Microsoft Entra Connect: si ya tiene un inquilino existente
En la mayoría de los temas sobre cómo usar Microsoft Entra Connect se da por supuesto que empieza con un nuevo inquilino de Microsoft Entra sin objetos ni usuarios. Pero si usted comenzó con un inquilino de Microsoft Entra, lo llenó con usuarios y otros objetos, y ahora desea utilizar Connect, entonces este tema es para usted.
Conceptos básicos
Un objeto en Microsoft Entra ID se administra en la nube o de forma local. Para un solo objeto, no puede administrar algunos atributos en las instalaciones y otros atributos en Microsoft Entra ID. Cada objeto tiene una marca que indica que el objeto se ha administrado.
Puede administrar algunos usuarios locales y otros en la nube. Un escenario común de esta configuración es una organización que tiene una combinación de trabajadores de contabilidad y trabajadores de ventas. Los trabajadores de contabilidad tienen una cuenta AD local, pero los trabajadores de ventas no, pero ambos tienen una cuenta en Microsoft Entra ID. Tendría que administrar algunos usuarios en el entorno local y otros en Microsoft Entra ID.
Hay algunos asuntos adicionales que debe considerar cuando comienza a administrar usuarios en Microsoft Entra ID, que también están presentes en las instalaciones, y más tarde desea utilizar Microsoft Entra Connect.
Sincronización con usuarios existentes en Microsoft Entra ID
Cuando se inicia la sincronización con Microsoft Entra Connect, la API del servicio Microsoft Entra comprueba cada nuevo objeto entrante e intenta encontrar un objeto existente que coincida. Hay tres atributos que se utilizan para este proceso: userPrincipalName, proxyAddresses y sourceAnchor/immutableID. Una coincidencia en userPrincipalName o proxyAddresses se conoce como "soft-match." Una coincidencia de sourceAnchor se conoce como "hard=match." En el caso del atributo proxyAddresses, solo se usa para la evaluación el valor con el atributo SMTP:, que es la dirección de correo electrónico principal.
La coincidencia solo se evalúa para los nuevos objetos procedentes de Connect. Si modifica un objeto existente para que coincida con alguno de estos atributos, aparecerá un error.
Si Microsoft Entra ID encuentra un objeto en el que los valores de los atributos son los mismos que los del nuevo objeto entrante de Microsoft Entra Connect, entonces se hace cargo del objeto en Microsoft Entra ID y el objeto anteriormente administrado en la nube se convierte en administrado localmente. Todos los atributos en Microsoft Entra ID con un valor en AD local se sobrescriben con el valor local respectivo.
Advertencia
Puesto que todos los atributos de Microsoft Entra ID se van a sobrescribir por el valor local, asegúrese de que dispone de datos en buen estado en un entorno local. Por ejemplo, si solo tiene una dirección de correo electrónico administrada en Microsoft 365 y no se mantiene actualizada en AD DS local, se pierden todos los valores de Microsoft Entra ID o Microsoft 365 que no se encuentren en AD DS.
Importante
Si usa la sincronización de contraseñas, que siempre se utiliza en la configuración rápida, la contraseña de Microsoft Entra ID se sobrescribe por la de AD local. Si los usuarios están acostumbrados a administrar contraseñas diferentes, deberá informarles de que deben utilizar la contraseña local cuando haya instalado Connect.
Hay que tener en cuenta en la planeación la sección anterior y la advertencia. Si realizó muchos cambios en Microsoft Entra ID que no se reflejaron en AD DS local, entonces, para evitar la pérdida de datos, debe planificar cómo poblar AD DS con los valores actualizados de Microsoft Entra ID, antes de sincronizar sus objetos con Microsoft Entra Connect.
Si hay una coincidencia parcial de objetos, el atributo sourceAnchor se agrega al objeto en Microsoft Entra ID para que más tarde se pueda usar una coincidencia exacta.
Importante
Microsoft recomienda encarecidamente no sincronizar las cuentas locales con cuentas administrativas ya existentes en Microsoft Entra ID.
