Las organizaciones utilizan Active Directory para administrar centralmente computadoras y usuarios de Windows. Configurar un Controlador de Dominio de Active Directory (ADDC) en Windows Server es conveniente, y los administradores pueden usar este servidor para autenticar usuarios, configurar permisos y gestionar el acceso a recursos compartidos.
Muchas empresas que ya utilizan Windows han migrado a una plataforma en la nube de Microsoft como Microsoft 365 (anteriormente Office 365) o Azure. En este caso, un administrador de sistemas debe crear cuentas para usuarios en Microsoft 365. A veces, las organizaciones prefieren utilizar las mismas credenciales para cuentas de usuario locales y cuentas de usuario en la nube. Los administradores pueden sincronizar los usuarios de un dominio local localmente con Office 365 y Azure Active Directory (Azure AD) para utilizar la misma cuenta de usuario tanto para la autenticación local como para la en la nube. Esto se conoce como implementación híbrida y es popular entre las organizaciones que utilizan productos de software de Microsoft.
Esta publicación de blog cubre la sincronización de AD de Office 365 y explica cómo puede realizar la sincronización de Active Directory de Office 365 para sincronizar cuentas de usuarios locales y en la nube para productos de Microsoft.
Office 365 y Azure AD
Office 365 es un inquilino en Azure Active Directory y utiliza el portal para almacenar datos utilizados para la autenticación y configurar permisos para acceder al entorno de nube de Microsoft. El administrador del inquilino de Office 365 puede acceder al portal de Azure para gestionar permisos y configurar otros ajustes. Si tiene un ADDC (Controlador de Dominio de Active Directory) en las instalaciones, puede sincronizar Office 365 con AD (sincronizar su Active Directory local y Azure Active Directory con Office 365) y, como resultado, lograr la integración de Active Directory de Office 365.
Este enfoque le proporciona una identidad híbrida y permite a los usuarios utilizar las mismas credenciales para acceder a los servicios de Office 365 y a los recursos locales en su oficina/centro de datos. En este caso, se sincronizan datos de Active Directory como usuarios, grupos y contactos. La sincronización de directorios es un paso importante en la migración a la nube si desea tener un entorno híbrido.
¿Qué es Azure AD Connect?
Azure AD Connect es una herramienta ligera que se instala en un servidor local, que actúa como un ADDC. Azure AD Connect sincroniza los datos de identidad de su Active Directory local con Azure Active Directory utilizado por Office 365 en la nube. Esta herramienta se puede instalar en un controlador de dominio o en un servidor Windows que sea miembro del dominio. Azure AD Connect ha reemplazado a la Herramienta de Sincronización de Directorios (DirSync), que fue descontinuada.
Azure AD Connect admite las siguientes funcionalidades:
- Sincronización de hashes de contraseñas
- Autenticación de paso
- Autenticación federada. La autenticación puede ser solicitada para otro proveedor de identidad por un equipo cliente.
Por defecto, se realiza la sincronización de directorio desde el AD local hasta el AD de Azure utilizado por Office 365. Sin embargo, puede configurar la sincronización de Active Directory en la dirección inversa y sincronizar los cambios desde Azure AD a su AD local. Por defecto, la sincronización se programa para ejecutarse cada 30 minutos. Puede editar la configuración de programación y forzar la sincronización del directorio de Office 365 en PowerShell. Puede configurar la sincronización delta para sincronizar solo los datos cambiados desde la última sincronización de AD de Office 365. La recomendación es que se debe realizar una sincronización delta dentro de los 7 días desde la última sincronización.
Requerimientos
Para instalar y ejecutar Azure AD Connect, asegúrese de lo siguiente:
- Debe instalar un Controlador de dominio de Active Directory que ejecute el sistema operativo Windows Server en un entorno local configurado.
- El nivel de funcionalidad del Active Directory local debe ser Windows Server 2003 o posterior.
- Debe tener permisos de administrador de dominio o los permisos de un administrador local en un ordenador que es miembro de un dominio.
Sistemas operativos compatibles: Windows Server 2012, Windows Server 2016, Windows Server 2019 con interfaz gráfica. Windows Server Core no es compatible. La edición de Windows Server debe ser Standard o superior. No se admiten las ediciones Essentials.
Debe instalar .NET Framework 4.5.1 o posterior en una máquina Windows Server que ejecuta Azure AD Connect.
