Tutorial: Aprovisionamiento de grupos en Active Directory Domain Services mediante Microsoft Entra Cloud Sync

En este tutorial se explica cómo configurar Cloud Sync para sincronizar grupos con Active Directory Domain Services (AD DS) local.

Importante

Se recomienda usar grupos de seguridad seleccionados como filtro de ámbito predeterminado al configurar el aprovisionamiento de grupos en AD DS. Este filtro de ámbito predeterminado ayuda a evitar problemas de rendimiento al aprovisionar grupos.

Aprovisionamiento de Microsoft Entra ID en Active Directory Domain Services: requisitos previos

Los siguientes requisitos previos son necesarios para implementar grupos de aprovisionamiento en Active Directory Domain Services (AD DS).

Requisitos de licencia

El uso de esta característica requiere una licencia Microsoft Entra ID P1. Para encontrar la licencia adecuada para sus requisitos, consulte Comparación de las características disponibles con carácter general de Microsoft Entra ID.

Requisitos generales

Cuenta de Microsoft Entra con al menos el rol de Administrador de Identidades Híbridas.
Esquema de AD DS local con el atributo msDS-ExternalDirectoryObjectId , que está disponible en Windows Server 2016 y versiones posteriores.
Aprovisionamiento del agente con la versión 1.1.3730.0 o posterior.

Nota:

Los permisos para la cuenta de servicio se asignan solo durante la instalación limpia. Si va a actualizar desde la versión anterior, los permisos deben asignarse manualmente mediante PowerShell:

$credential = Get-Credential  

Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Si los permisos se establecen manualmente, debe asignar las propiedades Read, Write, Create y Delete para todos los grupos descendientes y objetos User.

Estos permisos no se aplican a objetos AdminSDHolder de forma predeterminada. Para obtener más información, consulte Cmdlets de PowerShell de gMSA del agente de aprovisionamiento de Microsoft Entra.

El agente de aprovisionamiento debe instalarse en un servidor que ejecute Windows Server 2022, Windows Server 2019 o Windows Server 2016.
El agente de aprovisionamiento debe poder comunicarse con los controladores de dominio en los puertos TCP/389 (LDAP) y TCP/3268 (catálogo global).
- Necesario para la búsqueda de catálogos globales para filtrar las referencias de pertenencia no válidas
Microsoft Entra Connect Sync con la versión de compilación 2.22.8.0
- Se necesita para admitir la pertenencia de usuarios locales sincronizados mediante Microsoft Entra Connect Sync
- Necesario para sincronizar AD DS:user:objectGUID con AAD DS:user:onPremisesObjectIdentifier

Límites de escala para aprovisionamiento de grupos en Active Directory

El rendimiento de la característica de aprovisionamiento de grupos en Active Directory se ve afectado por el tamaño de la entidad y el número de grupos y miembros que se incluyen en el aprovisionamiento a Active Directory. En esta sección se proporcionan instrucciones sobre cómo determinar si GPAD admite sus requisitos de escala y cómo elegir el modo de ámbito del grupo adecuado para lograr ciclos de sincronización iniciales y diferenciales más rápidos.

¿Qué no está soportado?

No se admiten grupos de más de 50 000 miembros.
No se admite el uso del ámbito "Todos los grupos de seguridad" sin aplicar el filtro de ámbito de atributo.