Diferencias entre la coincidencia parcial y la exacta
Por defecto, el valor SourceAnchor de "abcdefghijklmnopqrstuv==" es calculado por Microsoft Entra Connect usando el atributo MsDs-ConsistencyGUID (u ObjectGUID dependiendo de la configuración) del Directorio Activo local. El valor de este atributo es el correspondiente ImmutableId en Microsoft Entra ID. Cuando Microsoft Entra Connect (motor de sincronización) agrega o actualiza objetos, Microsoft Entra ID hace coincidir el objeto entrante utilizando el valor sourceAnchor correspondiente al atributo ImmutableId del objeto existente en Microsoft Entra ID. Si hay una coincidencia, Microsoft Entra Connect se hace cargo de ese objeto y lo actualiza con las propiedades del objeto de Active Directory local entrante en lo que se conoce como ”hard-match.” Cuando Microsoft Entra ID no puede encontrar ningún objeto con un ImmutableId que coincida con el valor SouceAnchor, intenta utilizar el userPrincipalName o el ProxyAddress primario del objeto entrante para encontrar una coincidencia en lo que se conoce como *"soft-match". La "soft match" intenta hacer coincidir los objetos ya presentes y administrados en Microsoft Entra ID con los nuevos objetos entrantes que se agregan o actualizan y que representan la misma entidad en las instalaciones. Si Microsoft Entra ID no es capaz de encontrar una hard-match o soft-match para el objeto entrante, crea un nuevo objeto en el directorio de Microsoft Entra ID. Hemos agregado una opción de configuración para deshabilitar la función de hard matching en Microsoft Entra ID. Aconsejamos a los clientes que deshabiliten el hard matching a menos que lo necesiten para hacerse cargo de cuentas solo en la nube.
Para deshabilitar el hard matching, utilice el cmdlet de PowerShell de Microsoft Graph Update-MgDirectoryOnPremiseSynchronization:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Del mismo modo, hemos agregado una opción de configuración para deshabilitar la opción de soft-matching en Microsoft Entra ID. Recomendamos a los clientes que deshabiliten la coincidencia parcial a menos que la necesiten para admitir cuentas exclusivas de la nube.
Para deshabilitar la coincidencia parcial, use el cmdlet Update-MgDirectoryOnPremiseSynchronization de Microsoft Graph Powershell:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Nota:
BlockCloudObjectTakeoverThroughHardMatchEnabled y BlockSoftMatchEnabled se utilizan para bloquear la coincidencia de todos los objetos si está habilitada para el inquilino. Se anima a los clientes a desactivar estas funciones sólo durante el periodo en que se requiera un procedimiento de coincidencia para sus inquilinos. Este indicador debe establecerse de nuevo enTrue después de que se haya completado cualquier coincidencia y ya no sea necesario.
Otros objetos distintos a los usuarios
En el caso de los grupos y contactos habilitados para correo electrónico, puede realizar una coincidencia suave basada en proxyAddresses. Hard match no es aplicable ya que solo se puede actualizar el sourceAnchor/immutableID (usando PowerShell) sólo en Usuarios. Para los grupos que no tienen correo habilitado, actualmente no hay soporte para soft match o hard match.
Consideraciones sobre el rol de administrador
Para protegerse de los usuarios locales no fiables, Microsoft Entra ID no emparejará a los usuarios locales con los usuarios de la nube que tengan un rol de administrador. Este comportamiento es el predeterminado. Para evitarlo, puede seguir estos pasos:
- Quitar los roles de directorio del objeto de usuario solo de nube.
- Borrar el objeto en cuarentena en la nube.
- Desencadenar una sincronización.
- Opcionalmente, agregue los roles de directorio de nuevo al objeto de usuario en la nube una vez realizada la coincidencia.
Creación de una instancia de Active Directory local a partir de los datos de Microsoft Entra ID
Algunos clientes empiezan con una solución solo en la nube con Microsoft Entra ID y no tienen un AD local. Más adelante, desean consumir recursos locales y crear una implementación de AD local basada en los datos de Microsoft Entra. Microsoft Entra Connect no puede ayudarle en este caso. No crea usuarios en los locales y no tiene ninguna capacidad para establecer la contraseña en los locales a la misma que en Microsoft Entra ID.
Si la única razón por la que piensa agregar AD local es admitir LOB (aplicaciones de línea de negocio), quizá debería plantearse usar los servicios de dominio de Microsoft Entra en su lugar.
Pasos siguientes
Más información sobre la Integración de las identidades locales con Microsoft Entra ID.