Comparteix a través de


Tutorial: Aprovisionamiento de grupos en Active Directory mediante Microsoft Entra Cloud Sync

Este tutorial le guía a través de la creación y configuración de la sincronización en la nube para sincronizar grupos con Active Directory local.

Aprovisionamiento de Microsoft Entra ID en Active Directory: Requisitos previos

Los siguientes requisitos previos son necesarios para implementar grupos de aprovisionamiento en Active Directory.

Requisitos de licencia

El uso de esta característica requiere una licencia P1 de Microsoft Entra ID. Para encontrar la licencia que más se ajuste a sus requisitos, vea la Comparación de las características de disponibilidad general de Microsoft Entra ID.

Requisitos generales

  • Cuenta de Microsoft Entra con al menos un rol de Administrador de identidad híbrida.
  • Entorno local de Active Directory Domain Services con el sistema operativo Windows Server 2016 o posterior.
    • Se requiere para el atributo de esquema de AD: msDS-ExternalDirectoryObjectId
  • Aprovisionamiento del agente con la versión de compilación 1.1.1370.0 o posterior.

Nota

Los permisos para la cuenta de servicio se asignan solo durante la instalación limpia. En caso de que esté actualizando desde la versión anterior, los permisos deben asignarse manualmente mediante un cmdlet de PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Si los permisos se establecen manualmente, debe asegurarse de que las propiedades Leer, Escribir, Crear y Eliminar estén disponibles para todos los objetos de usuario y grupos descendientes.

Estos permisos no se aplican a objetos AdminSDHolder de forma predeterminada cmdlets de PowerShell gMSA del agente de aprovisionamiento de Microsoft Entra

  • El agente de aprovisionamiento debe poder comunicarse con los controladores de dominio en los puertos TCP/389 (LDAP) y TCP/3268 (catálogo global).
    • Se necesita para la búsqueda del catálogo global, para filtrar las referencias de pertenencia no válidas
  • Microsoft Entra Connect Sync, con la versión de compilación 2.2.8.0 o posterior
    • Se necesita para admitir la pertenencia de usuarios locales sincronizados mediante Microsoft Entra Connect Sync
    • Se necesita para sincronizar AD:user:objectGUID con AAD:user:onPremisesObjectIdentifier

Grupos admitidos y límites de escalado

Lo siguiente es compatible:

  • Solo se admiten Grupos de seguridad creados en la nube
  • Estos grupos pueden tener grupos de pertenencia dinámica o asignados.
  • Estos grupos solo pueden contener usuarios sincronizados locales o grupos de seguridad creados en la nube adicionales.
  • Las cuentas de usuario locales que se sincronizan y son miembros de este grupo de seguridad creado en la nube pueden ser del mismo dominio o entre dominios, pero todos deben ser del mismo bosque.
  • Estos grupos se vuelven a escribir con el ámbito de grupos de AD universal. El entorno local debe admitir el ámbito del grupo universal.
  • No se admiten grupos con más de 50 000 miembros.
  • No se admiten los inquilinos que tienen más de 150 000 objetos. Es decir, si un inquilino tiene cualquier combinación de usuarios y grupos que supere los 150 000 objetos, no se admite el inquilino.
  • Cada grupo anidado secundario directo cuenta como un miembro del grupo de referencia
  • No se admite la conciliación de grupos entre Microsoft Entra ID y Active Directory si el grupo se actualiza manualmente en Active Directory.

Información adicional

A continuación se muestra información adicional sobre el aprovisionamiento de grupos en Active Directory.

  • Los grupos aprovisionados en AD mediante la sincronización en la nube solo pueden contener usuarios sincronizados locales o grupos de seguridad creados en la nube adicionales.
  • Estos usuarios deben tener el atributo onPremisesObjectIdentifier establecido en su cuenta.
  • onPremisesObjectIdentifier debe coincidir con un objectGUID correspondiente en el entorno de AD de destino.
  • Se puede sincronizar un atributo objectGUID de usuarios locales a usuarios en la nube onPremisesObjectIdentifier mediante Microsoft Entra Cloud Sync (1.1.1370.0) o Microsoft Entra Connect Sync (2.2.8.0)
  • Si usa Microsoft Entra Connect Sync (2.2.8.0) para sincronizar usuarios, en lugar de Microsoft Entra Cloud Sync, y quiere usar el aprovisionamiento en AD, debe ser 2.2.8.0 o posterior.
  • Solo se admiten inquilinos normales de Microsoft Entra ID para el aprovisionamiento de Microsoft Entra ID a Active Directory. No se admiten inquilinos como B2C.
  • El trabajo de aprovisionamiento de grupos está programado para ejecutarse cada 20 minutos.

