Instalación del servicio de sincronización de Azure Active Directory

Actualizado: 22 de julio de 2015

Importante

Este tema se archivará pronto.
Hay un nuevo producto denominado "Azure Active Directory Conectar" que reemplaza AADSync y DirSync.
Azure AD Connect incorpora los componentes y la funcionalidad publicados previamente como Dirsync y Sincronización de AAD.
En algún momento en el futuro, finalizará la compatibilidad con Dirsync y Sincronización de AAD.
Estas herramientas ya no se actualizan individualmente con mejoras de características y todas las mejoras futuras se incluirán en las actualizaciones de Azure AD Conectar.

Para obtener la información más reciente sobre Azure Active Directory Conectar, consulte Integración de las identidades locales con Azure Active Directory

El objetivo de este tema es proporcionarle toda la información necesaria para instalar correctamente Sincronización de Azure AD en su entorno.

Requisitos de instalación

El objetivo de esta sección es enumerar los requisitos que deben cumplirse para instalar Sincronización de Azure AD en su entorno.
Sincronización de Azure AD le permite integrar el Servicio de dominio de Active Directory local y el directorio de Azure AD.
Por consiguiente, debe tener acceso al Servicio de dominio de Active Directory local y a una suscripción válida de Azure que tenga instalado un directorio de Azure AD.

Para instalar Sincronización de Azure AD, necesita un equipo que ejecute el sistema operativo Windows Server.
Las versiones compatibles son las siguientes:

• Windows Server 2008

• Windows Server 2008 R2

• Windows Server 2012

• Windows Server 2012 R2

El equipo puede ser independiente, un servidor miembro o un controlador de dominio.
Es necesario instalar los componentes siguientes:

• .Net 4.5.1

• PowerShell (se requiere PS3 o superior)

Necesita una cuenta con privilegios de administrador local en el equipo para instalar Sincronización de Azure AD.

Sincronización de Azure AD necesita una base de datos de SQL Server para almacenar datos de identidad. De manera predeterminada, se instala SQL Express LocalDB (versión ligera de SQL Server Express) y se crea la cuenta de servicio en la máquina local.
SQL Server Express tiene un límite de tamaño de 10 GB que permite administrar aproximadamente 100.000 objetos.

Si necesita administrar un volumen mayor de objetos de directorio, debe apuntar el proceso de instalación a una versión diferente de SQL Server.
Sincronización de AAD admite todos los tipos de Microsoft SQL Server, desde SQL 2008 a SQL 2012 R2.

Antes de empezar

Debe tener los siguientes pasos completados antes de poder instalar Sincronización de Azure AD:

1. Cree una cuenta de AD para conectarse a AD DS

2. Creación de una cuenta para conectarse a Azure AD

Las secciones siguientes incluyen los pasos relacionados.

Cree una cuenta de AD para conectarse a AD DS

Al configurar Sincronización de Azure AD, deberá proporcionar las credenciales de una cuenta que Sincronización de Azure AD usa para conectarse a su AD DS.
Puede usar una cuenta de usuario normal porque la cuenta solo necesita los permisos de lectura predeterminados.

En las siguientes secciones se proporcionan más detalles acerca de los permisos requeridos por la cuenta de AD DS y los atributos para los que necesita acceso.

Permisos para la sincronización de contraseñas

Si desea habilitar la sincronización de contraseñas entre sus instalaciones en AD DS y Azure Active Directory para los usuarios, deberá conceder los siguientes permisos a la cuenta que Sincronización de Azure AD usa para conectarse a su AD DS:

• Replicación de los cambios de directorio

• Replicación de todos los cambios de directorio

Ambos permisos son necesarios para habilitar la cuenta para que lea los valores hash de contraseña en AD DS local.

Permisos y atributos de reescritura de Sincronización de AAD para Office 365 Exchange Hybrid.

