Bienvenidos queridos lectores del blog de Encora, soy Raúl Mimó y hoy os voy a hablar de ADConnect cuyo nombre oficial es Azure AD Connect.
En el pasado Post sobre Azure AD ya comenté que repasaríamos un poco la herramienta Azure AD Connect, ¿qué es?, qué hace?, ¿Cómo funciona? Pues ha llegado la hora, vamos allá 🙂
Índice de artículos sobre Azure
Los compañeros del Encora Team estamos escribiendo una serie de posts sobre la tecnología Azure que tanto nos pedís los clientes y amigos de Encora:
- Azure desde Cero. Ir al artículo.
- Azure AD Ir al artículo.
- ADConnect, este artículo.
- Azure Files. Ir al artículo.
- Azure y las zonas geográficas.
- Panel de Azure, apartados y configuración.
- Creación del entorno de red (firewall, redes, security groups, peering…).
- Tipos de almacenamiento.
- Máquinas virtuales (tipos, instancias reservadas, redes, discos…).
- Servicios de BBDD.
- Servicios Web Apps.
- Conexión entre sites (Azure-Azure-Onpremise).
- Monitorización y alertas.
- Copia de seguridad.
- Migración de cargas de trabajo.
- Disaster Recovery.
Si echáis en falta alguna tecnología de Microsoft Azure decidnos y la incorporaremos.
¿Qué es ADConnect?
Azure AD Connect es la utilidad de Microsoft diseñada para sincronizar los usuarios de nuestro Active Directory on Premises con Azure AD y en consecuencia con Microsoft 365.
De esta forma nuestros usuarios pueden efectuar un login tanto en los servicios AD on Premises como en Microsoft 365 y Azure AD con un único usuario y contraseña, pudiendo configurar incluso SSO para estos últimos.
Prerrequisitos de ADConnect
Antes de realizar la instalación de ADConnect deberemos comprobar que nuestro AD on Premises cumple con los prerrequisitos que Active Directory Azure Connect requiere. Para ello podemos ejecutar la utilidad IdFix, pero bueno, vamos a ver lo que tenemos que preparar.
Pongamos el caso de que tenemos un AD on Premises llamado mydominio.local, y el correo en un tenant de Microsoft 365 con el dominio mydominio.com.
Abrimos Dominios y confianzas de AD
Cuando se abra pulsaremos directamente con el botón derecho y escogemos Propiedades:
Y añadimos nuestro dominio de correo
Finalmente pasamos a configurar aquellos usuarios que queremos sincronizar, para ello primero en la pestaña General añadiremos la dirección de correo (si no la tiene)
En la pestaña Cuenta cambiaremos el UPN de dominio, por defecto tendremos el de nuestro dominio local de AD, con el desplegable seleccionamos nuestro dominio de correo que previamente hemos añadido.
Como se ve en la imagen, el UPN coincide con la dirección de correo. Aunque no es un requisito es altamente recomendado para posteriormente poder facilitar al usuario el login si implantamos (Single Sign On). Aunque cambiemos el UPN no afectara en nada a la forma de inicio de sesión del usuario (Pre-Windows 2000) DOMINIO\user
Nota: si nos lo curramos estas asignaciones podrían realizarse con un script de Powershell.
Cuando sincronizamos un AD nos podemos encontrar con el caso de que ya estemos trabajando con Microsoft 365 y que ya tengamos usuarios trabajando (Aunque no estén sincronizados), para sincronizar correctamente esos usuarios deberemos tener en cuenta que el usuario de AD debe de tener el mismo UPN que el usuario de la nube, y tener especificada en el campo email la dirección principal del usuario, al finalizar la sincronización ese usuario dejara de ser usuario de nube para ser usuario Sincronizado.
Instalación de Azure AD Connect
Ahora ya podemos proceder con a la instalación de ADConnect. Desde este centro de descarga podemos bajar el instalable.
¡¡Y lanzamos la Instalación!!
Al pulsar en continuar empezaremos con la configuración. Lo primero que nos pide es si queremos usar la configuración rápida o personalizada. Si escogemos la rápida nos sincronizara todo nuestro AD con el método “Sincronización de hash de contraseñas” (luego lo comentamos). Ahora escogeremos la personalizada para tener más opciones.
Seguidamente nos ofrecerá modificar algunos parámetros de la instalación (Ubicación, SQL…). Por defecto nos instalará SQL Express para albergar la DB, en principio esto nos soportaría u4na DB de 10 GB máximo (unos 100.000 usuarios), más que suficiente en la mayoría de escenarios.
