Muchos de ustedes han estado utilizando Azure Active Directory Connect para gestionar sus identidades híbridas y la sincronización de usuarios desde Active Directory a Azure Active Directory (recientemente renombrado Microsoft Entra ID). Esta tecnología moderna se llama Azure AD Connect cloud sync. En este artículo, les guiaré a través de la instalación y configuración básica de Azure AD Connect cloud sync y explicaré cómo implementarlo en su infraestructura de Active Directory/Azure AD.
¿Qué es Azure Active Directory Connect cloud sync?
Muchos profesionales de TI están familiarizados con Azure AD Connect – el software de sincronización que se utiliza para sincronizar las identidades desde el Directorio Activo local hasta el Directorio Activo de Azure y ofrecer un inicio de sesión único sin problemas. La próxima evolución es llevarlo todo a la nube.
Por lo tanto, Microsoft ha pasado de una aplicación de software instalada en un servidor unido a un dominio en su entorno local a un agente de aprovisionamiento simple. Una huella mucho más ligera ya que todo el trabajo pesado ahora se realiza en Azure. Ya no es necesario tener una base de datos local – todo se hace en la nube.
Los agentes ligeros han sido la tendencia reciente. Esto es beneficioso si recientemente ha pasado por una fusión o adquisición o si está planeando una.
Azure AD Connect cloud sync está diseñado para cumplir y lograr sus objetivos de identidad híbrida al sincronizar sus usuarios, contactos, grupos, dispositivos y más con Azure AD. ¡Una nota importante – puede utilizar Azure AD Connect junto con el agente de aprovisionamiento de sincronización en la nube!
¿Cuáles son las diferencias entre Azure AD Connect sync y Azure AD Connect cloud sync?
¡Excelente pregunta! Aquí hay una tabla de Microsoft que muestra las comparaciones de características entre los dos productos.
| Feature | Azure AD Connect sync | Azure AD Connect cloud sync |
|---|---|---|
| Connect to a single on-premises AD forest | ● | ● |
| Connect to multiple on-premises AD forests | ● | ● |
| Connect to multiple disconnected on-premises AD forests | ● | |
| Lightweight agent installation model | ● | |
| Multiple active agents for high availability | ● | |
| Connect to LDAP directories | ● | |
| Support for user objects | ● | ● |
| Support for group objects | ● | ● |
| Support for contact objects | ● | ● |
| Support for device objects | ● | |
| Allow basic customization for attribute flows | ● | ● |
| Synchronize Exchange online attributes | ● | ● |
| Synchronize extension attributes 1-15 | ● | ● |
| Synchronize customer-defined AD attributes (directory extensions) | ● | ● |
| Support for Password Hash Sync | ● | ● |
| Support for Pass-Through Authentication | ● | |
| Support for federation | ● | ● |
| Seamless Single Sign-on | ● | ● |
| Supports installation on a Domain Controller | ● | ● |
| Support for Windows Server 2016 | ● | ● |
| Filter on Domains/OUs/groups | ● | ● |
| Filter on objects’ attribute values | ● | |
| Allow a minimal set of attributes to be synchronized (MinSync) | ● | ● |
| Allow removing attributes from flowing from AD to Azure AD | ● | ● |
| Allow advanced customization for attribute flows | ● | |
| Support for password writeback | ● | ● |
| Support for device writeback | ● | Customers should use Cloud Kerberos trust for this moving forward |
| Support for group writeback | ● | |
| Support for merging user attributes from multiple domains | ● | |
| Azure AD Domain Services support | ● | |
| Exchange hybrid writeback | ● | |
| Unlimited number of objects per AD domain | ● | |
| Support for up to 150,000 objects per AD domain | ● | ● |
| Groups with up to 50,000 members | ● | ● |
| Large groups with up to 250,000 members | ● | |
| Cross-domain references | ● | ● |
| On-demand provisioning | ● | |
| Support for US Government | ● | ● |
Hay un escenario importante y prevalente que actualmente no es compatible con la nueva función de sincronización en la nube de Azure AD Connect, y eso es Exchange híbrido. Aquí está la respuesta actual de la documentación de Microsoft:
La función de implementación híbrida de Exchange permite la coexistencia de buzones de correo de Exchange tanto en las instalaciones como en Microsoft 365. Azure AD Connect está sincronizando un conjunto específico de atributos de Azure AD de vuelta a su directorio local. El agente de aprovisionamiento en la nube actualmente no sincroniza estos atributos de vuelta a su directorio local y, por lo tanto, no es compatible como reemplazo de Azure AD Connect.
Prerrequisitos para instalar Azure Active Directory Connect cloud sync
Microsoft menciona algunos prerrequisitos a tener en cuenta antes de comenzar la instalación. Veamos esos aquí.
- En el portal de Azure:
- Necesita tener acceso a una cuenta de administrador global solo en la nube.