PowerShell 3.0 o posterior. La política de ejecución de scripts debe permitir que ejecute scripts. La política recomendada es RemoteSigned.
Debe tener un dominio externo asociado con su inquilino de Office 365.
Debe tener acceso a un inquilino de Azure (para su cuenta de administrador de Office 365). Se requieren permisos de administrador global.
A directory in Azure AD must be created. A domain controller in Azure AD must be configured as writable.
Requisitos de red:
- Una conexión saliente HTTPS a los servidores de Microsoft
- TCP 80. Se utiliza el protocolo HTTP para descargar las listas de revocación de certificados para la verificación de certificados TSL/SSL
- TCP 443. Se utiliza HTTPS para sincronizar datos con Azure Active Directory
- Se debe habilitar TLS 1.2 en una máquina con Windows.
Preparación del entorno
Verifique los sufijos UPN (User Principal Name) para su dominio local utilizado por Active Directory local. El dominio local debe ser enrutable y el sufijo del dominio local no debe ser .local, .test,, etc. Los dominios que tienen este tipo de sufijos se clasifican como no enrutables y estos dominios solo se pueden sincronizar con un dominio .onmicrosoft.com. Por ejemplo, si tiene el dominio .nakivo.test en su Active Directory local y nakivo.onmicrosoft.com en Azure Active Directory, [email protected] se debe sincronizar con [email protected]. Si tiene un nombre de dominio domain.net en su Active Directory local y el nombre del dominio externo utilizado en Office 365 y Azure también es domain.net, entonces [email protected] de Active Directory local se puede sincronizar con [email protected] en Azure AD utilizado por Office 365 para la autenticación y la configuración de permisos. Por lo tanto, el nombre de dominio debe ser válido y debe tener sufijos correctos como .com, .net, .uk, .us, .edu, etc. para una sincronización completa y para que coincidan los nombres. Los UPN de los usuarios locales en su Active Directory se pueden sincronizar con Azure AD y Office 365.
Nota: Los nombres de dominio utilizados en esta publicación del blog se utilizan como ejemplos. Utilice los nombres de dominio correctos de acuerdo con la configuración de su entorno.
Puede verificar sus dominios en Office 365 en el centro de administración de Microsoft 365. Vaya a Ajustes > Dominios para ver los dominios disponibles que se pueden enlazar a su inquilino de Office 365.
Para hacer que un dominio sea ruteable
Puede editar los ajustes de su dominio local para hacer que el dominio sea ruteable y así mejorar las capacidades de sincronización agregando los sufijos UPN necesarios. Agregue sufijos UPN a su dominio local existente para que coincida con los nombres de usuarios tanto en local como en Microsoft 365 (Azure). Primero, registre un nuevo sufijo, y luego actualice los usuarios de Active Directory locales para que utilicen el sufijo actualizado.
Agregando el nuevo sufijo UPN
Vaya a Active Directory Domains and Trusts en su controlador de dominio local. Para hacer esto, abra Server Manager, haga clic en Herramientas, y en el menú que se abre, haga clic en Active Directory Domains and Trusts. Alternativamente, ejecute domain.msc en el menú Ejecutar (pulse Win+R para abrir el menú Ejecutar) o en el símbolo del sistema (CMD).
Se abre la ventana de Active Directory Domains and Trusts. Haga clic con el botón derecho en Active Directory Domains and Trusts y, en el menú contextual, haga clic en Propiedades.
Introduzca el nombre de dominio estándar correcto con el sufijo correcto, por ejemplo, id.com, o nakivo.com. Haga clic en Agregar, a continuación, haga clic en OK para guardar los ajustes y cerrar esta ventana.
Editando UPNs para usuarios existentes
Ahora debería editar los sufijos de UPN para los usuarios existentes en el controlador de dominio de Active Directory en la nube.
Vaya a Usuarios y Computadoras de Active Directory abriendo el Manager de Servidores y viniendo al menú Herramientas (igual que antes). Alternativamente, pulse Win+R para abrir el menú Ejecutar, escriba dsa.msc en la ventana del cuadro de dialogo Ejecutar, y haga clic en Enter.
En la ventana de Usuarios y Computadoras de Active Directory, expanda su dominio y haga clic en el directorio de Usuarios. Seleccione un usuario de dominio, haga clic con el botón derecho del mouse en el usuario de dominio y pulse Propiedades en el menú contextual.
Seleccione la cuenta pestaña en la ventana de propiedades del usuario. En el menú desplegable, seleccione el dominio correcto con el sufijo correcto. Pulse Aceptar para guardar las configuraciones y cerrar la ventana.
