Integrar sus servicios de dominio de Active Directory (AD) locales con Azure AD se realiza mediante la interfaz gráfica de Synchronization Service Manager o a través de PowerShell.
Hay dos formas de usar Azure AD localmente: autenticación de paso (envía la solicitud de autenticación directamente a Azure AD) o sincronización de directorios que sincroniza las contraseñas entre AD local y Azure AD. En esta publicación del blog, vamos a cubrir cómo configurar el software Azure Active Directory Connect para sincronizar las contraseñas.
Cubriremos cómo configurar una sincronización recurrente y también cómo usar Azure AD Connect para forzar una sincronización de contraseñas.
En resumen, para forzar la sincronización de Azure AD con PowerShell, se requieren los siguientes pasos:
- Instalar Azure Active Directory Connect
- Importar el módulo de PowerShell de ADSync
- Ejecutar el cmdlet
Start-AdSyncScheduleque lee las contraseñas del controlador de dominio y las sincroniza con Azure AD.
Si prefieres aprender a través de un video, asegúrate de ver este informativo video de TechSnips.
Instalar Azure AD Connect
Para sincronizar el Active Directory local con un inquilino de Azure AD, primero necesitarás descargar e instalar el software Azure AD Connect. Para hacerlo, tienes dos opciones. Puedes descargarlo desde el Portal de Azure o directamente desde el paquete de software.
Descargar desde el Portal de Azure
Si has decidido no descargar el paquete desde el sitio de Microsoft, deberás obtenerlo desde el Portal de Azure.
Busca “Azure Active Directory” en el portal. En la sección Azure Active Directory, haz clic en Azure AD Connect. Aquí encontrarás una sección Estado de sincronización con un enlace para Descargar Azure AD Connect.
Herramientas de sincronización
Cuando instales Azure AD Connect, se instalarán dos herramientas principales que puedes utilizar para programar una sincronización o forzar una sincronización.
- El módulo PowerShell ADSync
- El Administrador del Servicio de Sincronización
Utilizando estas dos herramientas, puedes configurar una sincronización periódica (programada) para realizar una sincronización de Azure AD de forma rutinaria. O bien, puedes utilizar cualquiera de ellas para forzar una sincronización de forma ad-hoc. Ambas herramientas realizan el mismo comportamiento. La única diferencia es que una se realiza a través de la línea de comandos (PowerShell) y la otra es una aplicación de interfaz gráfica (GUI).
Configuración del módulo PowerShell ADSync
Cuando instales Azure AD Connect, se instalará un módulo PowerShell llamado ADSync. Este módulo contiene comandos que te permiten gestionar el proceso de sincronización utilizando PowerShell.
Tenga en cuenta que en este artículo estoy utilizando Windows PowerShell 5.1. Los resultados pueden variar si está utilizando una versión anterior.
Al igual que con todos los módulos de PowerShell, la importación del módulo es sencilla. Sin embargo, el módulo no se encuentra en una carpeta conocida de módulos de Windows PowerShell. La instalación coloca el módulo de PowerShell en la carpeta C:\Program Files\Microsoft Azure AD Connect Sync\Bin.
Para importar el módulo, abra una consola de PowerShell y escriba lo siguiente:
Para verificar que el módulo se ha importado, use el comando Get-Module. Debería ver el módulo ADSync en la lista.
Programación predeterminada de sincronización de Azure AD
De forma predeterminada, Azure AD Connect crea una tarea programada que realiza una sincronización delta (sincronizando solo objetos diferentes) cada 30 minutos. Puede encontrar la programación abriendo el Programador de tareas. Debería ver una tarea programada bajo Microsoft –> Windows llamada Azure AD Sync Scheduler.
Puede cambiar esta programación, pero tenga en cuenta que 30 minutos es el intervalo mínimo admitido. El objetivo es establecer un intervalo de sincronización lo suficientemente corto como para capturar los cambios. Si la sincronización es demasiado corta, corre el riesgo de saturar su red.
El programador de tareas maneja dos tareas:
- Ciclo de sincronización – El proceso de importar, sincronizar y exportar cambios.
- Tareas de mantenimiento – Renueva claves y certificados para restablecimientos de contraseña y el Servicio de Registro de Dispositivos (DRS). También elimina las entradas antiguas en el registro de operaciones.
El propio programador siempre está en ejecución, pero se puede configurar para que ejecute solo una o ninguna de estas tareas.
