Cómo Descargar, Instalar y Configurar Azure AD Connect V2

Tutoriales

En esta guía, proporcionaré información sobre dónde descargar Azure Active Directory (renombrado recientemente como Microsoft Entra ID) Connect V2 y te guiaré a través de su instalación y configuración.

Microsoft afirma que la topología más común es un solo bosque local, con uno o varios dominios, y un único inquilino de Azure AD. Mi guía seguirá esta topología, utilizando un nuevo bosque y dominio de Windows Server 2019, un inquilino de Azure AD con licencia de prueba Premium P2, y un dominio personalizado verificado.

Descargar Azure AD Connect y configurarlo

Antes de profundizar en los detalles, aquí están los 6 pasos generales necesarios para configurar y hacer funcionar Azure AD Connect V2:

  1. Descargar Azure AD Connect
  2. Ejecutar el instalador
  3. Configurar inicio de sesión de usuario
  4. Conectar tus directorios
  5. Configurar opciones avanzadas
  6. Iniciar la sincronización de directorios

¿Qué es Azure AD Connect?

Simplemente dicho, Azure AD Connect te permite sincronizar tu Active Directory (AD) con Azure AD. Esto extiende tu antiguo pero aún críticamente importante Windows Server Active Directory al Azure AD alojado en la nube de Microsoft, y te ayuda a lograr tu objetivo de crear una identidad híbrida.

Si no estás familiarizado con estos términos o necesitas un repaso, no te preocupes. Recomendamos tomarte el tiempo para revisar nuestra comparación entre Active Directory y Azure Active Directory antes de continuar.

Azure AD Connect contiene funciones como la sincronización de hash de contraseñas (PHS), la autenticación de paso (PTA) y la integración con los Servicios de Federación de Active Directory (AD FS). Estas y otras funciones se explican en la página de soporte ¿Qué es Azure AD Connect? de Microsoft.

Además, tenga en cuenta que Azure Active Directory Domain Services (Azure AD DS) es una oferta diferente de Microsoft y no está cubierta en esta guía.

Lo nuevo en Azure AD Connect V2

Azure AD Connect 2 trae algunos cambios significativos:

  • SQL Server 2019 LocalDB
  • Librería de autenticación MSAL
  • Visual C++ Redist 14
  • TLS 1.2 (1.0 y 1.1 ya no son compatibles)
  • Todos los archivos binarios firmados con SHA2
  • Windows Server 2012 y Windows Server 2012 R2 ya no son compatibles
  • PowerShell 5.0

Microsoft ya ha anunciado que todas las versiones de Azure AD Connect V1 serán retiradas el 31 de agosto de 2022. Esto solo debería ser un buen incentivo para actualizar a Azure AD Connect V2.

Por favor, consulta el artículo de Petri’s Russel Smith sobre qué hay de nuevo en Azure AD Connect V2 para obtener más información sobre los cambios más importantes en Azure AD Connect V2. Además, la página de soporte de Microsoft Azure AD Connect: Historial de versiones contiene detalles importantes sobre las nuevas funciones y características.

Requisitos previos para Azure AD Connect V2

Antes de instalar Azure AD Connect V2, necesitaremos lo siguiente:

  • Un inquilino de Azure AD, que puede ser gratuito o premium (de pago)
  • Un servidor Windows local o en la nube (en una máquina virtual de Infraestructura como Servicio) que ejecute como controlador de dominio AD (las versiones anteriores de Windows Server funcionan, pero algunas funciones como la escritura de contraseñas requerirán la versión 2016 o posterior)
  • El controlador de dominio debe ser escribible, no se admiten controladores de dominio de solo lectura (RODC)
  • Idealmente, Azure AD Connect debería instalarse en un servidor dedicado unido a dominio, pero también se puede instalar en el controlador de dominio (se requiere Windows Server 2016 o posterior con Experiencia de escritorio para Azure AD Connect V2)
  • . Cree cuentas de AD y AAD para su servidor de Azure AD Connect. Microsoft diferencia entre las cuentas utilizadas para operar Azure AD Connect y las utilizadas para su instalación y configuración.

