Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan instrucciones sobre el uso de Microsoft Entra Cloud Sync como solución de identidad.
Requisitos del agente de aprovisionamiento en la nube
Necesita lo siguiente para usar Microsoft Entra Cloud Sync:
Credenciales de Administrador de Dominio o Administrador de Empresa para crear la cuenta de servicio administrada de grupo (gMSA) de sincronización en la nube de Microsoft Entra Connect, con el fin de ejecutar el servicio del agente.
Una cuenta de administrador de identidades híbridas para el inquilino de Microsoft Entra que no es un usuario invitado.
Microsoft Entra agente de Cloud Sync debe instalarse en un servidor unido a un dominio que ejecute Windows Server 2022, Windows Server 2019 o Windows Server 2016. Se recomienda Windows Server 2022. Puede implementar Microsoft Entra Cloud Sync en Windows Server 2016, pero como está en soporte extendido, es posible que necesite a programa de soporte técnico de pago si necesita compatibilidad con esta configuración. La instalación en versiones no admitidas de Windows Server puede provocar errores de servicio o un comportamiento inesperado.
Importante
no se admite Windows Server 2025. Hay un problema conocido en Windows Server 2025 que puede provocar que Microsoft Entra Cloud Sync encuentre problemas de sincronización. Si ha actualizado a Windows Server 2025, asegúrese de que ha instalado October 20, 2025 - KB5070773 actualización o posterior. Después de instalar esta actualización, reinicie el servidor para que los cambios surtan efecto. La compatibilidad de Windows Server 2025 con Microsoft Entra Cloud Sync está prevista para una futura versión.
Este servidor debe ser un servidor de nivel 0 basado en el modelo de nivel administrativo Active Directory. Se admite la instalación del agente en un controlador de dominio. Para obtener más información, consulte Fortalezca el servidor del agente de aprovisionamiento de Microsoft Entra
El Active Directory Schema es necesario para tener el atributo msDS-ExternalDirectoryObjectId, que está disponible en Windows Server 2016 y versiones posteriores.
El servicio administrador de credenciales (VaultSvc) de Windows no se puede deshabilitar, ya que impide que el agente de aprovisionamiento se instale.
La alta disponibilidad hace referencia a la capacidad de Microsoft Entra Cloud Sync para funcionar continuamente sin errores durante mucho tiempo. Al tener varios agentes activos instalados y en ejecución, Microsoft Entra Cloud Sync puede seguir funcionando aunque se produzca un error en un agente. Microsoft recomienda tener 3 agentes activos instalados para alta disponibilidad.
Configuraciones de firewall locales.
Endurecer el servidor del agente de aprovisionamiento de Microsoft Entra
Se recomienda proteger el servidor del agente de aprovisionamiento de Microsoft Entra para reducir la superficie expuesta a ataques de seguridad para este componente crítico del entorno de TI. Seguir estas recomendaciones ayuda a mitigar algunos riesgos de seguridad para su organización.
- Se recomienda proteger el servidor del agente de aprovisionamiento de Microsoft Entra como un recurso de plano de control (anteriormente nivel 0) siguiendo las instrucciones proporcionadas en Secure Privileged Access y Active Directory modelo de nivel administrativo.
- Restrinja el acceso administrativo al servidor del agente de aprovisionamiento de Microsoft Entra solo a los administradores de dominio u otros grupos de seguridad estrechamente controlados.
- Cree una cuenta dedicada para todo el personal con acceso con privilegios. Los administradores no deben navegar por la web, comprobar su correo electrónico y realizar tareas de productividad diarias con cuentas con privilegios elevados.
- Siga las instrucciones proporcionadas en Protección del acceso con privilegios.
- Denegar el uso de la autenticación NTLM con el servidor del agente de aprovisionamiento de Microsoft Entra. Estas son algunas maneras de hacerlo: Restringir NTLM en el servidor del agente de aprovisionamiento de Microsoft Entra y Restringir NTLM en un dominio
- Asegúrese de que cada máquina tiene una contraseña de administrador local única. Para obtener más información, consulte Solución de contraseña de administrador local (Windows LAPS) puede configurar contraseñas aleatorias únicas en cada estación de trabajo y el servidor las almacena en Active Directory protegidas por una ACL. Solo los usuarios autorizados aptos pueden leer o solicitar el restablecimiento de estas contraseñas de cuenta de administrador local. Puede encontrar instrucciones adicionales para operar un entorno con Windows LAPS y estaciones de trabajo de acceso con privilegios (PAW) en Estándares operativos basados en el principio de origen limpio.