Si desea habilitar la coexistencia enriquecida entre la infraestructura de Exchange local y Office 365 (implementación híbrida de Exchange), puede hacerlo si selecciona la característica opcional Implementación híbrida de Exchange. Al seleccionar esta característica, habilita Sincronización de AAD para volver a escribir los atributos en el entorno local.

En la siguiente tabla se recogen los atributos por tipo de objeto que requieren reescritura:

Tipo de objeto	Atributo de origen de datos
Contacto	proxyAddresses
Grupo	proxyAddresses
User/InetOrgPerson	msExchArchiveStatus
	msExchBlockedSendersHash
	msExchSafeRecipientsHash
	msExchSafeSendersHash
	msExchUCVoiceMailSettings
	msExchUserHoldPolicies
	proxyAddresses

La cuenta que configure en el Conectar para Servicios de dominio de Active Directory página de diálogo debe tener permisos específicos para los atributos anteriores.

En la siguiente tabla se recoge el conjunto mínimo de permisos que se necesita para esta cuenta de servicio que usa la nomenclatura DSACLS.

Tipo de objeto	Atributo de origen de datos	Permiso/Derecho de acceso	Herencia
Contacto	proxyAddresses	Escritura	Solo objetos secundarios
Grupo	proxyAddresses	Escritura	Solo objetos secundarios
User/InetOrgPerson	msExchArchiveStatus	Escritura	Solo objetos secundarios
	msExchBlockedSendersHash	Escritura	Solo objetos secundarios
	msExchSafeRecipientsHash	Escritura	Solo objetos secundarios
	msExchSafeSendersHash	Escritura	Solo objetos secundarios
	msExchUCVoiceMailSettings	Escritura	Solo objetos secundarios
	msExchUserHoldPolicies	Escritura	Solo objetos secundarios
	proxyAddresses	Escritura	Solo objetos secundarios

Permisos de reescritura de contraseña y cambio de contraseña.

La característica de volver a escribir la contraseña proporciona a los usuarios con un método práctico para restablecer sus contraseñas locales en la nube. Durante la configuración de Sincronización de Azure AD, puede activar la reescritura de contraseña como característica opcional.

Para cada bosque se ha configurado en Sincronización de Azure AD, la cuenta que ha especificado en un bosque en el asistente debe contar con los derechos ampliados "Reset-Password" y "Change-Password" en el objeto raíz de cada dominio del bosque. El derecho debe estar marcado como heredado por todos los objetos de usuario.

Utilice el procedimiento siguiente para configurar los permisos en cada una de las cuentas que ha configurado.

Cómo configurar los permisos extendidos "Reset Password" y "Change Password".

1. Abra Usuarios y equipos de Active Directory

2. En la parte superior, en Vista, asegúrese de que Características avanzadas esté activado.

3. A la izquierda, haga clic con el botón secundario en el dominio raíz y seleccione Propiedades.

4. Seleccione la pestaña Seguridad y haga clic en Avanzadas.

   

5. En la pestaña Permisos, haga clic en Agregar.

   

6. Haga clic en Seleccionar una entidad de seguridad y seleccione la cuenta que especificó durante la instalación.

7. En el cuadro desplegable, seleccione Objetos de usuario descendiente.

8. En la sección Permisos, seleccione Restablecer contraseña y Cambiar contraseña.

   

9. Haga clic en Aceptar. Haga clic en Aplicar. Haga clic en Aceptar.

Creación de una cuenta para conectarse a Azure AD

Al configurar Sincronización de Azure AD, deberá proporcionar las credenciales de una cuenta que Sincronización de Azure AD usa para conectarse a su Azure AD.

Debe aplicar las siguientes prácticas recomendadas para esta cuenta:

• Debe crear una cuenta independiente que solo Sincronización de Azure AD utilice.

• Debe configurar la cuenta con una contraseña segura que tenga una longitud de 16 caracteres.

