Migración a Microsoft Entra Cloud Sync para un bosque de AD sincronizado que ya existe
En este tutorial se explica como migrar a la sincronización en la nube de un bosque de Active Directory de prueba que ya está sincronizado mediante la Sincronización de la conexión de Microsoft Entra.
Nota:
En este artículo se proporciona información sobre una migración básica y debe revisar la documentación Migración a sincronización en la nube antes de intentar migrar el entorno de producción.
Consideraciones
Antes de empezar con este tutorial, considere los siguientes elementos:
Asegúrese de que conoce los conceptos básicos de la sincronización en la nube.
Asegúrese de que ejecuta la versión 1.4.32.0 de la Sincronización de Microsoft Entra Connect, o cualquier versión posterior, y de que ha configurado las reglas de sincronización como se ha documentado.
Al realizar una prueba piloto, eliminará una unidad organizativa o grupo de prueba del ámbito de Sincronización de Microsoft Entra Connect. Sacar objetos del ámbito provoca la eliminación de esos objetos en Microsoft Entra.
- En los objetos de usuario, los objetos de Microsoft Entra se eliminan de manera temporal y se pueden restaurar.
- En los objetos de grupo, los objetos de Microsoft Entra se eliminan de manera permanente y no se pueden restaurar.
Se ha introducido un nuevo tipo de vínculo en la Sincronización de Microsoft Entra Connect que evitará la eliminación en un escenario de prueba piloto.
Asegúrese de que los objetos del ámbito de la prueba ya contengan un valor de ms-ds-consistencyGUID para que la sincronización en la nube proporcione una coincidencia exacta de los objetos.
Nota:
La Sincronización de Microsoft Entra Connect no rellena ms-ds-consistencyGUID de forma predeterminada para los objetos del grupo.
- Esta configuración es para escenarios avanzados. Asegúrese de que sigue los pasos de este tutorial con precisión.
Requisitos previos
A continuación, se indican los requisitos previos necesarios para completar este tutorial:
- Un entorno de prueba con la versión 1.4.32.0, o cualquier versión posterior, de la sincronización de Microsoft Entra Connect
- Una unidad organizativa o un grupo que estén en el ámbito de la sincronización y que pueda usar en la prueba piloto. Se recomienda empezar con un pequeño conjunto de objetos.
- Un servidor que ejecuta Windows Server 2016, o cualquier versión posterior, que hospedará el agente de aprovisionamiento.
- El delimitador de origen para la Sincronización de Microsoft Entra Connect debe ser objectGuid o ms-ds-consistencyGUID
Actualizar Microsoft Entra Connect
Como mínimo, debería tener Microsoft Entra Connect 1.4.32.0. Para actualizar Microsoft Entra Connect Sync, complete los pasos descritos en Microsoft Entra Connect: Actualizar a la versión más reciente.
Copia de seguridad de la configuración de Microsoft Entra Connect
Antes de realizar cambios, debe hacer una copia de seguridad de la configuración de Microsoft Entra Connect. De este modo, podrá revertir a la configuración anterior. Consulte Importación y exportación de los valores de configuración de Microsoft Entra Connect para más información.
Detención del programador
Microsoft Entra Connect Sync sincroniza los cambios que se producen en el directorio local mediante un programador. Para modificar y agregar reglas personalizadas, querrá deshabilitar el programador a fin de que no se ejecuten sincronizaciones mientras trabaja realiza los cambios. Para detener el programador, siga estos pasos:
- En el servidor que ejecuta la Sincronización de Microsoft Entra Connect, abra PowerShell con privilegios administrativos.
- Ejecute
Stop-ADSyncSyncCycle
. Presione Entrar. - Ejecute
Set-ADSyncScheduler -SyncCycleEnabled $false
.
Nota:
Si va a ejecutar su propio programador personalizado para la Sincronización de Microsoft Entra Connect, deshabilite el programador.