- Implemente estaciones de trabajo de acceso con privilegios dedicadas para todo el personal con acceso con privilegios a los sistemas de información de su organización.
- Siga estas directrices adicionales para reducir la superficie expuesta a ataques del entorno de Active Directory.
- Siga el procedimiento de Monitorización de cambios en la configuración de federación para configurar alertas que supervisen los cambios en la confianza establecida entre su IdP y Microsoft Entra ID.
- Habilite la autenticación multifactor (MFA) para todos los usuarios que tengan acceso con privilegios en Microsoft Entra ID o en AD. Un problema de seguridad con el uso de Microsoft Entra agente de aprovisionamiento es que si un atacante puede obtener control sobre el servidor del agente de aprovisionamiento de Microsoft Entra puede manipular a los usuarios en Microsoft Entra ID. Para evitar que un atacante use estas funcionalidades para asumir Microsoft Entra cuentas, MFA ofrece protecciones. Por ejemplo, incluso si un atacante logra restablecer la contraseña de un usuario mediante el agente de aprovisionamiento de Microsoft Entra, aún no puede eludir el segundo factor.
Cuentas de servicio administradas de grupo
Una Cuenta de Servicio Gestionada de grupo es una cuenta de dominio gestionado que proporciona gestión automática de contraseñas y gestión simplificada del nombre principal de servicio (SPN). También ofrece la capacidad de delegar la administración a otros administradores y amplía esta funcionalidad a través de varios servidores. Microsoft Entra Cloud Sync admite y usa una gMSA para ejecutar el agente. Se le pedirán credenciales administrativas durante la instalación para crear esta cuenta. La cuenta aparece como domain\provAgentgMSA$. Para obtener más información sobre gMSA, consulte Cuentas de servicio administradas de grupo.
Requisitos previos para gMSA
- El esquema Active Directory del bosque del dominio de gMSA debe actualizarse a Windows Server 2012 o posterior.
- Módulos de RSAT de PowerShell en un controlador de dominio.
- Al menos un controlador de dominio debe estar ejecutando Windows Server 2012 o posterior.
- Servidor unido a un dominio que ejecuta Windows Server 2022, Windows Server 2019 o Windows Server 2016 para la instalación del agente.
Cuenta de gMSA personalizada
Si va a crear una cuenta de gMSA personalizada, debe asegurarse de que la cuenta tiene los permisos siguientes.
| Tipo | Nombre | Acceso | Se aplica a |
|---|---|---|---|
| Permitir | Cuenta de gMSA | Lectura de todas las propiedades | Objetos del dispositivo descendientes |
| Permitir | Cuenta de gMSA | Lectura de todas las propiedades | Objetos InetOrgPerson descendientes |
| Permitir | Cuenta de gMSA | Lectura de todas las propiedades | Objetos del equipo descendientes |
| Permitir | Cuenta de gMSA | Lectura de todas las propiedades | Objetos foreignSecurityPrincipal descendientes |
| Permitir | Cuenta de gMSA | Control total | Objetos del grupo descendientes |
| Permitir | Cuenta de gMSA | Lectura de todas las propiedades | Objetos de usuario descendientes |
| Permitir | Cuenta de gMSA | Lectura de todas las propiedades | Objetos del contacto descendiente |
| Permitir | Cuenta de gMSA | Crear/eliminar objetos de Usuario | Este objeto y todos los objetos descendientes |
Para obtener instrucciones sobre cómo actualizar un agente de servicio existente para usar una cuenta de gMSA, véase Cuentas de Servicio Administradas de Grupo.
Para obtener más información sobre cómo preparar su Active Directory para las cuentas de servicios administrados de grupo, consulte Descripción general de las Cuentas de Servicios Administrados de Grupo y Cuentas de servicios administrados de grupo con sincronización en la nube.
