ADConnect

ADConnect Encora

Bienvenidos queridos lectores del blog de Encora, soy Raúl Mimó y hoy os voy a hablar de ADConnect cuyo nombre oficial es Azure AD Connect.

En el pasado Post sobre Azure AD ya comenté que repasaríamos un poco la herramienta Azure AD Connect, ¿qué es?, qué hace?, ¿Cómo funciona? Pues ha llegado la hora, vamos allá 🙂

Índice de artículos sobre Azure

Los compañeros del Encora Team estamos escribiendo una serie de posts sobre la tecnología Azure que tanto nos pedís los clientes y amigos de Encora:

  • Azure desde Cero. Ir al artículo.
  • Azure AD Ir al artículo.
  • ADConnect, este artículo.
  • Azure Files. Ir al artículo.
  • Azure y las zonas geográficas.
  • Panel de Azure, apartados y configuración.
  • Creación del entorno de red (firewall, redes, security groups, peering…).
  • Tipos de almacenamiento.
  • Máquinas virtuales (tipos, instancias reservadas, redes, discos…).
  • Servicios de BBDD.
  • Servicios Web Apps.
  • Conexión entre sites (Azure-Azure-Onpremise).
  • Monitorización y alertas.
  • Copia de seguridad.
  • Migración de cargas de trabajo.
  • Disaster Recovery.

Si echáis en falta alguna tecnología de Microsoft Azure decidnos y la incorporaremos.

¿Qué es ADConnect?

Azure AD Connect es la utilidad de Microsoft diseñada para sincronizar los usuarios de nuestro Active Directory on Premises con Azure AD y en consecuencia con Microsoft 365.

De esta forma nuestros usuarios pueden efectuar un login tanto en los servicios AD on Premises como en Microsoft 365 y Azure AD con un único usuario y contraseña, pudiendo configurar incluso SSO para estos últimos.

Prerrequisitos de ADConnect

Antes de realizar la instalación de ADConnect deberemos comprobar que nuestro AD on Premises cumple con los prerrequisitos que Active Directory Azure Connect requiere. Para ello podemos ejecutar la utilidad IdFix, pero bueno, vamos a ver lo que tenemos que preparar.

Pongamos el caso de que tenemos un AD on Premises llamado mydominio.local, y el correo en un tenant de Microsoft 365 con el dominio mydominio.com.

Abrimos Dominios y confianzas de AD

ADConnect-Encora
ADConnect-Encora

Cuando se abra pulsaremos directamente con el botón derecho y escogemos Propiedades:

ADConnect-Encora-Domains-Trusts
ADConnect Encora Domains Trusts

Y añadimos nuestro dominio de correo

ADConnect Encora dominio correo
ADConnect Encora dominio correo

Finalmente pasamos a configurar aquellos usuarios que queremos sincronizar, para ello primero en la pestaña General añadiremos la dirección de correo (si no la tiene)

ADConnect-Encora-Usuarios
ADConnect-Encora-Usuarios

En la pestaña Cuenta cambiaremos el UPN de dominio, por defecto tendremos el de nuestro dominio local de AD, con el desplegable seleccionamos nuestro dominio de correo que previamente hemos añadido.

ADConnect-Encora-dominio-local
ADConnect-Encora-dominio-local

Como se ve en la imagen, el UPN coincide con la dirección de correo. Aunque no es un requisito es altamente recomendado para posteriormente poder facilitar al usuario el login si implantamos (Single Sign On). Aunque cambiemos el UPN no afectara en nada a la forma de inicio de sesión del usuario (Pre-Windows 2000) DOMINIO\user

Nota: si nos lo curramos estas asignaciones podrían realizarse con un script de Powershell.

Cuando sincronizamos un AD nos podemos encontrar con el caso de que ya estemos trabajando con Microsoft 365 y que ya tengamos usuarios trabajando (Aunque no estén sincronizados), para sincronizar correctamente esos usuarios deberemos tener en cuenta que el usuario de AD debe de tener el mismo UPN que el usuario de la nube, y tener especificada en el campo email la dirección principal del usuario, al finalizar la sincronización ese usuario dejara de ser usuario de nube para ser usuario Sincronizado.

