Compartir a través de

Topologías y escenarios admitidos para la sincronización en la nube de Microsoft Entra ID

Este artículo describe varias topologías locales y de Microsoft Entra que usan sincronización en la nube de Microsoft Entra. En este artículo solo se incluyen las configuraciones y los escenarios admitidos.

Importante

Microsoft no admite la modificación o el funcionamiento de la sincronización en la nube de Microsoft Entra fuera de las configuraciones o acciones formalmente documentadas. Cualquiera de estas configuraciones o acciones pueden provocar un estado incoherente o no admitido de sincronización en la nube de Microsoft Entra Connect. Como resultado, Microsoft no ofrece soporte técnico para estas implementaciones.

Para obtener más información, consulte el siguiente vídeo.

Aspectos que recordar sobre todos los escenarios y topologías

Se debe tener en cuenta la siguiente información al seleccionar una solución.

  • Los usuarios y grupos deben identificarse de forma única en todos los bosques.
  • La coincidencia entre bosques no se produce con la sincronización en la nube.
  • El delimitador de origen de los objetos se selecciona automáticamente. Usa ms-DS-ConsistencyGuid si está presente; de lo contrario, se usa ObjectGUID.
  • No se puede cambiar el atributo que se usa para el delimitador de origen.

Topologías admitidas de Active Directory con Microsoft Entra ID

Se admiten las siguientes topologías para el aprovisionamiento desde Active Directory a Microsoft Entra ID.

Un solo bosque, un solo inquilino de Microsoft Entra

Diagrama que muestra la topología para un único bosque y un solo inquilino.

La topología más sencilla es un único bosque local, con uno o varios dominios, y un único inquilino de Microsoft Entra. Para ver un ejemplo de este escenario, consulte Tutorial: Un único bosque con un único inquilino de Microsoft Entra

Inquilino de varios bosques, Microsoft Entra único

Topología para varios bosques y un solo inquilino

Varios bosques de AD son una topología común, con uno o varios dominios, y un único inquilino de Microsoft Entra.

Bosque existente con Microsoft Entra Connect, nuevo bosque con aprovisionamiento en la nube

Diagrama que muestra la topología para un bosque existente y otro nuevo.

Esta topología de escenario es similar al escenario de varios bosques. Sin embargo, este implica un entorno existente de Microsoft Entra Connect y, a continuación, incorporar un nuevo bosque mediante Microsoft Entra Cloud Sync. Para obtener un ejemplo de este escenario, consulte Tutorial: Un bosque existente con un único inquilino de Microsoft Entra.

Prueba piloto de sincronización en la nube de Microsoft Entra Connect en un bosque de AD híbrido existente

Topología para un único bosque y un solo inquilino

El escenario piloto implica la existencia de Microsoft Entra Connect y Microsoft Entra Cloud Sync en el mismo bosque y determinar el ámbito de los usuarios y grupos en consecuencia. NOTA: Un objeto debe estar en el ámbito solo en una de las herramientas.

Para ver un ejemplo de este escenario, consulte Piloto de sincronización de nube de Microsoft Entra en un bosque AD sincronizado existente

Combinar objetos de orígenes desconectados

(Vista previa pública)

Diagrama para fusionar objetos de fuentes desconectadas

En este escenario, dos bosques de Active Directory desconectados contribuyen a los atributos de un usuario.

Un ejemplo sería:

  • Un bosque (1) contiene la mayoría de los atributos.
  • Un segundo bosque (2) contiene algunos atributos.

Dado que el segundo bosque no tiene conectividad de red con el servidor de Microsoft Entra Connect, el objeto no se puede combinar a través de Microsoft Entra Connect. La sincronización en la nube en el segundo bosque permite recuperar el valor del atributo del segundo bosque. Microsoft Entra Connect sincroniza el objeto en microsoft Entra ID y, a continuación, el valor se puede combinar con él.

Esta configuración es avanzada y hay algunas advertencias en esta topología:

  1. Debe usar ms-DS-ConsistencyGuid como anclaje de origen en la configuración de sincronización en la nube.
  2. El ms-DS-ConsistencyGuid del objeto de usuario del segundo bosque debe coincidir con el del objeto correspondiente en Microsoft Entra ID.
  3. Debe rellenar el UserPrincipalName atributo y el Alias atributo en el segundo bosque y debe coincidir con los que se sincronizan desde el primer bosque.
  4. Debe quitar todos los atributos de la asignación de atributos en la configuración de sincronización en la nube que no tienen un valor o puede tener un valor diferente en el segundo bosque – que no puede tener asignaciones de atributos superpuestas entre el primer bosque y el segundo.
  5. Si no hay ningún objeto coincidente en el primer bosque, para un objeto que se sincroniza desde el segundo bosque, la sincronización en la nube todavía crea el objeto en el identificador de Microsoft Entra. El objeto solo tendrá los atributos definidos en la configuración de asignación de sincronización en la nube para el segundo bosque.
  6. Si elimina el objeto del segundo bosque, queda eliminado de forma temporal en Microsoft Entra ID. Se restaura automáticamente después del siguiente ciclo de sincronización de Microsoft Entra Connect.
  7. Si elimina el objeto del primer bosque, se elimina temporalmente de Microsoft Entra ID. El objeto no se restaurará a menos que se realice un cambio en el objeto del segundo bosque. Después de 30 días, el objeto se elimina de forma permanente del identificador de Microsoft Entra. Si se realiza un cambio en el objeto del segundo bosque, se crea como un nuevo objeto en microsoft Entra ID.

Topologías compatibles de Microsoft Entra ID a Active Directory

Se admiten las siguientes topologías para el aprovisionamiento de Microsoft Entra ID a Active Directory.

Aprovisionamiento de grupos de bosques únicos en Active Directory

Diagrama conceptual de la escritura diferida de un único bosque.

La topología de aprovisionamiento de grupos más sencilla es un único bosque local, con uno o varios dominios, y un único inquilino de Microsoft Entra. Para obtener un ejemplo de este escenario, consulte Aprovisionamiento de grupos en Active Directory

Aprovisionamiento de grupos de varios bosques en Active Directory

Diagrama conceptual de la escritura diferida de varios bosques.

Una topología de aprovisionamiento de grupos más avanzada consta de varios bosques de AD locales que comparten un único inquilino de Microsoft Entra ID.

Esta configuración es avanzada y hay algunas cosas que recordar con esta topología:

  • Los grupos aprovisionados en AD mediante la sincronización en la nube solo pueden contener usuarios sincronizados locales o grupos de seguridad creados en la nube adicionales.
  • Todos estos usuarios deben tener el atributo onPremisesObjectIdentifier establecido en su cuenta.
  • onPremisesObjectIdentifier debe coincidir con un objectGUID correspondiente en el entorno de AD de destino.
  • Se puede sincronizar un atributo objectGUID de usuarios locales a usuarios en la nube onPremisesObjectIdentifier mediante Microsoft Entra Cloud Sync (1.1.1370.0) o Microsoft Entra Connect Sync (2.2.8.0)
  • Dentro del inquilino, puede compartir un grupo común que contenga usuarios de ambos bosques.
  • Sin embargo, los usuarios que no existen en el otro bosque no se aprovisionan como miembros del grupo cuando se aprovisionan en el entorno local. Por lo tanto, si tiene un grupo en Microsoft Entra ID que contiene usuarios de contoso.com y fabrikam.com, solo los usuarios que existen en el bosque de contoso.com son miembros del grupo cuando se aprovisionan en contoso.com. Lo mismo sucede con fabrikam.

Pasos siguientes

  • Last updated on