En el Centro de administración de Microsoft Entra
- Cree una cuenta de administrador de identidad híbrida exclusivamente en la nube en el inquilino de Microsoft Entra. De este modo, puede gestionar la configuración de su entorno si los servicios locales fallan o dejan de estar disponibles. Descubra cómo agregar una cuenta de administrador de identidades híbridas exclusiva para la nube. La finalización de este paso es esencial para garantizar que no queda bloqueado fuera de su inquilino.
- Agregue uno o varios nombres de dominio personalizados al inquilino de Microsoft Entra. Los usuarios pueden iniciar sesión con uno de estos nombres de dominio.
En tu directorio de Active Directory
Ejecute la herramienta IdFix de para preparar los atributos de directorio para la sincronización.
En tu entorno local
- Identifique un servidor host unido a un dominio que ejecute Windows Server 2022, Windows Server 2019 o Windows Server 2016 con un mínimo de 4 GB de RAM y .NET tiempo de ejecución de 4.7.1+.
- La directiva de ejecución de PowerShell en el servidor local debe establecerse en Undefined o RemoteSigned.
- Si hay un firewall entre sus servidores y Microsoft Entra ID, consulte Firewall y requisitos de proxy.
Nota
No se admite la instalación del agente de aprovisionamiento en la nube en Windows Server Core.
Aprovisionamiento de Microsoft Entra ID en Active Directory Domain Services: requisitos previos
Los siguientes requisitos previos son necesarios para implementar grupos de aprovisionamiento en Active Directory Domain Services (AD DS).
Requisitos de licencia
El uso de esta característica requiere licencias P1 de Microsoft Entra ID. Para encontrar la licencia adecuada para sus requisitos, consulte Compare características disponibles con carácter general de Microsoft Entra ID.
Requisitos generales
- Microsoft Entra cuenta con al menos un rol Hybrid Identity Administrator.
- Esquema de AD DS local con el atributo msDS-ExternalDirectoryObjectId, que está disponible en Windows Server 2016 y versiones posteriores.
- Agente de aprovisionamiento con la versión 1.1.3730.0 o posterior.
Nota
Los permisos para la cuenta de servicio se asignan solo durante una instalación limpia. Si va a actualizar desde la versión anterior, los permisos deben asignarse manualmente mediante PowerShell:
$credential = Get-Credential
Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Si los permisos se establecen manualmente, debe asignar las propiedades Read, Write, Create y Delete para todos los grupos descendientes y objetos User.
Estos permisos no se aplican a objetos AdminSDHolder de forma predeterminada. Para obtener más información, consulte cmdlets de PowerShell para el agente de aprovisionamiento de gMSA de Microsoft Entra.
- El agente de aprovisionamiento debe instalarse en un servidor que ejecute Windows Server 2022, Windows Server 2019 o Windows Server 2016.
- El agente de aprovisionamiento debe poder comunicarse con uno o varios controladores de dominio en los puertos TCP/389 (LDAP) y TCP/3268 (Catálogo global).
- Necesario para la búsqueda de catálogos globales para filtrar las referencias de pertenencia no válidas
- Microsoft Entra Connect Sync con la versión de compilación 2.2.8.0
- Necesario para admitir la afiliación de usuarios locales sincronizada mediante Microsoft Entra Connect Sync
- Necesario para sincronizar
AD DS:user:objectGUIDconAAD DS:user:onPremisesObjectIdentifier
Límites de escala para grupos de aprovisionamiento en Active Directory
El rendimiento de la función de aprovisionamiento de grupos en Active Directory se ve afectado por el tamaño del cliente y el número de grupos y membresías dentro del ámbito del aprovisionamiento en Active Directory. En esta sección se proporcionan instrucciones sobre cómo determinar si GPAD admite sus requisitos de escala y cómo elegir el modo de ámbito del grupo adecuado para lograr ciclos de sincronización iniciales y diferenciales más rápidos.
¿Qué no está soportado?
- No se admiten grupos de más de 50 000 miembros.
- No se admite el uso del ámbito "Todos los grupos de seguridad" sin aplicar el filtro de ámbito de atributo.
