Planificando la sincronización de directorios con AD Connect – Office 365

En una entrada anterior, Sincronización de directorios con Azure AD Connect – Office 365,  se explicó los requisitos, tanto técnicos cómo de hardware. Ahora entraré un poco más en la planificación e implementación. La pregunta que ha de responderse antes de comenzar y que marcará la estrategia a seguir es; ¿Ya tengo usuarios creados en la nube?

Si la respuesta es si, la siguiente pregunta será ¿Quiero sincronizarlos con mi directorio on prem?

Si a la primera pregunta se ha respondido no, tan solo habría que pensar en los requisitos y el tipo de sincronización elegida, PHS, PTA o ADFS, configurarla y sincronizar los usuarios. En próximas entradas del blog explicaré cómo configurar cada una de ellas y también sus características.

Tengo usuarios en la nube

Instalar la sincronización y echarla a andar si ya hay usuarios en la nube y se desea que estén sincronizados nos obliga a realizar un trabajo “extra” para evitar errores de sincronización, usuarios duplicados y otros problemas que podrían aparecer.

Cuando sincronizamos objetos, los atributos que tendrán dichos objetos son los que se envíen desde el directorio activo, y cualquier cambio en atributos – nombre, nombre para mostrar, dirección de email …. – ha de realizarse en el entorno local y luego sincronizarse, puesto que en un objeto sincronizado no se pueden realizar cambios directamente en Office 365.

Teniendo esto en cuenta, imaginemos que hay un usuario con 4 alias de correo electrónico, lo sincronizamos y en el directorio activo no están los alias configurados ¿Qué pasaría? Sucedería que el usuario perdería los alias puesto que se sobreescriben los valores locales y podría provocar pérdidas de emails y causar un impacto negativo en la organización.

¿Cómo evitarlo? pues habrá que revisar los atributos de los usuarios en Office 365 y en el entorno local introducir los mismos valores. Es de vital importancia para que un usuario de la nube se convierta en sincronizado que el UPN y la dirección principal de correo coincidan exactamente antes de la sincronización. Si fuese necesario cambiarlas, se haría después del match.

Puede, dependiendo del número de usuarios, que haya mucho trabajo que realizar pero ese tiempo invertido a la larga puede evitar pérdidas de emails e incluso pérdida de tiempo reparando errores de sincronización. Sería una buena práctica realizar tests con algunos usuarios e ir sincronizando por bloques en vez de todos a la vez.

Hay formas de filtrado sin necesidad de sincronizar todo el directorio activo. De ellas hablaremos más adelante y la forma de configurarlas. Cualquier duda o pregunta, agradezco los comentarios.

Deja un comentario

Ver más

  • Responsable: Francisco Crespo Iglesias.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento:  No se ceden o comunican datos a terceros para prestar este servicio. El Titular ha contratado los servicios de alojamiento web a Mi propio servidor que actúa como encargado de tratamiento.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.