Instalación de Azure AD Connect mediante permisos de administrador delegados de SQL

Antes de la última compilación de Azure AD Connect, no se admitía la delegación administrativa al implementar configuraciones que requerían SQL. Los usuarios que deseaban instalar Azure AD Connect necesitaban tener permisos de administrador del servidor (SA) en el servidor SQL.

Con la versión más reciente de Azure AD Connect, el administrador de SQL puede realizar ahora el aprovisionamiento de la base de datos de manera externa y luego el administrador de Azure AD Connect puede instalarlo con derechos de propietario de la base de datos.

Antes de comenzar

Para usar esta característica, debe darse cuenta de que hay varias piezas móviles y cada una de ellas puede tener que ver con un administrador diferente de la organización. En la tabla siguiente se resumen los roles individuales y sus funciones respectivas en la implementación de Azure AD Connect con esta característica.

Role Descripción
Administrador de dominio o bosque de AD Crea la cuenta de servicio en el nivel de dominio que se usa en Azure AD Connect para ejecutar el servicio de sincronización. Para más información sobre las cuentas de servicio, consulte Cuentas y permisos.
Administrador de SQL Crea la base de datos ADSync y concede acceso de inicio de sesión + dbo al administrador de Azure AD Connect y a la cuenta de servicio creada por el administrador de dominio o bosque.
Administrador de Azure AD Connect Instala Azure AD Connect y especifica la cuenta de servicio durante la instalación personalizada.

Pasos para instalar Azure AD Connect con permisos delegados de SQL

Para aprovisionar la base de datos de forma externa e instalar Azure AD Connect con permisos de propietario de base de datos, siga estos pasos.

Nota

Aunque no es necesario, es muy recomendable seleccionar la intercalación de Latin1_General_CI_AS al crear la base de datos.

  1. Solicite al administrador de SQL que cree la base de datos ADSync con una secuencia de intercalación sin distinción entre mayúsculas y minúsculas (Latin1_General_CI_AS). El modelo de recuperación, el nivel de compatibilidad y el tipo de contención se actualizan con los valores correctos cuando se instala Azure AD Connect. Sin embargo, el administrador de SQL debe establecer correctamente la secuencia de intercalación o, de lo contrario, Azure AD Connect bloqueará la instalación. Para recuperar el permiso SA, debe eliminar y volver a crear la base de datos.

    Intercalación

  2. Conceda los siguientes permisos al administrador de Azure AD Connect y a la cuenta de servicio de dominio:

    • Inicio de sesión de SQL
    • Derechos de database owner(dbo) (propietario de la base de datos).

    Permisos

    Nota

    Azure AD Connect no admite inicios de sesión con una pertenencia anidada. Esto significa que su cuenta de administrador de Azure AD Connect y la cuenta de servicio de dominio deben vincularse a un inicio de sesión al que se conceden derechos dbo. Simplemente no puede ser miembro de un grupo asignado a un inicio de sesión con derechos dbo.

  3. Envíe un correo electrónico al administrador de Azure AD Connect que indique el nombre del servidor y de la instancia de SQL que se debe usar al instalar Azure AD Connect.

Información adicional

Cuando se aprovisiona la base de datos, el administrador de Azure AD Connect puede instalar y configurar la sincronización local cuando lo consideren oportuno.

En caso de que el administrador de SQL haya restaurado la base de datos ADSync a partir de una copia de seguridad de Azure AD Connect anterior, tendrá que instalar el nuevo servidor de Azure AD Connect mediante una base de datos existente. Para más información sobre cómo instalar Azure AD Connect con una base de datos existente, consulte Instalación de Azure AD Connect mediante una base de datos existente ADSync.

Pasos siguientes