Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En la mayoría de los temas sobre cómo usar Microsoft Entra Connect se da por supuesto que empieza con un nuevo inquilino de Microsoft Entra sin objetos ni usuarios. Pero si usted comenzó con un inquilino de Microsoft Entra, lo llenó con usuarios y otros objetos, y ahora desea utilizar Connect, entonces este tema es para usted.
Conceptos básicos
Un objeto en Microsoft Entra ID se administra en la nube o de forma local. Para un solo objeto, no puede administrar algunos atributos en las instalaciones y otros atributos en Microsoft Entra ID. Cada objeto tiene una marca que indica que el objeto se ha administrado.
Puede administrar algunos usuarios locales y otros en la nube. Un escenario común de esta configuración es una organización que tiene una combinación de trabajadores de contabilidad y trabajadores de ventas. Los trabajadores de contabilidad tienen una cuenta AD local, pero los trabajadores de ventas no, pero ambos tienen una cuenta en Microsoft Entra ID. Tendría que administrar algunos usuarios en el entorno local y otros en Microsoft Entra ID.
Hay algunos asuntos adicionales que debe considerar cuando comienza a administrar usuarios en Microsoft Entra ID, que también están presentes en las instalaciones, y más tarde desea utilizar Microsoft Entra Connect.
Sincronización con usuarios existentes en Microsoft Entra ID
Cuando se inicia la sincronización con Microsoft Entra Connect, la API del servicio Microsoft Entra comprueba cada nuevo objeto entrante e intenta encontrar un objeto existente que coincida. Hay tres atributos que se utilizan para este proceso: userPrincipalName, proxyAddresses y sourceAnchor/immutableID. Una coincidencia en userPrincipalName o proxyAddresses se conoce como "coincidencia parcial." Una coincidencia de sourceAnchor se conoce como "coincidencia exacta." En el caso del atributo proxyAddresses, solo se usa para la evaluación el valor con el atributo SMTP:, que es la dirección de correo electrónico principal.
La coincidencia solo se evalúa para los nuevos objetos procedentes de AD local. Si modifica un objeto existente para que coincida con alguno de estos atributos, aparecerá un error.
Si Microsoft Entra ID encuentra un objeto en el que los valores de los atributos son los mismos que los del nuevo objeto entrante de Microsoft Entra Connect, entonces se hace cargo del objeto en Microsoft Entra ID y el objeto anteriormente administrado en la nube se convierte en administrado localmente. Todos los atributos en Microsoft Entra ID con un valor en AD local se sobrescriben con el valor local respectivo.
Advertencia
Puesto que todos los atributos de Microsoft Entra ID se van a sobrescribir por el valor local, asegúrese de que dispone de datos en buen estado en un entorno local. Por ejemplo, si solo tiene una dirección de correo electrónico administrada en Microsoft 365 y no se mantiene actualizada en AD DS local, se pierden todos los valores de Microsoft Entra ID o Microsoft 365 que no se encuentran en AD DS.
Importante
Si utiliza la sincronización de hash de contraseñas, que siempre está habilitada con la instalación rápida, el hash de contraseña en Microsoft Entra ID se sobrescribe con el hash de contraseña del AD local. Si los usuarios están acostumbrados a administrar diferentes contraseñas, debe informarles de que deben usar la contraseña de AD local.
Hay que tener en cuenta en la planeación la sección anterior y la advertencia. Si realizó muchos cambios en Microsoft Entra ID que no se han reflejado en AD DS local, entonces, para evitar la pérdida de datos, debe planear cómo rellenar AD DS con los valores actualizados de Microsoft Entra ID antes de sincronizar los objetos con Microsoft Entra Connect.
Si hay una coincidencia parcial de objetos, el atributo sourceAnchor se agrega al objeto en Microsoft Entra ID para que más tarde se pueda usar una coincidencia exacta.
Importante
Microsoft recomienda encarecidamente no sincronizar las cuentas locales con cuentas administrativas ya existentes en Microsoft Entra ID.
Diferencias entre la coincidencia parcial y la exacta
De forma predeterminada, el valor SourceAnchor de un objeto, por ejemplo "abcdefghijklmnopqrstuv==", es la representación de cadena Base64 del atributo mS-Ds-ConsistencyGUID (u ObjectGUID en función de la configuración) del objeto de Active Directory local. Este valor se establece como el atributo ImmutableId correspondiente en Microsoft Entra ID.
Cuando Microsoft Entra Connect o Cloud Sync agregan nuevos objetos, el servicio de identificador de Microsoft Entra intenta hacer coincidir el objeto entrante mediante el valor de sourceAnchor correspondiente al atributo ImmutableId de los objetos existentes en Microsoft Entra ID. Si hay una coincidencia, Microsoft Entra Connect se hace cargo del origen o la autoridad (SoA) de ese objeto y lo actualiza con las propiedades del objeto de Active Directory local entrante en lo que se conoce como "coincidencia exacta. Cuando Microsoft Entra ID no encuentra ningún objeto con un atributo ImmutableId que coincida con el valor de SourceAnchor, intenta usar userPrincipalName o la dirección SMTP principal del objeto entrante para encontrar una coincidencia en lo que se conoce como una "coincidencia parcial".
Tanto la coincidencia exacta como la coincidencia parcial intenta hacer coincidir los objetos ya presentes y administrados en Microsoft Entra ID con los nuevos objetos entrantes que se agregan y que representan la misma entidad local. Si Microsoft Entra ID no es capaz de encontrar una hard-match o soft-match para el objeto entrante, crea un nuevo objeto en el directorio de Microsoft Entra ID.
