Cuentas necesarias para una configuración híbrida y pruebas
SE APLICA A:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
Al configurar un entorno híbrido de SharePoint Server, necesita varias cuentas de usuario tanto en active directory local como en Microsoft 365. Estas cuentas también necesitan diferentes permisos y pertenencias a grupos o roles. Algunas de las cuentas se usan para implementar y configurar software, y otras se usan para probar funcionalidades específicas para ayudar a garantizar que los sistemas de autenticación y seguridad funcionan según lo previsto.
En un entorno híbrido, algunas o todas las cuentas de usuario de Active Directory se sincronizan con los servicios de directorio de Microsoft Entra. Nos referimos a estas cuentas como usuarios federados. SharePoint Server y SharePoint en Microsoft 365 están configurados con una relación de confianza de servidor a servidor (S2S) y las aplicaciones de servicio se pueden configurar para permitir que los usuarios federados accedan al contenido y a los recursos de ambas granjas mediante una única identidad. Dado que las cuentas de usuario y las credenciales se sincronizan entre SharePoint Server y SharePoint en Microsoft 365, la seguridad de contenido de lista y biblioteca se puede aplicar en ambas granjas de servidores con el mismo conjunto de usuarios y grupos.
Nota:
Esta tabla no incluye las cuentas de servicio, que pueden tener requisitos específicos para las aplicaciones de servicios y características de algunas soluciones híbridas de SharePoint Server. Para más información sobre los requisitos de cada solución compatible, vea los artículos sobre configuración de soluciones en Configurar una solución híbrida para SharePoint Server.
Microsoft recomienda utilizar roles con la menor cantidad de permisos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Tabla: Cuentas necesarias para configurar y probar un entorno híbrido de SharePoint
Cuenta | Proveedor de identidad | Rol |
---|---|---|
Administrador global |
Identificador de Microsoft 365 y Microsoft Entra |
Use una cuenta profesional de Microsoft 365 que se haya asignado al rol de administrador global para las tareas de configuración de Microsoft 365, como la configuración de SharePoint en las características de Microsoft 365, la ejecución de Microsoft Entra ID y SharePoint en los comandos de PowerShell de Microsoft 365 y la prueba de SharePoint en Microsoft 365. |
Administrador de dominio de AD |
AD local |
Use una cuenta de AD del grupo Admins. del dominio para configurar y probar AD, ADFS, DNS y certificados y para llevar a cabo otras tareas que requieran permisos elevados. |
Administrador de granja de servidores de SharePoint en Microsoft 365 |
AD local |
Use una cuenta de AD en el grupo Administradores de granja de servidores de SharePoint en Microsoft 365 para tareas de configuración de SharePoint Server, como ejecutar comandos de PowerShell en el Shell de administración de SharePoint en Microsoft 365, para configurar confianzas S2S, crear y configurar aplicaciones web y colecciones de sitios, implementar y configurar bases de datos de SQL Server y solucionar problemas de SharePoint Server. Esta cuenta también debe tener privilegios adicionales para usar SharePoint en el Shell de administración de Microsoft 365: Pertenencia al rol fijo de servidor securityadmin en la instancia de SQL Server. Pertenencia al rol fijo de base de datos db_owner en todas las bases de datos que se van a cargar. Pertenencia al grupo Administradores en el servidor donde ejecuta los cmdlets de PowerShell. |
Usuarios federados |
AD local |
Use cuentas de AD que se han sincronizado con Microsoft 365 para probar el acceso a recursos específicos en SharePoint Server y SharePoint en Microsoft 365. Estas cuentas, o grupos de los que son miembros, deben tener permisos para colecciones de sitios y recursos de SharePoint Server en ambos entornos y tener asignadas las licencias de producto adecuadas en la suscripción de Microsoft 365. También deben estar configuradas para usar el sufijo UPN de dominio alternativo que especificó para los usuarios federados durante el proceso de planeación. Puede configurar varias cuentas federadas con permisos o pertenencias a grupos diferentes para probar la reducción de seguridad y el acceso a los recursos del sitio. |