Repita esta operación para todos los usuarios que son miembros de su dominio en la nube (usuarios para los que desea realizar la sincronización de AD de Office 365). Si tiene un gran número de usuarios en su Active Directory en la nube, use PowerShell para la edición en lote en lugar de editar las propiedades de cada usuario manualmente. Use los comandos anteriores para este propósito:
$LocalUsers = Get-ADUser -Filter “UserPrincipalName -like ‘*domain.local'” -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace(“@domain.local”,”@domain.com”); $_ | Set-ADUser -UserPrincipalName $newUpn}
Establezca sus nombres de dominio correctos en lugar de domain.local y domain.com según la configuración en su entorno.
Puede cambiar un UPN y la dirección en PowerShell con el módulo de PowerShell MSOnline (módulo de PowerShell de Azure AD).
Set-MsolUserPrincipalName -UserPrincipalName [email protected] -NewUserPrincipalName [email protected]
Después de actualizar los UPN, estará listo para sincronizar los Servicios de Directorio Activo locales con Microsoft 365 y Azure Active Directory.
Edición de atributos de proxy de correo electrónico
Edite el atributo de correo electrónico para cada usuario y establezca una dirección de proxy de SMTP.
Para mostrar la pestaña Editor de atributos donde puede configurar el proxy SMTP (en la ventana de propiedades del usuario), en la ventana Usuarios y equipos de Active Directory, haga clic en Ver > Funciones avanzadas.
Ahora seleccione un usuario, abra las propiedades del usuario, haga clic en la pestaña Editor de atributos, luego haga doble clic en el atributo proxyAddresses.
Las direcciones de correo electrónico de Office 365 deben definirse como direcciones de proxy SMTP para los usuarios de Active Directory en el controlador de dominio local, por ejemplo:
SMTP:[email protected]
La dirección de correo electrónico principal debe contener SMTP en mayúsculas. Otras direcciones de proxy para correos electrónicos pueden comenzar con smtp en minúsculas.
Pulse Agregar para agregar el valor, luego pulse Aceptar para guardar la configuración.
Repita esta acción para cada usuario necesario para la sincronización de Office 365.
Verificación de nombres de usuario en el centro de administración de Office 365
Abre el centro de administración de Microsoft 365, ve a Usuarios > Usuarios activos y verifica los nombres de usuario y los sufijos de dominio utilizados en sus nombres. Si tienes un dominio personalizado como nakivo.com, opta por utilizar estos nombres de usuario principal en lugar de los nombres con el dominio nakivo.onmicrosoft.com.
Haz clic en los tres puntos cerca del usuario correspondiente y, en el menú que se abre, selecciona Gestionar nombre de usuario y correo electrónico para seleccionar el dominio necesario para un nombre de usuario. La situación ideal es cuando los nombres de dominio y los nombres de usuario en Office 365 coinciden con los nombres de usuario en el Directorio Activo local.
Abre Grupos en el centro de administración de Microsoft 365 y edita las direcciones de los grupos de la misma manera que editaste las direcciones de correo electrónico de los usuarios.
Instalación de Azure AD Connect
Descarga Azure AD Connect desde el sitio web de Microsoft utilizando el enlace:
https://www.microsoft.com/en-us/download/details.aspx?id=47594
Puedes verificar el estado de Azure Connect y obtener un enlace de descarga desde la página de Azure AD Connect en el portal de Microsoft Azure. Para hacerlo, ve a Azure Active Directory > Azure AD Connect en el portal de Azure.
Guarda el archivo instalador de Azure AD Connect en el servidor en el que vas a instalar esta herramienta, por ejemplo, en un controlador de dominio.
Ejecuta el archivo instalador de Azure AD Connect (AzureADConnect.msi). Se abrirá el asistente de Azure AD Connect.
Bienvenido. En la etapa de Bienvenida, selecciona “Acepto los términos de la licencia y el aviso de privacidad” y haz clic en Continuar.
Configuración Express. Selecciona una de las dos opciones disponibles: Personalizar o Usar configuración express. La opción Personalizar te proporciona más control al configurar la sincronización de Active Directory de Office 365.
Componentes Requeridos. Selecciona los componentes requeridos para instalar y define la configuración para las opciones seleccionadas.
