Instalación personalizada de Microsoft Entra Connect
Use la configuración personalizada en Microsoft Entra Connect cuando quiera más opciones para la instalación. Utiliza esta configuración, por ejemplo, si tienes varios bosques o si desea configurar características opcionales. Utiliza esta configuración personalizada en todos aquellos casos en que la opción Instalación rápida no satisfaga sus necesidades de implementación o topología.
Requisitos previos:
- Descargar Microsoft Entra Connect.
- Completa los pasos de requisitos previos de Microsoft Entra Connect: Hardware y requisitos previos.
- Asegúrate de que posees las cuentas que se describen en Microsoft Entra Connect: Cuentas y permisos.
Configuración de la instalación personalizada
Para configurar una instalación personalizada de Microsoft Entra Connect, sigue las páginas del asistente que se describen en las siguientes secciones.
Configuración rápida
En la página Configuración rápida, selecciona Personalizar para iniciar la instalación con configuración personalizada. El resto de este artículo te guiará en el proceso de instalación personalizada. Usa los vínculos siguientes para ir rápidamente a la información de una página determinada:
Instalación de los componentes necesarios
Al instalar los servicios de sincronización, puedes dejar sin seleccionar la sección de configuración opcional. Microsoft Entra Connect lo configura todo automáticamente. Configura una instancia de SQL Server 2019 Express LocalDB, crea los grupos apropiados y asigna permisos. Si deseas cambiar los valores predeterminados, desactiva las casillas correspondientes. En la tabla siguiente se resumen estas opciones y se proporcionan vínculos a información adicional.
| Configuración opcional | Descripción |
|---|---|
| Especificar una ubicación de instalación personalizada | Permite cambiar la ruta de instalación predeterminada para Microsoft Entra Connect. |
| Usar un SQL Server existente | Permite especificar el nombre de SQL Server y el nombre de la instancia. Elige esta opción si ya dispones de un servidor de base de datos que quieres utilizar. En Nombre de instancia, introduce el nombre de la instancia, una coma y el número de puerto si su instancia de SQL Server no tiene la exploración habilitada. A continuación, especifica el nombre de la base de datos de Microsoft Entra Connect. Los privilegios de SQL determinan si se puede crear una nueva base de datos o si el administrador de SQL debe crear la base de datos de antemano. Si tienes permisos de administrador de SQL Server (SA), consulta Instalación de Microsoft Entra Connect mediante una base de datos existente. Si tienes permisos delegados (DBO), consulta Instalación de Microsoft Entra Connect mediante permisos de administrador delegados de SQL. |
| Usar una cuenta de servicio existente | De forma predeterminada, Microsoft Entra Connect proporciona una cuenta de servicio virtual para los servicios de sincronización. Si usas una instancia remota de SQL Server o un proxy que requiere autenticación, puedes usar una cuenta de servicio administrada o una cuenta de servicio protegida con contraseña en el dominio. En esos casos, especifica la cuenta que quieres usar. Para ejecutar la instalación, debes ser SA en SQL para poder crear las credenciales de inicio de sesión de la cuenta de servicio. Para más información, consulte Cuentas y permisos de Microsoft Entra Connect. Con la compilación más reciente, el administrador de SQL ahora puede aprovisionar la base de datos fuera de banda. A continuación, el administrador de Microsoft Entra Connect puede instalarla con derechos de propietario de la base de datos. Para obtener más información, consulte Instalación de Microsoft Entra Connect con permisos de administrador delegado de SQL. |
| Especificar grupos de sincronización personalizada | De forma predeterminada, cuando se instalan los servicios de sincronización, Microsoft Entra Connect crea cuatro grupos que son locales para el servidor. Estos grupos son Administradores, Operadores, Exploración y Restablecimiento de contraseña. Puedes especificar sus grupos aquí. Los grupos deben ser locales en el servidor. No se encuentran en el dominio. |
| Importar configuración de sincronización | Permite importar la configuración de otras versiones de Microsoft Entra Connect. Para obtener más información, consulta Importación y exportación de opciones de configuración de Microsoft Entra Connect. |
Inicio de sesión de usuario
Después de instalar los componentes necesarios, selecciona el método de inicio de sesión único de tus usuarios. En la tabla siguiente se describen brevemente las opciones disponibles. Para obtener una descripción completa de los métodos de inicio de sesión, consulta las opciones de inicio de sesión de usuario.