- Necesitará un nombre de dominio personalizado en su lugar en Azure para coincidir con el nombre de dominio UPN en su Active Directory. Si está migrando desde Azure AD Connect, esto ya debería estar en su lugar, pero vale la pena mencionarlo.
- En su entorno local
- Necesitará una máquina unida a un dominio que ejecute Windows Server 2016 o una versión posterior. Necesita al menos 4 GB de RAM y .NET Framework 4.7.1 o superior. El servidor simplemente necesita acceso de red a al menos un controlador de dominio en su bosque de AD local.
- Su firewall perimetral necesitará permitir puertos de salida 80 y 443 para que se realicen desde su servidor aquí hasta Azure AD.
El único otro paso (opcional) es desinstalar primero Azure AD Connect si lo tienes instalado. Esto no es obligatorio, pero para los propósitos de este artículo, a continuación te guiaré a través de los pasos simples.
Oh, y es muy fácil aprovechar la alta disponibilidad con esta configuración. Simplemente instala el agente de aprovisionamiento en más de un servidor en tu red. Verás los pasos a continuación.
Desinstalando Azure AD Connect (opcional)
- Inicia sesión en tu servidor de Azure AD Connect y abre el Panel de control.
- Abre el menú ‘Desinstalar un programa‘.
- Haz clic en la entrada Microsoft Azure AD Connect y haz clic en el botón de la barra de herramientas Desinstalar.
Mi sugerencia aquí es asegurarse de que la casilla esté marcada para eliminar todo. Siempre me gusta desinstalar el software de la manera más limpia posible, haciendo todo lo posible para no dejar restos.
- Haz clic en Eliminar y permite que termine.
Listo, todo eliminado. Ahora podemos pasar a los pasos de la nueva instalación.
Cómo implementar la sincronización en la nube de Azure AD Connect en tu infraestructura de AD / AAD
Como he dicho, puedes instalar un agente de sincronización en la nube de Azure AD Connect con o sin una instalación existente de Azure AD Connect en tu entorno. En este caso, acabo de desinstalar mi software existente de Azure AD Connect, así que tenemos un lienzo en blanco. ¡Empecemos!
Instalación
Comenzaremos en mi servidor unido a dominio Windows Server 2022, WS22-FS02.
- Primero, inicia sesión en el Portal de Azure y accede al sitio de Azure Active Directory (Azure AD).
- En el menú de navegación de la izquierda, desplázate hacia abajo y haz clic en Azure AD Connect. Luego, haz clic en Sincronización en la nube en la izquierda de nuevo.
- No es sorprendente que tengamos un lienzo en blanco. Haz clic en el menú Agentes a la izquierda, luego haz clic en Descargar agente local.
- Después de descargar el agente, haz doble clic en el archivo MSI. La instalación comenzará.
- ¡Marca la casilla y haz clic en Instalar!
Luego, pasamos a la Configuración.
Configuración de Active Directory
Después de instalar el agente inicial, se iniciará el asistente de Configuración del Agente de Aprovisionamiento de Conexión de Azure Active Directory. Intenta decir eso cinco veces seguidas. Vaya, Microsoft. Siempre dando en el clavo con los nombres de productos.
- En la pantalla de bienvenida, haz clic en Siguiente.
- En la pantalla ‘Seleccionar Extensión‘, elige Aprovisionamiento impulsado por RR. HH. (Workday y SuccessFactors) / Sincronización en la nube de Azure AD Connect. Este es el escenario más probable. Solo si planeas aprovisionar aplicaciones locales en Azure elegirías la segunda opción.
- Haz clic en Siguiente.
- Luego, aparece la pantalla Conectar con Azure AD, que solicita las credenciales de tu Administrador Global de Azure AD. Introdúcelas y ¡prepárate para la MFA!
- A continuación, la pantalla Configurar Cuenta de Servicio. Aquí, aceptaremos la opción predeterminada, Crear gMSA. Dado que estamos pidiendo que cree una cuenta de gMSA para administrar la sincronización de AD a Azure AD, necesitamos ingresar una cuenta con privilegios de Administrador de Dominio. Ingresa eso y haz clic en Siguiente.
- Continuando, llegamos a la pantalla ‘Conectar con Active Directory‘. Sí, tienes razón. Esto es bastante similar al asistente de instalación para instalar Azure AD Connect.
- De todos modos, verifique que se haya establecido el dominio correcto de Active Directory. Si ve algún error, es posible que haya ingresado mal sus credenciales. Corríjalas si es necesario y haga clic en Siguiente.
- Hemos llegado a la pantalla de Confirmación final. Verifique que todo esté bien y haga clic en el botón Confirmar.
Configuración de Azure AD
Ahora nos movemos a Azure Active Directory. Para administrar la sincronización en la nube de Azure AD, vuelva a navegar hasta el Portal de Azure.
- Haga clic en Azure AD Connect y luego en Sincronización en la nube.
