Sincronización de directorios con Azure AD Connect – Office 365

Qué es la sincronización de directorios.

En posts anteriores se ha comentado sobre MDM y cómo habilitarlo. En este hablaré sobre la sincronización entre el directorio activo local, on-prem, y Azure active directory. Con la herramienta AD Connect se puede simplicar la administración de usuarios centralizándola solamente en el directorio activo e implementar políticas de contraseñas, ya que Office 365, a día de hoy solamente permite configurar la expiración de contraseñas.

Resumiendo mucho, la sincronización de directorios permite que los usuarios que tengamos en nuestro directorio activo se creen en Azure Active Directory sin necesidad de volver a crearlos y que los cambios en atributos, alias … se realicen somante en local, reflejándose en Office 365 cuando se produce la sincronización.

La sincronización es unidireccional, de local a la nube, así que si tenemos usuarios en Office 365 o Azure AD, con la sincronización de directorios no será posible que pasen a un entorno local. Si podrían sincronizarse de la nube a local contraseñas, y en algunos casos especiales grupos de Exchange.

De lectura recomendada: https://docs.microsoft.com/es-es/azure/active-directory/hybrid/whatis-hybrid-identity

Qué se puede sincronizar.

Se pueden sincronizar Usuarios, Contactos, Grupos de seguridad o distribución y equipos. No todos los atributos locales se podrán sincronizar y dependiendo del tipo de objeto, pueden diferir.

Para entenderlo mejor, se puede echar un vistazo a la documentación de Microsoft y comprobar qué se puede sincronizar; https://docs.microsoft.com/es-es/azure/active-directory/hybrid/reference-connect-sync-attributes-synchronized

Prerrequisitos.

Antes de ponerse manos a la obra es muy importante comprobar los requisitos tanto de hardware cómo de software. Harware, porque la herramienta AD Connect necesita estar instalada en un servidor y que cumpla ciertas características. Y software, porque hay un esquema mínimo del directorio activo y nivel funcional.

Para ello, cómo siempre, lo mejor recurrir a la documentación oficial de Microsoft y repasar los requisitos. https://docs.microsoft.com/es-es/azure/active-directory/hybrid/how-to-connect-install-prerequisites

Haré un copia y pega de algunos de ellos, pero estos requisitos podrían cambiar en sucesivas versiones, por eso es importante ir al origen y verificarlo.

  • Versión de esquema y funcional mínimo Windows server 2003
  • Si se va a utilizar la reescritura de contraseñas diferida o PasswordWriteBack, el controlador de dominio debe estar en un servidor 2008 R2 o superior. Teniendo en cuenta que ha finalizado el soporte de 2008 este 14 de Enero, sería recomendable un Server 2012 o superior.
  • No se admite el uso de un RODC (controlador de dominio de solo lectura)
  • La versión del servidor donde se instale AD Connect debe ser Estándar o superior. Un Essentials o Small Business no sería soportado.
  • No se puede instalar en un versión core de servidor.

Hay muchos más requisitos que vienen muy bien descritos en la documentación, así cómo también requisitos de conectividad y Hardware mínimo.

Tipos de sincronización.

La sincronización se puede configurar de tres formas diferentes, cada una con sus características, pros y contras. Deberán estudiarse y ver cual se adapta mejor a las necesidades de la empresa. Paso a nombrarlas y en sucesivas entradas de este blog las iré explicando un poco más en detalle, de cómo funcionan, cómo configurarlas y los pros y contras que considero pueden afectar a la decisión de elegir una u otra opción.

  • Sincronización de hash de contraseña (PHS)
  • Autenticación de paso a través (PTA)
  • Federación (AD FS)

Deja un comentario

Ver más

  • Responsable: Francisco Crespo Iglesias.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento:  No se ceden o comunican datos a terceros para prestar este servicio. El Titular ha contratado los servicios de alojamiento web a Mi propio servidor que actúa como encargado de tratamiento.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.