- Especifica una ubicación de instalación personalizada
- Usa un servidor SQL existente
- Usa una cuenta de servicio existente
- Especifica grupos de sincronización personalizados
- Importa configuraciones de sincronización
Haz clic en Instalar para continuar.
Inicio de Sesión de Usuario. Selecciona uno de los métodos de inicio de sesión disponibles. Algunas opciones requieren pasos adicionales para configurar.
- Sincronización de Hash de Contraseña. Se sincroniza un hash de la contraseña de un usuario desde Active Directory local con Azure Active Directory.
- Autenticación de Pase a Través. Los usuarios pueden usar la misma contraseña en Active Directory local y en la nube (Office 365, Azure) pero no se requiere infraestructura adicional ni entorno federado.
- Federación con AD FS. Se debe configurar un entorno híbrido utilizando Active Directory y los servicios de Federación de Active Directory implementados localmente. Se admiten la renovación de certificados y despliegues adicionales de servidores AD FS.
- Federación con PingFederate. Esta opción se puede utilizar si se implementa un servidor empresarial PingFederate en su infraestructura para proporcionar un inicio de sesión único para la autenticación de usuarios.
- No configurar. Puede utilizar una solución que no esté gestionada por este asistente para el inicio de sesión federado. Los usuarios conectados a una red empresarial pueden acceder a recursos en la nube después de sincronizar Office 365 con AD sin necesidad de volver a introducir contraseñas.
Lea la publicación del blog sobre Active Directory Federation Services.
Seleccione Sincronización de hash de contraseñas o No configurar como opción recomendada si no está seguro de qué hacer.
Conectar a Azure AD. Ingrese un nombre de usuario y contraseña de su cuenta de usuario de Microsoft 365 que tenga privilegios de administrador global en Microsoft Azure/Office 365 (credenciales de administrador de Office 365). Esta cuenta de administrador es necesaria para configurar Azure AD Connect y hacer posible la sincronización de AD de Office 365. Haga clic en Siguiente en cada paso para continuar.
Conectar Directorios. Ingrese la información de su Directorio Activo actual utilizado en el entorno de dominio local. Seleccione el tipo de directorio (Active Directory), especifique el bosque de dominio, haga clic en Agregar Directorio e ingrese las credenciales del administrador de dominio. Si necesita sincronizar un bosque de dominio, utilice las credenciales del administrador de la empresa.
Inicio de sesión en Azure AD. Verifique sus dominios y sufijos UPN de Active Directory. Seleccione el atributo local a utilizar como nombre de usuario en Azure AD y Office 365. Seleccionamos userPrincipalName. Seleccione la casilla de verificación Continuar sin ningún dominio verificado si su dominio no está verificado. Puede completar el proceso de verificación más tarde para permitir que los usuarios inicien sesión en Azure AD y Office 365.
Filtrado de dominios y OU. Deje la configuración predeterminada en esta pantalla para realizar la sincronización de Active Directory de todos los datos de AD. Seleccione dominios personalizados y unidades organizativas si necesita personalizar la configuración. Puede deseleccionar dominios o unidades organizativas que no desee sincronizar.
Identificación de usuarios. Se recomienda que deje la configuración predeterminada en este paso para una configuración básica de sincronización de Active Directory con Office 365 (para un Azure AD, un dominio y un bosque de AD). Si necesita realizar una configuración más complicada, seleccione opciones personalizadas para identidades de usuario entre directorios. En las opciones de identificación de usuario SOURCE ANCHOR, seleccione la opción predeterminada objectGUID para generar identificaciones y asignar usuarios.
Filtrado. Elija sincronizar todos los usuarios y dispositivos o seleccione objetos personalizados para sincronizar. Puede utilizar el filtrado basado en grupos.
Funciones opcionales. Seleccione características adicionales si las necesita. Pase el cursor sobre el icono ‘?’ junto al nombre de cada característica para obtener consejos que le ayuden a tomar la decisión correcta.
Listo para configurar. Seleccione la casilla Iniciar el proceso de sincronización cuando la configuración se complete si desea iniciar la sincronización inmediatamente después de finalizar este asistente. Puede desmarcar esta casilla e iniciar la sincronización manualmente cuando la necesite. Presione Instalar para finalizar la configuración.