- Haga clic en el botón ‘Nueva configuración‘ en la parte superior para iniciar el proceso de configuración en la nube.
- Aquí tenemos la Nueva configuración de sincronización en la nube. Los valores predeterminados deberían estar bien, suponiendo que solo está sincronizando un dominio AD, en mi caso ‘reinders.local’. Mantendremos activada la opción ‘Habilitar la sincronización de hash de contraseñas‘ para permitir la gestión automática de contraseñas.
- Haga clic en Crear en la parte inferior.
Bueno, ¡mira esto! Hemos terminado. No sé tú, pero casi SIEMPRE prefiero las configuraciones basadas en la nube en lugar de software cliente tradicional “pesado”. Es más limpio. Además, pueden iterar en la interfaz de usuario y agregar funciones mucho más rápido. Y, como es basado en la nube, no necesitas preocuparte por actualizaciones del software, servidores caídos, etc. Simplemente funciona. La nube, el 100% del tiempo, ¿verdad?
Pruebas – Verificación
Vamos a habilitar simplemente la configuración. Podemos abordar los filtros de ámbito, mapeo de atributos, etc. un poco más tarde.
- Haz clic en el botón Revisar y habilitar configuración en la parte superior, luego haz clic en Habilitar Configuración.
- Una vez que eso esté completo, espera alrededor de 2 minutos, luego actualiza tu navegador y haz clic en la pestaña Resumen en la parte superior.
- Primero, querrás ingresar una dirección de correo electrónico de notificación. Haz clic en la pestaña Propiedades y haz clic en el icono de lápiz (Editar) junto a Básicos.
- Ingresa una dirección de correo electrónico de administrador para recibir alertas sobre la infraestructura de sincronización. Haz clic en Aplicar en la parte inferior.
Ahora, en cuanto a la validación y personalización avanzada, vuelve a la vista Usuarios en el portal de Azure AD para ver a todos tus usuarios. Tomé nota de que el número de usuarios pasó de 31 a 32. Entonces, sé que SUCEDIÓ ALGO. Y, si realmente estás prestando atención, es posible que hayas recordado que filtré a un usuario en un OU específico cuando configuré Azure AD Connect. Entonces, porque aún no he hecho ningún filtrado, se ha sincronizado un nuevo usuario: John Reinders.
Déjame guiarte a través de las tres pantallas de configuración principales que usarás para mantener y ajustar tus ajustes de sincronización. La primera es Filtros de ámbito.
El valor predeterminado es sincronizar a todos los usuarios en su Active Directory. Puede optar por sincronizar solo grupos de seguridad seleccionados O unidades organizativas (OUs) seleccionadas. Y sí, este es un ejemplo de que, por el momento, el software en la nube es menos configurable que el software local. Pero esto está cambiando constantemente. Eventualmente, incorporarán TODAS las características y opciones en la sincronización en la nube de Azure AD Connect.
A continuación, echemos un vistazo a Mapeo de atributos. Aquí podemos elegir editar la lista predeterminada de atributos y cómo se sincronizan desde Active Directory a Azure AD, e incluso agregar elementos adicionales haciendo clic en ‘Agregar mapeo de atributos’.
Tenga la seguridad de que hay muchas opciones aquí. Como dije, Microsoft está agregando constantemente más características a esta funcionalidad. Entonces, no se sorprenda si nota que algunas de estas pantallas cambian o agregan/eliminan bits. ¡Esto es la nube, amigos!
Finalmente, veamos el Generador de expresiones. Aquí es donde realmente puede agregar algo de personalización a cómo se sincronizan ciertos atributos y cómo usar expresiones para emparejar atributos de usuario específicos de un dominio de Active Directory y otros atributos de otro dominio de AD para producir el mejor objeto único en Azure AD. Una vez más, hay mucho poder aquí, y estará familiarizado con la configuración general si ha usado características personalizadas como reglas de sincronización en el software Azure AD Connect.
Conclusión
Bueno, eso es mucha información. Y, quiero señalar la mayor desventaja de la sincronización en la nube de Azure AD Connect: tiene menos características y puede admitir menos escenarios que Azure AD Connect.
Esto es normal y está diseñado así. Azure AD Connect ha estado presente durante años y Azure AD Connect cloud sync se lanzó hace aproximadamente un año. Por lo tanto, naturalmente, hay más funcionalidad en el software más antiguo.
Mi consejo: Tan pronto como los escenarios admitidos con Azure AD Connect cloud sync se ajusten a tu entorno, toma las medidas para migrar a él. Después de usar Azure AD Connect durante varios años en mis ‘trabajos diarios’, la funcionalidad en la nube se ve muy bien, y se administra y controla MUCHO menos.
No dudes en dejar un comentario o pregunta a continuación ¡y gracias por leer!
Source:
https://petri.com/install-azure-ad-connect-cloud-sync/