Topologías y escenarios admitidos para la sincronización en la nube de Microsoft Entra ID
Este artículo describe varias topologías locales y de Microsoft Entra que usan sincronización en la nube de Microsoft Entra. En este artículo solo se incluyen las configuraciones y los escenarios admitidos.
Importante
Microsoft no admite la modificación o el funcionamiento de la sincronización en la nube de Microsoft Entra fuera de las configuraciones o acciones formalmente documentadas. Cualquiera de estas configuraciones o acciones pueden provocar un estado incoherente o no admitido de sincronización en la nube de Microsoft Entra Connect. Como resultado, Microsoft no ofrece soporte técnico para estas implementaciones.
Para más información, vea los siguientes vídeos.
Aspectos que recordar sobre todos los escenarios y topologías
Se debe tener en cuenta la información siguiente al seleccionar una solución.
- Los usuarios y grupos deben identificarse de forma única en todos los bosques.
- La coincidencia entre bosques no se produce con la sincronización en la nube.
- El delimitador de origen de los objetos se selecciona automáticamente. Usa ms-DS-ConsistencyGuid si está presente; de lo contrario, se usa ObjectGUID.
- No se puede cambiar el atributo que se usa para el delimitador de origen.
Topologías admitidas de Active Directory con Microsoft Entra ID
Se admiten las siguientes topologías para el aprovisionamiento desde Active Directory a Microsoft Entra ID.
Un solo bosque, un solo inquilino de Microsoft Entra
La topología más sencilla es un único bosque local, con uno o varios dominios, y un único inquilino de Microsoft Entra. Para ver un ejemplo de este escenario, consulte Tutorial: Un único bosque con un único inquilino de Microsoft Entra
Inquilino de varios bosques, Microsoft Entra único
Varios bosques de AD son una topología común, con uno o varios dominios, y un único inquilino de Microsoft Entra.
Bosque existente con Microsoft Entra Connect, nuevo bosque con aprovisionamiento en la nube
Esta topología de escenario es similar a la del escenario de varios bosques; sin embargo, en este caso hay un entorno de Microsoft Entra Connect existente y, a continuación, se incorpora un nuevo bosque con sincronización en la nube de Microsoft Entra Connect. Para ver un ejemplo de este escenario, consulte Tutorial: un único bosque con un único inquilino de Microsoft Entra
Prueba piloto de sincronización en la nube de Microsoft Entra Connect en un bosque de AD híbrido existente
El escenario piloto implica la existencia de Microsoft Entra Connect y Microsoft Entra Cloud Sync en el mismo bosque y determinar el ámbito de los usuarios y grupos en consecuencia. NOTA: Un objeto debe estar en el ámbito solo en una de las herramientas.
Para ver un ejemplo de este escenario, consulte Piloto de sincronización de nube de Microsoft Entra en un bosque AD sincronizado existente
Combinar objetos de orígenes desconectados
(Vista previa pública)
En este escenario, dos bosques de Active Directory desconectados contribuyen a los atributos de un usuario.
Un ejemplo sería:
- Un bosque (1) contiene la mayoría de los atributos.
- Un segundo bosque (2) contiene algunos atributos.
Dado que el segundo bosque no tiene conectividad de red con el servidor de Microsoft Entra Connect, el objeto no se puede combinar a través de Microsoft Entra Connect. La sincronización en la nube en el segundo bosque permite recuperar el valor del atributo del segundo bosque. A continuación, el valor se puede combinar con el objeto en Microsoft Entra ID sincronizado por Microsoft Entra Connect.
Esta configuración es avanzada y hay algunas advertencias en esta topología:
- Debe usar
ms-DS-ConsistencyGuid
como anclaje de origen en la configuración de sincronización en la nube. - El
ms-DS-ConsistencyGuid
del objeto de usuario del segundo bosque debe coincidir con el del objeto correspondiente en Microsoft Entra ID. - Debe rellenar el
UserPrincipalName
atributo y elAlias
atributo en el segundo bosque y debe coincidir con los que se sincronizan desde el primer bosque. - Debe quitar todos los atributos de la asignación de atributos en la configuración de sincronización en la nube que no tienen un valor o puede tener un valor diferente en el segundo bosque – que no puede tener asignaciones de atributos superpuestas entre el primer bosque y el segundo.
- Si no hay ningún objeto coincidente en el primer bosque, para un objeto que se sincroniza desde el segundo bosque, la sincronización en la nube seguirá creando el objeto en el Microsoft Entra ID. El objeto solo tendrá los atributos definidos en la configuración de asignación de sincronización en la nube para el segundo bosque.
- Si elimina el objeto del segundo bosque, se eliminará temporalmente en Microsoft Entra ID. Se restaurará automáticamente después del siguiente ciclo de sincronización de Microsoft Entra ID.
- Si elimina el objeto del primer bosque, se eliminará temporalmente de Microsoft Entra ID. El objeto no se restaurará a menos que se realice un cambio en el objeto del segundo bosque. Después de 30 días, el objeto se eliminará de forma permanente de Microsoft Entra ID. y, si se realiza un cambio en el objeto del segundo bosque, se creará como un nuevo objeto en Microsoft Entra ID.
Topologías compatibles de Microsoft Entra ID a Active Directory
Se admiten las siguientes topologías para el aprovisionamiento de Microsoft Entra ID a Active Directory.
Aprovisionamiento de grupos de bosques únicos en Active Directory
La topología de aprovisionamiento de grupos más sencilla es un único bosque local, con uno o varios dominios, y un único inquilino de Microsoft Entra. Para obtener un ejemplo de este escenario, consulte Aprovisionamiento de grupos en Active Directory
Aprovisionamiento de grupos de varios bosques en Active Directory
Una topología de aprovisionamiento de grupos más avanzada consta de varios bosques de AD locales que comparten un único inquilino de Microsoft Entra ID.
Esta configuración es avanzada y hay algunas cosas que recordar con esta topología:
- Los grupos aprovisionados en AD mediante la sincronización en la nube solo pueden contener usuarios sincronizados locales o grupos de seguridad creados en la nube adicionales.
- Todos estos usuarios deben tener el atributo onPremisesObjectIdentifier establecido en su cuenta.
- onPremisesObjectIdentifier debe coincidir con un objectGUID correspondiente en el entorno de AD de destino.
- Se puede sincronizar un atributo objectGUID de usuarios locales a usuarios en la nube onPremisesObjectIdentifier mediante Microsoft Entra Cloud Sync (1.1.1370.0) o Microsoft Entra Connect Sync (2.2.8.0)
- Dentro del inquilino, puede compartir un grupo común que contenga usuarios de ambos bosques.
- Sin embargo, los usuarios que no existan en el otro bosque, NO SERÁN aprovisionados como miembros del grupo cuando se aprovisione localmente. Por lo tanto, si tiene un grupo en Microsoft Entra ID que contiene usuarios de contoso.com y fabrikam.com, solo los usuarios que existan en el bosque de contoso.com serán miembros del grupo cuando se aprovisione a contoso.com. Y lo mismo con fabrikam.