Creación de una regla entrante de usuarios personalizada
En el editor de reglas de sincronización de Microsoft Entra Connect, debe crear una regla de sincronización de entrada que filtre los usuarios de la UO que identificó anteriormente. La regla de sincronización de entrada es una regla de combinación con un atributo de destino de cloudNoFlow. Esta regla indica a Microsoft Entra Connect que no sincronice los atributos de estos usuarios. Para obtener más información, consulte la documentación sobre la Migración a la sincronización en la nube antes de intentar migrar el entorno de producción.
Inicie el editor de sincronización desde el menú de la aplicación de escritorio, tal como se muestra a continuación:
Seleccione Entrante en la lista desplegable Dirección y luego Agregar nueva regla.
En la página Descripción, especifique los elementos siguientes y seleccione Siguiente:
- Nombre: asigne un nombre descriptivo a la regla.
- Descripción: agregue una descripción significativa.
- Sistema conectado: elija el conector de AD para el que va a escribir la regla de sincronización personalizada.
- Tipo de objeto de sistema conectado: Usuario
- Tipo de objeto de metaverso: Person
- Tipo de vínculo: Join
- Prioridad: especifique un valor que sea único en el sistema.
- Etiqueta: deje esto en blanco.
En la página Scoping filter (Filtro de ámbito), especifique la unidad organizativa o el grupo de seguridad en que desea que deje de basarse la prueba piloto. Para filtrar por unidad organizativa, agregue la parte de la unidad organizativa del nombre distintivo. Esta regla se aplicará a todos los usuarios que se encuentren en esa unidad organizativa. Por tanto, si el nombre de dominio acaba en "OU=CPUsers,DC=contoso,DC=com", debería agregar este filtro. Luego, seleccione Siguiente.
Regla Atributo Operador Value Ámbito de unidad organizativa DN ENDSWITH Nombre distintivo de la unidad organizativa. Ámbito de grupo ISMEMBEROF Nombre distintivo del grupo de seguridad. En la página de reglas Unión, seleccione Siguiente.
En la página Transformations (Transformaciones), agregue una transformación de tipo Constant, con el atributo cloudNoFlow establecido en True. Seleccione Agregar.
Los mismos pasos deben seguirse para todos los tipos de objetos (usuario, grupo y contacto). Repita los pasos en todas las instancias de AD Connector configuradas y bosques de AD.
Creación de una regla de salida de usuarios personalizada
También necesitará una regla de sincronización de salida con un tipo de vínculo de JoinNoFlow y el filtro de ámbito que tenga el atributo cloudNoFlow establecido en True. Esta regla indica a Microsoft Entra Connect que no sincronice los atributos de estos usuarios. Para obtener más información, consulte la documentación sobre la Migración a la sincronización en la nube antes de intentar migrar el entorno de producción.
Seleccione Saliente en la lista desplegable Dirección y seleccione Agregar regla.
En la página Descripción, especifique los elementos siguientes y seleccione Siguiente:
- Nombre: asigne un nombre descriptivo a la regla.
- Descripción: agregue una descripción significativa.
- Sistema conectado: elija el conector de Microsoft Entra para el que va a escribir la regla de sincronización personalizada
- Tipo de objeto de sistema conectado: Usuario
- Tipo de objeto de metaverso: Person
- Tipo de vínculo: JoinNoFlow
- Prioridad: especifique un valor que sea único en el sistema.
- Etiqueta: deje esto en blanco.
En la página Scoping filter (Filtro de ámbito), elija cloudNoFlow igual a True. Luego, seleccione Siguiente.
En la página de reglas Unión, seleccione Siguiente.
En la página Transformaciones, seleccione Agregar.
Los mismos pasos deben seguirse para todos los tipos de objetos (usuario, grupo y contacto).
Instalación del agente de aprovisionamiento de Microsoft Entra
Si usa el tutorial Entorno básico de AD y Azure, sería CP1. Para instalar el agente, siga estos pasos:
- En el Azure Portal, seleccione Microsoft Entra ID.