Límites de escala

Modo de alcance	Número de grupos dentro del ámbito	Número de vínculos de pertenencia (solo miembros directos)	Notas
Modo "Grupos de seguridad seleccionados"	Hasta 10.000 grupos. El panel CloudSync del portal de Microsoft Entra solo permite seleccionar hasta 999 grupos, así como mostrar hasta 999 grupos. Si necesita agregar más de 1000 grupos al ámbito, consulte: Selección de grupo expandida a través de la API.	Hasta 250 000 miembros en total en todos los grupos del ámbito.	Utiliza este modo de delimitación si tu inquilino supera cualquiera de estos límites. 1. El inquilino tiene más de 200 000 usuarios 2. El inquilino tiene más de 40 000 grupos 3. El inquilino tiene más de 1M pertenencias a grupos.
Modo "Todos los grupos de seguridad" con al menos un filtro de ámbito de atributos.	Hasta 20 000 grupos.	Hasta 500 000 miembros totales en todos los grupos del ámbito.	Use este modo de ámbito si el cliente cumple todos los límites que se indican a continuación: 1. El inquilino tiene menos de 200 000 usuarios 2. El inquilino tiene menos de 40 000 grupos 3. El arrendatario tiene menos de 1M miembros de grupos.

Qué hacer si supera los límites

Si se superan los límites recomendados, se ralentizará la sincronización inicial y diferencial, lo que posiblemente provocará errores de sincronización. Si esto sucede, siga estos pasos:

Demasiados grupos o miembros de grupo en el modo de ámbito "Grupos de seguridad seleccionados":

Reduzca el número de grupos en el ámbito (grupos de valores más altos de destino) o divida el aprovisionamiento en varios trabajos distintos con ámbitos separados.

Demasiados grupos o miembros de grupo en el modo de alcance «Todos los grupos de seguridad»

Use el modo de ámbito Grupos de seguridad seleccionados como se recomienda.

Algunos grupos superan los 50 000 miembros:

Divida la pertenencia entre varios grupos o adopte grupos preconfigurados (por ejemplo, por región o unidad de negocio) para mantener cada grupo bajo el límite.

Selección de grupos expandida mediante API

Si necesita seleccionar más de 999 grupos, debe usar la llamada API asignar un rol de aplicación a un principal de servicio.

Un ejemplo de las llamadas API es el siguiente:

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

where:

principalId: id. de objeto de grupo.
resourceId: identificador de entidad de servicio del trabajo.
appRoleId: identificador del rol de aplicación expuesto por la entidad de servicio de recursos.

La tabla siguiente es una lista de identificadores de roles de aplicación para servicios en la nube.

Nube	appRoleId
Público	1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f
AzureUSGovernment	d8fa317e-0713-4930-91d8-1dbeb150978f
AzureUSNatCloud	50a55e47-aae2-425c-8dcb-ed711147a39f
AzureUSSecCloud	52e862b9-0b95-43fe-9340-54f51248314f

Información adicional

Estos son más puntos a tener en cuenta al aprovisionar grupos en AD DS.

Los grupos aprovisionados en AD DS mediante Cloud Sync solo pueden contener usuarios sincronizados locales u otros grupos de seguridad creados en la nube.
Estos usuarios deben tener el atributo onPremisesObjectIdentifier establecido en su cuenta.
OnPremisesObjectIdentifier debe coincidir con un objectGUID correspondiente en el entorno de AD DS de destino.
Un atributo user objectGUID local se puede sincronizar con un usuario en la nube en un atributo onPremisesObjectIdentifier mediante cualquiera de los clientes de sincronización.
Solo los inquilinos globales de Microsoft Entra ID pueden aprovisionar de Microsoft Entra ID a AD DS. No se admiten inquilinos como B2C.
El trabajo de aprovisionamiento de grupos está programado para ejecutarse cada 20 minutos.

