Tutorial: Integración de un único bosque con un único inquilino de Azure AD

Este tutorial le guía en la creación de un entorno de identidad híbrida mediante la sincronización en la nube de Azure Active Directory (Azure AD) Connect.

Diagrama que muestra el flujo de Azure AD Connect Cloud Sync.

El entorno que se crea en este tutorial se puede usar para realizar pruebas o para familiarizarse con la sincronización en la nube.

Requisitos previos

En el Centro de administración de Azure Active Directory

  1. Cree una cuenta de administrador global solo en la nube en el inquilino de Azure AD. De esta manera, puede administrar la configuración del inquilino en caso de que los servicios locales fallen o no estén disponibles. Información acerca de la incorporación de una cuenta de administrador global que está solo en la nube. Realizar este paso es esencial para garantizar que no queda bloqueado fuera de su inquilino.
  2. Agregue uno o varios nombres de dominio personalizados al inquilino de Azure AD. Los usuarios pueden iniciar sesión con uno de estos nombres de dominio.

En el entorno local

  1. Identifique un servidor host unido a un dominio en el que se ejecuta Windows Server 2016 o superior con 4 GB de RAM como mínimo y un entorno de ejecución .NET 4.7.1 o posterior.

  2. Si hay un firewall entre los servidores y Azure AD, configure los elementos siguientes:

    • Asegúrese de que los agentes pueden realizar solicitudes de salida a Azure AD a través de los puertos siguientes:

      Número de puerto Cómo se usa
      80 Descarga las listas de revocación de certificados (CRL) al validar el certificado TLS/SSL.
      443 Controla toda la comunicación saliente con el servicio
      8080 (opcional) Si el puerto 443 no está disponible, los agentes notifican su estado cada 10 minutos en el puerto 8080. Este estado se muestra en el portal de Azure AD.

      Si el firewall fuerza las reglas según los usuarios que las originan, abra estos puertos para el tráfico de servicios de Windows que se ejecutan como un servicio de red.

    • Si el firewall o proxy le permite especificar sufijos seguros, agregue conexiones a *.msappproxy.net y *.servicebus.windows.net. En caso contrario, permita el acceso a los intervalos de direcciones IP del centro de datos de Azure, que se actualizan cada semana.

    • Los agentes necesitan acceder a login.windows.net y login.microsoftonline.com para el registro inicial. Abra el firewall también para esas direcciones URL.

    • Para la validación de certificados, desbloquee las siguientes direcciones URL: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 y www.microsoft.com:80. Como estas direcciones URL se utilizan para la validación de certificados con otros productos de Microsoft, es posible que estas direcciones URL ya estén desbloqueadas.

Instalación del agente de aprovisionamiento de Azure AD Connect

Si usa el tutorial Entorno básico de AD y Azure, sería DC1. Para instalar el agente, siga estos pasos:

  1. Inicie sesión en el servidor unido al dominio con permisos de administrador de organización.

  2. Abra un explorador web e inicie sesión en Azure Portal con credenciales de administrador global solo en la nube.

  3. En el menú de la izquierda, seleccione Azure Active Directory.

  4. Seleccione Azure AD Connect y elija Administrar Azure AD Cloud Sync.

    Captura de pantalla que muestra cómo descargar Azure AD Cloud Sync.

  5. Seleccione Descargar agente y seleccione Aceptar términos y descargar.

    Captura de pantalla que muestra cómo aceptar los términos e iniciar la descarga de Azure AD Cloud Sync.

  6. Una vez descargado el paquete del agente de aprovisionamiento de Azure AD Connect, ejecute el archivo de instalación AADConnectProvisioningAgentSetup.exe desde la carpeta de descargas.

  7. En la pantalla de presentación, elija Acepto los términos y las condiciones de la licencia y seleccione Instalar.

    Captura de pantalla que muestra la pantalla de presentación

  8. Cuando finalice la instalación, se iniciará el asistente para configuración. Seleccione Siguiente para iniciar la configuración.

    Captura de pantalla que muestra la pantalla de bienvenida del asistente para la configuración del agente de aprovisionamiento de Azure AD Connect.

  9. Inicie sesión con su cuenta de administrador global de Azure AD. Si tiene habilitada la seguridad mejorada de Internet Explorer, se bloqueará el inicio de sesión. Si es así, cierre la instalación, deshabilite la seguridad mejorada de Internet Explorer y reinicie la instalación del paquete del agente de aprovisionamiento de Azure AD Connect.

    Captura de la pantalla Conectar Azure AD.

  10. En la pantalla Configurar cuenta de servicio, seleccione una cuenta de servicio administrada de grupo (gMSA). Esta cuenta se usa para ejecutar el servicio del agente. Si ya hay configurada una cuenta de servicio administrada en el dominio, puede omitir esta pantalla. Si el sistema le pregunta, elija una de estas opciones:

    • Crear gMSA, que permite al agente crear automáticamente la cuenta de servicio administrada provAgentgMSA$. La cuenta de servicio administrada de grupo (por ejemplo, CONTOSO\provAgentgMSA$) se creará en el mismo dominio de Active Directory al que se ha unido el servidor host. Para usar esta opción, escriba las credenciales de administrador de dominio de Active Directory.
    • Usar gMSA personalizada y proporcione el nombre de la cuenta de servicio administrada.