- A la izquierda, seleccione Microsoft Entra Connect.
- A la izquierda, seleccione Sincronización en la nube.
- Seleccione Agente a la izquierda.
- Seleccione Descargar el agente local y, después, Aceptar términos y descargar.
- Una vez descargado el paquete del agente de aprovisionamiento de Microsoft Entra Connect, ejecute el archivo de instalación AADConnectProvisioningAgentSetup.exe desde la carpeta de descargas.
Nota:
Al instalar para la nube de la Administración Pública de Estados Unidos, use:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Para obtener más información, consulte “Instalación de un agente en la nube del Gobierno de EE. UU.”.
- En la pantalla de presentación, elija Acepto los términos y las condiciones de la licencia y seleccione Instalar.
- Cuando finaliza la instalación, se inicia el asistente para la configuración. Seleccione Siguiente para iniciar la configuración.
- En la pantalla Seleccionar extensión, seleccione Aprovisionamiento basado en HR (Workday y SuccessFactors) / Sincronización en la nube de Microsoft Entra Connect y seleccione Siguiente.
Nota:
Si va a instalar el agente de aprovisionamiento para usarlo con el aprovisionamiento de aplicaciones local, seleccione aprovisionamiento de aplicaciones local (de Microsoft Entra ID a la aplicación).
- Inicie sesión con una cuenta con al menos el rol de Administrador de identidades híbridas. Si tiene habilitada la seguridad mejorada de Internet Explorer, esta bloquea el inicio de sesión. Si es así, cierre la instalación, deshabilite la seguridad mejorada de Internet Explorer, y reinicie la instalación del Paquete del agente de aprovisionamiento de Microsoft Entra Connect.
- En la pantalla Configurar cuenta de servicio, seleccione una cuenta de servicio administrada de grupo (gMSA). Esta cuenta se usa para ejecutar el servicio del agente. Si otro agente ya ha configurado una cuenta de servicio administrada en el dominio y va a instalar un segundo agente, seleccione Crear gMSA porque el sistema detecta la cuenta existente y agrega los permisos necesarios para que el nuevo agente use la cuenta gMSA. Si el sistema le pregunta, elija una de estas opciones:
- Crear gMSA, que permite al agente crear automáticamente la cuenta de servicio administrada provAgentgMSA$. La cuenta de servicio administrada de grupo (por ejemplo, CONTOSO\provAgentgMSA$) se creará en el mismo dominio de Active Directory al que se ha unido el servidor host. Para utilizar esta opción, introduzca las credenciales de administrador de dominio de Active Directory (recomendado).
- Use gMSA personalizada y proporcione el nombre de la cuenta de servicio administrada que ha creado manualmente para esta tarea.
Para continuar, seleccione Siguiente.
En la pantalla Conectar Active Directory, si el nombre de su dominio aparece en Dominios configurados, continúe en el paso siguiente. De lo contrario, escriba el nombre del dominio de Active Directory y seleccione Agregar directorio.
Inicie sesión con su cuenta de administrador de dominio de Active Directory. La cuenta de administrador de dominio no debe tener una contraseña expirada. En caso de que la contraseña haya caducado o cambie durante la instalación del agente, debe volver a configurar el agente con las nuevas credenciales. Esta operación permitirá agregar su directorio local. Seleccione Aceptar y Siguiente para continuar.
- En la captura de pantalla siguiente se muestra un ejemplo del dominio configurado contoso.com. Seleccione Next (Siguiente) para continuar.
En la pantalla Configuración completa, seleccione Confirmar. Esta operación registra y reinicia el agente.
Una vez completada esta operación, se le debería notificar que la configuración del agente se ha comprobado correctamente. Puede seleccionar Salir.
- Si la pantalla de presentación inicial no desaparece, seleccione Cerrar.