Escenarios de SOA de grupo y usuario

Caso de uso	Tipo de grupo primario	Tipo de grupo de miembros de usuario	Dirección de sincronización	Funcionamiento de la sincronización
Un grupo de seguridad cuyo SOA está en la nube y todos los miembros del usuario tienen SOA local	Grupo de seguridad cuyo SOA está en la nube	Usuarios cuyo SOA es local	Entra a AD (aprovisionamiento de AAD2ADGroup)	El trabajo aprovisiona al grupo matriz con todas sus referencias de miembros (usuarios miembros).
Un grupo de seguridad cuyo SOA está en la nube y todos los miembros del usuario tienen SOA en la nube	Grupo de seguridad cuyo SOA está en la nube	Usuarios cuyo SOA está en la nube	Entra a AD (aprovisionamiento de AAD2ADGroup)	El trabajo aprovisiona el grupo de seguridad, pero no aprovisiona ninguna referencia de miembros.
Un grupo de seguridad cuyo SOA está en la nube y algunos miembros del usuario tienen SOA en la nube , mientras que otros tienen SOA local	Grupo de seguridad cuyo SOA está en la nube	Algunos usuarios tienen SOA en la nube, mientras que algunos tienen SOA local	Entra a AD (aprovisionamiento de AAD2ADGroup)	El trabajo aprovisiona el grupo de seguridad e incluye solo referencias de miembro cuya SOA es local. Omite las referencias de miembro cuya SOA está en la nube.
Un grupo de seguridad cuyo SOA está en la nube y no tiene miembros de usuario	Grupo de seguridad cuyo SOA está en la nube	Ningún miembro de usuario	Entra a AD (aprovisionamiento de AAD2ADGroup)	El trabajo aprovisiona el grupo de seguridad (pertenencia vacía).
Un grupo de seguridad cuyo SOA está en el entorno local y todos los miembros del usuario tienen SOA local	Grupo de seguridad cuyo SOA es local	Usuarios cuyo SOA es local	Entra a AD (aprovisionamiento de AAD2ADGroup)	El trabajo no aprovisiona el grupo de seguridad.
Un grupo de seguridad cuyo SOA está en el entorno local y todos los miembros del usuario tienen SOA en la nube	Grupo de seguridad cuyo SOA es local	Usuarios cuyo SOA está en la nube	Entra a AD (aprovisionamiento de AAD2ADGroup)	El trabajo no aprovisiona el grupo de seguridad.
Un grupo de seguridad cuyo SOA está en el entorno local y algunos miembros del usuario tienen SOA en la nube , mientras que otros tienen SOA local	Grupo de seguridad cuyo SOA es local	Algunos usuarios tienen SOA en la nube, mientras que algunos tienen SOA local	Entra a AD (aprovisionamiento de AAD2ADGroup)	El trabajo no aprovisiona el grupo de seguridad.
Un grupo de seguridad cuyo SOA está en el entorno local y todos los miembros del usuario tienen SOA local	Grupo de seguridad cuyo SOA es local	Usuarios cuyo SOA es local	AD to Entra (AD2AADprovisioning)	El trabajo aprovisiona el grupo de seguridad con todas sus referencias de miembro (usuarios miembros).
Un grupo de seguridad cuyo SOA está en el entorno local y todos los miembros del usuario tienen SOA en la nube	Grupo de seguridad cuyo SOA es local	Usuarios cuyo SOA está en la nube	AD to Entra (AD2AADprovisioning)	El trabajo aprovisiona el grupo de seguridad con todas sus referencias de miembro (usuarios miembros). Por lo tanto, las referencias a miembro cuya SOA se migra a la nube para estos grupos en local también se sincronizarán.
Un grupo de seguridad cuyo SOA está en el entorno local y algunos miembros del usuario tienen SOA en la nube , mientras que otros tienen SOA local	Grupo de seguridad cuyo SOA es local	Algunos usuarios tienen SOA en la nube, mientras que algunos tienen SOA local	AD to Entra (AD2AADprovisioning)	El trabajo aprovisiona al grupo matriz con todas sus referencias de miembros (usuarios miembros). Por lo tanto, las referencias a miembro cuya SOA se migra a la nube para estos grupos en local también se sincronizarán.
Un grupo de seguridad cuyo SOA está en el entorno local y no tiene miembros de usuario	Grupo de seguridad cuyo SOA es local	Ningún miembro de usuario	AD to Entra (AD2AADprovisioning)	El trabajo aprovisiona el grupo de seguridad (pertenencia vacía).
Un grupo de seguridad cuyo SOA está en la nube y todos los miembros del usuario tienen SOA local	Grupo de seguridad cuyo SOA es la nube	Usuarios cuyo SOA es local	AD to Entra (AD2AADprovisioning)	El trabajo no aprovisiona el grupo de seguridad.
Un grupo de seguridad cuyo SOA está en la nube y todos los miembros del usuario tienen SOA en la nube	Grupo de seguridad cuyo SOA es la nube	Usuarios cuyo SOA está en la nube	AD to Entra (AD2AADprovisioning)	El trabajo no aprovisiona el grupo de seguridad.
Un grupo de seguridad cuyo SOA está en la nube y algunos miembros del usuario tienen SOA en la nube , mientras que otros tienen SOA local	Grupo de seguridad cuyo SOA es la nube	Algunos usuarios tienen SOA en la nube, mientras que algunos tienen SOA local	AD to Entra (AD2AADprovisioning)	El trabajo no aprovisiona el grupo de seguridad.