| Opción Inicio de sesión único | Descripción |
|---|---|
| Sincronización de hash de contraseña | Los usuarios pueden iniciar sesión en los servicios en la nube de Microsoft, como Microsoft 365, con la misma contraseña que usan en tu red local. Las contraseñas de usuario se sincronizan con Microsoft Entra ID como hash de contraseña. La autenticación se produce en la nube. Para más información, consulta Sincronización de hash de contraseña. |
| Autenticación transferida | Los usuarios pueden iniciar sesión en los servicios en la nube de Microsoft, como Microsoft 365, con la misma contraseña que usan en tu red local. Para validar las contraseñas de usuario, estas se pasan al controlador de dominio de Active Directory local. |
| Federación con AD FS | Los usuarios pueden iniciar sesión en los servicios en la nube de Microsoft, como Microsoft 365, con la misma contraseña que usan en tu red local. Los usuarios se redirigen a su instancia local de Servicios de federación de Active Directory (AD FS) para iniciar sesión. La autenticación se realiza localmente. |
| Federación con PingFederate | Los usuarios pueden iniciar sesión en los servicios en la nube de Microsoft, como Microsoft 365, con la misma contraseña que usan en tu red local. Los usuarios se redirigen a su instancia local de PingFederate para iniciar sesión. La autenticación se realiza localmente. |
| No configurar | No se instala ni configura ninguna característica de inicio de sesión de usuario. Elige esta opción si ya tienes un servidor de federación de terceros u otra solución ya instalada. |
| Habilitar el inicio de sesión único | Esta opción está disponible con la sincronización de hash de contraseñas y la autenticación transferida. Proporciona una experiencia de inicio de sesión único para los usuarios de escritorio en redes corporativas. Para más información, consulta Inicio de sesión único. Nota: Esta opción no está disponible para los clientes de AD FS. AD FS ya ofrece el mismo nivel de inicio de sesión único. |
Conexión a Microsoft Entra ID
En la página Conexión a Microsoft Entra ID, escribe una cuenta y una contraseña de administrador de identidad híbrida. Si seleccionaste Federación con AD FS en la página anterior, no inicies sesión con una cuenta que está en un dominio que planea habilitar para la federación.
Puedes utilizar una cuenta en el dominio predeterminado onmicrosoft.com, que se incluye con tu inquilino de Microsoft Entra. Esta cuenta solo se usa para crear una cuenta de servicio en Microsoft Entra ID. No se utiliza una vez finalizada la instalación.
Nota
Un procedimiento recomendado es evitar el uso de cuentas sincronizadas locales para las asignaciones de roles de Microsoft Entra. Si la cuenta local está en peligro, también se puede usar para poner en peligro los recursos de Microsoft Entra. Para obtener una lista completa de los procedimientos recomendados, consulta Procedimientos recomendados para roles de Microsoft Entra
Si la cuenta de administrador global tiene habilitada la autenticación multifactor, proporciona la contraseña de nuevo en la ventana de inicio de sesión y completa el desafío de autenticación multifactor. El desafío puede ser un código de verificación o una llamada telefónica.
La cuenta de administrador global también puede tener habilitado Privileged Identity Management.
Para usar la compatibilidad de la autenticación con escenarios sin contraseña, como cuentas federadas, tarjetas inteligentes y escenarios de MFA, puedes proporcionar el conmutador /InteractiveAuth al iniciar el asistente. Al usar este conmutador, se omitirá la interfaz de usuario de autenticación del asistente y se usará la interfaz de usuario de la biblioteca MSAL para controlar la autenticación.
Si observas un error o tienes problemas con la conectividad, consulta Solución de problemas de conectividad.
Páginas de sincronización
Las secciones siguientes describen las páginas de la sección Sincronización.
Conectar sus directorios
Para conectarse a Active Directory Domain Services (AD DS), Microsoft Entra Connect necesita el nombre del bosque y las credenciales de una cuenta con permisos suficientes.
Después de escribir el nombre del bosque y seleccionar Agregar directorio, aparece una ventana. Las opciones se describen en la siguiente tabla.
| Opción | Descripción |
|---|---|
| Crear nueva cuenta | Crea la cuenta de AD DS que Microsoft Entra Connect necesita para conectarse al bosque de Active Directory durante la sincronización de directorios. Después de seleccionar esta opción, escribe el nombre de usuario y la contraseña de una cuenta de administrador de organización. Para crear la cuenta de AD DS requerida, Microsoft Entra Connect usa la cuenta de administrador de organización proporcionada. Puedes escribir la parte del dominio en formato de NetBIOS o FQDN. Es decir, escribe FABRIKAM\administrator o fabrikam.com\administrator. |
| Usar cuenta existente | Proporciona una cuenta de AD DS existente que Microsoft Entra Connect pueda utilizar para conectarse al bosque de Active Directory durante la sincronización de directorios. Puedes escribir la parte del dominio en formato de NetBIOS o FQDN. Es decir, escribe FABRIKAM\syncuser o fabrikam.com\syncuser. Esta cuenta puede ser una cuenta de usuario normal porque solo necesita los permisos de lectura predeterminados. Sin embargo, en función del escenario, puede que necesites permisos adicionales. Para más información, consulte Cuentas y permisos de Microsoft Entra Connect. |
Nota
A partir de la compilación 1.4.18.0, ya no se puede utilizar una cuenta de administrador de organización o una cuenta de administrador de dominio, como la cuenta del conector de AD DS. Al seleccionar Usar cuenta existente, si intentas especificar una cuenta de administrador de Enterprise o una cuenta de administrador de dominio, verás el siguiente error: "No se permite usar una cuenta de administrador de dominio o Enterprise para la cuenta de bosque de AD. Deja que Microsoft Entra Connect cree la cuenta o especifica una cuenta de sincronización con los permisos correctos”.
