Ierrea.com es un un espacio donde se recogen procedimientos de un Administrador de Sistemas TIC, relacionados con entornos Virtuales VMware o Hyper-V, Cloud, Storage, Comunicaciones, etc...

Instalación y Configuración de Azure AD Connect


Saludos cordiales.

Ha llegado el momento de ver cómo llevar a cabo un despliegue del famoso Azure AD Connect.

¿Para qué sirve Azure AD Connect?

Cuando tenemos un servicio de Office 365, Active Directory en Azure, o cualquier otro servicio susceptible de sincronización con el Directorio Activo On-Premise (local), de modo que los usuarios y sus distintos atributos estén permanentemente sincronizados, necesitamos del servicio Azure AD Connect instalado en alguno de nuestros servidores Locales.

¿Qué requisitos deben cumplirse para llevar a cabo un correcto despliegue de Azure AD Connect?

  • Una suscripción de Azure. Puede perfectamente ser una suscripción trial. La suscripción es únicamente para acceder al portal de Azure, no para usar el Azure AD Connect. En caso de usar Office365 no es requisito indispensable para el uso de Azure AD Connect.

  • Una cuenta de Administrador Global del Tenant de Azure AD con el que queremos sincronizar nuestro DIrectorio Activo On-premise (local).

  • Un controlador de dominio o servidor miembro en nuestra red local, con sistema operativo Windows Server 2008 como mínimo.

  • Una cuenta de Enterprise Administrator en nuestro Directorio Activo local

Una vez que nos hemos asegurado de que cumplimos con los rquesitos indicados, procedemos a la descarga del software y su instalación. El link de descarga es el siguiente:

https://www.microsoft.com/en-us/download/details.aspx?id=47594

Tras haber hecho login en el servidor donde vayamos a instalar el producto como administrador (usuario miembro del grupo Enterprise Adminstrator, para más señas...), ejecutamos el paquete de instalción descargado, el fichero AzureADConnect.msi.

Hay dos tipos de instalación, en la práctica realizaremos la instalación personalizada.

No marco ninguna de las casillas a continuación, porque me vale con la ruta de instalación predeterminada, no quiero emplear un SQL concreto, de modo que me montará una instancia de SQL Server 2012 Express, me creará los grupos apropiados, así como los permisos necesarios. Obviamente, puede que en ocasiones interese una parametrización distinta.

Marca la opción de Sincronización de contraseña, lo que nos permitirá hacer login en los servicios Cloud, como por ejemplo Office 365, con las credenciales que el usuario tenga en el Directorio Activo On-premise (local)

A continuación tendremos que conectar el servicio con Azure AD, para lo cual ingresamos las credenciales de nuestro Tenant.

Lógicamente, también debemos conectar el servicio con nuestro directorio activo.

Comprobamos que la conexión ha sido exitosa

Para que podamos emplear las credenciales del directorio activo para hacer login en Azure AD, el sufijo UPN (user Principal Name) del dominio local tiene que coincidir con el del domino verificado en Azure AD.

En la mayoría de los casos, nos encontraremos UPNs no coincidentes en el direcotrio activo local, ya que lo habitual es que éstos sean del tipo miempresa.local, y no miempresa.com. En estos casos, lo que tenemos que hacer es agregar el sufijo UPN público, desde la herramienta de Dominios y Confianzas de Active Direcotry (On-premise).

Ahora toca indicarle a la herramienta qué dominios y unidades organizativas queremos sincronizar. En este caso queremos sincronizarla todo.

En la siguiente fase del asistente, debemos definir el Filtro de sincronización. En otras palabrás, indicarle al sistema si queremos sincronizar todos los usuarios del directorio u OU previamente seleccionados, o por el contrario queremos señalar qué usuarios serán susceptibles de sincronización.

A mí, el diseño que más me gusta, es sincronizar un grupo de seguridad del Directorio Activo, en este caso el grupo O365, y posteriormente ir agregando a dicho grupo aquellos usuarios que queramos que sean sincronizados.

En esta fase, me parece interesante marcar la opción de Reescritura de contraseñas, de modo que aquellas contraseñas que sean modificadas en el entorno cloud de Azure AD, sean sincronizadas también en el sentido inverso, es decir, en el Directorio Activo On-premise

Ya llegando al final, lanzamos el proceso de instalación y sincronización.

Vemos que el proceso de configuración ha finalizado correctamente, y el de sincronización de objetos ha comenzado.

Por último, sacamos un acceso directo al escritorio (pura cuestión de comodidad)

Hacemos al usuario que lo va a ejecutar miembro del grupo MISSAdmins

A partir de aquí, sólo nos quedaría hacer usuarios miembro del grupo seguridad O365, forzar la sincronización de objetos, y comprobar que éstos nos aparecen como objetos sincronizados en nuestro Tenant de Azure AD.

Por defecto los cambios se sincronizan cada 30 minutos, pero si queremos forzar la sincronización de objetos, lo podemos hacer con estos comandos de PowerShell:

Ejecución de sincronización parcial (sólo sincroniza los cambios encontrados):

Start-ADSyncSyncCycle -PolicyType Delta

Ejecución de sincronización total (cilco de sincronización completo):

Start-ADSyncSyncCycle -PolicyType Initial


azure-administrator-associate.png
MCSA-Windows-Server-2012-2019.png
VMW-LGO-CERT-PRO-DATA-CTR-VIRTUALIZATION