Comprobación de la instalación del agente
La comprobación del agente se produce en Azure Portal y en el servidor local que ejecuta el agente.
Comprobación del agente en Azure Portal
Para comprobar que Microsoft Entra ID registra el agente, siga estos pasos:
- Inicie sesión en Azure Portal.
- Seleccione Microsoft Entra ID.
- Seleccione Microsoft Entra Connect y, luego, elija Cloud Sync.
- En la página Sincronización en la nube, verá los agentes que ha instalado. Compruebe que se muestra el agente y que el estado es correcto.
En el servidor local
Para comprobar que el agente se ejecuta, siga estos pasos:
- Inicie sesión en el servidor con una cuenta de administrador.
- Abra Servicios. Para ello, vaya ahí o a Inicio/Ejecutar/Services.msc.
- En Servicios asegúrese de que tanto el Actualizador del agente de Microsoft Entra Connect como el Agente de aprovisionamiento de Microsoft Entra Connect están presentes y que su estado es En ejecución.
Verificar la versión del agente de aprovisionamiento
Para comprobar la versión del agente que se está ejecutando, siga estos pasos:
- Vaya a "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent"
- Haga clic con el botón derecho en "AADConnectProvisioningAgent.exe" y seleccione las propiedades.
- Haga clic en la pestaña de detalles y el número de versión se mostrará junto a Versión del producto.
Configuración de Microsoft Entra Cloud Sync
Use los pasos siguientes para configurar el aprovisionamiento:
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador híbrido como mínimo.
- Vaya a Identidad>Administración híbrida>Microsoft Entra Connect>Cloud Sync. .
- Seleccione Nueva configuración.
- En la pantalla de configuración, seleccione su dominio y si quiere habilitar la sincronización del hash de contraseñas. Haga clic en Crear.
Se abrirá la pantalla Introducción.
En la pantalla Comenzar, haga clic en Agregar filtros de ámbito junto al icono Agregar filtros de ámbito o en Filtros de ámbito situado a la izquierda, en Administrar.
- Seleccione el filtro de ámbito. Para este tutorial, seleccione:
- Unidades organizativas seleccionadas: limita la configuración que se va a aplicar a unidades organizativas específicas.
- En el cuadro, escriba "OU=CPUsers,DC=contoso,DC=com".
- Haga clic en Agregar. Haga clic en Save(Guardar).
Inicio del programador
Microsoft Entra Connect Sync sincroniza los cambios que se producen en el directorio local mediante un programador. Ahora que ha modificado las reglas, puede reiniciar el programador. Siga estos pasos:
- En el servidor que ejecuta la Sincronización de Microsoft Entra Connect, abra PowerShell con privilegios administrativos
- Ejecute
Set-ADSyncScheduler -SyncCycleEnabled $true
. - Ejecute
Start-ADSyncSyncCycle
y, a continuación, pulse Entrar.
Nota:
Si va a ejecutar su propio programador personalizado para la Sincronización de Microsoft Entra Connect, habilite el programador.
Una vez que el programador está habilitado, Microsoft Entra Connect deja de exportar los cambios realizados en los objetos con cloudNoFlow=true
en el metaverso, a menos que se esté actualizando algún atributo de referencia (por ejemplo, manager
). En caso de que haya alguna actualización de atributos de referencia en el objeto, Microsoft Entra Connect omitirá la señal cloudNoFlow
y exportará todas las actualizaciones del objeto.
Hubo un problema
Si la prueba piloto no funciona como cabría esperar, puede volver a la configuración de la Sincronización de Microsoft Entra Connect siguiendo estos pasos:
- Deshabilite la configuración del aprovisionamiento en el portal.
- Deshabilite todas las reglas de sincronización personalizadas creadas para el aprovisionamiento en la nube mediante la herramienta Editor de reglas de sincronización. La deshabilitación debería provocar la sincronización total en todos los conectores.