Si Microsoft Entra ID es capaz de realizar "coincidencia parcial" del nuevo objeto entrante en función de la dirección SMTP principal de un objeto existente administrado en Microsoft Entra ID, pero este nuevo objeto tiene un valor sourceAnchor diferente, entonces se intenta aprovisionar un nuevo objeto, lo que normalmente da lugar a un conflicto en el que Microsoft Entra ID no puede crear el nuevo objeto. Este conflicto se produce en situaciones como las siguientes:
Se estableció un valor sourceAnchor diferente en el atributo
mS-Ds-ConsistencyGuid, en el usuario de AD local original que ya se ha sincronizado con Entra ID.Se creó un nuevo usuario de AD local con el mismo UPN y la misma dirección SMTP principal, pero tiene con valores de sourceAnchor y SID diferentes.
En tales casos, se produce un error de exportación de AttributeValueMustBeUnique en Microsoft Entra Connect o Cloud Sync. En función de las propiedades del usuario entrante, este error puede hacer referencia a uno de los siguientes conflictos de atributos:
AttributeConflictName = OnPremiseSecurityIdentifier: el nuevo objeto entrante tiene un sourceAnchor diferente, pero los mismos OnPremiseSecurityIdentifier (SID) y dirección SMTP principal que el usuario existente en el directorio de Entra ID.
AttributeConflictName = ProxyAddresses: el objeto recién llegado tiene un sourceAnchor y un SID diferentes, pero tiene la misma dirección SMTP principal que el usuario existente en el directorio de Entra ID.
Nota:
En algunas situaciones poco frecuentes, se produce un conflicto de OnPremiseSecurityIdentifier debido a un problema con el grupo de RID de AD local (por ejemplo, un controlador de dominio recuperado de la copia de seguridad), que puede generar un nuevo usuario con el mismo SID. En tales casos, se produce un error AttributeValueMustBeUnique al intentar aprovisionar al usuario no por los intentos de "coincidencia parcial", sino porque el OnPremiseSecurityIdentifier debe ser único en el directorio Entra ID.
Estos escenarios suelen significar que está intentando volver a aprovisionar el mismo usuario. Para resolver el conflicto, debe actualizar el atributo mS-Ds-ConsistencyGuid del usuario local de modo que coincida con el mismo valor que el atributo ImmutableID del usuario en la nube existente. Este cambio permite que Microsoft Entra ID realice la "coincidencia exacta" correcta.
Bloquear la coincidencia exacta en Microsoft Entra ID
Hemos agregado una opción de configuración para deshabilitar la función de hard matching en Microsoft Entra ID. Aconsejamos a los clientes que deshabiliten el hard matching a menos que lo necesiten para hacerse cargo de cuentas solo en la nube.
Para deshabilitar el hard matching, utilice el cmdlet de PowerShell de Microsoft Graph Update-MgDirectoryOnPremiseSynchronization:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Bloquear la coincidencia parcial en Microsoft Entra ID
Del mismo modo, hemos agregado una opción de configuración para deshabilitar la opción de coincidencia parcial en Microsoft Entra ID. Recomendamos a los clientes que deshabiliten la coincidencia parcial a menos que la necesiten para admitir cuentas exclusivas de la nube.
Para deshabilitar la coincidencia parcial, use el cmdlet Update-MgDirectoryOnPremiseSynchronization de Microsoft Graph PowerShell:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Nota:
BlockCloudObjectTakeoverThroughHardMatchEnabled y BlockSoftMatchEnabled se utilizan para bloquear la coincidencia de todos los objetos si está habilitada para el inquilino. Se anima a los clientes a desactivar estas funciones sólo durante el periodo en que se requiera un procedimiento de coincidencia para sus inquilinos. Este indicador debe establecerse de nuevo enTrue después de que se haya completado cualquier coincidencia y ya no sea necesario.
Otros objetos distintos a los usuarios
Para grupos y contactos habilitados para correo electrónico, puede hacer una coincidencia parcial en función de proxyAddresses. Hard match no es aplicable ya que solo se puede actualizar el sourceAnchor/immutableID (usando PowerShell) sólo en Usuarios. Para los grupos que no tienen correo habilitado, actualmente no hay soporte para coincidencia parcial o coincidencia exacta.
Consideraciones sobre el rol de administrador
Para protegerse de los usuarios locales no fiables, Microsoft Entra ID no emparejará a los usuarios locales con los usuarios de la nube que tengan un rol de administrador. Este comportamiento es el predeterminado. Para evitarlo, puede seguir estos pasos:
Quitar los roles de directorio del objeto de usuario solo de nube.
Elimine de forma permanente el nuevo objeto en cuarentena creado en la nube.
Desencadene un nuevo ciclo de sincronización.
Opcionalmente, agregue los roles de directorio de nuevo al objeto de usuario en la nube una vez realizada la coincidencia.
Creación de una instancia de Active Directory local a partir de los datos de Microsoft Entra ID
Algunos clientes empiezan con una solución solo en la nube con Microsoft Entra ID y no tienen un AD local. Más adelante, desean consumir recursos locales y crear una implementación de AD local basada en los datos de Microsoft Entra. Microsoft Entra Connect no puede ayudarle en este caso. No crea usuarios en los locales y no tiene ninguna capacidad para establecer la contraseña en los locales a la misma que en Microsoft Entra ID.
Si la única razón por la que piensa agregar AD local es admitir LOB (aplicaciones de línea de negocio), quizá debería plantearse usar los servicios de dominio de Microsoft Entra en su lugar.
Pasos siguientes
Más información sobre la integración de las identidades locales con Microsoft Entra ID.