Espere hasta que la instalación y la configuración hayan finalizado. Cuando vea el mensaje Configuración completa, puede hacer clic en Salir para cerrar la aplicación. Se muestra información breve sobre el proceso de sincronización del Directorio Activo de Office 365 finalizado en la pantalla de Configuración completa. Luego, abra el centro de administración de Microsoft 365 y verifique si la sincronización del Directorio Activo con Office 365 se completó correctamente. Abra la sección de Errores de sincronización en la página de Azure AD Connect Health en el portal de Azure para ver información detallada sobre los errores. Si hay errores, lea las recomendaciones proporcionadas que pueden ayudarlo a solucionarlos.
Si la sincronización del Directorio Activo de Office 365 se completó correctamente, puede asignar licencias a los nuevos usuarios de Office 365 que se agregaron después de la sincronización de Office 365 con el Directorio Activo local.
Exportación de la configuración de Azure AD Connect
Puede implementar Azure AD Connect utilizando el modo Express o el modo Personalizado. Si realiza múltiples implementaciones utilizando la misma configuración de Azure AD Connect para sincronizar Active Directory local y Office 365 / Azure, así como para sincronizar varios bosques de AD, considere exportar/importar la configuración de Azure AD Connect.
Después de configurar Azure AD Connect en la GUI utilizando un asistente, la configuración se guarda en un archivo JSON almacenado en la carpeta %ProgramData%\AADConnect. Un archivo JSON tiene un nombre como Applied-SynchronizationPolicy-*.JSON donde * significa la marca de fecha/hora que ayuda a identificar cuándo se guardó la configuración. Los cambios realizados en la GUI se exportan automáticamente. Sin embargo, los cambios realizados con PowerShell deben exportarse manualmente cuando sea necesario.
Para importar la configuración, ejecute Azure AD Connect, seleccione la opción Personalizar, en la pantalla Instalar componentes requeridos, seleccione Importar configuración de sincronización, haga clic en Examinar y seleccione el archivo de configuración JSON.
La importación de la configuración permite a los usuarios ingresar la mínima cantidad de datos manualmente para configurar Azure AD Connect en poco tiempo y reproducir la misma configuración en varios servidores.
Herramientas para la migración de configuración
Existen herramientas para exportar e importar la configuración de Azure AD Connect de un servidor a otro para tener una configuración idéntica al realizar la sincronización de Active Directory de Office 365.
Copie el archivo MigrateSettings.ps1 de C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ o una carpeta personalizada donde Azure AD Connect está instalado en el primer servidor a una ubicación personalizada, por ejemplo, C:\Programs\.
Ejecute el script MigrateSettings.ps1 en el primer servidor (existente). Si ve el mensaje de salida que no se encuentra un parámetro que acepta el argumento “True”, edite el script y elimine $true del script.
Ejecute el script y revise la carpeta en la salida. La configuración de sincronización de Azure AD se exporta a esta carpeta. Copie esta carpeta Exported-ServerConfiguration-* y su contenido al segundo (nuevo) servidor.
Ejecute Azure AD Connect en el segundo servidor y en la pantalla Install required components seleccione import synchronization settings y seleccione el archivo de configuración MigratedPolicy.json (como se explicó anteriormente) ubicado en la carpeta copiada Exported-ServerConfiguration-*.
Otras opciones de sincronización de AD de Office 365
Si no puede esperar 30 minutos, que es el intervalo estándar entre operaciones de sincronización, forzar la sincronización de AD de Office 365 usando comandos PowerShell. El módulo de PowerShell Azure Active Directory normalmente se instala con la herramienta Azure AD Connect.
Importe el módulo de ADSync PowerShell:
Import-Module ADSync
Revise sus actuales configuraciones de sincronización de AD de Office 365:
Get-ADSyncScheduler
Forzar una sincronización delta para sincronizar solo los cambios realizados desde la sincronización exitosa anterior:
Start-ADSyncSyncCycle -PolicyType Delta
Forzar una sincronización completa para sincronizar todos los datos:
Start-ADSyncSyncCycle -PolicyType Initial
Cambiar el intervalo de sincronización de AD de Office 365 a 10 minutos:
Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:10:00
Tenga en cuenta que la sincronización manual de AD de Office 365 no sincroniza las contraseñas de los usuarios. En este caso, intente reiniciar el servicio de sincronización de AD de Office 365 en un servidor local que ejecute Azure AD Connect y luego verifique que las credenciales sean correctas.