Para esta guía, simplemente usaremos una cuenta de Administrador global para el inquilino de Azure AD y un miembro del grupo AD Enterprise Admins para la conectividad de AD. En sus entornos de producción, asegúrese de utilizar cuentas dedicadas que cubran solo los permisos mínimos requeridos para su situación y mantenga segura su contraseña. Consulte la página de soporte de Microsoft Azure AD Connect: Cuentas y permisos para obtener detalles completos.

Instalación y configuración de Azure AD Connect V2

Lo primero que necesitaremos hacer es descargar el instalador de Azure AD Connect. Así es como debes proceder.

Descargar Azure AD Connect

  • Inicia sesión en tu Portal de Azure
  • Navega hasta Azure Active Directory
  • En la sección Gestionar, selecciona Azure AD Connect y haz clic en Descargar Azure AD Connect.
Download Azure AD Connect (Image Credit: Michael Taschler)

Ejecutar el instalador de Azure AD Connect

Una vez descargado, ejecutaremos este instalador (AzureADConnect.msi) en nuestro servidor de Azure AD Connect (controlador de dominio o servidor dedicado). Se necesitan privilegios elevados para esto, así que asegúrate de seleccionar cuando se te solicite.

Una vez que el instalador se cargue, te dará la bienvenida la pantalla Bienvenido a Azure AD Connect. Después de aceptar los términos de la licencia y el aviso de privacidad, haz clic en Continuar.

Azure AD Connect Welcome screen (Image Credit: Michael Taschler)

Elegir configuraciones personalizadas

En la pantalla de Configuraciones Express, deberás seleccionar Personalizar en la parte inferior de la página. Las Configuraciones Express pueden ser adecuadas para muchos entornos, pero ciertas configuraciones solo se pueden establecer utilizando la instalación de Configuraciones Personalizadas.

Azure AD Connect Express Settings screen (Image Credit: Michael Taschler)

En la pantalla de Instalar componentes requeridos, puedes personalizar la configuración que afecta a Azure AD Connect:

  • Especificar una ubicación de instalación personalizada
  • Usar un servidor SQL existente (para entornos más grandes y requerimientos de alta disponibilidad)
  • Usar una cuenta de servicio existente (puede ser necesario usar una cuenta pre-creada en tu entorno)
  • Especificar grupos de sincronización personalizados (permitiéndote establecer tus propios grupos de seguridad locales en lugar de los predeterminados)
  • Importar configuraciones de sincronización (que han sido exportadas desde otra instalación de Azure AD Connect)

Una vez que hayas completado tu selección, haz clic en Instalar. El instalador instalará los componentes requeridos como el Servicio de Sincronización.

Azure AD Connect Install Required Components screen (Image Credit: Michael Taschler)

Configurar inicio de sesión de usuario

Después de unos momentos, se mostrará la pantalla de Inicio de sesión de usuario. Puedes seleccionar una de las siguientes opciones:

  • Sincronización de hash de contraseñas (opción predeterminada)
  • Autenticación de paso
  • Federación con AD FS
  • Federación con PingFederate
  • No configurar

También puedes habilitar inicio de sesión único para tus usuarios. Elije tu método deseado (estamos utilizando Sincronización de hash de contraseñas para esta guía) y haz clic en Siguiente.

Azure AD Connect User Sign-in screen (Image Credit: Michael Taschler)

En la pantalla Conectar a Azure AD, ingresa las credenciales de tu cuenta Azure AD (consulta los requisitos previos en la sección anterior). Es posible que se te solicite cambiar tu contraseña si no has iniciado sesión con esta cuenta antes. Además, si la autenticación multifactor (MFA) está habilitada en tu cuenta, es posible que se te desafíe para satisfacer los requisitos que tu organización haya establecido.

