Aprovisionamiento de Microsoft Entra ID en Active Directory: configuración
El siguiente documento le guiará por la configuración de Microsoft Entra Cloud Sync para el aprovisionamiento de Microsoft Entra ID en Active Directory. Si busca información sobre el aprovisionamiento de AD en Microsoft Entra ID, consulte Configuración: Aprovisionamiento de Active Directory en Microsoft Entra ID mediante Microsoft Entra Cloud Sync
Importante
La versión preliminar pública de Escritura diferida de grupos V2 en Sincronización de Microsoft Entra Connect ya no estará disponible después del 30 de junio de 2024. Esta característica se interrumpirá en esta fecha y ya no se admitirá en Sincronización Connect para aprovisionar grupos de seguridad en la nube en Active Directory.
Ofrecemos una funcionalidad similar en Microsoft Entra Cloud Sync denominada Aprovisionamiento de grupos en Active Directory que puede usar en lugar de Escritura diferida de grupos v2 para aprovisionar grupos de seguridad en la nube en Active Directory. Estamos trabajando para mejorar esta funcionalidad en Cloud Sync junto con otras nuevas características que estamos desarrollando en Cloud Sync.
Los clientes que usan esta característica en vista previa (GB) en Connect Sync deben cambiar su configuración de Connect Sync a Cloud Sync. Puede optar por mover toda la sincronización híbrida a Cloud Sync (si es compatible con sus necesidades). También puede ejecutar Sincronización en la nube en paralelo y mover solo el aprovisionamiento de grupos de seguridad en la nube en Active Directory a Sincronización en la nube.
Para los clientes que aprovisionan grupos de Microsoft 365 en Active Directory, puede seguir usando Escritura diferida de grupos v1 para esta funcionalidad.
Puede evaluar el traslado exclusivo a Cloud Sync mediante el asistente de sincronización de usuario.
Configuración del aprovisionamiento
Para configurar el aprovisionamiento, siga estos pasos.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador híbrido como mínimo.
- Vaya a Identidad>Administración híbrida>Microsoft Entra Connect>Cloud Sync. .
- Seleccione Nueva configuración.
- Seleccione Sincronización de Microsoft Entra ID en AD.
- En la pantalla de configuración, seleccione su dominio y si quiere habilitar la sincronización del hash de contraseñas. Haga clic en Crear.
- Se abrirá la pantalla Introducción. Desde aquí, puede seguir configurando la sincronización en la nube.
- La configuración se divide en las 5 secciones siguientes.
Sección | Descripción |
---|---|
1. Incorporación de filtros de ámbito | Use esta sección para definir qué objetos aparecen en Microsoft Entra ID. |
2. Asignación de atributos | Use esta sección para asignar atributos entre los usuarios o grupos locales con objetos de Microsoft Entra. |
3. Prueba | Pruebe la configuración antes de implementarla. |
4. Visualización de propiedades predeterminadas | Vea la configuración predeterminada antes de habilitarlas y realice cambios donde corresponda. |
5. Habilitación de la configuración | Una vez lista, habilitará la configuración, y los usuarios o grupos comenzarán a sincronizarse. |
Especificación del ámbito de aprovisionamiento a grupos específicos
Se puede especificar el ámbito del agente para sincronizar todos los grupos de seguridad o los específicos. Puede configurar grupos ni unidades organizativas dentro de una configuración.
- En la pantalla de configuración Introducción. Haga clic en Add scoping filters (Agregar filtros de ámbito) junto al icono Agregar filtros de ámbito o en Filtros de ámbito situado a la izquierda, en Administrar.
- Seleccione el filtro de ámbito. El filtro puede ser uno de los siguientes:
- Todos los grupos de seguridad: especifica el ámbito de configuración que se aplicará a todos los grupos de seguridad en la nube.
- Grupos de seguridad seleccionados: limita la configuración que se va a aplicar a grupos de seguridad específicos.
- Para grupos de seguridad específicos, seleccione Editar grupos y elija los grupos deseados de la lista.
Nota:
Si selecciona un grupo de seguridad que tenga un grupo de seguridad anidado como miembro, solo se escribirá el grupo anidado y no los miembros. Por ejemplo, si un grupo de seguridad Ventas fuera miembro del grupo de seguridad Marketing, solo se escribirá el propio grupo Ventas y no los miembros del mismo.
Si desea anidar grupos y aprovisionarlos en AD, deberá agregar también todos los grupos de miembros al ámbito.
- Puede usar el cuadro Contenedor de destino para definir el ámbito de los grupos que usen un contenedor específico. Realice esta tarea mediante el atributo parentDistinguishedName. Use una asignación de constante, directa o de expresión.
Se pueden configurar varios contenedores de destino mediante una expresión de asignación de atributos con la función Switch(). Con esta expresión, si el valor displayName fuera Marketing o Ventas, el grupo se creará en la unidad organizativa correspondiente. Si no hubiera ninguna coincidencia, el grupo se creará en la unidad organizativa predeterminada.