• Debe establecer la marca "La contraseña nunca expira" en la cuenta.
  Para realizar esta tarea, puede usar el siguiente código de script de PowerShell:

  set-msoluser -UserPrincipalName syncaccount@contoso.com -PasswordNeverExpires $True
  

• La cuenta debe tener el Administrador global como rol organizativo seleccionado.

  

Instalación y configuración de Sincronización de Azure AD

Puede descargar la versión más reciente de Sincronización de Azure AD mediante el siguiente vínculo:https://go.microsoft.com/fwlink/?LinkId=511690

Para comenzar el proceso de instalación, inicie el ejecutable llamado MicrosoftAzureADConnectionTool.exe.
Este ejecutable autoextraíble pone todos los archivos necesarios en la unidad local e inicia el proceso de instalación.
Si cancela el procedimiento de instalación, se crea un acceso directo en el menú Inicio y en el escritorio.

Si necesita usar SQL Server o una cuenta de dominio para la cuenta de servicio, debe cancelar el asistente de inmediato. Hasta este momento, el proceso de instalación ha creado una carpeta local que incluye los archivos relacionados con Sincronización de Azure AD. Necesita el contenido de esta carpeta para volver a ejecutar el proceso de instalación con parámetros.

Para volver a ejecutar el proceso de instalación, realice los pasos siguientes:

1. Abra un símbolo del sistema y vaya a C:\Program Files\Microsoft Azure AD Connection Tool.

2. Vuelva a iniciar el asistente con los siguientes parámetros:

   DirectorySyncTool.exe /sqlserver localhost
                         /sqlserverinstance InstanceName
                         /serviceAccountDomain Azure AD Sync
                         /serviceAccountName Azure AD SyncSvc
                         /serviceAccountPassword VerySecretP@ssw0rd
   

   Nota

   Si desea usar la partición de SQL por defecto, no especifique este parámetro.

En este momento, ya está listo para completar las páginas de diálogo asociadas al proceso de instalación.

Para instalar la herramienta Sincronización de Azure AD, debe completar las siguientes páginas de diálogo:

1. Instalar

2. Conectarse a Azure Active Directory

3. Conectarse a Active Directory Domain Services

4. Configurar la coincidencia de usuario

5. Características opcionales

6. Aplicaciones de Azure AD

7. Atributos de Azure AD

8. Listo para configurar

9. Terminado

Instalar

El primer paso del proceso de instalación consiste en aceptar los términos y condiciones de licencia y especificar la ubicación de Sincronización de Azure AD.

Conectarse a Azure Active Directory

Para conectarse con el directorio de Azure AD, la herramienta Sincronización de Azure AD necesita las credenciales de una cuenta con los permisos suficientes.

Para más información, consulte Creación de una cuenta para conectarse a Azure AD.

Conectarse a Active Directory Domain Services

Para conectarse con el Servicio de dominio de Active Directory, la herramienta Sincronización de Azure AD necesita las credenciales de una cuenta con los permisos suficientes.

Para obtener más información, consulte Creación de una cuenta de AD para conectarse a AD DS.

Configurar la coincidencia de usuario

En esta página debe configurar lo siguiente:

1. Coincidencia entre bosques

2. Coincidencia con Azure AD

Coincidencia entre bosques

La característica Coincidencia entre bosques le permite definir cómo se representan en Azure AD los usuarios de los bosques de ADDS.
Un usuario puede estar representado solo una vez en todos los bosques o tener una combinación de cuentas habilitadas y deshabilitadas.

