Configuración de la sincronización con ámbito entre Azure AD y Azure Active Directory Domain Services mediante Azure Portal

Para proporcionar servicios de autenticación, Azure Active Directory Domain Services (Azure AD DS) sincroniza los usuarios y grupos de Azure AD. En un entorno híbrido, los usuarios y grupos de un entorno local de Active Directory Domain Services (AD DS) se pueden sincronizar primero con Azure AD mediante Azure AD Connect y, luego, con un dominio administrado de Azure AD DS.

De forma predeterminada, todos los usuarios y grupos de un directorio de Azure AD se sincronizan con un dominio administrado. Si tiene necesidades específicas, puede optar por sincronizar solo un conjunto definido de usuarios.

En este artículo se muestra cómo configurar la sincronización con ámbito y, luego, cambiar o deshabilitar el conjunto de usuarios con ámbito mediante Azure Portal. También puede completar estos pasos con PowerShell.

Antes de empezar

Para completar este artículo, necesitará los siguientes recursos y privilegios:

Introducción a la sincronización con ámbito

De forma predeterminada, todos los usuarios y grupos de un directorio de Azure AD se sincronizan con un dominio administrado. Si solo unos cuantos usuarios necesitan acceso al dominio administrado, puede sincronizar únicamente esas cuentas de usuario. Esta sincronización son ámbito se basa en grupos. Al configurar la sincronización con ámbito basada en grupos, solo las cuentas de usuario que pertenecen a los grupos que especifique se sincronizan con el dominio administrado. Los grupos anidados no se sincronizan, solo los grupos específicos que seleccione.

Puede cambiar el ámbito de sincronización antes o después de crear el dominio administrado. Una entidad de servicio define el ámbito de sincronización con el identificador de la aplicación 2565bd9d-da50-47d4-8b85-4c97f669dc36. Para evitar la pérdida de ámbito, no elimine ni cambie la entidad de servicio. Si se elimina accidentalmente, no se puede recuperar el ámbito de sincronización.

Tenga en cuenta las siguientes advertencias si cambia el ámbito de sincronización:

  • Se produce una sincronización completa.
  • Los objetos que ya no son necesarios en el dominio administrado se eliminan. Se crean objetos en el dominio administrado.

Para más información sobre el proceso de sincronización , consulte Funcionamiento de la sincronización en Azure AD Domain Services.

Habilitación de la sincronización con ámbito

Para habilitar la sincronización con ámbito en Azure Portal, complete los pasos siguientes:

  1. En Azure Portal, busque y seleccione Azure AD Domain Services. Elija el dominio administrado como, por ejemplo, aaddscontoso.com.
  2. Seleccione Sincronización en el menú de la izquierda.
  3. En Tipo de sincronización, seleccione Ámbito.
  4. Elija Seleccionar grupos y después busque y seleccione los grupos que quiere agregar.
  5. Cuando se realicen todos los cambios, seleccione Guardar ámbito de sincronización.

Al cambiar el ámbito de sincronización el dominio administrado vuelve a sincronizar todos los datos. Los objetos que ya no son necesarios en el dominio administrado se eliminan y la resincronización puede tardar un poco en completarse.

Modificación de la sincronización con ámbito

Para modificar la lista de grupos cuyos usuarios deben sincronizarse con el dominio administrado, lleve a cabo los pasos siguientes:

  1. En Azure Portal, busque y seleccione Azure AD Domain Services. Elija el dominio administrado como, por ejemplo, aaddscontoso.com.
  2. Seleccione Sincronización en el menú de la izquierda.
  3. Para agregar un grupo, elija + Seleccionar grupos en la parte superior y, después, seleccione los grupos que quiere agregar.
  4. Para quitar un grupo del ámbito de sincronización, selecciónelo en la lista de grupos actualmente sincronizados y elija Quitar grupos.
  5. Cuando se realicen todos los cambios, seleccione Guardar ámbito de sincronización.

Al cambiar el ámbito de sincronización el dominio administrado vuelve a sincronizar todos los datos. Los objetos que ya no son necesarios en el dominio administrado se eliminan y la resincronización puede tardar un poco en completarse.

Deshabilitación de la sincronización con ámbito

Para deshabilitar la sincronización con ámbito basada en grupos para un dominio administrado, lleve a cabo los pasos siguientes:

  1. En Azure Portal, busque y seleccione Azure AD Domain Services. Elija el dominio administrado como, por ejemplo, aaddscontoso.com.
  2. Seleccione Sincronización en el menú de la izquierda.
  3. Cambie el Tipo de sincronización de Ámbito a Todo y, luego, seleccione Guardar ámbito de sincronización.

Al cambiar el ámbito de sincronización el dominio administrado vuelve a sincronizar todos los datos. Los objetos que ya no son necesarios en el dominio administrado se eliminan y la resincronización puede tardar un poco en completarse.

Pasos siguientes

Para más información sobre el proceso de sincronización , consulte Funcionamiento de la sincronización en Azure AD Domain Services.