Configuración de inicio de sesión de Microsoft Entra
En la página Configuración de inicio de sesión de Microsoft Entra, revisa los dominios de nombre principal de usuario (UPN) en el entorno local de AD DS. Esos dominios de UPN se han comprobado en Microsoft Entra ID. En esta página, puedes configurar el atributo que se usará para userPrincipalName.
Revisa todos los dominios marcados como Sin agregar o No comprobado. Asegúrate de que los dominios que usas se han comprobado en Microsoft Entra ID. Después de comprobar los dominios, selecciona el icono de actualización circular. Para más información, consulta Adición y comprobación del dominio.
Los usuarios utilizan el atributo userPrincipalName al iniciar sesión en Microsoft Entra ID y Microsoft 365. Microsoft Entra ID debe comprobar los dominios, también conocidos como "sufijo UPN", antes de que se sincronicen los usuarios. Microsoft recomienda mantener el atributo userPrincipalName predeterminado.
Si el atributo userPrincipalName no es enrutable y no se puede comprobar, puedes seleccionar otro atributo. Por ejemplo, puedes seleccionar email como el atributo que contiene el id. de inicio de sesión. Cuando se usa un atributo distinto de userPrincipalName, se conoce como identificador alternativo.
El valor del atributo de identificador alternativo debe seguir el estándar RFC 822. Se puede utilizar un identificador alternativo con la sincronización de hash de contraseñas, la autenticación transferida y la federación. En Active Directory, el atributo no se puede definir como de valores múltiples, aunque solo tenga un valor. Para obtener más información sobre el identificador alternativo, consulta Autenticación transferida: preguntas más frecuentes.
Nota
Al habilitar la autenticación transferida, debes tener al menos un dominio verificado para continuar con el proceso de instalación personalizada.
Advertencia
Los identificadores alternativos no son compatibles con todas las cargas de trabajo de Microsoft 365. Para obtener más información, consulta Configuración de identificador de inicio de sesión alternativo.
Filtrado por dominio y unidad organizativa
De forma predeterminada, todos los dominios y las unidades organizativas (UO) se sincronizan. Si no quieres sincronizar algunos dominios o unidades organizativas con Microsoft Entra ID, puedes borrar las selecciones adecuadas.
En esta página se configura el filtrado basado en dominio y en unidad organizativa. Si tienes previsto realizar cambios, consulta Filtrado basado en dominios y Filtrado basado en unidad organizativa. Algunas unidades organizativas son esenciales para la funcionalidad, por lo que debes dejarlas seleccionadas.
Si usas el filtrado basado en unidad organizativa con una versión de Microsoft Entra Connect anterior a 1.1.524.0, las unidades organizativas nuevas se sincronizan de forma predeterminada. Si no deseas que se sincronicen las nuevas unidades organizativas, puedes ajustar el comportamiento predeterminado después del paso Filtrado basado en unidad organizativa. Para Microsoft Entra Connect, versión 1.1.524.0 o posteriores, puedes indicar si desea que las unidades organizativas nuevas se sincronicen.
Si tienes previsto usar el Filtrado basado en grupos, asegúrate de que se incluye la unidad organizativa con el grupo y que no se filtra con el filtrado de unidades organizativas. El filtrado de unidad organizativa se evalúa antes del filtrado basado en grupo.
También es posible que algunos dominios no sean accesibles debido a las restricciones del firewall. De forma predeterminada estos dominios no estarán seleccionados y presentan una advertencia.
Si ves esta advertencia, asegúrate de que efectivamente no se pueda acceder a estos dominios y de que esta advertencia sea esperada.
Identificación de forma exclusiva de usuarios
En la página Identificación de usuarios, elige cómo identificar a los usuarios en los directorios locales y cómo identificarlos mediante el atributo sourceAnchor.
Selecciona cómo deben identificarse los usuarios en los directorios locales
Con la característica Correspondencia entre bosques, puedes definir cómo se representan los usuarios de los bosques de AD DS en Microsoft Entra ID. Un usuario puede estar representado solo una vez en todos los bosques o tener una combinación de cuentas habilitadas y deshabilitadas. En algunos bosques, el usuario también puede aparecer representado como un contacto.
