Implementación de la sincronización de directorios de Microsoft 365 en Microsoft Azure

  • Artículo

Microsoft Entra Connect (anteriormente conocida como herramienta de sincronización de directorios, herramienta de sincronización de directorios o herramienta de DirSync.exe) es una aplicación que se instala en un servidor unido a un dominio para sincronizar los usuarios de Active Directory local Servicios de dominio (AD DS) con el Microsoft Entra inquilino de la suscripción de Microsoft 365. Microsoft 365 usa Microsoft Entra ID para su servicio de directorio. La suscripción de Microsoft 365 incluye un inquilino de Microsoft Entra. Este inquilino también se puede usar para administrar las identidades de su organización con otras cargas de trabajo en la nube, incluidas otras aplicaciones SaaS y aplicaciones en Azure.

Puede instalar Microsoft Entra Connect en un servidor local, pero también puede instalarlo en una máquina virtual de Azure por estos motivos:

  • Puede aprovisionar y configurar los servidores basados en la nube con mayor rapidez, y conseguir así que los servicios estén disponibles para los usuarios mucho antes.
  • Azure ofrece mejor disponibilidad de sitios con menos esfuerzo.
  • Puede reducir el número de servidores locales de su organización.

Esta solución requiere conectividad entre la red local y la red virtual de Azure. Para obtener más información, consulte Conexión de una red local a una red virtual de Microsoft Azure.

Nota:

En este artículo se describe la sincronización de un único dominio en un único bosque. Microsoft Entra Connect sincroniza todos los dominios de AD DS del bosque de Active Directory con Microsoft 365. Si tiene varios bosques de Active Directory para sincronizar con Microsoft 365, consulte Multi-forest Directory Sync with Single Sign-On Scenario (Sincronización de directorios de varios bosques con un único escenario de Sign-On).

Introducción a la implementación de la sincronización de directorios de Microsoft 365 en Azure

En el diagrama siguiente se muestra Microsoft Entra Connect que se ejecuta en una máquina virtual de Azure (el servidor de sincronización de directorios) que sincroniza un bosque de AD DS local con una suscripción de Microsoft 365.

Microsoft Entra herramienta Connect en una máquina virtual de Azure que sincroniza cuentas locales con el inquilino Microsoft Entra de una suscripción de Microsoft 365 con flujo de tráfico.

En el diagrama, hay dos redes conectadas mediante una conexión VPN de sitio a sitio o ExpressRoute. Hay una red local donde se encuentran los controladores de dominio de AD DS y hay una red virtual de Azure con un servidor de sincronización de directorios, que es una máquina virtual que ejecuta Microsoft Entra Connect. Hay dos flujos de tráfico principales que se origina desde el servidor de sincronización de directorios:

  • Microsoft Entra Connect consulta un controlador de dominio en la red local para ver si hay cambios en las cuentas y contraseñas.
  • Microsoft Entra Connect envía los cambios a las cuentas y contraseñas a la instancia de Microsoft Entra de la suscripción de Microsoft 365. Dado que el servidor de sincronización de directorios se encuentra en una parte extendida de la red local, estos cambios se envían a través del servidor proxy de la red local.

Nota:

En esta solución se describe la sincronización de un único dominio de Active Directory en un único bosque de Active Directory. Microsoft Entra Connect sincroniza todos los dominios de Active Directory del bosque de Active Directory con Microsoft 365. Si tiene varios bosques de Active Directory para sincronizar con Microsoft 365, consulte Multi-forest Directory Sync with Single Sign-On Scenario (Sincronización de directorios de varios bosques con un único escenario de Sign-On).

Existen dos pasos principales cuando implementa esta solución:

  1. Cree una red virtual de Azure y establezca una conexión VPN de sitio a sitio con la red local. Para obtener más información, consulte Conexión de una red local a una red virtual de Microsoft Azure.

  2. Instale Microsoft Entra Connect en una máquina virtual unida a un dominio en Azure y sincronice el AD DS local con Microsoft 365. Esto conlleva lo siguiente:

    • Creación de una máquina virtual de Azure para ejecutar Microsoft Entra Connect.

    • Instalación y configuración de Microsoft Entra Connect.