Supuestos

En este tutorial se da por supuesto:

Tiene un entorno local de AD DS
Tiene configurada la sincronización en la nube para sincronizar los usuarios con Microsoft Entra ID.
Tiene dos usuarios sincronizados: Britta Simon y Lola Jacobson. Estos usuarios existen en el entorno local y en Microsoft Entra ID.
Se crea una unidad organizativa (OU) en AD DS para cada uno de los siguientes departamentos:

Nombre para mostrar Nombre distintivo

Grupos OU=Marketing,DC=contoso,DC=com

Ventas OU=Ventas,DC=contoso,DC=com

Mercadotecnia OU=Grupos,DC=contoso,DC=com

Nombre para mostrar	Nombre distintivo
Grupos	OU=Marketing,DC=contoso,DC=com
Ventas	OU=Ventas,DC=contoso,DC=com
Mercadotecnia	OU=Grupos,DC=contoso,DC=com

Agregar usuarios a grupos de seguridad convertidos nativos de la nube o de origen de autoridad (SOA)

Para agregar usuarios sincronizados, siga estos pasos:

Nota:

Solo las referencias de miembro de usuario sincronizadas se aprovisionan en AD DS.

Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de identidades híbridas.
Vaya a Entra ID>Grupos>Todos los grupos.
En la parte superior, en el cuadro de búsqueda, escriba Ventas.
Seleccione el nuevo grupo Ventas .
A la izquierda, seleccione Miembros.
En la parte superior, seleccione Agregar miembros.
En la parte superior, en el cuadro de búsqueda, escriba Britta Simon.
Coloque una comprobación junto a Britta Simon y seleccione Seleccionar.
Debe agregar correctamente el usuario al grupo.
En el extremo izquierdo, seleccione Todos los grupos. Repita este proceso mediante el grupo Sales y agregue Lola Jacobson a ese grupo.

Preparación para el aprovisionamiento de grupos de SOA convertidos a su ruta de unidad organizativa (OU) original

Completa estos pasos para preparar los grupos que planeas convertir a la gestión en la nube para su aprovisionamiento desde Microsoft Entra ID de regreso a su ruta de unidad organizativa original en los servicios de dominio de Active Directory (AD DS) locales.

Cambie el ámbito del grupo de AD DS a Universal.
Cree una aplicación especial.
Cree la propiedad de extensión del directorio para grupos.

Cambiar el ámbito de grupo de los grupos de AD DS a Universal

Abre el Centro de administración de Active Directory.
Haga clic con el botón derecho en un grupo, haga clic en Propiedades.
En la sección Grupo , seleccione Universal como ámbito de grupo.
Haz clic en Guardar.

Creación de la extensión

Cloud Sync solo admite extensiones creadas en una aplicación especial denominada CloudSyncCustomExtensionsApp. Si la aplicación no existe en el inquilino, debe crearla. Este paso se realiza una vez por inquilino.