Forzar una sincronización de Azure AD Connect
Puede haber momentos en los que necesite forzar la sincronización de sus objetos. Por ejemplo, si necesita tener su propio proceso de ciclo de sincronización, puede deshabilitar esta tarea en el programador pero seguir ejecutando la tarea de mantenimiento.
Para utilizar Azure Active Directory Connect y forzar una sincronización de contraseñas y otra información, puede utilizar el Administrador de Servicio de Sincronización o PowerShell.
Forzar una sincronización con el Administrador de Servicio de Sincronización
En un servidor con Azure AD Connect instalado, vaya al menú Inicio y seleccione AD Connect, luego Servicio de Sincronización.
A primera vista puede parecer abrumador, pero solo le interesan la pestaña Conectores y el panel de selección de la mano derecha. Mirando el panel de la mano derecha, puede ver opciones para detener (Detener) y iniciar (Ejecutar) la sincronización.
Tenga en cuenta que cuando se está ejecutando un ciclo de sincronización, no se pueden realizar cambios de configuración. Detener el ciclo actual no es perjudicial y los cambios pendientes se procesarán en la siguiente ejecución.
Obtener el estado de sincronización con PowerShell
Antes de forzar una sincronización, es buena idea obtener el estado del ciclo de sincronización actual. Si fuerza la sincronización durante una sincronización en curso, podría encontrarse con problemas más adelante.
Para ver la configuración actual, abra una consola de PowerShell en el servidor donde está instalado Azure Active Directory Connect y ejecute el comando Get-ADSyncScheduler. Verá algunas propiedades que proporcionan información útil.
Get-AdSyncSchedulerHay bastante información para analizar. Vamos a revisar línea por línea:
AllowedSyncCycleInterval– Este es el tiempo más corto entre sincronizaciones. De forma predeterminada, está configurado en 30 minutos, el tiempo más corto permitido.CurrentlyEffectiveSyncCycleInterval– El horario que está en efecto actualmente. Tiene el mismo valor queCustomizedSyncInterval(si está configurado) si no es más frecuente queAllowedSyncInterval. Si utiliza una versión anterior a 1.1.281 y cambiaCustomizedSyncCycleInterval, este cambio se aplicará después del próximo ciclo de sincronización. A partir de la versión 1.1.281, el cambio se aplica de inmediato.CustomizedSyncCycleInterval– Se establece si desea que el programador se ejecute con una frecuencia distinta a los 30 minutos predeterminados.NextSyncCyclePolicyType– Este parámetro define qué debe procesar la próxima ejecución. Si la próxima ejecución es una sincronización completa, se mostrará inicialmente.NextSyncCycleStartTimeInUTC– Esta es la hora a la que el programador inicia el próximo ciclo de sincronización.PurgeRunHistoryInterval– Establece cuánto tiempo se mantienen los registros de operación. El valor predeterminado es mantener los registros durante 7 días.SyncCycleEnabled– Indica si el programador está ejecutando los procesos de importación, sincronización y exportación como parte de su funcionamiento.MaintenanceEnabled– Si está habilitado, se actualizan los certificados/clave y se eliminan los registros de operación.StagingModeEnabled– Si está habilitado, suprime la ejecución de las exportaciones en la sincronización.SchedulerSuspended– Establece para bloquear temporalmente la ejecución del programador.
Forzar una sincronización con PowerShell
Encuentra contraseñas filtradas y no seguras en tu Active Directory comprobando la lista de contraseñas del NCSC.
Tienes un par de opciones al forzar una sincronización. Puedes forzar una sincronización completa o una sincronización delta. Una sincronización completa verifica todos los objetos en el AD. Una sincronización delta solo verifica y sincroniza los cambios desde la última ejecución.
Para iniciar una sincronización completa, puedes usar el cmdlet Start-AdSyncSyncCycle. Usa el parámetro PolicyType para elegir entre Full o Delta dependiendo de la sincronización que deseas iniciar. Ambos métodos forzarán una sincronización de Active Directory para Office 365, las cuentas de identidad de usuario y todos los demás atributos.
Detener una sincronización
Si deseas detener una sincronización en proceso, también puedes usar el cmdlet Stop-ADSyncSyncCycle.
Resumen
Tanto si eliges utilizar la interfaz gráfica de usuario como PowerShell, ahora deberías saber varias formas de utilizar la herramienta Azure Active Directory Connect para programar o forzar una sincronización con tu entorno local de Active Directory con Azure AD.