Compartir vía


Integrar un bosque existente y un nuevo bosque con un único inquilino de Microsoft Entra

En este tutorial se explica cómo agregar la sincronización en la nube a un entorno de identidad híbrida existente.

Diagrama que muestra el flujo de la sincronización en la nube de Microsoft Entra Cloud Sync.

El entorno que se crea en este tutorial se puede usar para realizar pruebas o para familiarizarse con el funcionamiento de una identidad híbrida.

En este escenario, hay un bosque existente sincronizado mediante Microsoft Entra Connect Sync con un inquilino de Microsoft Entra. Y tiene un nuevo bosque que desea sincronizar con el mismo inquilino de Microsoft Entra. Configuraremos la sincronización en la nube del nuevo bosque.

Requisitos previos

En el Centro de administración de Microsoft Entra

  1. Cree una cuenta de administrador de identidades híbridas exclusiva para la nube en su inquilino de Microsoft Entra. De esta manera, puede administrar la configuración del inquilino en caso de que los servicios locales fallen o no estén disponibles. Descubra cómo agregar una cuenta de administrador de identidad híbrida exclusiva para la nube. Realizar este paso es esencial para garantizar que no queda bloqueado fuera de su inquilino.
  2. Agregue uno o varios nombres de dominio personalizados al inquilino de Microsoft Entra. Los usuarios pueden iniciar sesión con uno de estos nombres de dominio.

En el entorno local

  1. Use un servidor host unido a un dominio en el que se ejecute Windows Server 2012 R2 o superior con un mínimo de 4 GB de RAM y un entorno de ejecución .NET 4.7.1 o posterior.

  2. Si hay un firewall entre los servidores y Microsoft Entra ID, configure los elementos siguientes:

    • Asegúrese de que los agentes pueden realizar solicitudes de salida a Microsoft Entra ID a través de los puertos siguientes:

      Número de puerto Cómo se usa
      80 Descarga las listas de revocación de certificados (CRL) al validar el certificado TLS/SSL.
      443 Controla toda la comunicación saliente con el servicio
      8080 (opcional) Si el puerto 443 no está disponible, los agentes notifican su estado cada 10 minutos en el puerto 8080. Este estado se muestra en el portal.

      Si el firewall fuerza las reglas según los usuarios que las originan, abra estos puertos para el tráfico de servicios de Windows que se ejecutan como un servicio de red.

    • Si el firewall o proxy le permite configurar sufijos seguros, agregue conexiones a .*msappproxy.net y .servicebus.windows.net. En caso contrario, permita el acceso a los intervalos de direcciones IP del centro de datos de Azure, que se actualizan cada semana.

    • Los agentes necesitan acceder a login.windows.net y login.microsoftonline.com para el registro inicial. Abra el firewall también para esas direcciones URL.

    • Para la validación de certificados, desbloquee las siguientes direcciones URL: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 y www.microsoft.com:80. Como estas direcciones URL se utilizan para la validación de certificados con otros productos de Microsoft, es posible que estas direcciones URL ya estén desbloqueadas.

Instalación del agente de aprovisionamiento de Microsoft Entra

Si usa el tutorial Entorno básico de AD y Azure, sería DC1. Para instalar el agente, siga estos pasos:

  1. En el Azure Portal, seleccione Microsoft Entra ID.
  2. A la izquierda, seleccione Microsoft Entra Connect.
  3. A la izquierda, seleccione Sincronización en la nube.

Captura de pantalla de la pantalla de experiencia de usuario nueva.

  1. Seleccione Agente a la izquierda.
  2. Seleccione Descargar el agente local y, después, Aceptar términos y descargar.

Captura de pantalla del agente de descarga.

  1. Una vez descargado el paquete del agente de aprovisionamiento de Microsoft Entra Connect, ejecute el archivo de instalación AADConnectProvisioningAgentSetup.exe desde la carpeta de descargas.

Nota:

Al instalar para la nube de la Administración Pública de Estados Unidos, use:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Para obtener más información, consulte “Instalación de un agente en la nube del Gobierno de EE. UU.”.

  1. En la pantalla de presentación, elija Acepto los términos y las condiciones de la licencia y seleccione Instalar.

Captura de pantalla que muestra la pantalla de presentación Paquete de agente de aprovisionamiento de Microsoft Entra Connect.

  1. Cuando finaliza la instalación, se inicia el asistente para la configuración. Seleccione Siguiente para iniciar la configuración. Captura de la pantalla de bienvenida.
  2. En la pantalla Seleccionar extensión, seleccione Aprovisionamiento basado en HR (Workday y SuccessFactors) / Sincronización en la nube de Microsoft Entra Connect y seleccione Siguiente. Captura de la pantalla Seleccionar extensiones.

Nota:

Si va a instalar el agente de aprovisionamiento para usarlo con el aprovisionamiento de aplicaciones local, seleccione aprovisionamiento de aplicaciones local (de Microsoft Entra ID a la aplicación).

  1. Inicie sesión con una cuenta con al menos el rol de Administrador de identidades híbridas. Si tiene habilitada la seguridad mejorada de Internet Explorer, esta bloquea el inicio de sesión. Si es así, cierre la instalación, deshabilite la seguridad mejorada de Internet Explorer, y reinicie la instalación del Paquete del agente de aprovisionamiento de Microsoft Entra Connect.

Captura de pantalla la pantalla de Microsoft Entra ID.

