

    Configuración de federación con PingFederateConfiguring federation with PingFederate

    La configuración de PingFederate con Azure AD Connect es muy sencilla y solo se necesitan unos pocos clics.Configuring PingFederate with Azure AD Connect is simple and only requires a few clicks. Sin embargo, se precisan los siguientes requisitos previos.However, the following prerequisites are required.

    Comprobar el dominioVerify the domain

    Después de seleccionar la federación con PingFederate, se le pedirá que compruebe el dominio que quiere federar.After selecting Federation with PingFederate, you will be asked to verify the domain you want to federate. Seleccione el dominio del cuadro desplegable.Select the domain from the drop-down box.

    Comprobar dominio

    Exportar la configuración de PingFederateExport the PingFederate settings

    PingFederate debe configurarse como el servidor de federación para cada dominio de Azure federado.PingFederate must be configured as the federation server for each federated Azure domain. Haga clic en el botón Exportar configuración y comparta esta información con el administrador de PingFederate.Click the Export Settings button and share this information with your PingFederate administrator. El administrador del servidor de federación actualizará la configuración y, a continuación, proporcionará la dirección URL del servidor PingFederate y el número de puerto para que Azure AD Connect pueda comprobar la configuración de metadatos.The federation server administrator will update the configuration, then provide the PingFederate server URL and port number so Azure AD Connect can verify the metadata settings.

    Comprobar dominio

    Póngase en contacto con el administrador de PingFederate para solucionar los problemas de validación.Contact your PingFederate administrator to resolve any validation issues. El siguiente es un ejemplo de un servidor de PingFederate que no tiene una relación de confianza válida con Azure:The following is an example of a PingFederate server that does not have a valid trust relationship with Azure:

    Trust

    Comprobar la conectividad de la federaciónVerify federation connectivity

    Azure AD Connect intentará validar los puntos de conexión de autenticación recuperados de los metadatos de PingFederate en el paso anterior.Azure AD Connect will attempt to validate the authentication endpoints retrieved from the PingFederate metadata in the previous step. Primero, Azure AD Connect intentará resolver los puntos de conexión con los servidores DNS locales.Azure AD Connect will first attempt to resolve the endpoints using your local DNS servers. A continuación, intentará resolver los puntos de conexión con un proveedor DNS externo.Next it will attempt to resolve the endpoints using an external DNS provider. Póngase en contacto con el administrador de PingFederate para solucionar los problemas de validación.Contact your PingFederate administrator to resolve any validation issues.

    Comprobar la conectividad

    Comprobar el inicio de sesión de federaciónVerify federation login

    Por último, puede comprobar el flujo de inicio de sesión federado recién configurado. Para ello, inicie sesión en el dominio federado.Finally, you can verify the newly configured federated login flow by signing in to the federated domain. Si se ejecuta correctamente, la federación con PingFederate está configurada correctamente.When this succeeds, the federation with PingFederate is successfully configured. Comprobar el inicio de sesiónVerify login

    Configurar y comprobar páginasConfigure and verify pages

    La configuración se realiza en esta página.The configuration happens on this page.

    Nota

    Si configuró la federación, antes de seguir con la instalación, asegúrese de que ha configurado la Resolución de nombres para los servidores de federación.Before you continue installation and if you configured federation, make sure that you have configured Name resolution for federation servers.

    Listo para configurar

    Modo provisionalStaging mode

    Con el modo provisional es posible configurar un nuevo servidor de sincronización en paralelo.It is possible to setup a new sync server in parallel with staging mode. Solo se permite que un servidor de sincronización se exporte a un directorio en la nube.It is only supported to have one sync server exporting to one directory in the cloud. Pero si quiere moverse desde otro servidor, por ejemplo, uno que ejecuta DirSync, puede habilitar Azure AD Connect en modo provisional.But if you want to move from another server, for example one running DirSync, then you can enable Azure AD Connect in staging mode. Cuando se habilita, el motor de sincronización importa y sincroniza los datos como es habitual, pero no exporta nada a Azure AD ni a AD.When enabled, the sync engine import and synchronize data as normal, but it does not export anything to Azure AD or AD. Las características de sincronización de contraseñas y la escritura diferida de contraseñas se deshabilitan mientras esté en modo provisional.The features password sync and password writeback are disabled while in staging mode.

