Cómo sincronizar usuarios y dispositivos locales de Active Directory con Microsoft Entra ID (unión híbrida)

📅
🕑 7 minutos de lectura

Este es un proceso bastante largo, pero si has estado intentando configurar una unión híbrida entre tu Active Directory local y el ID de Entra de Microsoft 365, vale la pena conocer todos los pasos. Dado que Windows y Azure a veces lo complican más de lo necesario, puede resultar un poco frustrante intentar que todo encaje correctamente, especialmente si lo haces por primera vez o si tienes alguna peculiaridad. El objetivo principal es que tus usuarios y dispositivos locales se administren y reconozcan correctamente en la nube, lo que facilita los inicios de sesión y te proporciona un mejor control de la seguridad. Una vez configurado todo, los usuarios pueden iniciar sesión con las mismas credenciales y los dispositivos se integran automáticamente en Intune, lo que simplifica la administración en toda la configuración híbrida.

Cómo unir de forma híbrida su Active Directory local a Microsoft Entra ID con Entra Connect

Prerrequisitos

Antes de comenzar, esto es lo que necesitas tener listo:

  • Un dominio verificado en su inquilino de Microsoft 365, por lo que tiene la propiedad de su dominio personalizado.
  • Un servidor Windows Server 2016 o más reciente, todo unido a su AD, para ejecutar Azure AD Connect (también conocido como Entra Connect).
  • Un administrador global en Microsoft 365, porque debe tener los permisos adecuados para conectar todo esto.
  • Una cuenta de administrador de dominio en su AD, para que pueda realizar los cambios necesarios.
  • Los puertos de red 80 y 443 deben estar abiertos para la comunicación con los servicios de Microsoft 365. Porque, claro, Windows tiene que hacerlo más difícil de lo necesario.
  • Dispositivos que ejecutan Windows 10 o 11 (ya que las versiones anteriores probablemente no sean suficientes ahora).

Paso 1: Verifique su dominio personalizado en Microsoft 365

Vaya a la página Dominios de Microsoft 365 y compruebe que su dominio esté agregado y verificado. Si aún usa onmicrosoft.comuno, olvídelo: necesitará su dominio personalizado para que funcione correctamente.

Simplemente haz clic en «Añadir dominio», sigue el asistente y asegúrate de que los registros DNS estén configurados correctamente con tu registrador de dominios (normalmente, un registro TXT para verificación).No sé por qué funciona, pero en algunas configuraciones, la verificación puede tardar un poco en propagarse.

Paso 2: Agregue su dominio externo a Active Directory como sufijo UPN

La mayoría de los usuarios locales de AD inician sesión como john.smith@localdomain. LOCAL. Para que puedan iniciar sesión con tu dominio externo verificado, debes agregarlo como sufijo UPN.

Abra el Administrador del servidor, seleccione Herramientas y luego Dominios y confianzas de Active Directory. Haga clic con el botón derecho en Dominios y confianzas de Active Directory y seleccione Propiedades. Escriba su dominio (p.ej., sudominio.com ), haga clic en Agregar, luego en Aplicar y Aceptar.

En algunas máquinas, esto falla la primera vez, pero a veces funciona después de reiniciar o actualizar. Es raro, pero clásico en Windows.

Paso 3: Actualizar el sufijo UPN y las direcciones proxy de cada usuario

Ahora, abra Usuarios y equipos de Active Directory, busque sus usuarios y, para cada uno:

  • Haga doble clic para abrir las propiedades.
  • Cambie a la pestaña Cuenta.
  • Cambie el nombre de inicio de sesión del usuario para utilizar su nuevo dominio (por ejemplo, [email protected]).
  • Vaya a la pestaña Editor de atributos (quizás deba habilitar las funciones avanzadas en el menú Ver ).Busque proxyAddresses y haga doble clic.
  • Agregue una nueva entrada: SMTP:[email protected]. Asegúrese de que la dirección SMTP principal esté marcada con SMTP en mayúsculas.
  • Haga clic en Aceptar y Aplicar.

Tenga en cuenta que, si el usuario ya tiene cuentas en Microsoft 365 con diferentes UPN, intente que el correo electrónico coincida para evitar problemas de sincronización. En una configuración funcionó, en otra no tanto. A veces, basta con volver a sincronizar o reiniciar el servidor.

Paso 4: Crear una unidad organizativa (OU) específica (opcional pero recomendado)

Es recomendable crear una unidad organizativa dedicada para los usuarios o dispositivos que desees unir de forma híbrida. De esta forma, puedes hacer pruebas primero sin tener que modificar todo el directorio. Simplemente crea una unidad organizativa, mueve los usuarios o dispositivos de destino allí y sincroniza solo esa unidad. Esto facilita la resolución de problemas si algo sale mal, en lugar de causar un caos en todo el directorio.

Paso 5: Habilitar la inscripción automática a MDM mediante la política de grupo

Para inscribir dispositivos en Intune automáticamente, configure una directiva de grupo. Abra Administración de directivas de grupo, cree una nueva GPO, vincúlela a su dominio o unidad organizativa y edítela:

  • Vaya a Configuración del equipo > Plantillas administrativas > Componentes de Windows > MDM.
  • Busque y habilite la opción Habilitar la inscripción automática de MDM mediante credenciales predeterminadas de Azure AD.
  • Configúrelo en Habilitado y elija Credencial de usuario.