  1. En la pantalla Configurar cuenta de servicio, seleccione una cuenta de servicio administrada de grupo (gMSA). Esta cuenta se usa para ejecutar el servicio del agente. Si otro agente ya ha configurado una cuenta de servicio administrada en el dominio y va a instalar un segundo agente, seleccione Crear gMSA porque el sistema detecta la cuenta existente y agrega los permisos necesarios para que el nuevo agente use la cuenta gMSA. Si el sistema le pregunta, elija una de estas opciones:
  • Crear gMSA, que permite al agente crear automáticamente la cuenta de servicio administrada provAgentgMSA$. La cuenta de servicio administrada de grupo (por ejemplo, CONTOSO\provAgentgMSA$) se creará en el mismo dominio de Active Directory al que se ha unido el servidor host. Para utilizar esta opción, introduzca las credenciales de administrador de dominio de Active Directory (recomendado).
  • Use gMSA personalizada y proporcione el nombre de la cuenta de servicio administrada que ha creado manualmente para esta tarea.

Para continuar, seleccione Siguiente.

Captura de la pantalla Configuración de cuenta de servicio.

  1. En la pantalla Conectar Active Directory, si el nombre de su dominio aparece en Dominios configurados, continúe en el paso siguiente. De lo contrario, escriba el nombre del dominio de Active Directory y seleccione Agregar directorio.

  2. Inicie sesión con su cuenta de administrador de dominio de Active Directory. La cuenta de administrador de dominio no debe tener una contraseña expirada. En caso de que la contraseña haya caducado o cambie durante la instalación del agente, debe volver a configurar el agente con las nuevas credenciales. Esta operación permitirá agregar su directorio local. Seleccione Aceptar y Siguiente para continuar.

Captura de pantalla que muestra cómo proporcionar las credenciales de administrador de dominio.

  1. En la captura de pantalla siguiente se muestra un ejemplo del dominio configurado contoso.com. Seleccione Next (Siguiente) para continuar.

Captura de la pantalla Conexión de Active Directory.

  1. En la pantalla Configuración completa, seleccione Confirmar. Esta operación registra y reinicia el agente.

  2. Una vez completada esta operación, se le debería notificar que la configuración del agente se ha comprobado correctamente. Puede seleccionar Salir.

Captura de la pantalla Finalizar.

  1. Si la pantalla de presentación inicial no desaparece, seleccione Cerrar.

Comprobación de la instalación del agente

La comprobación del agente se produce en Azure Portal y en el servidor local que ejecuta el agente.

Comprobación del agente en Azure Portal

Para comprobar que Microsoft Entra ID registra el agente, siga estos pasos:

  1. Inicie sesión en Azure Portal.
  2. Seleccione Microsoft Entra ID.
  3. Seleccione Microsoft Entra Connect y, luego, elija Cloud Sync. Captura de la pantalla nueva de experiencia de usuario.
  4. En la página Sincronización en la nube, verá los agentes que ha instalado. Compruebe que se muestra el agente y que el estado es correcto.

En el servidor local

Para comprobar que el agente se ejecuta, siga estos pasos:

  1. Inicie sesión en el servidor con una cuenta de administrador.
  2. Abra Servicios. Para ello, vaya ahí o a Inicio/Ejecutar/Services.msc.
  3. En Servicios asegúrese de que tanto el Actualizador del agente de Microsoft Entra Connect como el Agente de aprovisionamiento de Microsoft Entra Connect están presentes y que su estado es En ejecución. Captura de pantalla que muestra los servicios de Windows

Verificar la versión del agente de aprovisionamiento

Para comprobar la versión del agente que se está ejecutando, siga estos pasos:

  1. Vaya a "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent"
  2. Haga clic con el botón derecho en "AADConnectProvisioningAgent.exe" y seleccione las propiedades.
  3. Haga clic en la pestaña de detalles y el número de versión se mostrará junto a Versión del producto.

Configuración de Microsoft Entra Cloud Sync

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Use los pasos siguientes para configurar el aprovisionamiento:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador híbrido como mínimo.
  2. Ve a Identidad>Administración híbrida>Microsoft Entra Connect>Cloud Sync. Captura de pantalla de la página de inicio de Cloud Sync..
  1. Seleccione Nueva configuración.
  2. En la pantalla de configuración, escriba un correo electrónico de notificación, mueva el selector a Habilitar y seleccione Guardar.
  3. El estado de configuración ahora debería ser Correcto.

Comprobación de la creación y sincronización de los usuarios

Ahora comprobará que los usuarios que tenía en el directorio local se han sincronizado y existen en el inquilino de Microsoft Entra. Este proceso puede tardar unas horas en completarse. Para confirmar que los usuarios están sincronizados, haga lo siguiente:

  1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Administrador de identidad híbrida.
  2. Vaya a Identidad>Usuarios.
  3. Compruebe que ve los usuarios nuevos en nuestro inquilino.

Prueba del inicio de sesión con uno de nuestros usuarios

  1. Vaya a https://myapps.microsoft.com.

  2. Inicie sesión con la cuenta de usuario que se creó en nuestro nuevo inquilino. Deberá iniciar sesión mediante el formato siguiente: (user@domain.onmicrosoft.com). Use la misma contraseña que el usuario utiliza para iniciar sesión en el entorno local.

    Captura de pantalla que muestra el portal Mis aplicaciones con usuarios que han iniciado sesión

Ya ha configurado un entorno de identidad híbrida que puede usar para que pueda probar lo que le ofrece Azure y familiarizarse con ello.

Pasos siguientes