| Configuración | Descripción |
|---|---|
| Los usuarios solo se representan una vez en todos los bosques | Todos los usuarios se crean como objetos individuales en Microsoft Entra ID. Los objetos no se combinan en el metaverso. |
| Atributo Correo | Esta opción une a los usuarios y contactos si el atributo Correo tiene el mismo valor en bosques diferentes. Usa esta opción si los contactos se han creado mediante GALSync. Si eliges esta opción, los objetos de usuario cuyo atributo Correo no esté rellenado no se sincronizarán con Microsoft Entra ID. |
| Atributos ObjectSID y msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID | Esta opción une un usuario habilitado en un bosque de cuentas con un usuario deshabilitado en un bosque de recursos. En Exchange, esta configuración se conoce como buzón vinculado. Puedes usar esta opción si solo usas Lync y si Exchange no está presente en el bosque de recursos. |
| Atributos SAMAccountName y MailNickName | Esta opción combina atributos donde se espera que pueda encontrarse el identificador de inicio de sesión del usuario. |
| Elige un atributo específico | Esta opción te permite seleccionar tu propio atributo. Si eliges esta opción, no se sincronizarán con Microsoft Entra ID los objetos de usuario cuyo atributo (seleccionado) no esté rellenado. Limitación: solo los atributos que ya se encuentran en el metaverso están disponibles para esta opción. |
Selecciona cómo deben identificarse los usuarios mediante un delimitador de origen
El atributo sourceAnchor es inmutable mientras siga vigente un objeto de usuario. Es la clave principal que vincula el usuario local con el usuario de Microsoft Entra ID.
| Configuración | Descripción |
|---|---|
| Permitir que Azure administre el delimitador de origen | Selecciona esta opción si deseas que Microsoft Entra ID elija automáticamente el atributo. Si seleccionas esta opción, Microsoft Entra Connect aplica la lógica de selección de atributo sourceAnchor que se describe en Uso de ms-DS-ConsistencyGuid como sourceAnchor. Una vez finalizada la instalación personalizada, verás qué atributo se seleccionó como el atributo sourceAnchor. |
| Elige un atributo específico | Selecciona esta opción si quieres especificar un atributo existente de AD como atributo sourceAnchor. |
Dado que el atributo sourceAnchor no se puede cambiar, debes elegir un atributo adecuado. Un buen candidato es objectGUID. Este atributo no cambia, salvo que la cuenta de usuario se mueva entre bosques o dominios. No elijas atributos que puedan cambiar si una persona se casa o se cambian las asignaciones.
No puedes usar atributos que incluyan un signo de arroba (@), por lo que no puedes usar emails ni userPrincipalName. El atributo también distingue mayúsculas de minúsculas, por lo que si mueves un objeto entre bosques, asegúrate de conservar las mayúsculas y minúsculas. Los atributos binarios tienen codificación Base64, pero otros tipos de atributo permanecerán en su estado sin codificar.
En escenarios de federación y en algunas interfaces de Microsoft Entra ID, el atributo sourceAnchor también se conoce también como immutableID.
Para más información sobre el delimitador de origen, consulta Conceptos de diseño.
Filtrado de sincronización basado en grupos
El filtrado por grupos permite sincronizar solo un pequeño subconjunto de objetos para una prueba piloto. Para utilizar esta característica, crea un grupo para este propósito en tu instancia de Active Directory local. Luego, agrega los usuarios y grupos que se deben sincronizar con Microsoft Entra ID como miembros directos. Posteriormente, puedes agregar y quitar usuarios en este grupo para mantener la lista de objetos que deberían estar presentes en Microsoft Entra ID.
Todos los objetos que quieras sincronizar deben ser miembros directos del grupo. Los usuarios, grupos, contactos y equipos o dispositivos deben ser miembros directos. No se resuelve la pertenencia a grupos anidados. Cuando se agrega un grupo como miembro, solo se agrega el grupo en sí. Sus miembros no se agregan.
Advertencia
Esta característica solo está destinada a admitir una implementación piloto. No la utilices en una implementación de producción completa.
En una implementación de producción completa sería difícil mantener un grupo único con todos sus objetos para sincronizar. En lugar de la característica de filtrado basado en grupos, usa uno de los métodos descritos en Configuración del filtrado.
Características opcionales
En la página siguiente, puedes seleccionar características opcionales para tu escenario.
Advertencia
Las versiones de Microsoft Entra Connect 1.0.8641.0 y las anteriores se basan en Azure Access Control Service para la escritura diferida de contraseñas. Este servicio se retiró el 7 de noviembre de 2018. Si usas cualquiera de estas versiones de Microsoft Entra Connect y has habilitado la escritura diferida de contraseñas, puede que los usuarios pierdan la capacidad de cambiar o restablecer sus contraseñas una vez que el servicio se retire. Estas versiones de Microsoft Entra Connect no admiten la escritura diferida de contraseñas.
Si quieres usar la escritura diferida de contraseñas, descarga la última versión de Microsoft Entra Connect.
