Sincronización de Microsoft Entra Connect: procedimientos recomendados para cambiar la configuración predeterminada

El propósito de este tema es describir los cambios admitidos y no admitidos en la sincronización de Microsoft Entra Connect.

La configuración creada por Microsoft Entra Connect funciona "tal cual" para la mayoría de entornos que sincronizan Active Directory local con Microsoft Entra ID. Sin embargo, en algunos casos, es necesario aplicar algunos cambios a una configuración para satisfacer un requisito o una necesidad en particular.

Cambios en la cuenta de servicio

La sincronización de Microsoft Entra Connect se está ejecutando con una cuenta de servicio creada por el asistente para la instalación. Esta cuenta de servicio contiene las claves de cifrado para la base de datos usada en la sincronización. Se crea con una contraseña de 127 caracteres, que se configura para que no caduque.

Advertencia

Si cambia o restablece la contraseña de la cuenta de servicio de ADSync, el servicio de sincronización no podrá iniciarse correctamente hasta que haya abandonado la clave de cifrado y reinicializado la contraseña de la cuenta de servicio de ADSync. Para ello, vea Cambio de la contraseña de la cuenta de servicio de ADSync.

Cambios realizados en el programador

A partir de las versiones de compilación 1.1 (febrero de 2016) puede configurar el Programador para que tenga un ciclo de sincronización diferente al del valor predeterminado de 30 minutos.

Cambios en las reglas de sincronización

El Asistente para la instalación proporciona una configuración que se supone que funciona en la mayoría de los casos. En caso de que tenga que realizar cambios en la configuración, debe seguir entonces estas reglas para disponer de una configuración admitida.

Advertencia

Si realiza cambios en las reglas de sincronización predeterminadas, se sobrescribirán la próxima vez que se actualice Microsoft Entra Connect, lo que provocará resultados de sincronización inesperados y, probablemente, no deseados.

  • Puede cambiar los flujos de atributo si los flujos de atributo directos predeterminados no son adecuados para su organización.
  • Si no desea pasar un atributo ni quitar valores de atributo existentes en Microsoft Entra ID, deberá crear una regla para este escenario.
  • Deshabilite una regla de sincronización no deseada en lugar de eliminarla. Una regla eliminada se vuelve a crear durante una actualización.
  • Para cambiar una regla lista para usar, debe realizar una copia de la regla original y deshabilitar la regla lista para usar. Aparece el Editor de reglas de sincronización para brindarle ayuda.
  • Exporte las reglas de sincronización personalizadas mediante el editor de reglas de sincronización. El editor le ofrece un script de PowerShell que puede utilizar para volver a crearlas fácilmente en un escenario de recuperación ante desastres.

Advertencia

Las reglas de sincronización listas para usar tienen una huella digital. Si realiza un cambio en estas reglas, la huella digital ya no coincidirá. Es posible que tenga problemas en el futuro cuando intente aplicar una nueva versión de Microsoft Entra Connect. Realiza únicamente cambios cómo se describe en este artículo.

Deshabilite una regla de sincronización no deseada

No elimine una regla de sincronización lista para usar. Esta se vuelve a crear durante la siguiente actualización.

En algunos casos, el asistente de instalación ha generado una configuración que no funciona en su topología. Por ejemplo, si tiene una topología de bosque de cuentas-recursos pero ha ampliado el esquema en el bosque de cuentas con el esquema de Exchange, entonces se crean reglas para Exchange tanto para el bosque de cuentas como para el bosque de recursos. En este caso, tenemos que deshabilitar la regla de sincronización para Exchange.

Disabled sync rule

En la imagen anterior, el Asistente para la instalación ha encontrado un esquema antiguo de Exchange 2003 en el bosque de cuentas. Este esquema de extensión se agregó antes de que el bosque de recursos se introdujera en el entorno de Fabrikam. Para asegurarse de que ningún atributo de la implementación antigua de Exchange se sincronice, la regla de sincronización se debe deshabilitar como se muestra.

cambiar una regla lista para usar

La única vez que se debe cambiar una regla integrada es cuando tiene que cambiar la regla de unión. Si tiene que cambiar un flujo de atributo, debe crear una regla de sincronización con mayor prioridad que las reglas integradas. La única regla que necesita desde un punto de vista práctico es la regla In from AD - User Join. Puede invalidar el resto de reglas con una regla de prioridad superior.

Si tiene que realizar cambios en una regla lista para usar, debe realizar una copia de esta y deshabilitar la regla original. A continuación, realice los cambios en la regla clonada. El Editor de reglas de sincronización le ayuda con esos pasos. Cuando se abre una regla lista para usar, se presenta este cuadro de diálogo:
Warning out of box rule

Seleccione para crear una copia de la regla. A continuación, se abre la regla clonada.
Cloned rule

En esta regla clonada, realice los cambios necesarios en el ámbito, la combinación y las transformaciones.

Pasos siguientes

Temas de introducción