Límites de escala
| Modo de alcance | Número de grupos dentro del ámbito | Número de vínculos de pertenencia (solo miembros directos) | Notas |
|---|---|---|---|
| Modo "Grupos de seguridad seleccionados" | Hasta 10.000 grupos. El panel CloudSync de Microsoft Entra portal solo permite seleccionar hasta 999 grupos, así como mostrar hasta 999 grupos. Si necesita agregar más de 1000 grupos al ámbito, consulte: Selección de grupo expandida a través de la API. | Hasta 250 000 miembros en total en todos los grupos del ámbito. | Utiliza este modo de delimitación si tu inquilino supera cualquiera de estos límites. 1. El inquilino tiene más de 200 000 usuarios 2. El inquilino tiene más de 40 000 grupos 3. El inquilino tiene más de 1 millón de miembros de grupos. |
| Modo "Todos los grupos de seguridad" con al menos un filtro de ámbito de atributos. | Hasta 20 000 grupos. | Hasta 500.000 miembros en total en todos los grupos del ámbito. | Use este modo de ámbito si el cliente cumple todos los límites que se indican a continuación: 1. El inquilino tiene menos de 200 000 usuarios 2. El inquilino tiene menos de 40 000 grupos 3. El cliente tiene menos de 1 millón de membresías en grupos. |
Qué hacer si supera los límites
Si se superan los límites recomendados, se ralentizará la sincronización inicial y diferencial, lo que posiblemente provocará errores de sincronización. Si esto sucede, siga estos pasos:
Demasiados grupos o miembros de grupo en el modo de ámbito "Grupos de seguridad seleccionados":
Reduzca el número de grupos dentro del ámbito (priorizando grupos de mayor valor) o divida el aprovisionamiento en varios trabajos distintos con ámbitos separados.
Demasiados grupos o miembros de grupo en el modo de alcance «Todos los grupos de seguridad»
Use el modo de ámbito Grupos de seguridad seleccionados como se recomienda.
Algunos grupos superan los 50 000 miembros:
Divida la pertenencia entre varios grupos o adopte grupos preconfigurados (por ejemplo, por región o unidad de negocio) para mantener cada grupo bajo el límite.
Selección de grupos expandida mediante API
Si necesita seleccionar más de 999 grupos, debe usar la llamada API asignar un rol de aplicación a un principal de servicio.
Un ejemplo de las llamadas API es el siguiente:
POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json
{
"principalId": "",
"resourceId": "",
"appRoleId": ""
}
where:
- principalId: id. de objeto de grupo.
- resourceId: identificador de entidad de servicio del trabajo.
- appRoleId: identificador del rol de la aplicación expuesto por el principal del servicio de recursos.
La tabla siguiente es una lista de identificadores de roles de aplicación para servicios en la nube.
| Nube | appRoleId |
|---|---|
| Público | 1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f |
| AzureUSGovernment | d8fa317e-0713-4930-91d8-1dbeb150978f |
| AzureUSNatCloud | 50a55e47-aae2-425c-8dcb-ed711147a39f |
| AzureUSSecCloud | 52e862b9-0b95-43fe-9340-54f51248314f |
Información adicional
Estos son más puntos a tener en cuenta al aprovisionar grupos en AD DS.
- Los grupos aprovisionados en AD DS mediante Cloud Sync solo pueden contener usuarios sincronizados locales u otros grupos de seguridad creados en la nube.
- Estos usuarios deben tener el atributo onPremisesObjectIdentifier establecido en su cuenta.
- OnPremisesObjectIdentifier debe coincidir con un objectGUID correspondiente en el entorno de AD DS de destino.
- Un atributo objectGUID de un usuario local se puede sincronizar con un atributo onPremisesObjectIdentifier de un usuario en la nube mediante cualquiera de los clientes de sincronización.
- Solo los clientes globales de Microsoft Entra ID pueden configurar desde Microsoft Entra ID hasta AD DS. No se admiten inquilinos como B2C.
- El trabajo de aprovisionamiento de grupos está programado para ejecutarse cada 20 minutos.