Advertencia
Si Sincronización de Azure AD o Sincronización directa (DirSync) están activas, no actives las características de escritura diferida en Microsoft Entra Connect.
| Características opcionales | Descripción |
|---|---|
| Implementación híbrida de Exchange | La característica de implementación híbrida de Exchange permite la coexistencia de buzones de Exchange en un entorno local y en Microsoft 365. Microsoft Entra Connect sincroniza un conjunto específico de atributos de Microsoft Entra en su directorio local. |
| Carpetas públicas de correo de Exchange | La característica Carpetas públicas de correo de Exchange permite sincronizar objetos de carpeta pública habilitada para correo desde tu instancia local de Active Directory con Microsoft Entra ID. Ten en cuenta que no es compatible con la sincronización de grupos que contienen carpetas públicas como miembros y, al intentar hacerlo, se producirá un error de sincronización. |
| Filtrado de atributos y aplicaciones de Microsoft Entra | Al habilitar la aplicación Microsoft Entra y el filtrado de atributos, se puede adaptar el conjunto de atributos sincronizados. Esta opción agrega dos páginas más de configuración al asistente. Para más información, consulta Aplicación Microsoft Entra y filtro de atributos. |
| Sincronización de hash de contraseña | Si seleccionaste la federación como solución de inicio de sesión, puedes habilitar la sincronización de hash de contraseña. A continuación, se puede usar como una opción de copia de seguridad. Si seleccionaste la autenticación transferida, puedes habilitar esta opción para garantizar la compatibilidad de los clientes heredados y proporcionar respaldo. Para más información, consulta Sincronización de hash de contraseña. |
| Escritura diferida de contraseñas | Utiliza esta opción para garantizar que la escritura diferida de los cambios de contraseña que se originan en Microsoft Entra ID en tu directorio local. Para más información, consulta Introducción a la administración de contraseñas. |
| Escritura diferida de grupos | Si usas grupos de Microsoft 365, puedes representar grupos en tu instancia local de Active Directory. Esta opción solo está disponible si dispones de Exchange en tu instancia de Active Directory local. Para más información, consulta Escritura diferida de grupo en Microsoft Entra Connect. |
| Escritura diferida de dispositivos | Para los escenarios de acceso condicional, utiliza esta opción para la escritura diferida de objetos de dispositivo en Microsoft Entra ID para tu instancia de Active Directory local. Para más información, consulta Habilitación de la escritura diferida de dispositivos en Microsoft Entra Connect. |
| Sincronización de atributos de las extensiones de directorios | Selecciona esta opción para sincronizar los atributos especificados con Microsoft Entra ID. Para más información, consulta Extensiones de directorio. |
Filtrado de atributos y aplicaciones de Microsoft Entra
Si deseas limitar los atributos que se sincronizan con Microsoft Entra ID, empieza por seleccionar los servicios que utilizas. Si cambias las selecciones en esta página, debes seleccionar explícitamente un nuevo servicio. Para ello, vuelve a ejecutar el Asistente para instalación.
En función de los servicios seleccionados en el paso anterior, esta página muestra todos los atributos que se han sincronizado. Esta lista es una combinación de todos los tipos de objeto que se están sincronizando. Si necesitas que algunos atributos permanezcan sin sincronizar, puedes desactivar tu selección.
Advertencia
La eliminación de los atributos puede afectar a la funcionalidad. Para conocer los procedimientos recomendados, consulta Atributos que sincronizar.
Sincronización de atributos de las extensiones de directorios
Puedes extender el esquema en Microsoft Entra ID mediante los atributos personalizados que tu organización ha agregado o mediante otros atributos de Active Directory. Para utilizar esta característica, en la página Características opcionales, selecciona Sincronización de atributos de las extensiones de directorios. En la página Extensiones de directorio, puedes seleccionar más atributos para sincronizar.
Nota
El campo Atributos disponibles distingue mayúsculas de minúsculas.
Para más información, consulta Extensiones de directorio.
Habilitación del inicio de sesión único
En la página Inicio de sesión único, configura el inicio de sesión único para usarlo con la sincronización de contraseña o la autenticación transferida. Este paso se realiza una vez para cada bosque que se está sincronizando con Microsoft Entra ID. La configuración se realiza en dos pasos:
- Crear la cuenta de equipo necesaria en tu instancia de Active Directory local.
- Configurar la zona de intranet de las máquinas cliente para admitir el inicio de sesión único.
Creación de la cuenta de equipo en Active Directory
Para cada bosque que se ha agregado en Microsoft Entra Connect, debes proporcionar las credenciales de administrador de dominio para poder crear la cuenta de equipo en cada bosque. Las credenciales solo se utilizan para crear la cuenta. No se almacenan ni se usan para ninguna otra operación. Agrega las credenciales en la página Habilitar el inicio de sesión único, como se muestra en la siguiente imagen.
Nota
Puedes omitir bosques en los que no deseas usar el inicio de sesión único.
Configuración de la zona de intranet para máquinas cliente
Para asegurarte de que el cliente inicia sesión automáticamente en la zona de intranet, comprueba que la dirección URL forma parte de la zona de intranet. Con este paso te asegurarás de que el equipo unido a un dominio envía automáticamente un vale de Kerberos a Microsoft Entra ID cuando estás conectado a la red corporativa.
