Instalar Microsoft Entra Connect mediante permisos de administrador delegados de SQL
Antes de la última compilación de Microsoft Entra Connect, no se admitía la delegación administrativa al implementar configuraciones que requerían SQL. Los usuarios que deseaban instalar Microsoft Entra Connect necesitaban tener permisos de administrador del servidor (SA) en el servidor SQL.
Con la versión más reciente de Microsoft Entra Connect, el administrador de SQL puede realizar ahora el aprovisionamiento de la base de datos de manera externa y luego el administrador de Microsoft Entra Connect puede instalarlo con derechos de propietario de la base de datos.
Antes de empezar
Para usar esta característica, debe darse cuenta de que hay varias piezas móviles y cada una de ellas puede tener que ver con un administrador diferente de la organización. En la tabla siguiente se resumen los roles individuales y sus funciones respectivas en la implementación de Microsoft Entra Connect con esta característica.
| Role | Descripción |
|---|---|
| Administrador de dominio o bosque de AD | Crea la cuenta de servicio en el nivel de dominio que se usa en Microsoft Entra Connect para ejecutar el servicio de sincronización. Para más información sobre las cuentas de servicio, consulte Cuentas y permisos. |
| Administrador de SQL | Crea la base de datos ADSync y concede acceso de inicio de sesión + dbo al administrador de Microsoft Entra Connect y a la cuenta de servicio creada por el administrador de dominio o bosque. |
| Administrador de Microsoft Entra Connect | Instala Microsoft Entra Connect y especifica la cuenta de servicio durante la instalación personalizada. |
Pasos para instalar Microsoft Entra Connect con permisos delegados de SQL
Para aprovisionar la base de datos de forma externa e instalar Microsoft Entra Connect con permisos de propietario de base de datos, siga estos pasos.
Nota:
Aunque no es necesario, es muy recomendable seleccionar la intercalación de Latin1_General_CI_AS al crear la base de datos.
Solicite al administrador de SQL que cree la base de datos ADSync con una secuencia de intercalación sin distinción entre mayúsculas y minúsculas (Latin1_General_CI_AS). El modelo de recuperación, el nivel de compatibilidad y el tipo de contención se actualizan con los valores correctos cuando se instala Microsoft Entra Connect. Sin embargo, el administrador de SQL debe establecer correctamente la secuencia de intercalación o, de lo contrario, Microsoft Entra Connect bloqueará la instalación. Para recuperar el permiso SA, debe eliminar y volver a crear la base de datos.
Conceda los siguientes permisos al administrador de Microsoft Entra Connect y a la cuenta de servicio de dominio:
- Inicio de sesión de SQL
- Derechos de database owner(dbo) (propietario de la base de datos).
Nota:
Microsoft Entra Connect no admite inicios de sesión con una membresía anidada. Esto significa que su cuenta de administrador de Microsoft Entra Connect y la cuenta de servicio de dominio deben vincularse a un inicio de sesión al que se conceden derechos dbo. Simplemente no puede ser miembro de un grupo asignado a un inicio de sesión con derechos dbo.
Envíe un correo electrónico al administrador de Microsoft Entra Connect que indique el nombre del servidor y de la instancia de SQL que se debe usar al instalar Microsoft Entra Connect.
Información adicional
Cuando se aprovisiona la base de datos, el administrador de Microsoft Entra Connect puede instalar y configurar la sincronización local cuando lo consideren oportuno.
En caso de que el administrador de SQL haya restaurado la base de datos ADSync a partir de una copia de seguridad de Microsoft Entra Connect anterior, tendrá que instalar el nuevo servidor de Microsoft Entra Connect mediante una base de datos existente. Para más información sobre cómo instalar Microsoft Entra Connect con una base de datos existente, consulte Instalación de Microsoft Entra Connect mediante una base de datos existente ADSync.