    Modo provisional

    En modo provisional, es posible realizar los cambios necesarios en el motor de sincronización y revisar lo que se va a exportar.While in staging mode, it is possible to make required changes to the sync engine and review what is about to be exported. Cuando la configuración esté correcta, vuelva a ejecutar al Asistente para la instalación y deshabilite el modo provisional.When the configuration looks good, run the installation wizard again and disable staging mode. Ahora los datos se exportan a Azure AD desde este servidor.Data is now exported to Azure AD from this server. Asegúrese de deshabilitar al otro servidor al mismo tiempo para que solo un servidor esté exportando activamente.Make sure to disable the other server at the same time so only one server is actively exporting.

    Para más información, consulte Modo provisional.For more information, see Staging mode.

    Comprobación de la configuración de la federaciónVerify your federation configuration

    Azure AD Connect comprueba la configuración de DNS al hacer clic en el botón Comprobar.Azure AD Connect verifies the DNS settings for you when you click the Verify button.

    Comprobaciones de conectividad a InternetIntranet connectivity checks

    • Resolución del FQDN de federación: Azure AD Connect comprueba si se puede resolver el FQDN de federación mediante un sistema de nombres de dominio (DNS) para garantizar la conectividad.Resolve federation FQDN: Azure AD Connect checks if the federation FQDN can be resolved by DNS to ensure connectivity. Si Azure AD Connect no puede resolver el FQDN, se produce un error de comprobación.If Azure AD Connect cannot resolve the FQDN, the verification will fail. Asegúrese de que exista un registro DNS para el FQDN del servicio de federación para realizar correctamente la comprobación.Ensure that a DNS record is present for the federation service FQDN in order to successfully complete the verification.
    • Registro D de DNS: Azure AD Connect comprueba si hay un registro D para el servicio de federación.DNS A record: Azure AD Connect checks if there is an A record for your federation service. En ausencia de un registro D, se producirá un error de comprobación.In the absence of an A record, the verification will fail. Cree un registro D en lugar de uno CNAME para el FQDN de federación con el fin de realizar correctamente la comprobación.Create an A record and not CNAME record for your federation FQDN in order to successfully complete the verification.

    Comprobaciones de conectividad a la extranetExtranet connectivity checks

    • Resolución del FQDN de federación: Azure AD Connect comprueba si se puede resolver el FQDN de federación mediante un sistema de nombres de dominio (DNS) para garantizar la conectividad.Resolve federation FQDN: Azure AD Connect checks if the federation FQDN can be resolved by DNS to ensure connectivity.

    Operación completada

    Verify

    Para validar que la autenticación de extremo a extremo sea correcta, debe realizar manualmente una o más las pruebas siguientes:To validate end-to-end authentication is successful you should manually perform one or more the following tests:

    • Una vez finalizada la sincronización, utilice la tarea adicional Comprobar el inicio de sesión federado en Azure AD Connect para comprobar la autenticación de una cuenta de usuario local de su elección.Once synchronization in complete, use the Verify federated login additional task in Azure AD Connect to verify authentication for an on-premises user account of your choice.
    • Asegúrese de que puede iniciar sesión desde un explorador en una máquina unida a un dominio en la intranet: Conéctese con https://myapps.microsoft.com y compruebe el inicio de sesión con la cuenta en la que tiene iniciada sesión.Validate that you can sign in from a browser from a domain joined machine on the intranet: Connect to https://myapps.microsoft.com and verify the sign-in with your logged in account. La cuenta de administrador de AD DS integrada no está sincronizada y no se puede usar para la verificación.The built-in AD DS administrator account is not synchronized and cannot be used for verification.
    • Valide que puede iniciar sesión desde un dispositivo desde la extranet.Validate that you can sign in from a device from the extranet. Conéctese a https://myapps.microsoft.com y especifique sus credenciales desde un equipo doméstico o un dispositivo móvil.On a home machine or a mobile device, connect to https://myapps.microsoft.com and supply your credentials.
    • Valide el inicio de sesión de un cliente mejorado.Validate rich client sign-in. Conéctese a https://testconnectivity.microsoft.com, elija la pestaña Office 365 y Prueba de inicio de sesión único de Office 365.Connect to https://testconnectivity.microsoft.com, choose the Office 365 tab and chose the Office 365 Single Sign-On Test.