En un equipo que tenga las herramientas de administración de directivas de grupo:
Abre las herramientas de administración de directivas de grupo.
Edita la directiva de grupo que se aplicará a todos los usuarios. Por ejemplo, la directiva de dominio predeterminada.
Ve a Configuración de usuario>Plantillas administrativas>Componentes de Windows>Internet Explorer>Panel de control de Internet>Página de seguridad. A continuación, selecciona Lista de asignación de sitio a zona.
Habilita la directiva. Luego, en el cuadro de diálogo, escribe un nombre de valor de
https://autologon.microsoftazuread-sso.comyhttps://aadg.windows.net.nsatc.netcon un valor de1para ambas direcciones URL. La configuración debería ser similar a la siguiente imagen.
Selecciona Aceptar dos veces.
Configuración de federación con AD FS
Puedes configurar AD FS con Microsoft Entra Connect con solo unos cuantos clics. Antes de empezar, necesitas lo siguiente:
- Un instancia de Windows Server 2012 R2 o posterior para el servidor de federación. La administración remota debe estar habilitada.
- Una instancia de Windows Server 2012 R2 o posterior para el servidor Proxy de aplicación web. La administración remota debe estar habilitada.
- Un certificado TLS/SSL del nombre del servicio de federación que quieres usar (por ejemplo, sts.contoso.com).
Nota
El certificado TLS/SSL de la granja de AD FS se puede actualizar con Microsoft Entra Connect, incluso si no lo usas para administrar la confianza de federación.
Requisitos previos de la configuración de AD FS
Para configurar la granja de AD FS mediante Microsoft Entra Connect, asegúrate de que WinRM está habilitado en los servidores remotos. Asegúrate de haber completado las otras tareas de Requisitos previos de la federación. Asegúrate también de seguir los requisitos de los puertos que se enumeran en la tabla Microsoft Entra Connect y servidores de federación AD FS/WAP.
Creación de una nueva granja de AD FS o utilización de una granja de AD FS existente
Puedes usar una granja de AD FS existente o crear una nueva. Si decides crear una nueva, debes proporcionar el certificado TLS/SSL. Si el certificado TLS/SSL está protegido con contraseña, se te pedirá que la proporciones.
Si eliges usar una granja de AD FS existente, consulta la página donde puede configurar la relación de confianza entre AD FS y Microsoft Entra ID.
Nota
Microsoft Entra Connect puede usarse para administrar solo una granja de AD FS. Si tienes una confianza de federación existente con Microsoft Entra ID configurado en la granja de AD FS seleccionada, Microsoft Entra Connect vuelve a crear la confianza desde el principio.
Especificar los servidores de AD FS
Especifica los servidores en que deseas instalar AD FS. Puedes agregar uno o más servidores según tus necesidades de capacidad. Antes de realizar esta configuración, une todos los servidores de AD FS a Active Directory. Este paso no es necesario para los servidores Proxy de aplicación web.
Microsoft recomienda instalar un único servidor de AD FS para las implementaciones piloto y de prueba. Después de la configuración inicial, puedes agregar e implementar más servidores para satisfacer tus necesidades de escalado, para lo que debes volver a ejecutar Microsoft Entra Connect.
Nota
Antes de realizar esta configuración, asegúrate de que todos los servidores se han unido a un dominio de Microsoft Entra.
Especificar los servidores proxy de aplicación web
Especifica los servidores Proxy de aplicación web. El servidor Proxy de aplicación web se implementa en la red perimetral, dirigida a la extranet. Admite solicitudes de autenticación de la extranet. Puedes agregar uno o más servidores según tus necesidades de capacidad.
Microsoft recomienda instalar un único servidor Proxy de aplicación web para las implementaciones piloto y de prueba. Después de la configuración inicial, puedes agregar e implementar más servidores para satisfacer tus necesidades de escalado, para lo que debes volver a ejecutar Microsoft Entra Connect. Se recomienda tener un número equivalente de servidores proxy para realizar la autenticación desde la intranet.
Nota
- Si la cuenta que usa no es un administrador local en los servidores Proxy de aplicación web, se te solicitarán las credenciales de administrador.
- Antes de especificar servidores Proxy de aplicación web, asegúrate de que hay conectividad HTTP/HTTPS entre el servidor de Microsoft Entra Connect y el servidor Proxy de aplicación web.
- Asegúrate también de que hay conectividad HTTP/HTTPS entre el servidor de aplicaciones web y el servidor de AD FS para permitir que fluyan las solicitudes de autenticación.
Se te solicita que escribas las credenciales con el fin de que el servidor de aplicaciones web pueda establecer una conexión segura con el servidor de AD FS. Estas credenciales deben ser de una cuenta administrador local en el servidor de AD FS.
