Si utilizas las funciones de Active Directory (AD) local y también deseas utilizar características de Azure AD como acceso condicional, inicio de sesión único (SSO) y más, este artículo es para ti. En este artículo, aprenderás cómo configurar un modo que Microsoft llama Unión Híbrida de Azure AD.
¿Qué es la Unión Híbrida de Azure AD?
En pocas palabras, la Unión Híbrida de Azure AD es un modo que te permite administrar dispositivos tanto a través de las herramientas tradicionales de AD locales como registrarlos en Azure AD. Para obtener más información, consulta la documentación de Microsoft sobre dispositivos unidos de forma híbrida a Azure AD.
Prerrequisitos
Existen muchos requisitos y prerrequisitos que debes cumplir antes de poder comenzar a configurar Azure AD híbrido. Antes de comenzar con los pasos descritos en este artículo, asegúrate de cumplir o tener lo siguiente:
- Los dispositivos deben ser un dispositivo Windows actual compatible (Windows 10 1809 o superior o Windows Server 2016 o superior)
- Un dispositivo Windows 10 unido a AD local
- Conectividad a Internet en el dispositivo Windows (enterpriseregistration.windows.net:443, login.microsoftonline.com:443 y device.login.microsoftonline.com:443)
- El AD local debe sincronizarse con Azure AD a solo un inquilino de Azure AD. Ambos dominios para todos los ejemplos en este artículo se llaman adamtheautomator.com. Si desea sincronizar varios inquilinos de Azure AD siempre y cuando utilice GPO en lugar de SCP.
- Debe conocer su cuenta de administrador global para Azure AD. El ejemplo en este artículo usará el nombre de cuenta adam.
- Debe conocer una cuenta de administrador de empresa para el AD local. El ejemplo en este artículo usará el nombre de cuenta [email protected].
- Tiene Azure AD Connect 1.1.819.0 instalado en el servidor miembro y sincronizado con Azure AD
Todos los ejemplos en este artículo utilizarán un dominio AD local llamado adamtheautomator.com con un Azure AD sincronizado del mismo nombre.
Para obtener una lista completa de requisitos previos, consulte la documentación de Microsoft sobre la Planificación de la implementación de unión híbrida de Azure Active Directory.
Configuración de Azure AD Connect
El primer paso para configurar dispositivos unidos a Azure AD híbrido es configurar Azure AD Connect. Aquí configurarás el proceso de sincronización de Azure AD para que esté al tanto del modo híbrido que deseas.
Para configurar las cosas, primero abre Azure AD Connect y haz clic en Configurar.
En la siguiente pantalla, haz clic en Configurar opciones del dispositivo y luego en Siguiente.
Proporciona las credenciales del administrador global de tu inquilino de Azure AD y haz clic en Siguiente.
Haz clic en Configurar unión híbrida de Azure AD y luego en Siguiente.
En la página Sistemas operativos del dispositivo es donde seleccionarás qué tipos de dispositivos deseas incorporar. Para este artículo, solo vamos a incorporar dispositivos actuales (Windows 10). Elige Dispositivos unidos a dominio con Windows 10 o posterior y haz clic en Siguiente.
Para obtener información sobre cómo configurar dispositivos antiguos de Windows (Windows 8.1+ y Windows Server 2008 R2+), consulta la documentación de Microsoft Configurar la unión híbrida de Azure Active Directory para dominios administrados.
Ahora creará el punto de conexión del servicio (SCP) en Azure para permitir que sus dispositivos accedan a la información del inquilino de Azure AD. Verifique el nombre de su bosque en Bosque, elija Azure Active Directory como el Servicio de Autenticación y luego haga clic en Agregar para proporcionar credenciales de su cuenta de administrador local de la empresa. Cuando haya terminado, haga clic en Siguiente.
En la siguiente pantalla, haga clic en Configurar para iniciar el proceso. Todo debería llevar solo unos segundos.
Cuando haya terminado, se le indicará que configure algunos pasos adicionales. Haga clic en Salir al completar.
Confirmando el Estado de unión a Azure AD
Una vez que haya configurado Azure AD Connect, ahora debe verificar para asegurarse de que los frutos de su trabajo realmente hayan dado resultado. Afortunadamente, todos los dispositivos con Windows 10 deberían unirse automáticamente de forma híbrida eventualmente, pero para el primer dispositivo, debería confirmar esto.
Verificación en el lado del cliente
Para confirmar el registro del dispositivo con Windows 10, reinicie uno de ellos. Después de que vuelva a encenderse, conéctese a él ya sea de forma remota o en la consola y acceda a un símbolo del sistema. En el símbolo del sistema, escriba dsregcmd /status. Si ve AzureADJoined: YES bajo Estado del dispositivo, todo está en orden.
Si el dispositivo aún no se muestra como unido a Azure AD, podría ser porque el objeto del equipo aún no se ha sincronizado con Azure AD. Puede intentar forzar un registro ejecutando dsregcmd /join y volviendo a verificar el estado.
Si aún no ves que el dispositivo se ha unido a Azure AD, es posible que desees consultar esta guía de resolución de problemas. También puedes descargar este script de PowerShell para ejecutar en el dispositivo y realizar varias pruebas comunes.
Verificación en el lado de Azure
Una vez que hayas confirmado que el cliente de Windows 10 indica que se ha unido, asegúrate de verificar también en el lado de Azure. Para hacerlo, ve a la sección Dispositivos en tu inquilino de Azure AD. Aquí deberías ver que el TIPO DE UNIÓN es Unión híbrida a Azure AD y que REGISTRADO tiene una marca de tiempo reciente para el dispositivo Windows 10.
Si ves dispositivos que aparecen como ‘Registrados’ y ‘Unidos a Azure AD de forma híbrida’, es posible que encuentres problemas con las reglas de Acceso Condicional (AC) de AAD con las entradas ‘Registradas’. Para solucionarlo, actualiza todos los dispositivos a Windows 10 1903. También puede ser necesario eliminar todas las entradas ‘Registradas’ con un script.
Una vez que confirmas que tu máquina de prueba con Windows 10 se ha registrado y unido de manera híbrida a Azure AD, todos los demás dispositivos actuales en AD deberían comenzar a registrarse automáticamente también.
Si un usuario está conectado al cliente unido, tendrá que cerrar sesión e iniciar sesión para obtener un token de actualización principal.
Resumen
Una vez configurados, los dispositivos unidos en un modelo de unión híbrida de Azure AD se registrarán automáticamente. Después de realizar todos los pasos necesarios en este artículo, la mayor parte del trabajo duro se hace por ti. En este punto, puedes comenzar a utilizar los diversos servicios que Azure AD tiene para ofrecer para gestionar todos tus dispositivos unidos al dominio.