Instalación de Azure AD Connect

Ahora ya podemos proceder con a la instalación de ADConnect. Desde este centro de descarga podemos bajar el instalable.

¡¡Y lanzamos la Instalación!!

Azure-ADConnect-Ecora
Azure ADConnect Encora

Al pulsar en continuar empezaremos con la configuración. Lo primero que nos pide es si queremos usar la configuración rápida o personalizada. Si escogemos la rápida nos sincronizara todo nuestro AD con el método “Sincronización de hash de contraseñas” (luego lo comentamos). Ahora escogeremos la personalizada para tener más opciones.

ADConnect-Encora-sincronizacion
ADConnect Encora sincronizacion

Seguidamente nos ofrecerá modificar algunos parámetros de la instalación (Ubicación, SQL…). Por defecto nos instalará SQL Express para albergar la DB, en principio esto nos soportaría u4na DB de 10 GB máximo (unos 100.000 usuarios), más que suficiente en la mayoría de escenarios.

ADConnect-Encora-componentes
ADConnect-Encora-componentes

Después de instalar el servicio de sincronización nos empezará a pedir cosas interesantes como el inicio de sesión. Vamos a analizarlo:

ADConnect-Encora-inicio-sesion
ADConnect-Encora-inicio-sesion

Configuración de Azure Active Directory Connect

Existen varios métodos de configuración que podemos emplear:

  1. Sincronización de hash de contraseñas (PHS) : la sincronización de hash de contraseñas permite a los usuarios usar el mismo nombre de usuario y contraseña que en el entorno local sin tener que implementar infraestructura adicional, además de Azure AD Connect, normalmente es el método mas escogido por su simplicidad.
  2. Autenticación de paso a través (PTA) : esta opción es similar a la sincronización de hash de contraseñas, pero proporciona una validación simple de contraseñas con la instalación de agentes de software en el entorno local , podemos controlar por ejemplo los horarios de acceso etc.
  3. Federación con AD FS: cuando se elige este método de autenticación, Azure AD deja el proceso de autenticación en manos del sistema de autenticación de e AD, esta opción requiere la implementación del servicio AD FS on Premises o en una maquina de Azure.
  4. Federación con PingFederate: esta opción seria como configurarlo con AD FS, pero con los servicios de PingFederate  instalados en una instancia local.
  5. No configurar: No se instala ni configura ninguna característica de inicio de sesión de usuario. Elija esta opción si ya tiene un servidor de federación de terceros.

Por otro lado, tenemos la opción de configurar el SSO (inicio de sesión Único).

Con esto habilitado y una simple GPO podemos configurar que los usuarios se loguearán en su equipo de AD con su dirección de correo y password de AD. Rrealmente es con el UPN , pero recordad que lo hemos cambiado para que coincida con la dirección de email.

Iniciando la sesión así podríamos acceder después al portal de Microsoft 365 sin introducir otra vez nuestro password. Hacer login así no afecta al perfil de usuario creado en el equipo y facilitamos un poco la vida al usuario ya que tendría un único usuario y password para los servicios de On Premises o de nube.

Nota: los servicios Federados no utilizan esta opción ya que ellos mismos gestionan el SSO.

Iniciando la sesión en ADConnect

Nosotros hemos escogido la opción de Sincronización de hash de contraseñas y habilitado SSO.

Continuamos y hacemos login en Microsoft 365 con un usuario administrador.

Encora-conectar-Azure-AD
Encora-conectar-Azure-AD

Y después añadimos nuestro dominio local. En este caso podemos crear una cuenta para gestionar la sincronización. Nos pedirá las credenciales de Administrador de AD.