Especificar la cuenta de servicio para el servicio AD FS
El servicio de AD FS requiere una cuenta de servicio de dominio para autenticar usuarios y para buscar información de estos en Active Directory. Puedes admitir dos tipos de cuentas de servicio:
- Cuenta de servicio administrada de grupo: este tipo de cuenta se introdujo en AD DS con Windows Server 2012. Este tipo de cuenta proporciona servicios como AD FS. Es una sola cuenta en la que no es necesario actualizar la contraseña con regularidad. Utiliza esta opción si tiene controladores de dominio de Windows Server 2012 en el dominio al que pertenecen los servidores de AD FS.
- Cuenta de usuario de dominio: Este tipo de cuenta requiere que proporciones una contraseña y la actualices periódicamente cuando expire. Utiliza esta opción solo si no tienes controladores de dominio de Windows Server 2012 en el dominio al que pertenecen los servidores de AD FS.
Si has seleccionado Crear una cuenta de servicio administrado de grupos y esta característica no se ha usado nunca en Active Directory, introduce las credenciales de administrador de organización. Estas se usarán para iniciar el almacén de claves y habilitar la característica en Active Directory.
Nota
Microsoft Entra Connect comprueba si el servicio AD FS ya está registrado como nombre de entidad de seguridad de servicio (SPN) en el dominio. AD DS no permite el registro de SPN duplicados al mismo tiempo. Si te encuentras un SPN duplicado, no podrás continuar hasta que este se elimine.
Seleccionar el dominio de Microsoft Entra que quieres federar
Utilizas la página Dominio de Azure AD para configurar la relación de federación entre AD FS y Microsoft Entra ID. Aquí, debes configurar AD FS para proporcionar tokens de seguridad a Microsoft Entra ID. También debes configurar Microsoft Entra ID para que confíes en los tokens de esta instancia de AD FS.
En esta página, solo se permite configurar un único dominio en la instalación inicial. Si vuelves a ejecutar Microsoft Entra Connect después podrás configurar más dominios.
Comprobación del dominio de Microsoft Entra seleccionado para la federación
Cuando se selecciona el dominio que se quiere federar, Microsoft Entra Connect proporciona la información que puedes utilizar para comprobar un dominio no comprobado. Para más información, consulta Adición y comprobación del dominio.
Nota
Microsoft Entra Connect intenta comprobar el dominio durante la fase de configuración. Si no agregas los registros del Sistema de nombres de dominio (DNS) necesarios, la configuración no se puede completar.
Configuración de federación con PingFederate
Puedes configurar PingFederate con Microsoft Entra Connect con solo unos cuantos clics. Se necesitan los siguientes requisitos previos:
- PingFederate 8.4 o posterior. Para obtener más información, consulta Integración de PingFederate con Microsoft Entra ID y Microsoft 365 en la documentación de Identidad de Ping.
- Un certificado TLS/SSL del nombre del servicio de federación que quieres usar (por ejemplo, sts.contoso.com).
Comprobar el dominio
Después de optar por realizar la configuración con PingFederate, se te pedirá que compruebes el dominio que quieres federar. Selecciona el dominio del menú desplegable.
Exportar la configuración de PingFederate
Configura PingFederate como el servidor de federación para cada dominio de Azure federado. Selecciona Exportar configuración para compartir esta información con el administrador de PingFederate. El administrador del servidor de federación actualiza la configuración y, a continuación, proporciona la dirección URL del servidor PingFederate y el número de puerto para que Microsoft Entra Connect pueda comprobar la configuración de metadatos.
Ponte en contacto con el administrador de PingFederate para solucionar los problemas de validación. La imagen siguiente muestra información sobre un servidor de PingFederate que no tiene una relación de confianza válida con Azure.
Comprobar la conectividad de la federación
Microsoft Entra Connect intenta validar los puntos de conexión de autenticación que ha recuperado de los metadatos de PingFederate en el paso anterior. Primero, Microsoft Entra Connect intenta resolver los puntos de conexión mediante los servidores DNS locales. A continuación, intenta resolver los puntos de conexión mediante un proveedor DNS externo. Ponte en contacto con el administrador de PingFederate para solucionar los problemas de validación.
Comprobación del inicio de sesión de federación
Por último, puedes comprobar el flujo de inicio de sesión federado recién configurado. Para ello, inicia sesión en el dominio federado. Si el inicio de sesión es correcto, la federación con PingFederate está configurada correctamente.
Configurar y comprobar páginas
La configuración se realiza en la página Configurar.
Nota
Si configuraste la federación, asegúrate de que también has configurado Resolución de nombres para los servidores de federación antes de seguir con la instalación.
Uso del modo de almacenamiento provisional
Con el modo de almacenamiento provisional es posible configurar un nuevo servidor de sincronización en paralelo. Si deseas usar esta configuración, solo un servidor de sincronización puede realizar la exportación a un directorio en la nube. No obstante, para realizar el movimiento desde otro servidor, por ejemplo, uno que ejecute DirSync, puedes habilitar Microsoft Entra Connect en modo de almacenamiento provisional.