Ejecútelo gpupdate /forceen las máquinas cliente o espere a que se actualice la política. En algunas redes, este paso podría fallar silenciosamente, así que reinicie y compruebe si los dispositivos aparecen ahora en Intune.

Paso 6: Activar la inscripción automática en Intune

Dirígete al Centro de administración de Intune. En Dispositivos > Windows > Inscripción > Inscripción automática, establece el ámbito de usuario de MDM en Todos (o selecciona usuarios específicos si es necesario).Luego, haz clic en Guardar.

Tenga en cuenta que, si recibe un error como “No se pudo habilitar la Administración de dispositivos”, intente deshabilitar WIP (Protección de información de Windows) en la misma sección y luego vuelva a inscribirse.

Paso 7: Iniciar la sincronización en el Centro de administración de Microsoft 365

Ahora, ve al Centro de administración de Microsoft 365. En Configuración, busca la opción Sincronizar usuarios con el ID de Microsoft Entra. Haz clic en Comenzar.

Elige la sincronización continua si quieres actualizaciones constantes o una única si prefieres el control manual. Descarga la herramienta IdFix, que ayuda a detectar errores comunes, como cuentas duplicadas o formato incorrecto. En algunos casos, ejecutar IdFix para limpiar AD antes de la sincronización puede ahorrarte muchos dolores de cabeza.

Paso 8: Ejecute IdFix para limpiar los errores de AD

Ejecute IdFix ahora; consultará su dominio para detectar problemas. Siga sus recomendaciones para corregir duplicados, atributos faltantes o problemas de formato. Claro que Windows y AD no funcionan a la perfección desde el primer momento. Una vez limpio, continúe con el siguiente paso.

Paso 9: Descargue e instale Azure AD Connect

En la página de configuración de sincronización, haga clic para descargar el instalador de Azure AD Connect. Ejecútelo, acepte la licencia, seleccione «Personalizar» si desea controlar las opciones o simplemente elija la opción predeterminada. Siga las indicaciones, especifique una cuenta dedicada para la sincronización (preferiblemente una cuenta de servicio administrada), elija las opciones de sincronización y conéctela a AD y a Entra ID cuando se le solicite.

Paso 10: Configure los ajustes de sincronización y verifique

Tras la instalación, ejecute Azure AD Connect, acepte la licencia, elija las características de sincronización (hash de contraseña, paso a través o federación) e inicie sesión con una cuenta de administrador global. Seleccione las unidades organizativas que desee sincronizar; lo ideal es que primero solo la unidad organizativa de prueba. A continuación, complete el asistente y debería comenzar la sincronización. Compruebe el estado de sincronización y los errores en el panel de estado de Azure AD Connect.

Paso 11: Confirmar sincronización exitosa y unión híbrida

En el centro de administración de Microsoft Entra, vaya a Usuarios > Todos los usuarios y busque los usuarios sincronizados. Además, revise Dispositivos > Todos los dispositivos para ver si sus estaciones de trabajo Windows aparecen con el estado de unión híbrida de Microsoft Entra. Si los dispositivos lo muestran, todo está perfecto.

Para verificar desde una máquina Windows que la unión híbrida es correcta, abra un símbolo del sistema con privilegios elevados y ejecute dsregcmd /status. Si ve «AzureAdJoined :YES» y «DomainJoined:YES» con «AzureAdPrt», significa que todo está configurado correctamente. No sé por qué, pero este comando es sorprendentemente fiable para comprobaciones rápidas.

Ayuda adicional y solución de problemas

Si los datos no coinciden o los dispositivos no se muestran como conectados de forma híbrida, revise la documentación de la conexión híbrida. A veces, reiniciar ayuda, o puede que tenga que volver a ejecutar la sincronización o corregir la configuración de DNS. La clave es tener paciencia y revisar cada paso.

Y eso es prácticamente todo: una vez hecho esto, su Active Directory local se integrará con Entra ID y será más fácil administrar sus dispositivos/usuarios en ambos entornos. Claro que Windows tiene que complicarlo más de lo necesario, pero es totalmente factible.

Resumen

  • Verificar dominio en Microsoft 365
  • Agregue su dominio externo como sufijo UPN en AD
  • Actualizar UPN y direcciones proxy para los usuarios
  • Crea una OU para realizar pruebas (si lo deseas)
  • Configurar la directiva de grupo para la inscripción automática en MDM
  • Habilitar la inscripción automática en Intune
  • Inicie el proceso de sincronización y corrija errores con IdFix
  • Instalar y configurar Azure AD Connect
  • Verificar usuarios y dispositivos en Entra ID

Resumen

No es pan comido, pero una vez configurado, gestionar las identidades tanto en local como en la nube se vuelve mucho más fácil. Lo principal: revisa la configuración de tu dominio, los UPN y los registros de sincronización. Normalmente, si algo no se sincroniza o no se muestra correctamente, es que se ha pasado por alto algún detalle.¡Cruzamos los dedos para que te sirva de ayuda y mucha suerte con tu configuración híbrida!