Preparación de un dominio no enrutable para la sincronización de directorios

Al sincronizar el directorio local con Microsoft 365, debe tener un dominio comprobado en Microsoft Entra identificador. Solo se sincronizan los nombres principales de usuario (UPN) asociados al dominio de Active Directory local Servicios de dominio (AD DS). Sin embargo, cualquier UPN que contenga un dominio no enrutable, como ".local" (ejemplo: billa@contoso.local), se sincroniza con un dominio .onmicrosoft.com (por ejemplo: billa@contoso.onmicrosoft.com).

Si actualmente usa un dominio ".local" para las cuentas de usuario en AD DS, se recomienda cambiarlos para usar un dominio comprobado. Por ejemplo, billa@contoso.compara sincronizar correctamente con el dominio de Microsoft 365.

¿Qué ocurre si solo tengo un dominio local ".local"?

Use Microsoft Entra Connect para sincronizar AD DS con el inquilino Microsoft Entra del inquilino de Microsoft 365. Para obtener más información, consulte Integración de las identidades locales con Microsoft Entra id.

Microsoft Entra Connect sincroniza el UPN y la contraseña de los usuarios para que los usuarios puedan iniciar sesión con las mismas credenciales que usan en el entorno local. Sin embargo, Microsoft Entra Connect solo sincroniza los usuarios con los dominios comprobados por Microsoft 365. Microsoft Entra identificador comprueba el dominio, ya que administra las identidades de Microsoft 365. En otras palabras, el dominio debe ser un dominio de Internet válido (por ejemplo, .com, .org, .NET, .us). Si su AD DS interno solo usa un dominio no enrutable (por ejemplo, ".local"), esto no puede coincidir con el dominio comprobado que tiene para el inquilino de Microsoft 365. Para solucionar este problema, puede cambiar el dominio principal de AD DS local o agregar uno o varios sufijos UPN.

Cambio del dominio principal

Cambie el dominio principal a un dominio que haya comprobado en Microsoft 365, por ejemplo, contoso.com. Cada usuario que tiene el dominio contoso.local se actualiza a contoso.com. Sin embargo, se trata de un proceso implicado y se describe una solución más sencilla en la sección siguiente.

Agregar sufijos UPN y actualizar los usuarios a ellos

Puede resolver el problema ".local" registrando nuevos sufijos o sufijos UPN en AD DS para que coincidan con el dominio (o dominios) que ha comprobado en Microsoft 365. Después de registrar el nuevo sufijo, actualice los UPN de usuario para reemplazar ".local" por el nuevo nombre de dominio, por ejemplo, para que una cuenta de usuario sea similar billa@contoso.coma .

Después de actualizar los UPN para usar el dominio comprobado, está listo para sincronizar su AD DS local con Microsoft 365.

Paso 1: Agregar el nuevo sufijo UPN

  1. En el controlador de dominio de AD DS, en el Administrador del servidor elija Herramientas>dominios y confianzas de Active Directory.

    O bien, si no tiene Windows Server 2012

    Presione la tecla Windows + R para abrir el cuadro de diálogo Ejecutar y, a continuación, escriba Domain.msc y, a continuación, elija Aceptar.

    Elija Dominios y confianzas de Active Directory.

  2. En la ventana Dominios y confianzas de Active Directory , haga clic con el botón derecho en Dominios y confianzas de Active Directory y, a continuación, elija Propiedades.

    Haga clic con el botón derecho en Dominios y confianzas de Active Directory y elija Propiedades.

  3. En la pestaña Sufijos UPN , en el cuadro Sufijos UPN alternativos , escriba el sufijo o sufijos UPN nuevos y, a continuación, elija Agregar>aplicar.

    Agregue un nuevo sufijo UPN.

    Elija Aceptar cuando haya terminado de agregar sufijos.

Paso 2: Cambiar el sufijo UPN para los usuarios existentes

  1. En el controlador de dominio de AD DS, en el Administrador del servidor elija Herramientas>Usuarios y equipos de Active Directory.

    O bien, si no tiene Windows Server 2012

    Presione la tecla Windows + R para abrir el cuadro de diálogo Ejecutar y, a continuación, escriba Dsa.msc y, a continuación, seleccione Aceptar.

  2. Seleccione un usuario, haga clic con el botón derecho y, a continuación, elija Propiedades.

  3. En la pestaña Cuenta , en la lista desplegable Sufijo UPN, elija el nuevo sufijo UPN y, a continuación, elija Aceptar.

    Agregue un nuevo sufijo UPN para un usuario.

  4. Complete estos pasos para cada usuario.

Uso de PowerShell para cambiar el sufijo UPN para todos los usuarios

Si tiene numerosas cuentas de usuario para actualizar, es más fácil usar PowerShell. En el ejemplo siguiente se usan los cmdlets Get-ADUser y Set-ADUser para cambiar todos los sufijos contoso.local a contoso.com en AD DS.

Por ejemplo, podría ejecutar los siguientes comandos de PowerShell para actualizar todos los sufijos contoso.local a contoso.com:

$LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*contoso.local'" -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@contoso.local","@contoso.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}

Consulte el módulo Windows PowerShell de Active Directory para obtener más información sobre el uso de Windows PowerShell en AD DS.