Para obtener más información sobre cómo crear la extensión, consulte Extensiones de directorio de sincronización en la nube y asignación de atributos personalizados.

Graph PowerShell
Explorador de Graph

Abra una ventana de PowerShell con privilegios elevados y ejecute los siguientes comandos para instalar módulos y conectarse:

Install-Module Microsoft.Graph -Scope CurrentUser -Force 
Connect-MgGraph -Scopes "Application.ReadWrite.All","Directory.ReadWrite.All","Directory.AccessAsUser.All"

Compruebe si la aplicación existe. Si no existe, créalo. Asegúrese también de que existe un principal de servicio.

$tenantId = (Get-MgOrganization).Id 
$app = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')" 
if (-not $app) { 
  $app = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "API://$tenantId/CloudSyncCustomExtensionsApp" 
} 

$sp = Get-MgServicePrincipal -Filter "AppId eq '$($app.AppId)'" 
if (-not $sp) { 
  $sp = New-MgServicePrincipal -AppId $app.AppId 
}

Ahora agregue una propiedad de extensión de directorio denominada GroupDN. Este será un atributo de cadena disponible en los objetos de grupo.
```
New-MgApplicationExtensionProperty ` 
  -ApplicationId $app.Id ` 
  -Name "GroupDN" ` 
  -DataType "String" ` 
  -TargetObjects Group 
```

Para obtener más información sobre cómo crear la propiedad de extensión de directorio para grupos, consulte Extensiones de directorio de sincronización en la nube y asignación de atributos personalizados.

Compruebe si la aplicación con el identificador URI API://<tenantId>/CloudSyncCustomExtensionsApp existe.
```
GET /applications?$filter=identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')
```
Para más información, consulte Obtener aplicación

Si la aplicación no existe, cree la aplicación con el identificador URI API://<tenantId>/CloudSyncCustomExtensionsApp:

POST https://graph.microsoft.com/v1.0/applications
Content-type: application/json

{
"displayName": "CloudSyncCustomExtensionsApp",
"identifierUris": ["api://<tenant id>/CloudSyncCustomExtensionsApp"]
}

Para obtener más información, consulte Creación de una aplicación.

Cree una extensión de directorio en microsoft Entra ID. Por ejemplo, una nueva extensión denominada "GroupDN", de tipo cadena, para objetos Group:

POST https://graph.microsoft.com/v1.0/applications/<ApplicationId>/extensionProperties
Content-type: application/json

{
  "name": "GroupDN",
  "dataType": "String",
  "isMultiValued": false,
  "targetObjects": [
      "Group"
  ]
}

Configuración de la asignación de atributos de Cloud Sync

A continuación, indique a Cloud Sync que rellene esta propiedad de extensión con el nombre distintivo (DN) del grupo de Active Directory. Este paso garantiza que la información original de unidad organizativa y CN se conserven en el identificador de Microsoft Entra.

Abra el Centro > de administración de Microsoft Entra ID>Entra Connect>Sincronización en la nube.
Seleccione la configuración de AD a Microsoft Entra ID.
Vaya a Asignaciones de atributos.
En la parte superior, cambie Tipo de objeto a Grupo.
Agregue una nueva asignación de atributos.
- Tipo de mapeo: Directo
- Atributo de origen: distinguishedName (el DN del grupo local)
- Atributo de destino: extension_<appIdWithoutHyphens>_GroupDN
Guarde el esquema para desencadenar una sincronización.

Mediante la asignación de distinguishedName directamente, se captura el Nombre Distinguido (DN) completo del grupo (ruta de acceso CN + OU) en la propiedad de extensión, lo que facilita la reconstrucción posterior de CN y OU al aprovisionar de nuevo en Active Directory (AD).