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
- Se admite el filtrado de ámbito basado en atributos. Para más información, consulte Filtrado de ámbito basado en atributos, Referencia para escribir expresiones para asignaciones de atributos en Microsoft Entra ID y Escenario: Uso de extensiones de directorio con aprovisionamiento de grupos en Active Directory.
- Una vez configurados los filtros de ámbito, haga clic en Guardar.
- Después de guardar, debería ver un mensaje en el que se indica lo que debe hacer para configurar la sincronización en la nube. Puede hacer clic en el vínculo para continuar.
Aprovisionamiento de ámbito para grupos específicos mediante extensiones de directorio
Si necesita opciones más avanzadas de filtrado y ámbito, puede configurar el uso de extensiones de directorio. Para información general sobre las extensiones de directorio, consulte Extensiones de directorio para aprovisionar Microsoft Entra ID en Active Directory.
Para ver un tutorial paso a paso sobre cómo ampliar el esquema y, a continuación, usar el atributo de extensión de directorio con el aprovisionamiento de Cloud Sync en AD, consulte Escenario: Uso de extensiones de directorio con aprovisionamiento de grupos en Active Directory.
Asignación de atributos
Microsoft Entra Cloud Sync le permite asignar fácilmente atributos entre los objetos de usuario o de grupo locales y los objetos de Microsoft Entra ID.
Puede personalizar las asignaciones de atributos predeterminadas según sus necesidades empresariales. Esto significa que puede cambiar o eliminar asignaciones de atributos existentes o crear nuevas asignaciones de atributos.
Después de guardar, debería ver un mensaje en el que se indica lo que debe hacer para configurar la sincronización en la nube. Puede hacer clic en el vínculo para continuar.
Para más información, consulte Asignación de atributos y Referencia para escribir expresiones para la asignación de atributos en Microsoft Entra ID.
Extensiones de directorio y asignación de atributos personalizados.
Microsoft Entra Cloud Sync le permite ampliar el directorio con extensiones y proporciona la asignación de atributos personalizados. Para obtener más información, vea Extensiones de directorio y asignación de atributos personalizados.
Aprovisionamiento a petición
Microsoft Entra Cloud Sync le permite probar los cambios de configuración mediante la aplicación de estos cambios a un solo usuario o grupo.
Puede utilizar esta característica para validar y comprobar que los cambios realizados en la configuración se aplicaron correctamente y que se están sincronizando correctamente con Microsoft Entra ID.
Después de realizar la prueba, debería ver un mensaje en el que se indica lo que debe hacer para configurar la sincronización en la nube. Puede hacer clic en el vínculo para continuar.
Para más información, consulte el aprovisionamiento a petición.
Eliminaciones accidentales y notificaciones por correo electrónico
La sección de propiedades predeterminadas proporciona información sobre eliminaciones accidentales y notificaciones por correo electrónico.
La característica de eliminación accidental está diseñada para protegerle de los cambios de configuración accidentales y de los cambios en el directorio local que afectarían a un gran número de usuarios y grupos.
Esta característica permite:
- Configure la capacidad de evitar eliminaciones accidentales automáticamente.
- establecer el número de objetos (umbral) más allá del cual la configuración surtirá efecto
- Configuración de una dirección de correo electrónico de notificación para que puedan recibir una notificación por correo electrónico cuando el trabajo de sincronización en cuestión se ponga en cuarentena para este escenario
Para más información, consulte Eliminaciones accidentales.
Haga clic en el lápiz situado junto a la opción Aspectos básicos para cambiar los valores predeterminados de una configuración.
Habilitación de la configuración
Una vez que haya finalizado y probado la configuración, puede habilitarla.
Haga clic en Enable configuration (Habilitar configuración) para habilitarla.
Cuarentenas
La sincronización en la nube supervisa el estado de la configuración y establece los objetos incorrectos en un estado de cuarentena. Si todas o la mayoría de las llamadas realizadas al sistema de destino no tienen éxito sistemáticamente debido a un error (como en el caso de credenciales de administrador no válidas), el trabajo de sincronización se establece en un estado de cuarentena. Para más información, consulte la sección sobre la solución de problemas de Cuarentenas.
Reinicio del aprovisionamiento
Si no quiere esperar a la siguiente ejecución programada, desencadene la ejecución del aprovisionamiento mediante el botón Restart sync (Reiniciar sincronización).
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador híbrido como mínimo.
- Vaya a Identidad>Administración híbrida>Microsoft Entra Connect>Cloud Sync. .
En Configuración, seleccione su configuración.
En la parte superior, seleccione Restart sync (Reiniciar sincronización).
Eliminación de una configuración
Para eliminar una configuración, siga estos pasos.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador híbrido como mínimo.
- Vaya a Identidad>Administración híbrida>Microsoft Entra Connect>Cloud Sync. .
En Configuración, seleccione su configuración.
En la parte superior de la pantalla de configuración, seleccione Eliminar configuración.
Importante
No se pide confirmación antes de eliminar una configuración. Asegúrese de que esta es la acción que desea realizar antes de seleccionar Eliminar.