Haz clic en Siguiente para continuar.

Azure AD Connect Connect to Azure AD screen (Image Credit: Michael Taschler)

Conectar tus directorios

En la pantalla Conectar tus directorios, bajo FOREST, selecciona tu directorio y haz clic en Agregar directorio.

Azure AD Connect Connect Your Directories screen (Image Credit: Michael Taschler)

En una ventana emergente, se te pedirá que selecciones Crear una cuenta nueva o Usar una cuenta existente. Esta cuenta se utilizará para la sincronización de directorios.

Si ya has creado una cuenta para esto, asegúrate de que NO sea miembro del grupo Enterprise Admins o Domain Admins. Para esta guía, crearemos una cuenta nueva.

Verás tu directorio agregado en la lista bajo DIRECTORIOS CONFIGURADOS. También tienes la opción de eliminar uno o más directorios agregados si tus requisitos o circunstancias han cambiado.

Una vez completado, haz clic en Siguiente.

Azure AD Connect Connect Your Directories screen (Image Credit: Michael Taschler)

Elige cómo se identificarán tus usuarios en Azure AD

En la pantalla de configuración de inicio de sesión de Azure AD, verás el Sufijo de UPN de Active Directory y el estado del dominio de Azure AD correspondiente a todos los directorios que has agregado. Si alguno de tus dominios no está verificado o agregado, puedes solucionarlo y actualizar esta pantalla usando el icono de Actualizar debajo de la tabla.

En la misma página, también podrás personalizar tu Nombre principal de usuario (UPN), el atributo local que se usará como el nombre de usuario de Azure AD.

Azure AD Connect Azure AD Sign-in Configuration screen (Image Credit: Michael Taschler)

Debes tomar una decisión crítica sobre cómo se identificarán tus usuarios en Azure AD. A diferencia de Active Directory, Azure AD no permite duplicados.

Hablando estrictamente, AD tampoco permite duplicados, pero no lo hace cumplir realmente. Podrías tener UPN duplicados en tu AD y salirte con la tuya, mientras que Azure AD solo sincronizará la primera cuenta, ignorando las posteriores. También podrías tener los mismos nombres de usuario en varios directorios y se aplicará la misma limitación.

Si te preocupa que esto te pueda afectar, puedes verificar tu AD usando idFix antes de iniciar la configuración de Azure AD Connect. Consulta la página de GitHub de Microsoft sobre idFix para más información.

Normalmente, puedes dejar esto configurado con el valor predeterminado de userPrincipalName, pero tus circunstancias específicas pueden ser diferentes. Los nombres de dominio no enrutables (comunes como .local o .internal) también son una buena razón para cambiar tu UPN, pero esto también se puede solucionar agregando un sufijo de UPN alternativo (y enrutable) a través de Active Directory Domain and Trusts.

Haz clic en Siguiente para continuar.

Elige los dominios y OUs que deseas sincronizar

En la pantalla de Filtrado de dominios y OUs, puedes sincronizar todos los dominios y Unidades Organizativas (OUs) o personalizar cuáles te gustaría sincronizar. Microsoft afirma que ciertas OUs son esenciales para la funcionalidad y debes dejarlas seleccionadas. El filtrado basado en unidades organizativas de Microsoft incluye más información sobre esas OUs.

Haz clic en Siguiente para continuar.

Azure AD Connect Domain and OU Filtering screen (Image Credit: Michael Taschler)

En la pantalla de Identificación única de sus usuarios, seleccione las opciones que mejor se ajusten a su infraestructura. Al igual que en la sección anterior, es crucial hacerlo correctamente.

Aunque los valores predeterminados pueden ser adecuados para muchas organizaciones, su entorno puede requerir que dedique tiempo y esfuerzo en identificar los valores más adecuados para usted. Consulte la página de soporte de Microsoft sobre Identificación única de sus usuarios para obtener más información.