Más requisitos
Requisitos de TLS
Nota
Seguridad de la capa de transporte (TLS) es un protocolo que proporciona comunicaciones seguras. El cambio de la configuración de TLS afecta a todo el bosque. Para obtener más información, consulte Update para habilitar TLS 1.1 y TLS 1.2 como protocolos seguros predeterminados en WinHTTP en Windows.
El servidor Windows que hospeda el agente de aprovisionamiento en la nube de Microsoft Entra Connect debe tener HABILITADO TLS 1.2 antes de instalarlo.
Para habilitar TLS 1.2, siga estos pasos.
Establezca las siguientes claves del Registro copiando el contenido en un archivo .reg y, a continuación, ejecute el archivo (seleccione el botón derecho y elija Combinar):
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001Reinicie el servidor.
Requisitos de firewall y proxy
Si hay un firewall entre los servidores y Microsoft Entra ID, configure los siguientes elementos:
Asegúrese de que los agentes pueden realizar solicitudes outbound a Microsoft Entra ID en los puertos siguientes:
Número de puerto Descripción 80 Descarga las listas de revocación de certificados (CRL) al validar el certificado TLS/SSL. 443 Controla toda la comunicación saliente con el servicio. 8080 (opcional) Los agentes notifican su estado cada 10 minutos a través del puerto 8080, si el puerto 443 no está disponible. Este estado se muestra en el centro de administración de Microsoft Entra. Si el firewall aplica reglas según los usuarios de origen, abra estos puertos para el tráfico de los servicios de Windows que se ejecutan como servicio de red.
Asegúrese de que el proxy admite al menos el protocolo HTTP 1.1 y la codificación fragmentada está habilitada.
Si el firewall o el proxy le permiten especificar sufijos seguros, agregue conexiones:
| URL | Descripción |
|---|---|
*.msappproxy.net*.servicebus.windows.net |
El agente usa estas direcciones URL para comunicarse con el servicio en la nube de Microsoft Entra. |
*.microsoftonline.com*.microsoft.com*.msappproxy.com*.windowsazure.com |
El agente usa estas direcciones URL para comunicarse con el servicio en la nube de Microsoft Entra. |
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80
|
El agente usa estas direcciones URL para comprobar los certificados. |
login.windows.net |
El agente usa estas direcciones URL durante el proceso de registro. |
Requisito NTLM
No debe habilitar NTLM en el Windows Server que ejecuta el agente de aprovisionamiento de Microsoft Entra y, si está habilitado, debe asegurarse de deshabilitarlo.
Limitaciones conocidas
A continuación se indican las limitaciones conocidas:
Sincronización delta
- El filtrado de ámbito de grupo para la sincronización diferencial no admite más de 50 000 miembros.
- Al eliminar un grupo que se usa como parte de un filtro de ámbito de grupo, los usuarios que son miembros del grupo no se eliminan.
- Al cambiar el nombre de la unidad organizativa o del grupo que se encuentra en el ámbito, la sincronización diferencial no elimina los usuarios.
Registros de aprovisionamiento
- Los registros de aprovisionamiento no diferencian claramente entre las operaciones de creación y actualización. Es posible que se muestre una operación de creación para una actualización, y viceversa.
Cambio de nombre de grupo o cambio de nombre de unidad organizativa
- Si cambia el nombre de un grupo o una unidad organizativa en AD que está en el ámbito de una configuración determinada, el trabajo de sincronización en la nube no puede reconocer el cambio de nombre en AD. El trabajo no entra en cuarentena y permanece en estado correcto.
Filtro de ámbito
Al usar el filtro de ámbito de unidad organizativa
La configuración de ámbito tiene una limitación de 4 MB en longitud de caracteres. En un entorno probado estándar, esto se traduce en aproximadamente 50 unidades organizativas independientes (UO) o grupos de seguridad, incluidos sus metadatos necesarios, para una configuración determinada.
Se admiten unidades organizativas anidadas (es decir, puede sincronizar una unidad organizativa que tenga 130 UNIDADES organizativas anidadas, pero no puede sincronizar 60 unidades organizativas independientes en la misma configuración).
Sincronización de hash de contraseñas
- No se admite el uso de la sincronización de hash de contraseñas con InetOrgPerson.