Supuestos

En este tutorial se da por hecho lo siguiente:

  • Tiene un entorno local de Active Directory
  • Tiene la configuración de sincronización en la nube para sincronizar los usuarios con Microsoft Entra ID.
  • Tiene dos usuarios sincronizados. Britta Simon y Lola Jacobson. Estos usuarios existen en el entorno local y en Microsoft Entra ID.
  • Se han creado tres unidades organizativas en Active Directory: Grupos, ventas y marketing. Tienen los siguientes distinguishedNames:
  • OU=Marketing,DC=contoso,DC=com
  • OU=Sales,DC=contoso,DC=com
  • OU=Groups,DC=contoso,DC=com

Cree dos grupos en Microsoft Entra ID.

Para empezar, creamos dos grupos en Microsoft Entra ID. Un grupo es Ventas y el otro es Marketing.

Para crear dos grupos, siga estos pasos.

  1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Administrador de identidad híbrida.
  2. Ve a Identidad>Grupos>Todos los grupos.
  3. En la parte superior, haga clic en Nuevo grupo.
  4. Asegúrese de que el Tipo de grupo está establecido en seguridad.
  5. En Nombre de grupo escriba Ventas
  6. Para Tipo de pertenencia manténgalo asignado.
  7. Haga clic en Crear.
  8. Repita este proceso con Marketing como Nombre del grupo.

Agregar usuarios a los grupos recién creados

  1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Administrador de identidad híbrida.
  2. Ve a Identidad>Grupos>Todos los grupos.
  3. En la parte superior, en el cuadro de búsqueda, escriba Ventas.
  4. Haga clic en el nuevo grupo Ventas.
  5. A la izquierda, haga clic en Miembros
  6. En la parte superior, haga clic en Agregar miembros.
  7. En la parte superior, en el cuadro de búsqueda, escriba Britta Simon.
  8. Coloque una comprobación junto a Britta Simon y haga clic en Seleccionar
  9. Debería agregarla correctamente al grupo.
  10. En el extremo izquierdo, haga clic en Todos los grupos y repita este proceso con el grupo Sales y agregue Lola Jacobson a ese grupo.

Configuración del aprovisionamiento

Para configurar el aprovisionamiento, siga estos pasos.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador híbrido como mínimo.
  2. Vaya a Identidad>Administración híbrida>Microsoft Entra Connect>Cloud Sync. Captura de pantalla de la página de inicio de Cloud Sync.
  1. Seleccione Nueva configuración.

  2. Seleccione Microsoft Entra ID en la sincronización de AD. Captura de pantalla de la selección de configuración.

  3. En la pantalla de configuración, seleccione su dominio y si quiere habilitar la sincronización del hash de contraseñas. Haga clic en Crear. Captura de pantalla de una nueva configuración.

  4. Se abre la pantalla Introducción. Desde aquí, puede seguir configurando la sincronización en la nube

  5. A la izquierda, haga clic en Filtros de ámbito.

  6. En Ámbito de grupo establézcalo en Todos los grupos de seguridad

  7. En Contenedor de destino haga clic en Editar asignación de atributos. Captura de pantalla de las secciones de filtros de ámbito.

  8. Cambie Tipo de asignación a Expresión

  9. En el cuadro de expresión, escriba lo siguiente: Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

  10. Cambie el valor predeterminado para que sea OU=Groups,DC=contoso,DC=com. Captura de pantalla de la expresión de filtros de ámbito.

  11. Haga clic en Aplicar: Cambia el contenedor de destino en función del atributo displayName del grupo.

  12. Haga clic en Guardar

  13. A la izquierda, haga clic en Información general

  14. En la parte superior, haga clic en Revisar y habilite

  15. A la derecha, haga clic en Habilitar configuración

Configuración de prueba

Nota

Al usar el aprovisionamiento a petición, los miembros no se aprovisionan automáticamente. Se debe seleccionar en qué miembros se desea probar, habiendo un límite de 5 miembros.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador híbrido como mínimo.
  2. Vaya a Identidad>Administración híbrida>Microsoft Entra Connect>Cloud Sync. Captura de pantalla de la página de inicio de Cloud Sync.
  1. En Configuración, selecciona tu configuración.

  2. A la izquierda, selecciona Aprovisionar a petición.

  3. Escriba Sales en el cuadro de Grupo seleccionado

  4. En la sección Usuarios seleccionados, selecciona algunos usuarios para probar. Captura de pantalla de la adición de miembros.

  5. Haz clic en Aprovisionar.

  6. Debería ver el grupo aprovisionado.

Captura de pantalla del aprovisionamiento correcto a petición.

Comprobación en Active Directory

Ahora puede asegurarse de que el grupo está aprovisionado en Active Directory.

Haga lo siguiente:

  1. Inicie sesión en el entorno local.
  2. Iniciar Usuarios y equipos de Active Directory
  3. Compruebe que el nuevo grupo está aprovisionado. Captura de pantalla del grupo recién aprovisionado.

Pasos siguientes