Introducción
Esta guía detallada lo guiará paso a paso para implementar y personalizar Azure AD Connect, el servicio que sincroniza su Active Directory (AD) local con Azure Active Directory (AAD). Aquí encontrará:
- Preparación del entorno local y de Azure
- Descarga e instalación
- Configuración de bosques, dominios y reglas de sincronización
- Funcionalidades avanzadas (hash de contraseñas, writeback)
- Escenarios de arquitectura más comunes
- Validación, monitoreo y resolución de problemas
Nota: las capturas de pantalla se indican con etiquetas
![...], que se pueden reemplazar por sus propias imágenes.
1. Prerrequisitos
| Elemento | Detalles |
|---|---|
| Servidor local | Windows Server 2016+ con .NET 4.7.2+ |
| Cuenta AD | Miembro de los grupos Enterprise Admins + Domain Admins |
| Azure | Suscripción activa + rol Global Administrator |
| Red | Acceso a Internet saliente a *.microsoftonline.com |
2. Descarga e instalación
- Descargue el paquete Azure AD Connect desde el Centro de descargas de Microsoft↗.
- Copie el ejecutable en el servidor dedicado.
- Ejecute
AzureADConnect.msicon una cuenta de administrador.
Figura 1 – Asistente de instalación de Azure AD Connect.
3. Configuración inicial
3.1 Elección del modo de instalación
- Configuración Express: valores predeterminados, sincroniza todo el AD local (recomendado para entornos simples).
- Instalación personalizada: personalización detallada de bosques, filtrado de OUs, funcionalidades.
Consejo: elija Personalizada si necesita restringir el alcance o activar funciones específicas.
3.2 Selección de bosques y dominios
- Azure AD Connect detecta automáticamente todos sus bosques de AD.
- Marque solo los bosques/dominios a sincronizar.
| FQDN Forest | Tipo | Sincronización | Comentarios |
|---|---|---|---|
| contoso.local | Bosque raíz | ✓ | Usuarios y grupos principales |
| eu.contoso.local | Hijo | ✓ | Dominio EMEA |
| dev.contoso.local | No sincronizar | ✗ | Entorno de desarrollo |
Figura 2 – Selección de bosques y dominios.
3.3 Cuenta de servicio de Azure AD
- Opción 1: Dejar que Azure AD Connect cree una cuenta gMSA (Group Managed Service Account).
- Opción 2: Proporcionar una cuenta existente con el rol Director de Sincronización de Directorio.
Figura 3 – Configuración de la cuenta de servicio.
4. Reglas de sincronización
4.1 Filtrado de OUs (Unidades de Organización)
Permite limitar la sincronización a contenedores específicos.
- Agregar OU: incluir solo
OU=Usuarios,OU=RRHH,DC=contoso,DC=localy sus sub-OUs. - Excluir OU: omitir
OU=Temp,OU=CuentasServicio,DC=contoso,DC=local.
Figura 4 – Filtrado por OU.
4.2 Filtrado de atributos
Marque/desmarque los atributos AD para sincronizar.
| Atributo AD | Descripción | Uso frecuente |
|---|---|---|
| userPrincipalName | Nombre principal de usuario | Inicio de sesión (UPN) |
| Correo electrónico | Envío de notificaciones | |
| proxyAddresses | Alias SMTP | Correo Exchange Online |
| department | Departamento | Grupos dinámicos |
Figura 5 – Filtrado de atributos.
4.3 Reglas avanzadas de sincronización (Editor de Reglas de Sincronización)
El editor de reglas permite crear o modificar:
- Reglas de Entrada: de AD local a AAD
- Reglas de Salida: de AAD a AD local (writeback)
Propiedades clave de una regla:
| Parámetro | Descripción |
|---|---|
| Filtro de Alcance | Filtros LDAP para seleccionar objetos |
title: Fonctionnalités avancées et scénarios d'architecture
slug: fonctionnalites-avancees-et-scenarios-architecture
lang: es
date: 2025-12-17
tags:
- Synchronisation
- Azure AD
- Dépannage| Precedence | Prioridad de la regla (menor = más prioritaria) | | Transformation | Mapeo atributo origen ↔ atributo destino | | Enabled | Habilitar/deshabilitar la regla |
Ejemplo: sincronizar solo usuarios con
department=ITen Azure AD.
Figura 6 – Editor de reglas de sincronización.
5. Funcionalidades avanzadas
| Funcionalidad | Descripción | Escenario |
|---|---|---|
| Password Hash Sync | Sincronización del hash de la contraseña a Azure AD | Autenticación solo en Azure |
| Password Writeback | Escritura de nuevas contraseñas de Azure AD a AD local | Restablecimiento de contraseña self-service |
| Group Writeback | Escritura de grupos de Office 365 en AD local | Escenarios híbridos Exchange On-Premises |
| Device Writeback | Devolución de objetos Device join-to-AAD a AD local | Gestión híbrida de Intune |
Figura 7 – Opciones avanzadas.
6. Escenarios de arquitectura
| Escenario | Descripción | Complejidad | Notas |
|---|---|---|---|
| Bosque único | Un solo AD local → Azure AD | Baja | Caso más común |
| Múltiples bosques, hub-and-spoke | Múltiples bosques enviados a un centro central | Media | Consolidación y gobernanza |
| Bosque de recursos | Separación de cuentas y recursos | Alta | Permite separación de permisos |
7. Validación y monitoreo
7.1 Sincronización inicial
Import-Module ADSync
Start-ADSyncSyncCycle -PolicyType Initial7.2 Verificación en Azure
- Azure AD Connect Health para estado y alertas.
- Portal de Azure AD > Azure AD Connect > Verificar las últimas sincronizaciones.
Figura 8 – Vista general de la salud.
8. Dépannage
| Errores | Causa frecuente | Solución rápida |
|---|---|---|
| Falla de autenticación Azure AD | Cuenta no Global Admin | Asignar el rol adecuado |
| Sin sincronización de OU específica | Configuración incorrecta de OU Filtering | Verificar los caminos LDAP |
| Conflicto de sincronización (atributos) | Reglas de transformación en conflicto | Ajustar la prioridad (Precedence) de las reglas |
Anexo