    Captura de la pantalla

    Para continuar, seleccione Siguiente.

  11. En la pantalla Conectar Active Directory, si el nombre de su dominio aparece en Dominios configurados, continúe en el paso siguiente. De lo contrario, escriba el nombre del dominio de Active Directory y seleccione Agregar directorio.

    Captura de pantalla que muestra cómo agregar un dominio de Active Directory.

    Inicie sesión con su cuenta de administrador de dominio de Active Directory. La cuenta de administrador de dominio no debe tener requisitos de cambio de contraseña. Si la contraseña expira o cambia, tendrá que volver a configurar el agente con las credenciales nuevas. Esta operación permitirá agregar su directorio local. Seleccione Aceptar y Siguiente para continuar.

    Captura de pantalla que muestra cómo proporcionar las credenciales de administrador de dominio.

    En la captura de pantalla siguiente se muestra un ejemplo del dominio configurado contoso.com. Seleccione Next (Siguiente) para continuar.

    Captura de pantalla que muestra la pantalla

  12. En la pantalla Configuración completa, seleccione Confirmar. Esta operación registrará el agente y lo reiniciará.

    Captura de pantalla que muestra la pantalla

  13. Una vez completada esta operación, se le debería notificar que la configuración del agente se ha comprobado correctamente. Puede seleccionar Salir.

    Captura de pantalla que muestra la pantalla

  14. Si la pantalla de presentación inicial no desaparece, seleccione Cerrar.

Comprobación de la instalación del agente

La comprobación del agente se produce en Azure Portal y en el servidor local que ejecuta el agente.

Comprobación del agente en Azure Portal

Para comprobar que Azure AD registra el agente, siga estos pasos:

  1. Inicie sesión en Azure Portal.

  2. En el menú de la izquierda, seleccione Azure Active Directory.

  3. Seleccione Azure AD Connect y, después, Administrar Azure AD Cloud Sync.

    Captura de pantalla que muestra cómo administrar Azure AD Cloud Sync.

  4. En la pantalla Sincronización en la nube de Azure AD Connect, seleccione Revisar todos los agentes.

    Captura de pantalla que muestra los agentes de aprovisionamiento de Azure AD.

  5. En la pantalla Agentes de aprovisionamiento locales, verá los agentes que ha instalado. Compruebe que el agente en cuestión está ahí y que se ha marcado como Activo.

    Captura de pantalla que muestra el estado de un agente de aprovisionamiento.

En el servidor local

Para comprobar que el agente se ejecuta, siga estos pasos:

  1. Inicie sesión en el servidor con una cuenta de administrador.

  2. Abra Servicios. Para ello, vaya ahí o a Inicio/Ejecutar/Services.msc.

  3. En Servicios asegúrese de que tanto el Actualizador del Agente de Microsoft Azure AD Connect como el Agente de aprovisionamiento de Microsoft Azure AD Connect están presentes y que su estado es En ejecución.

    Captura de pantalla que muestra los servicios de Windows.

Configuración de la sincronización en la nube de Azure AD Connect

Use los pasos siguientes para configurar e iniciar el aprovisionamiento:

  1. Inicie sesión en Azure Portal.

  2. Seleccione Azure Active Directory.

  3. Seleccione Azure AD Connect.

  4. Seleccione Administrar Cloud Sync.

    Captura de pantalla que muestra el vínculo

  5. Seleccione Nueva configuración.

    Captura de pantalla de Azure AD Connect Cloud Sync, con el vínculo

  6. En la pantalla de configuración, escriba un correo electrónico de notificación, mueva el selector a Habilitar y seleccione Guardar.

    Captura de la pantalla de configuración con el campo Correo electrónico de notificación rellenado y Habilitar seleccionado.

  7. El estado de configuración ahora debería ser Correcto.

    Captura de pantalla de

Comprobación de la creación y sincronización de los usuarios

Ahora comprobará que los usuarios que tenía en el directorio local se han sincronizado y existen en el inquilino de Azure AD. Esta operación de sincronización puede tardar varias horas en completarse. Para comprobar que los usuarios están sincronizados, siga estos pasos:

  1. Vaya a Azure Portal e inicie sesión con una cuenta que tenga una suscripción de Azure.
  2. En la parte izquierda, seleccione Azure Active Directory.
  3. En Administrar, seleccione Usuarios.
  4. Compruebe que ve los usuarios nuevos en su inquilino.

Prueba del inicio de sesión con uno de sus usuarios

  1. Vaya a https://myapps.microsoft.com.

  2. Inicie sesión con una cuenta de usuario que se creó en su inquilino. Deberá iniciar sesión mediante el formato siguiente: (user@domain.onmicrosoft.com). Use la misma contraseña que el usuario utiliza para iniciar sesión en el entorno local.

    Captura de pantalla que muestra el portal Mis aplicaciones con usuarios que han iniciado sesión.

Ya ha configurado correctamente un entorno de identidad híbrida mediante la sincronización en la nube de Azure AD Connect.

Pasos siguientes