Configuración	Descripción
Mis usuarios solo están representados una vez en los bosques	Todos los usuarios se crean como objetos individuales en Azure AD. Los objetos no se combinan en el metaverso.
Atributo de correo	Esta opción une a los usuarios y contactos si el atributo Mail tiene el mismo valor en bosques diferentes. Se recomienda usar esta opción si los contactos se crearon con GALSync.
ObjectSID y msExchangeMasterAccountSID	Esta opción une a un usuario habilitado en un bosque de cuentas con un usuario deshabilitado en un bosque de recursos de Exchange. También se conoce como buzón vinculado en Exchange.
sAMAccountName y MailNickName	Esta opción une los atributos cuando se espera poder encontrar el id. de inicio de sesión del usuario.
Mi propio atributo	Esta opción le permite seleccionar su propio atributo. Limitación en CTP: asegúrese de elegir un atributo que ya existirá en el metaverso. Si elige un atributo personalizado, el asistente no podrá completar el proceso.

Coincidencia con Azure AD

Puede usar esta opción para especificar el atributo que desea usar para la federación de identidades. El atributo sourceAnchor no cambia durante la vigencia de un objeto de usuario. En entornos de un bosque y en entornos en los que una cuenta nunca se mueve entre los bosques, objectGUID se considera un buen candidato. Si el usuario se mueve entre bosques o dominios, debe seleccionarse un atributo alternativo.

El atributo userPrincipalName es el Id. de inicio de sesión del usuario en Azure AD. De manera predeterminada, se usa el atributo userPrincipalName en ADDS. Si este atributo no es enrutable o no es adecuado como id. de inicio de sesión, puede seleccionarse un atributo diferente, como el correo, en la guía de instalación.

Características opcionales

Si tiene una implementación híbrida de Exchange, active esta casilla. De este modo, se reescribirán algunos atributos de Exchange Online a Active Directory local.

La reescritura de contraseña es una característica de Azure Active Directory Premium. Para obtener más información sobre cómo configurar esto, consulte https://blogs.technet.com/b/ad/archive/2014/04/29/deep-dive-password-reset-with-on-premise-sync-in-azure-ad-premium.aspx.

Si desea revisar o limitar los atributos que se sincronizan con Azure AD, seleccione el filtrado de atributos y aplicaciones de Azure AD. Como resultado, aparecerán dos páginas más en el asistente.

Para obtener más información sobre la sincronización de contraseñas, consulte Implementación de la sincronización de contraseñas con Azure Active Directory Sync.

Aplicaciones de Azure AD

Si desea limitar los atributos que se sincronizan con Azure AD, empiece seleccionando los servicios que utilice. Si configura esta página, todos los servicios nuevos deberán seleccionarse explícitamente ejecutando de nuevo la guía de instalación.

Atributos de Azure AD

Esta página mostrará todos los atributos que se sincronizarán, en función de los servicios seleccionados en el paso anterior. Esta lista es una combinación de todos los tipos de objeto que se están sincronizando. Si hay algunos atributos en particular que no necesita sincronizar, puede anular la selección. En la imagen anterior, se ha anulado la selección de extensionAttributes y homePhone, por lo que no se sincronizarán con Azure AD.

Listo para configurar

Esta página proporciona un resumen de la configuración. Debe revisar atentamente este resumen antes de proceder a la página siguiente.

Si en este paso aparece un error "No se puede comunicar con el servicio de Windows Azure Active Directory" y tiene configurado un servidor proxy, debe agregar la configuración de proxy para el archivo "machine.config" de su equipo con Sincronización de Azure AD.
Para obtener más información, consulte <Elemento proxy> (Network Configuración) .

Terminado

Acaba de crear una configuración predeterminada. Si está listo para iniciar la sincronización, haga clic en Finalizar.
Si necesita configurar algo más antes de iniciar la sincronización, anule la selección de la casilla Sincronizar antes de hacer clic en Finalizar. De este modo se creará una tarea deshabilitada en el programador de tareas. Cuando acabe el proceso de configuración, habilite esta tarea para iniciar la sincronización periódica.

Consulte también

Conceptos

sincronización de Azure Active Directory
Historial de publicación de versiones de Sincronización de Azure Active Directory
Implementación de la sincronización de contraseñas con la sincronización de Azure Active Directory

Otros recursos

Notas de la versión de Azure AD Sync