Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Escenario: administrar usuarios y grupos en la nube que se aprovisionan desde Active Directory mediante la sincronización en la nube de Microsoft Entra.
Requisitos previos
En el Centro de administración de Microsoft Entra
- Microsoft recomienda que las organizaciones tengan dos cuentas de acceso de emergencia de solo nube con el rol de administrador global asignado permanentemente. Estas cuentas tienen privilegios elevados y no se asignan a individuos específicos. Las cuentas se limitan a escenarios de emergencia o de "romper el vidrio" en los que las cuentas normales no se pueden usar o todos los demás administradores se bloquean accidentalmente. Estas cuentas deben crearse siguiendo las recomendaciones de las cuentas de acceso de emergencia.
- Agregue uno o varios nombres de dominio personalizados al inquilino de Microsoft Entra. Los usuarios pueden iniciar sesión con uno de estos nombres de dominio.
En el entorno local
Identifique un servidor host unido a un dominio en el que se ejecuta Windows Server 2016 o superior con 4 GB de RAM como mínimo y un entorno de ejecución .NET 4.7.1 o posterior.
Si hay un firewall entre los servidores y Microsoft Entra ID, configure los elementos siguientes:
Asegúrese de que los agentes pueden realizar solicitudes de salida a Microsoft Entra ID a través de los puertos siguientes:
Número de puerto Cómo se usa 80 Descarga las listas de revocación de certificados (CRL) al validar el certificado TLS/SSL. 443 Controla toda la comunicación saliente con el servicio 8080 (opcional) Si el puerto 443 no está disponible, los agentes notifican su estado cada 10 minutos en el puerto 8080. Este estado se muestra en el portal. Si el firewall impone reglas según los usuarios de origen, abra estos puertos para el tráfico de servicios de Windows que funcionan como un servicio de red.
Si el firewall o proxy le permite configurar sufijos seguros, agregue conexiones a .*msappproxy.net y .servicebus.windows.net. En caso contrario, permita el acceso a los intervalos de direcciones IP del centro de datos de Azure, que se actualizan cada semana.
Los agentes necesitan acceder a login.windows.net y login.microsoftonline.com para el registro inicial. Abra el firewall también para esas direcciones URL.
Para la validación de certificados, desbloquee las siguientes direcciones URL: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 y www.microsoft.com:80. Como estas direcciones URL se utilizan para la validación de certificados con otros productos de Microsoft, es posible que estas direcciones URL ya estén desbloqueadas.
Instalación del agente de aprovisionamiento de Microsoft Entra
Si usa el tutorial Entorno básico de AD y Azure, sería DC1. Para instalar el agente, siga estos pasos:
En el Azure Portal, seleccione Microsoft Entra ID.
En el panel izquierdo, seleccione Microsoft Entra Connect y, a continuación, seleccione Sincronización en la nube.
En el panel izquierdo, seleccione Agentes.
Seleccione Download on-premises agent (Descargar agente local) y, a continuación, seleccione Accept terms &download (Aceptar términos y descargar).
Después de descargar el paquete del agente de aprovisionamiento de Microsoft Entra Connect, ejecute el archivo de instalación desde la carpeta de descargas AADConnectProvisioningAgentSetup.exe.
Nota:
Al realizar una instalación para la nube de la Administración Pública de EE. UU., use AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment. Para obtener más información, consulte Instalación de un agente en la nube de la Administración Pública de EE. UU.
En la pantalla que se abre, active la casilla Acepto los términos y condiciones de licencia y, a continuación, seleccione Instalar.
Una vez finalizada la instalación, se abre el Asistente para configuración. Seleccione Siguiente para iniciar la configuración.
En la pantalla Seleccionar extensión , seleccione aprovisionamiento controlado por RR. HH. (Workday y SuccessFactors) / Azure AD Connect Cloud Sync y, a continuación, seleccione Siguiente.
Nota:
Si instala el agente de aprovisionamiento para usarlo con el Aprovisionamiento de aplicaciones locales de Microsoft Entra, seleccione Aprovisionamiento de aplicaciones locales (de Microsoft Entra ID a la aplicación).
Inicie sesión con una cuenta con al menos el rol de administrador de identidad híbrida . Si tiene habilitada la seguridad mejorada de Internet Explorer, esta bloquea el inicio de sesión. Si es así, cierre la instalación, deshabilite la seguridad mejorada de Internet Explorer y reinicie la instalación del paquete del agente de aprovisionamiento de Microsoft Entra Connect.