Verifique que la asignación ha funcionado

Una vez que se ejecute la sincronización, debe comprobar que la propiedad de extensión esté rellenada con el DN. Use Microsoft Graph PowerShell:

$clientId = $app.AppId
$propName = "extension_{0}_GroupDN" -f ($clientId -replace "-","")
$grp = Get-MgGroup -Filter "displayName eq 'My Security Group'" -ConsistencyLevel eventual
Get-MgGroup -GroupId $grp.Id -Property "id,displayName,$propName" |
  Select-Object id, displayName, @{n=$propName; e={$_."$propName"}}

Este comando devuelve el grupo con su DN almacenado en la propiedad de extensión. También puede probar mediante el Explorador de Graph consultando:

GET /v1.0/groups/{id}?$select=displayName,extension_<appIdNoHyphens>_GroupDN

Convertir Fuente de Autoridad (SOA)

Una vez que haya validado que el DN se almacena en la extensión, puede convertir el origen de autoridad del grupo en el id. de Microsoft Entra. Este cambio hace que el grupo sea administrado por la nube, manteniendo su DN original en la extensión para usarlo posteriormente en la provisión de grupos a AD DS.

Configuración del aprovisionamiento

Para configurar el aprovisionamiento, siga estos pasos:

Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de identidades híbridas.
Vaya a Entra ID>Entra Connect>Sincronización en la nube.

Seleccione Nueva configuración.
Seleccione Sincronización de Microsoft Entra ID en AD.
En la pantalla de configuración, seleccione el dominio y si desea habilitar la sincronización de hash de contraseñas. Seleccione Crear.
Se abre la pantalla Introducción . Desde aquí, puede seguir configurando la sincronización en la nube.
A la izquierda, seleccione Filtros de ámbito.
En Ámbito Grupos, seleccione Grupos de seguridad seleccionados.
Hay dos enfoques posibles para establecer la unidad organizativa:
- Puede utilizar expresiones personalizadas para garantizar que el grupo sea recreado con la misma Unidad Organizativa (OU). Use la siguiente expresión para el valor ParentDistinguishedName:
```
IIF(
    IsPresent([extension_<AppIdWithoutHyphens>_GroupDistinguishedName]),
    Replace(
        Mid(
            Mid(
                Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ),
                Instr(Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ), ",", , ),
                9999
            ),
            2,
            9999
        ),
        "\2C", , , ",", ,
    ),
"<Existing ParentDistinguishedName>",
)
```
  Esta expresión:
  - Usa una OU predeterminada si la extensión está vacía.
  - De lo contrario, quita la parte CN y conserva la ruta parentDN, gestionando nuevamente las comas escapadas.
  Estos cambios provocan una sincronización completa y no afectan a los grupos existentes. Pruebe la configuración del atributo GroupDN para un grupo existente mediante Microsoft Graph y asegúrese de que vuelve a la unidad organizativa original.
- Si no desea conservar la ruta de acceso original de la unidad organizativa y la información de CN desde el entorno local, en el Contenedor de Destino seleccione Editar asignación de atributos.
  1. Cambie Tipo de asignación a Expresión.
  2. En el cuadro de expresión, escriba:
    
    Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")
  3. Cambie el valor predeterminado para que sea OU=Groups,DC=contoso,DC=com.
  4. Seleccione Aplicar. El contenedor de destino cambia en función del atributo displayName del grupo.

Puede usar expresiones personalizadas para asegurarse de que el grupo se vuelve a crear con el mismo CN. Use la expresión siguiente para el valor CN:

IIF(
    IsPresent([extension_<AppIdWithoutHyphens>_GroupDistinguishedName]),
    Replace(
        Replace(
            Replace(
                Word(Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ), 1, ","),
                "CN=", , , "", ,
            ),
            "cn=", , , "", ,
        ),
        "\2C", , , ",", ,
    ),
Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)),
)

Esta expresión:

Si la extensión está vacía, genera un CN de reserva desde DisplayName + ObjectId.
De lo contrario, extrae el CN, controlando las comas escapadas, reemplazándolas temporalmente por valores en hexadecimal.

Haga clic en Guardar.
A la izquierda, seleccione Información general.
En la parte superior, seleccione Revisar y habilitar.
A la derecha, seleccione Habilitar configuración.