Después de instalar el servicio de sincronización nos empezará a pedir cosas interesantes como el inicio de sesión. Vamos a analizarlo:
Configuración de Azure Active Directory Connect
Existen varios métodos de configuración que podemos emplear:
- Sincronización de hash de contraseñas (PHS) : la sincronización de hash de contraseñas permite a los usuarios usar el mismo nombre de usuario y contraseña que en el entorno local sin tener que implementar infraestructura adicional, además de Azure AD Connect, normalmente es el método mas escogido por su simplicidad.
- Autenticación de paso a través (PTA) : esta opción es similar a la sincronización de hash de contraseñas, pero proporciona una validación simple de contraseñas con la instalación de agentes de software en el entorno local , podemos controlar por ejemplo los horarios de acceso etc.
- Federación con AD FS: cuando se elige este método de autenticación, Azure AD deja el proceso de autenticación en manos del sistema de autenticación de e AD, esta opción requiere la implementación del servicio AD FS on Premises o en una maquina de Azure.
- Federación con PingFederate: esta opción seria como configurarlo con AD FS, pero con los servicios de PingFederate instalados en una instancia local.
- No configurar: No se instala ni configura ninguna característica de inicio de sesión de usuario. Elija esta opción si ya tiene un servidor de federación de terceros.
Por otro lado, tenemos la opción de configurar el SSO (inicio de sesión Único).
Con esto habilitado y una simple GPO podemos configurar que los usuarios se loguearán en su equipo de AD con su dirección de correo y password de AD. Rrealmente es con el UPN , pero recordad que lo hemos cambiado para que coincida con la dirección de email.
Iniciando la sesión así podríamos acceder después al portal de Microsoft 365 sin introducir otra vez nuestro password. Hacer login así no afecta al perfil de usuario creado en el equipo y facilitamos un poco la vida al usuario ya que tendría un único usuario y password para los servicios de On Premises o de nube.
Nota: los servicios Federados no utilizan esta opción ya que ellos mismos gestionan el SSO.
Iniciando la sesión en ADConnect
Nosotros hemos escogido la opción de Sincronización de hash de contraseñas y habilitado SSO.
Continuamos y hacemos login en Microsoft 365 con un usuario administrador.
Y después añadimos nuestro dominio local. En este caso podemos crear una cuenta para gestionar la sincronización. Nos pedirá las credenciales de Administrador de AD.
Cuando ya hemos creado la cuenta de usuario tendremos preparados nuestros dominios. Veréis que nos detecta nuestro dominio local y también el sufijo personalizado que hemos agregado al principio.
Como se observa en la siguiente imagen, utilizaremos el atributo UserPrincipalName como valor para el usuario de Office365 y marcaremos que continuaremos sin relacionar todos los sufijos UPN con los dominios verificados.
Seleccionamos las OU a Sincronizar:
Para este Post he sincronizado solamente una OU, pero hay que pensar bien como vamos a configurar este paso.
Sinceramente con esta última versión de ADConnect no lo he probado, pero en versiones anteriores si cambiabas posteriormente el nombre a la OU o reorganizabas tu estructura de las OU de AD ésta se dejaba de sincronizar.
Una opción para evitar esto es marcar que vamos a sincronizar todo el AD pero que solo se sincronizaran los usuarios que pertenezcan a un grupo de seguridad en concreto, esto lo podemos configurar en el siguiente paso.
Finalmente podremos configurar opciones adicionales como por ejemplo la reescritura de contraseñas y grupos desde la nube.
También en caso de una implantación Híbrida de Exchange podremos especificarlo desde aquí. En un Exchange es casi obligado implementarlo, si vamos a sincronizar.
Nota: Es muy importante tener en cuenta que si en nuestro entorno existió un Exchange y este no se desinstaló correctamente podemos tener problemas a la hora de activar buzones a nuestros usuarios sincronizados)
Finalmente validamos y configuramos el SSO introduciendo las credenciales de dominio.
Tras completarse de instalación tendremos instalado nuestro servicio de sincronización de AD con Microsoft 365 /Azure AD.
ADConnect, siguientes pasos
Si acedemos a nuestro portal de Office365 ya se nos mostrará que tenemos nuestro AD sincronizado con ADConnect.
Y si buscamos a nuestro usuario veremos que aparece ya como usuario de AD sincronizado. Ya podemos asignarle una licencia de Microsoft 365 y el usuario ya podrá acceder a los servicios mediante su password de AD.
Tanto si este usuario existía antes en la nube o no, a partir de este momento, todos los cambios de atributos en los usuarios sincronizados deberán de efectuarse desde AD: Nombre, dirección de Email, alias, etc.
Azure Active Directory Connect se sincronizará y modificará los cambios efectuados en AD cada 30 minutos. Siempre podemos forzarlo con un comando de Powershell para realizar una actualización inmediata.
Espero que os haya gustado, y os haya ayudado a entender qué es, cómo funciona, y cómo se configura ADConnect.
Nos vemos en el próximo Post.