ADConnect-Encora-conectar-directorios
ADConnect-Encora-conectar-directorios
ADConnect-Encora-procedimiento-conexion
ADConnect-Encora-procedimiento-conexion

Cuando ya hemos creado la cuenta de usuario tendremos preparados nuestros dominios. Veréis que nos detecta nuestro dominio local y también el sufijo personalizado que hemos agregado al principio.

Como se observa en la siguiente imagen, utilizaremos el atributo UserPrincipalName como valor para el usuario de Office365 y marcaremos que continuaremos sin relacionar todos los sufijos UPN con los dominios verificados.

ADConnect-Encora-configuracion-inicio-sesion
ADConnect-Encora-configuracion-inicio-sesion

Seleccionamos las OU a Sincronizar:

ADConnect-Encora-inicio-sesion-2
ADConnect-Encora-inicio-sesion-2

Para este Post he sincronizado solamente una OU, pero hay que pensar bien como vamos a configurar este paso.

Sinceramente con esta última versión de ADConnect no lo he probado, pero en versiones anteriores si cambiabas posteriormente el nombre a la OU o reorganizabas tu estructura de las OU de AD ésta se dejaba de sincronizar.

Una opción para evitar esto es marcar que vamos a sincronizar todo el AD pero que solo se sincronizaran los usuarios que pertenezcan a un grupo de seguridad en concreto, esto lo podemos configurar en el siguiente paso.

ADConnect-Encora-filtrado-dominios
ADConnect-Encora-filtrado-dominios

Finalmente podremos configurar opciones adicionales como por ejemplo la reescritura de contraseñas y grupos desde la nube.

ADConnect-Encora-caracteristicas-opcionales
ADConnect-Encora-caracteristicas-opcionales

También en caso de una implantación Híbrida de Exchange podremos especificarlo desde aquí. En un Exchange es casi obligado implementarlo, si vamos a sincronizar.

Nota: Es muy importante tener en cuenta que si en nuestro entorno existió un Exchange y este no se desinstaló correctamente podemos tener problemas a la hora de activar buzones a nuestros usuarios sincronizados)

Finalmente validamos y configuramos el SSO introduciendo las credenciales de dominio.

ADConnect-Encora-inicio-sesion-unico
ADConnect-Encora-inicio-sesion-unico

Tras completarse de instalación tendremos instalado nuestro servicio de sincronización de AD con Microsoft 365 /Azure AD.

ADConnect-Encora-configuracion-completa
ADConnect-Encora-configuracion-completa

ADConnect, siguientes pasos

Si acedemos a nuestro portal de Office365 ya se nos mostrará que tenemos nuestro AD sincronizado con ADConnect.

ADConnect-Encora-Siguientes-pasos
ADConnect-Encora-Siguientes-pasos

Y si buscamos a nuestro usuario veremos que aparece ya como usuario de AD sincronizado. Ya podemos asignarle una licencia de Microsoft 365 y el usuario ya podrá acceder a los servicios mediante su password de AD.

ADConnect-Encora-usuarios-activos
ADConnect-Encora-usuarios-activos

Tanto si este usuario existía antes en la nube o no, a partir de este momento, todos los cambios de atributos en los usuarios sincronizados deberán de efectuarse desde AD: Nombre, dirección de Email, alias, etc.

Azure Active Directory Connect se sincronizará y modificará los cambios efectuados en AD cada 30 minutos. Siempre podemos forzarlo con un comando de Powershell para realizar una actualización inmediata.

Espero que os haya gustado, y os haya ayudado a entender qué es, cómo funciona, y cómo se configura ADConnect.

Nos vemos en el próximo Post.

Si estás interesado en contactar con el Encora Team para hablar de un proyecto para tu empresa, pulsa en el botón y te llamamos.

Compártelo en redes sociales

SUSCRÍBETE A LA ENCORA NEWSLETTER

SÉ EL RPIMERO EN ESTAR INFORMADO DE LA ACTUALIDAD TIC CON ENCORA

estamos a tu lado en este momento crítico

Nuestro equipo de expertos te ayuda inmediatamente