    Solución de problemasTroubleshooting

    La siguiente sección contiene solución de problemas e información que puede usar si se produce un problema al instalar Azure AD Connect.The following section contains troubleshooting and information that you can use if you encounter an issue installing Azure AD Connect.

    "La base de datos ADSync ya contiene datos y no se puede sobrescribir"“The ADSync database already contains data and cannot be overwritten”

    Cuando realiza una instalación personalizada de Azure AD Connect y selecciona la opción Usar un SQL Server existente en la página Instalar componentes necesarios, podría encontrar un error que indica La base de datos ADSync ya contiene datos y no se puede sobrescribir. Quite la base de datos existente y vuelva a intentarlo.When you custom install Azure AD Connect and select the option Use an existing SQL server on the Install required components page, you might encounter an error that states The ADSync database already contains data and cannot be overwritten. Please remove the existing database and try again.

    Error

    Esto es porque ya hay una base de datos existente llamada ADSync en la instancia de SQL Server del servidor SQL que ha especificado en los cuadros de texto anteriores.This is because there is already an existing database named ADSync on the SQL instance of the SQL server, which you specified in the above textboxes.

    Esto suele ocurrir después de haber desinstalado Azure AD Connect.This typically occurs after you have uninstalled Azure AD Connect. No se elimina la base de datos de SQL Server cuando se desinstala.The database will not be deleted from the SQL Server when you uninstall.

    Para corregir este problema, compruebe primero que la base de datos ADSync utilizada por Azure AD Connect ya no se está usando antes de desinstalar.To fix this issue, first verify that the ADSync database that was used by Azure AD Connect prior to being uninstalled, is no longer being used.

    A continuación, se recomienda hacer una copia de seguridad antes de eliminar la base de datos.Next, it is recommended that you backup the database prior to deleting it.

    Por último, deberá eliminar la base de datos.Finally, you need to delete the database. Para hacerlo, utilice Microsoft SQL Server Management Studio para conectarse a la instancia de SQL Server.You can do this by using Microsoft SQL Server Management Studio and connect to the SQL instance. Busque la base de datos ADSync, haga clic con el botón derecho en ella y seleccione Eliminar en el menú contextual.Find the ADSync database, right click on it, and select Delete from the context menu. A continuación, haga clic en el botón Aceptar para eliminarla.Then click OK button to delete it.

    Error

    Después de eliminar la base de datos ADSync, puede hacer clic en el botón Instalar para volver a intentar la instalación.After you delete the ADSync database, you can click the install button, to retry installation.

    Pasos siguientesNext steps

    Una vez completada la instalación, cierre la sesión e inicie de sesión de nuevo en Windows antes de usar el Administrador del servicio de sincronización o el Editor de reglas de sincronización.After the installation has completed, sign out and sign in again to Windows before you use Synchronization Service Manager or Synchronization Rule Editor.

    Ahora que ha instalado Azure AD Connect, puede comprobar la instalación y asignar licencias.Now that you have Azure AD Connect installed you can verify the installation and assign licenses.

    Conozca más sobre estas características, que se habilitaron con la instalación: Evitación de eliminaciones involuntarias y Azure AD Connect Health.Learn more about these features, which were enabled with the installation: Prevent accidental deletes and Azure AD Connect Health.

    Obtenga información acerca de estos temas habituales: el programador y cómo desencadenar la sincronización.Learn more about these common topics: scheduler and how to trigger sync.

    Obtenga más información sobre la Integración de las identidades locales con Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.