    La configuración de Microsoft Entra Connect requiere las credenciales (nombre de usuario y contraseña) de una cuenta de administrador de Microsoft Entra y una cuenta de administrador empresarial de AD DS. Microsoft Entra Connect se ejecuta de forma inmediata y continua para sincronizar el bosque de AD DS local con Microsoft 365.

Antes de implementar esta solución en producción, puede usar las instrucciones de La configuración base de empresa simulada para configurar esta configuración como prueba de concepto, para demostraciones o para experimentación.

Importante

Cuando se completa la configuración de Microsoft Entra Connect, no guarda las credenciales de la cuenta de administrador empresarial de AD DS.

Nota:

En esta solución se describe la sincronización de un único bosque de AD DS con Microsoft 365. La topología descrita en este artículo solo representa una manera de implementar esta solución. La topología de la organización puede diferir en función de los requisitos de red únicos y las consideraciones de seguridad.

Planeamiento del hospedaje de un servidor de sincronización de directorios para Microsoft 365 en Azure

Requisitos previos

Antes de comenzar, revise los siguientes requisitos previos para esta solución:

  • Revise el contenido de planeación relacionado en Planear la red virtual de Azure.

  • Asegúrese de que cumple todos los requisitos previos para configurar la red virtual de Azure.

  • Tenga una suscripción a Microsoft 365 que incluya la característica de integración de Active Directory. Para obtener información sobre las suscripciones de Microsoft 365, vaya a la página suscripción de Microsoft 365.

  • Aprovisione una máquina virtual de Azure que ejecute Microsoft Entra Conectar para sincronizar el bosque de AD DS local con Microsoft 365.

    Debe tener las credenciales (nombres y contraseñas) de una cuenta de administrador empresarial de AD DS y una cuenta de administrador de Microsoft Entra.

Suposiciones de diseño de la arquitectura de la solución

En la siguiente lista se describen las elecciones de diseño que se han tomado para esta solución.

  • Esta solución usa una única red virtual de Azure con una conexión VPN de sitio a sitio. La red virtual de Azure hospeda una sola subred que tiene un servidor, el servidor de sincronización de directorios que ejecuta Microsoft Entra Connect.

  • En la red local, hay un controlador de dominio y servidores DNS.

  • Microsoft Entra Connect realiza la sincronización de hash de contraseña en lugar del inicio de sesión único. No es necesario implementar una infraestructura de Servicios de federación de Active Directory (AD FS) (AD FS). Para más información sobre la sincronización de hash de contraseñas y las opciones de inicio de sesión único, consulte Elección del método de autenticación adecuado para la solución de identidad híbrida de Microsoft Entra.

Hay otras opciones de diseño que puede tener en cuenta al implementar esta solución en el entorno. Entre ellas se incluyen las siguientes:

  • Si hay servidores DNS en una red virtual existente de Azure, determine si desea que el servidor de sincronización de directorios los use para la resolución de nombres, en lugar de usar los servidores DNS de la red local.

  • Si hay controladores de dominio en una red virtual de Azure existente, determine si la configuración de sitios y servicios de Active Directory podría ser una mejor opción para usted. El servidor de sincronización de directorios puede consultar los controladores de dominio de la red virtual de Azure para ver si hay cambios en las cuentas y contraseñas en lugar de en los controladores de dominio de la red local.

Guía de implementación

La implementación de Microsoft Entra Connect en una máquina virtual de Azure consta de tres fases:

  • Fase 1: Creación y configuración de la red virtual de Azure

  • Fase 2: Creación y configuración de la máquina virtual de Azure

  • Fase 3: Instalación y configuración de Microsoft Entra Connect

Después de la implementación, también debe asignar ubicaciones y licencias para las nuevas cuentas de usuario en Microsoft 365.

Fase 1: Creación y configuración de la red virtual de Azure

Para crear y configurar la red virtual de Azure, complete la Fase 1: Preparar la red local y la Fase 2: Crear la red virtual entre locales en Azure del plan de implementación de Conectar una red local a Microsoft Azure Virtual Network.

Esta es la configuración resultante.

Fase 1 del servidor de sincronización de directorios para Microsoft 365 hospedado en Azure.