Configuración de prueba

Nota:

Al ejecutar el aprovisionamiento a petición, los miembros no se aprovisionan automáticamente. Debe seleccionar los miembros que desea probar y el límite es de cinco miembros.

Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de identidades híbridas.
Vaya a Entra ID>Entra Connect>Sincronización en la nube.

En Configuración, seleccione la configuración.
A la izquierda, seleccione Aprovisionar a petición.
Escriba Ventas en el cuadro Grupo seleccionado .
En la sección Usuarios seleccionados , seleccione algunos usuarios para probar.
Seleccione Aprovisionar.
Debería ver el grupo aprovisionado.

Comprobar en AD DS

Siga estos pasos para asegurarse de que el grupo está aprovisionado en AD DS:

Inicie sesión en el entorno local.
Inicie Usuarios y equipos de Active Directory.
Compruebe que el nuevo grupo está aprovisionado.

Aprovisionamiento de grupos para el comportamiento de AD DS en objetos convertidos de SOA

Al convertir el origen de autoridad (SOA) a la nube para un grupo local, ese grupo es apto para el aprovisionamiento de grupos en AD DS.

Por ejemplo, en el diagrama siguiente, el SOA o SOATestGroup1 se convierte en la nube. Como resultado, está disponible para el área de trabajo en el aprovisionamiento de grupos en AD DS.

Cuando se ejecuta un trabajo, SOATestGroup1 se aprovisiona correctamente.
En los registros de aprovisionamiento, puede buscar SOATestGroup1 y comprobar que el grupo se aprovisionó.
Los detalles muestran que SOATestGroup1 se ha asociado con un grupo de destino existente.
También puede confirmar que adminDescription y cn del grupo de destino están actualizadas.
Al mirar AD DS, puede encontrar que el grupo original ha sido actualizado.

La nube omite el aprovisionamiento de objetos SOA convertidos a Microsoft Entra ID

Si intenta editar un atributo de un grupo en AD DS después de convertir SOA en la nube, Cloud Sync omite el objeto durante el aprovisionamiento.

Supongamos que tenemos un grupo SOAGroup3 y actualizamos su nombre de grupo a SOA Group3.1.

Captura de pantalla de una actualización del nombre de objeto.

En los registros de aprovisionamiento, puede ver que SOAGroup3 se omitió.

Captura de pantalla de un objeto omitido.

Los detalles explican que el objeto no está sincronizado porque su SOA se convierte en la nube.

Captura de pantalla de una sincronización bloqueada.

Manejo de grupos anidados y referencias de pertenencia

En la siguiente tabla se explica cómo el aprovisionamiento gestiona las referencias de membresía tras convertir SOA en diferentes casos de uso.