Recomendaciones de configuración
Proteja un servidor en el que esté instalado Azure AD Connect. Restrinja el acceso a los usuarios que no sean administradores al servidor que ejecuta Azure AD Connect. Utilice contraseñas fuertes para proteger las cuentas de servicio utilizadas por esta herramienta de sincronización de Active Directory. Dado el poder de esta herramienta, las contraseñas fuertes son fundamentales en casos en los que alguien obtiene acceso al servidor que ejecuta la sincronización de AD. Puede agregar usuarios de confianza al grupo ADSyncAdmins para una gestión de acceso conveniente.
Verifique los grupos que va a sincronizar desde AD local a Azure AD y Office 365. No todos los grupos deben sincronizarse. Puede haber grupos que sean inútiles en la nube o que no tengan razón para sincronizarse debido a razones de seguridad o productividad. Filtrar grupos de seguridad y grupos de distribución que no sean relevantes para Microsoft 365 y entornos en la nube de Azure. Excluir todos los grupos de administradores de la sincronización de Active Directory de Office 365.
No considere la sincronización de Directorio Activo de Office 365 con la sincronización de Azure AD como una solución de respaldo. Algunos atributos de los objetos en la nube son únicos, por ejemplo, la información de licencia de los usuarios de Office 365. Si se elimina esta información específica en la nube, no podrá recuperar esta información ejecutando la sincronización de Directorio Activo de Office 365 desde el Directorio Activo local. La sincronización del Directorio Activo local con Azure no es lo mismo que el respaldo de Directorio Activo y controlador de dominio. Use herramientas especiales y soluciones de respaldo para proteger los controladores de dominio de Directorio Activo en ejecución local y los datos de Office 365 en la nube.
Respaldo de Office 365 y Respaldo de Directorio Activo
Debería ejecutar regularmente el respaldo de Office 365 y guardar estos respaldos en un lugar seguro. El respaldo de Office 365 debe contener los datos necesarios de aplicaciones de Office como correo electrónico de Exchange Online, OneDrive y SharePoint. Los datos de Office 365 se almacenan en la nube, pero si alguno de estos datos se corrompe con criptolocker o se elimina accidentalmente, tener un respaldo puede ser la única forma de recuperar esos datos, especialmente si se advierte la pérdida de datos cuando ya es demasiado tarde.
El Directorio Activo es un sistema de gestión centralizado en una red Windows. La inaccesibilidad de un controlador de dominio de Directorio Activo puede detener completamente las operaciones de una empresa. Respalde los controladores de dominio de Directorio Activo en ejecución local para poder recuperar datos en caso de un desastre. Prefiera utilizar soluciones de respaldo de terceros dedicadas que brinden respaldo con conciencia de aplicación al respaldar servidores en ejecución con aplicaciones en ejecución.
NAKIVO Backup & Replication es una solución de protección de datos para empresas y pymes que admite la copia de seguridad en la nube de Office 365, incluidas aplicaciones como Exchange Online, SharePoint Online, Microsoft Teams y OneDrive for Business. Puede hacer copias de seguridad de múltiples inquilinos de Office 365, seleccionar todos los usuarios o usuarios personalizados, y recuperar los elementos que necesita a un nivel granular.
NAKIVO Backup & Replication admite la copia de seguridad de servidores físicos, incluidos los servidores Windows que actúan como controladores de dominio de Active Directory y pueden realizar copia de seguridad de Active Directory. El soporte de copia de seguridad consciente de la aplicación le permite hacer copias de seguridad de los controladores de dominio y tener datos consistentes con la aplicación en una copia de seguridad. La recuperación granular también es compatible con la copia de seguridad de servidores físicos.
Conclusión
Las organizaciones que migran a la nube lo hacen solo parcialmente. Continúan utilizando servicios de Active Directory localmente en combinación con servicios en la nube. Esto se conoce como un entorno híbrido. Una opción para sincronizar Office 365 con AD permite a las organizaciones configurar entornos híbridos y sincronizar cuentas de usuario y opciones de autenticación entre AD local y Azure AD.
La sincronización de Active Directory de Office 365 se puede realizar con Azure AD Connect, que es una herramienta nativa desarrollada por Microsoft. Debes preparar tu Active Directory local, configurar los ajustes de dominio para el dominio local y el dominio externo vinculado a tu inquilino de Office 365, y configurar las opciones de sincronización de directorio de Office 365 en AD Connect. La integración de Active Directory de Office 365 permite a los usuarios utilizar las mismas credenciales para los entornos de Windows locales y en Office 365.
Source:
https://www.nakivo.com/blog/a-step-by-step-guide-to-setting-up-office-365-ad-sync/