Una vez listo, haga clic en Siguiente para continuar.

Azure AD Connect Uniquely Identifying Your Users screen (Image Credit: Michael Taschler)

Elija qué usuarios y dispositivos se sincronizarán con Azure AD

En la pantalla Filtrar usuarios y dispositivos, puede limitar qué usuarios y dispositivos se sincronizarán con Azure AD especificando un único grupo. Esta es una forma conveniente de limitar su despliegue piloto inicial .

Estos ajustes se pueden cambiar después de haber completado su piloto y resuelto todos los problemas de su despliegue, en caso de que surjan. Si desea utilizarlo, simplemente ingrese el nombre de su grupo piloto y haga clic en el botón Resolver.

Tenga en cuenta que Microsoft advierte que esta característica no está destinada a ser utilizada en un despliegue en producción, así que asegúrese de cambiarla antes de hacerlo en vivo.

Para esta guía, he creado un grupo llamado HybridUsers y he añadido a todos mis usuarios de prueba en él.

Haz clic en Siguiente para continuar.

Azure AD Connect Filter Users and Devices screen (Image Credit: Michael Taschler)

Elige las funciones opcionales que tu organización necesita

En la pantalla de Funciones opcionales, puedes configurar ajustes adicionales únicos según los requisitos de tu organización:

  • Implementación híbrida de Exchange (para la coexistencia con Exchange local y Exchange en línea)
  • Carpetas públicas de correo de Exchange (para sincronizar los objetos habilitados para correo en carpetas públicas desde tu instancia local de Active Directory a Azure AD)
  • Filtrado de aplicaciones y atributos de Azure AD (para limitar qué atributos se sincronizan en Azure AD)
  • Sincronización de hash de contraseñas
  • Reenvío de contraseñas (para permitir a tus usuarios restablecer sus contraseñas de forma autónoma, lo que te ayuda a reducir las llamadas al servicio de asistencia)
  • Reenvío de grupos (para escribir específicos grupos de Azure AD en tu AD)
  • Reenvío de dispositivos (para escribir dispositivos registrados de Azure AD en tu AD)
  • Sincronización de atributos de extensión de directorio (para sincronizar atributos AD personalizados en tu Azure AD)

Para esta guía, mantendré los valores predeterminados. Para tu entorno, asegúrate de seleccionar la configuración más apropiada y ten en cuenta que algunas tienen requisitos específicos. Microsoft tiene información adicional en su página de soporte de funciones opcionales.

Haz clic en Siguiente para continuar.

Azure AD Connect Optional Features screen (Image Credit: Michael Taschler)

Elige tus opciones antes de comenzar el proceso de sincronización

Hemos llegado a la pantalla de Listo para configurar, que te brinda una visión general selectiva de tus elecciones. También te permite configurar las dos siguientes opciones:

  • Iniciar el proceso de sincronización cuando se complete la configuración (desmarcar esto pospone el inicio del proceso de sincronización)
  • Habilitar el modo de preparación: cuando se selecciona, la sincronización no exportará datos a AD o Azure AD (esta instancia de Azure AD Connect seguirá importando ajustes)

Puede ser útil contar con un segundo servidor de Azure AD Connect listo para digerir tus datos en caso de que el principal no esté disponible. Esto te permite (manualmente) convertir el segundo servidor en el que está sincronizando activamente, omitiendo todo el proceso de instalación o la necesidad de restaurar desde una copia de seguridad. Tú serás la mejor persona para determinar cómo configurar correctamente tu servidor de Azure AD Connect o servidores).

Haz clic en Instalar una vez que hayas confirmado que todos los ajustes son correctos.

Azure AD Connect Ready To Configure Screen (Image Credit: Michael Taschler)

Ahora, Azure AD Connect implementará tus configuraciones, instalará varios componentes y luego iniciará la sincronización inicial entre tu AD y tu Azure AD. Esto podría llevar un tiempo dependiendo del tamaño de tu AD.