Caso de uso	Tipo de grupo primario	Tipo de grupo de miembros	Trabajo	Funcionamiento de la sincronización
Un grupo de seguridad primario de Microsoft Entra solo tiene miembros de Microsoft Entra.	Grupo de seguridad de Microsoft Entra	Grupo de seguridad de Microsoft Entra	AAD2ADGroupProvisioning (aprovisionamiento de grupos en AD DS)	El trabajo aprovisiona el grupo primario con todas sus referencias de miembro (grupos de miembros).
Un grupo de seguridad primario de Microsoft Entra tiene algunos miembros que son grupos sincronizados.	Grupo de seguridad de Microsoft Entra	Grupos de seguridad de AD DS (grupos sincronizados)	AAD2ADGroupProvisioning (aprovisionamiento de grupos en AD DS)	El trabajo aprovisiona el grupo primario, pero no se aprovisionan todas las referencias de miembro (grupos de miembros) que son grupos de AD DS.
Un grupo de seguridad primario de Microsoft Entra tiene algunos miembros que son grupos sincronizados cuyo SOA se convierte en la nube.	Grupo de seguridad de Microsoft Entra	Grupos de seguridad de AD DS cuyo SOA se convierte en la nube.	AAD2ADGroupProvisioning (aprovisionamiento de grupos en AD DS)	El trabajo aprovisiona el grupo primario con todas sus referencias de miembro (grupos de miembros).
Convierta el SOA de un grupo sincronizado (primario) que tenga grupos propiedad de la nube como miembros.	Grupos de seguridad de AD DS con SOA convertidos en la nube	Grupo de seguridad de Microsoft Entra	AAD2ADGroupProvisioning (aprovisionamiento de grupos en AD DS)	El trabajo aprovisiona el grupo primario con todas sus referencias de miembro (grupos de miembros).
Convierte el SOA de un grupo sincronizado (primario) que tiene otros grupos sincronizados como miembros.	Grupos de seguridad de AD DS con SOA convertidos en la nube	Grupos de seguridad de AD DS (grupos sincronizados)	AAD2ADGroupProvisioning (aprovisionamiento de grupos en AD DS)	El trabajo aprovisiona el grupo primario, pero no se aprovisionan todas las referencias de miembro (grupos de miembros) que son grupos de seguridad de AD DS.
Convierte el SOA de un grupo sincronizado (primario) cuyos miembros son otros grupos sincronizados que tienen SOA convertido en la nube.	Grupos de seguridad de AD DS con SOA convertidos en la nube	Grupos de seguridad de AD DS con SOA convertidos en la nube	AAD2ADGroupProvisioning (aprovisionamiento de grupos en AD DS)	El trabajo aprovisiona el grupo primario con todas sus referencias de miembro (grupos de miembros).

Comportamiento del aprovisionamiento de grupos en AD DS después de revertir grupos convertidos de SOA

Si tiene grupos convertidos de SOA en el ámbito y revierte el grupo convertido de SOA para que sea propiedad de AD DS, el aprovisionamiento de grupos en AD DS deja de sincronizar los cambios, pero no elimina el grupo local. También quita el grupo del ámbito de configuración. El control local del grupo se reanuda en el siguiente ciclo de sincronización.

Puede comprobar en los registros de auditoría que la sincronización no se produce para este objeto porque se administra localmente.

También puede comprobar en AD DS que el grupo sigue intacto y no eliminado.

Pasos siguientes

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-12-05

Compartir a través de

Tutorial: Aprovisionamiento de grupos en Active Directory Domain Services mediante Microsoft Entra Cloud Sync

Aprovisionamiento de Microsoft Entra ID en Active Directory Domain Services: requisitos previos

Requisitos de licencia

Requisitos generales

Límites de escala para aprovisionamiento de grupos en Active Directory

¿Qué no está soportado?

Límites de escala

Qué hacer si supera los límites

Demasiados grupos o miembros de grupo en el modo de ámbito "Grupos de seguridad seleccionados":

Demasiados grupos o miembros de grupo en el modo de alcance «Todos los grupos de seguridad»

Algunos grupos superan los 50 000 miembros:

Selección de grupos expandida mediante API

Información adicional

Escenarios de SOA de grupo y usuario

Supuestos

Agregar usuarios a grupos de seguridad convertidos nativos de la nube o de origen de autoridad (SOA)

Preparación para el aprovisionamiento de grupos de SOA convertidos a su ruta de unidad organizativa (OU) original

Cambiar el ámbito de grupo de los grupos de AD DS a Universal

Creación de la extensión

Configuración del aprovisionamiento

Configuración de prueba

Comprobar en AD DS

Aprovisionamiento de grupos para el comportamiento de AD DS en objetos convertidos de SOA

La nube omite el aprovisionamiento de objetos SOA convertidos a Microsoft Entra ID

Manejo de grupos anidados y referencias de pertenencia

Comportamiento del aprovisionamiento de grupos en AD DS después de revertir grupos convertidos de SOA

Pasos siguientes

Comentarios

Recursos adicionales