En la pantalla Configurar cuenta de servicio, seleccione una cuenta de servicio administrada de grupo (gMSA). Esta cuenta se usa para ejecutar el servicio del agente. Si otro agente ya ha configurado una cuenta de servicio administrada en el dominio y va a instalar un segundo agente, seleccione Crear gMSA. El sistema detecta la cuenta existente y agrega los permisos necesarios para que el nuevo agente use la cuenta de gMSA. Cuando se le solicite, elija una de estas dos opciones:
-
Creación de gMSA: deje que el agente cree la cuenta de servicio administrada provAgentgMSA$ automáticamente. La cuenta de servicio administrada del grupo (por ejemplo,
CONTOSO\provAgentgMSA$) se crea en el mismo dominio de Active Directory en el que se unió el servidor host. Para utilizar esta opción, introduzca las credenciales de administrador de dominio de Active Directory (recomendado). - Usar gMSA personalizado: proporcione el nombre de la cuenta de servicio administrada que haya creado manualmente para esta tarea.
-
Creación de gMSA: deje que el agente cree la cuenta de servicio administrada provAgentgMSA$ automáticamente. La cuenta de servicio administrada del grupo (por ejemplo,
Para continuar, seleccione Siguiente.
En la pantalla Conectar Active Directory, si el nombre de su dominio aparece en Dominios configurados, continúe en el paso siguiente. De lo contrario, escriba el nombre de dominio de Active Directory y seleccione Agregar directorio.
Inicie sesión con su cuenta de administrador de dominio de Active Directory. La cuenta de administrador de dominio no debe tener una contraseña expirada. Si la contraseña ha expirado o cambia durante la instalación del agente, vuelva a configurar el agente con las nuevas credenciales. Esta operación permitirá agregar su directorio local. Seleccione Aceptar y, a continuación, seleccione Siguiente para continuar.
En la captura de pantalla siguiente se muestra un ejemplo del dominio configurado para contoso.com. Seleccione Next (Siguiente) para continuar.
En la pantalla Configuración completa, seleccione Confirmar. Esta operación registra y reinicia el agente.
Una vez finalizada la operación, verá una notificación de que la configuración del agente se ha comprobado correctamente. Selecciona Salir.
Si sigue recibiendo la pantalla inicial, seleccione Cerrar.
Comprobación de la instalación del agente
La comprobación del agente se produce en Azure Portal y en el servidor local que ejecuta el agente.
Comprobación del agente en Azure Portal
Para comprobar que el identificador de Microsoft Entra registra el agente, siga estos pasos:
Inicie sesión en Azure Portal.
Seleccione Microsoft Entra ID.
Seleccione Microsoft Entra Connect y, a continuación, seleccione Cloud Sync.
En la página Sincronización en la nube, verá los agentes que instaló. Compruebe que el agente aparece y que el estado es sano.
Comprobación del agente en el servidor local
Para comprobar que el agente se ejecuta, siga estos pasos:
Inicie sesión en el servidor con una cuenta de administrador.
Vaya a Servicios. También puede usar Start/Run/Services.msc para llegar a él.
En Servicios, asegúrese de que Microsoft Entra Connect Agent Updater y Microsoft Entra Connect Provisioning Agent están presentes y que el estado es En ejecución.
Verificar la versión del agente de aprovisionamiento
Para comprobar la versión del agente que se ejecuta, siga estos pasos:
- Vaya a C:\Archivos de programa\Microsoft Azure AD Connect Provisioning Agent.
- Haga clic con el botón derecho enAADConnectProvisioningAgent.exe y seleccione Propiedades.
- Seleccione la pestaña Detalles . El número de versión aparece junto a la versión del producto.
Configuración de Microsoft Entra Cloud Sync
Use los pasos siguientes para configurar e iniciar el aprovisionamiento:
Inicie sesión en el centro de administración de Microsoft Entra como al menos un administrador de identidades híbridas.
Vaya a Entra ID>Entra Connect>Sincronización en la nube.
- Seleccione Nueva configuración.
- En la pantalla de configuración, escriba un correo electrónico de notificación, mueva el selector a Habilitar y seleccione Guardar.
- El estado de configuración ahora debería ser Correcto.
Para obtener más información sobre cómo configurar Microsoft Entra Cloud Sync, consulte Provision Active Directory to Microsoft Entra ID.
Comprobación de la creación y sincronización de los usuarios
Ahora comprobará que los usuarios que tenía en el directorio local que están en el ámbito de sincronización se han sincronizado y que ahora existen en el inquilino de Microsoft Entra. Esta operación de sincronización puede tardar varias horas en completarse. Para comprobar que los usuarios están sincronizados, siga estos pasos:
- Inicie sesión en el centro de administración de Microsoft Entra al menos como Administrador de identidad híbrida.
- Navegue a Entra ID>Usuarios.
- Compruebe que ve los usuarios nuevos en nuestro inquilino.
Prueba del inicio de sesión con uno de sus usuarios
Vaya a https://myapps.microsoft.com.
Inicie sesión con una cuenta de usuario que se creó en su inquilino. Deberá iniciar sesión mediante el formato siguiente: (user@domain.onmicrosoft.com). Use la misma contraseña que el usuario utiliza para iniciar sesión en el entorno local.
Ahora, ha configurado correctamente un entorno de identidad híbrida mediante Microsoft Entra Cloud Sync.