En esta figura se muestra una red local conectada a una red virtual de Azure mediante una conexión de ExpressRoute o VPN de sitio a sitio.

Fase 2: Creación y configuración de la máquina virtual de Azure

Cree la máquina virtual en Azure con las instrucciones Creación de la primera máquina virtual Windows en el Azure Portal. Use la configuración siguiente:

  1. En el panel Datos básicos, seleccione la misma suscripción, ubicación y grupo de recursos que la red virtual. Registre el nombre de usuario y la contraseña en un lugar seguro. Los necesitará más adelante para conectarse a la máquina virtual.

  2. En el panel Elija un tamaño, seleccione el tamaño A2 estándar.

  3. En el panel Configuración, en la sección Almacenamiento, seleccione el tipo de almacenamiento Estándar. En la sección Red , seleccione el nombre de la red virtual y la subred para hospedar el servidor de sincronización de directorios (no GatewaySubnet). Deje todas las demás opciones con sus valores predeterminados.

Compruebe que el servidor de sincronización de directorios usa DNS correctamente. Para ello, compruebe su DNS interno y asegúrese de que se ha agregado un registro de dirección (A) para la máquina virtual con su dirección IP.

Siga las instrucciones de Conexión a la máquina virtual e inicie sesión para conectarse al servidor de sincronización de directorios con una conexión a Escritorio remoto. Después de iniciar sesión, una la máquina virtual al dominio de AD DS local.

Para que Microsoft Entra Connect obtenga acceso a los recursos de Internet, debe configurar el servidor de sincronización de directorios para que use el servidor proxy de la red local. Póngase en contacto con su administrador de red para conocer los pasos de configuración adicionales que debe realizar.

Esta es la configuración resultante.

Fase 2 del servidor de sincronización de directorios para Microsoft 365 hospedado en Azure.

En esta figura se muestra la máquina virtual del servidor de sincronización de directorios en la red virtual de Azure entre locales.

Fase 3: Instalación y configuración de Microsoft Entra Connect

Haga lo siguiente:

  1. Conéctese al servidor de sincronización de directorios mediante una conexión a Escritorio remoto con una cuenta de dominio de AD DS que tenga privilegios de administrador local. Consulte Conexión a la máquina virtual e inicio de sesión.

  2. En el servidor de sincronización de directorios, abra el artículo Configurar la sincronización de directorios para Microsoft 365 y siga las instrucciones para la sincronización de directorios con sincronización de hash de contraseña.

Precaución

El programa de instalación crea la cuenta AAD_xxxxxxxxxxxx en la unidad organizativa (UO) de usuarios locales. No mueva ni quite esta cuenta porque entonces se producirá un error de sincronización.

Esta es la configuración resultante.

Fase 3 del servidor de sincronización de directorios para Microsoft 365 hospedado en Azure.

En esta ilustración se muestra el servidor de sincronización de directorios con Microsoft Entra Connect en la red virtual entre locales de Azure.

Asignación de ubicaciones y licencias a usuarios de Microsoft 365

Microsoft Entra Connect agrega cuentas a la suscripción de Microsoft 365 desde AD DS local, pero para que los usuarios inicien sesión en Microsoft 365 y usen sus servicios, las cuentas deben configurarse con una ubicación y licencias. Use estos pasos para agregar la ubicación y activar las licencias para las cuentas de usuario adecuadas:

  1. Inicie sesión en el Centro de administración de Microsoft 365 y, a continuación, haga clic en Administración.

  2. En el panel de navegación izquierdo, haga clic en Usuarios>activos.

  3. En la lista de las cuentas de usuarios, seleccione la casilla junto al usuario que quiere activar.

  4. En la página del usuario, haga clic en Editar para Licencias de productos.

  5. En la página Licencias de productos, seleccione una ubicación para el usuario en Ubicación y, después, habilite las licencias adecuadas para el usuario.

  6. Cuando finalice, haga clic en Guardar y, después, haga clic en Cerrar dos veces.

  7. Vuelva al paso 3 para usuarios adicionales.

Recursos adicionales

Centro de soluciones y arquitectura de Microsoft 365

Conectar una red local con una red virtual de Microsoft Azure

Descarga de Microsoft Entra Connect

Configuración de la sincronización de directorios para Microsoft 365