Once completed, the final screen will be displayed, providing you with the next steps and recommendations like the Active Directory Recycle Bin. Click Exit to close the installer, and make sure you sign out and back in again before launching any of the Azure AD Connect tools like the Synchronization Rules Editor.

Azure AD Connect Ready To Configure Configuration Complete Screen (Image Credit: Michael Taschler)

Verificando que Azure AD Connect esté funcionando correctamente

Lo que verás ahora dependerá de las opciones que elegiste durante la instalación. Si has seguido mis instrucciones, entonces tu entorno debería verse similar.

En tu Portal de Azure, navega a Azure Active Directory, y en la sección Gestionar selecciona Azure AD Connect. Verás que los valores de Estado de SincronizaciónÚltima Sincronización y Sincronización de Hash de Contraseña han cambiado, reflejando que el servicio ha sido habilitado.

Azure Portal Azure AD Connect Section (Image Credit: Michael Taschler)

Todavía en Azure Active Directory, en la sección Gestionar, selecciona Usuarios. Encontrarás que todos tus usuarios seleccionados en local (AD) han sido sincronizados con Azure AD. Observa la columna de Directorio sincronizado, esto te permitirá determinar fácilmente si una cuenta fue sincronizada desde tu AD local o nació en la nube (Azure AD).

The UPNs are also in the format selected during the setup, so you might see a difference between your AD and Azure AD accounts. Also, bear in mind that these synced accounts are still managed from your on-premises AD. Unlike their born-in-the-cloud (Azure AD) counterparts, when clicking into a synced account in Azure AD, most settings are greyed out.

Azure Portal Synced Users (Image Credit: Michael Taschler)

Reconfigurando tu Azure AD Connect y otras herramientas adicionales

Encontrarás un nuevo acceso directo (Azure AD Connect) en tu escritorio, lo que te permitirá reconfigurar algunas de las configuraciones de Azure AD Connect. Es posible que veas una selección de opciones diferente, dependiendo de tus opciones de instalación originales.

Además, la tarea Ver o exportar la configuración actual te permite realizar cómodamente una copia de seguridad de la configuración de tu Azure AD Connect, lo que también podría satisfacer algunos de tus requisitos de documentación. Resolver problemas te permite iniciar la Herramienta de resolución de problemas de Azure AD Connect, que se abre en una ventana de PowerShell.

El programador del servicio de sincronización se suspende mientras se ejecuta el asistente, incluso si no realizas cambios, así que asegúrate de no dejarlo abierto accidentalmente.

Azure AD Connect Reconfigure (Image Credit: Michael Taschler)

Azure AD Connect instala y habilita más herramientas y portales que te ayudarán a sacar el máximo provecho de tu configuración de identidad híbrida:

  • Azure AD Connect Health (un portal que te permite ver alertas, monitoreo de rendimiento, análisis de uso y otra información)
  • Administrador del Servicio de Sincronización (para configurar aspectos más avanzados del motor de sincronización y ver los aspectos operativos del servicio)
  • Editor de Reglas de Sincronización (para ver, crear y editar reglas de sincronización)
  • Conector para Servicios Web (para conectarse a varios sistemas como SAP ECC, Oracle PeopleSoft y eBusiness)

Ahora que hemos instalado Azure AD Connect V2 y verificado que los dos directorios están sincronizados entre sí, puede ser el momento de explorar algunos de los casos de uso más avanzados como habilitar el Inicio de sesión único (SSO) y la autenticación de paso. Además, será necesario mantenerse actualizado sobre las nuevas versiones de Azure AD Connect, ya que a Microsoft le gusta lanzar nuevas funciones y ocasionalmente eliminar algunas que podrías estar utilizando en tu entorno.

Artículo relacionado:

Source:
https://petri.com/how-to-install-and-configure-azure-ad-connect-v2/