Cuando se habilita la configuración del almacenamiento provisional, el motor de sincronización importa y sincroniza los datos de la forma habitual. Pero no exporta datos a Microsoft Entra ID o Active Directory. En el modo de almacenamiento provisional, las características de sincronización de contraseñas y de escritura diferida de contraseñas están deshabilitadas.
En el modo de almacenamiento provisional, es posible realizar los cambios necesarios en el motor de sincronización y revisar lo que se va a exportar. Cuando la configuración esté correcta, vuelve a ejecutar al Asistente para la instalación y deshabilita el modo provisional.
Ahora los datos se exportan a Microsoft Entra ID desde el servidor. Asegúrate de deshabilitar al otro servidor al mismo tiempo para que solo un servidor esté exportando activamente.
Para más información, consulta Modo provisional.
Comprobación de la configuración de la federación
Microsoft Entra Connect comprueba la configuración de DNS cuando seleccionas el botón Comprobar. Comprueba la siguiente configuración:
- Conectividad de la intranet
- Resolución del FQDN de federación: Microsoft Entra Connect comprueba si el sistema DNS puede resolver el FQDN de federación para garantizar la conectividad. Si Microsoft Entra Connect no puede resolver el FQDN, se produce un error de comprobación. Para completar la comprobación, asegúrate de que existe un registro DNS para el FQDN del servicio de federación.
- Registro A de DNS: Microsoft Entra Connect comprueba si el servicio de federación tiene un registro A. En ausencia de un registro D, se produce un error de comprobación. Para completar la comprobación, crea un registro D (en lugar de uno CNAME) para el FQDN de federación.
- Conectividad a la extranet
Resolución del FQDN de federación: Microsoft Entra Connect comprueba si el sistema DNS puede resolver el FQDN de federación para garantizar la conectividad.
Para validar la autenticación descentralizada, realiza manualmente una o más de las pruebas siguientes:
- Una vez finalizada la sincronización, utiliza la tarea adicional Comprobar el inicio de sesión federado en Microsoft Entra Connect para comprobar la autenticación de una cuenta de usuario local de tu elección.
- Desde una máquina unida a un dominio en la intranet, asegúrate de que puedes iniciar sesión desde un explorador. Debes conectarte a https://myapps.microsoft.com. A continuación, usa la cuenta con la que has iniciado sesión para comprobar el inicio de sesión. La cuenta de administrador de AD DS integrada no está sincronizada y no se puede usar para la verificación.
- Asegúrate de que puedes iniciar sesión desde un dispositivo en la extranet. En un equipo doméstico o un dispositivo móvil, conéctate a https://myapps.microsoft.com. A continuación, proporciona tus credenciales.
- Valida el inicio de sesión de un cliente mejorado. Debes conectarte a https://testconnectivity.microsoft.com. A continuación, selecciona Office 365>Prueba de inicio de sesión único de Office 365.
Solución de problemas
La siguiente sección contiene información de solución de problemas que puedes usar si se produce un problema al instalar Microsoft Entra Connect.
Al personalizar una instalación de Microsoft Entra Connect, en la página Instalar componentes necesarios, puedes seleccionar Usar un SQL Server existente. Puede aparecer el error siguiente: "La base de datos ADSync ya contiene datos y no se puede sobrescribir. Quita la base de datos existente y vuelve a intentarlo".
Se muestra este error porque ya existe una base de datos denominada ADSync en la instancia de SQL de SQL Server que has especificado.
Se suele mostrar después de desinstalar Microsoft Entra Connect. La base de datos no se elimina del equipo que ejecuta SQL Server al desinstalar Microsoft Entra Connect.
Para corregir este problema:
Comprueba la base de datos ADSync que Microsoft Entra Connect usó antes de desinstalarse. Asegúrate de que la base de datos ya no se utiliza.
Realiza una copia de seguridad de la base de datos.
Elimina la base de datos:
- Usa Microsoft SQL Server Management Studio para conectarte a la instancia de SQL.
- Busca la base de datos ADSync y haz clic con el botón derecho en esta.
- En el menú contextual, selecciona Eliminar.
- Selecciona Aceptar para eliminar la base de datos.
Después de eliminar la base de datos ADSync, selecciona Instalar para volver a intentar la instalación.
Pasos siguientes
Cuando finalice la instalación, cierra la sesión de Windows. A continuación, inicia de sesión de nuevo antes de utilizar Synchronization Service Manager o el Editor de reglas de sincronización.
Ahora que has instalado Microsoft Entra Connect, puedes comprobar la instalación y asignar licencias.
Para obtener más información acerca de las características que has habilitado durante la instalación, consulta Prevención de eliminaciones accidentales y Microsoft Entra Connect Health.
Para obtener más información sobre otros temas comunes, consulta Sincronización de Microsoft Entra Connect: Scheduler e Integración de las identidades locales con Microsoft Entra ID.