in Microsoft

¿Debería migrar de Azure AD Connect a Cloud Sync?

Carga y descarga de datos en la nube a través de un teléfono.

Carga y descarga de datos en la nube a través de un teléfono.
Imagen: Dilok/Adobe Stock

Aunque muchos de los la funcionalidad de los controladores de dominio se puede mover a la nubela mayoría de las organizaciones que usan Active Directory necesitan una infraestructura híbrida que brinde a los usuarios acceso a los recursos de la nube (como OneDrive y Microsoft 365) a través de Azure Active Directory, así como recursos compartidos de archivos, impresoras y aplicaciones locales que aún necesitan credenciales locales.

A lo largo de los años, Microsoft ha tenido varias herramientas para administrar la identidad híbrida y sincronizar usuarios y grupos en la nube y locales.

VER: Explore la hoja de trucos de la nube híbrida de TechRepublic.

Administrador de identidades de Microsoft, que reemplazó a Forefront Identity Manager, se admite hasta el 9 de enero de 2029, pero su Azure AD Connector está obsoleto. Azure AD Multi-Factor Authentication Server también está obsoleto y dejará de gestionar solicitudes de MFA después del 30 de septiembre de 2024. Si aún usa estas herramientas, deberá cambiar a una opción más nueva.

Salta a:

Azure AD Connect y sus limitaciones

Conexión de Azure AD reemplazó las opciones anteriores de DirSync y Azure AD Sync para sincronizar usuarios, grupos y otros objetos de directorio con Azure AD. Es compatible con:

  • Sincronización de hash de contraseña: Sincronización de un hash de la contraseña de AD de cada usuario en Azure AD.
  • Autenticación de paso: Enviar usuarios a Azure AD para iniciar sesión y luego validarlos contra AD, para que puedan usar la misma contraseña en la nube y para los recursos locales sin necesidad de configurar la federación.
  • Servicios de federación de Active Directory usar.

Pero Azure AD Connect requiere configurar y mantener un servidor en su red, y algunos de los requisitos para ejecutarlo no funciona para todas las organizaciones, especialmente si tiene múltiples AD «bosques,» cual hace que trabajar con Azure AD sea complicado.

“Para usarlo, debes estar en un bosque conectado; necesita tener instalada una base de datos”, dijo Joseph Dadzie, director del equipo de identidad de Microsoft. “Eso es costoso de administrar e implementar.

“Comenzamos a recibir comentarios de muchos clientes sobre el costo de implementar una sincronización de AD Connect y de mantenerla, y algunas brechas en las funciones si se encuentra en un bosque desconectado o si está en una organización en la que está tratando de hacer una fusión y adquisición. . Por lo tanto, nos propusimos buscar formas de simplificarlo”.

La sincronización en la nube tiene como objetivo reemplazar Azure AD Connect para la nube

El resultado es Sincronización en la nube de Azure AD Connectque comenzó como una herramienta para trayendo identidades de múltiples bosques AD desconectados en un único inquilino de Azure AD.

Todavía hace eso, pero ahora es una alternativa liviana a AD Connect que no tiene tantas funciones pero es mucho más rápida de configurar y requiere menos recursos. Esto se debe a que la sincronización en la nube mueve gran parte de la configuración a la nube y solo necesita agentes de aprovisionamiento.

“Cuando observa AD Connect, casi toda la configuración se realiza en el mundo local y se almacena en ese servidor local”, dijo Dadzie. “Para la sincronización en la nube, la idea es cambiar la configuración para que esté basada en la nube y tener un agente muy liviano en el entorno del cliente para que sea fácil de implementar.

“Se necesitan alrededor de 10 megabytes, por lo que puede tener varios de estos trabajando juntos para soluciones de alta disponibilidad; algo que es más difícil de hacer si tiene una capacidad de sincronización completa de Connect”.

Esa alta disponibilidad es particularmente útil si está utilizando la sincronización de hash de contraseña recomendada por Microsoft.

El futuro de la sincronización en la nube

La sincronización en la nube puede manejar grupos con hasta 50 000 miembros, pero todavía no cubre todo lo que puede hacer con la sincronización de AD Connect, nos dijo Dadzie.

“Si ha realizado muchas personalizaciones en los atributos de su AD y todavía usa Exchange en las instalaciones, todavía hay algo delta en las capacidades”, dijo Dadzie. “A más largo plazo, querremos que sea el reemplazo completo; Aún no estamos allí.»

Actualmente, no puede conectarse a directorios LDAP y aún no tiene soporte para objetos de dispositivo, solo usuarios, grupos y contactos. Hay opciones avanzadas de personalización y filtrado que no están disponibles, y la sincronización en la nube no puede manejar la reescritura híbrida de Exchange, por lo que no puede usarla para las migraciones híbridas de Exchange.

Se admite la federación, pero no Azure AD Domain Services o Pass Through Authentication, al menos para bosques desconectados. Eso es algo en lo que está trabajando el equipo de AD Connect, dijo Dadzie, y también se está desarrollando la reescritura para grupos de seguridad.

“Durante el año pasado, agregamos los escenarios de reescritura de contraseñas de autoservicio”, dijo Dadzie.

La reescritura de dispositivos también está en desarrollo, porque «casi cualquier implementación comienza con llevar a algunos de los usuarios de las instalaciones a la nube», señala Dadzie. Es un poco confuso porque tanto Azure AS como Windows Hello para empresas tienen servicios denominados Confianza en la nube Kerberosque hacen cosas diferentes, pero Microsoft nos dice que el nombre y la documentación deberían ser más claros en el futuro.

El equipo de sincronización en la nube también está buscando alternativas a la reescritura.

“Si tiene una aplicación local y un usuario de la nube que necesita acceso a ella, ¿cómo le da acceso a ese usuario sin tener una cuenta en el AD local”, dijo Dadzie. “Estamos analizando lo que podríamos hacer en ese espacio: ¿hay alguna forma de eliminar algunos de los secretos para que pueda tener las credenciales de usuario, donde el usuario obtiene acceso local sin tener que tener el usuario? objeto allí?

Eso todavía está en las primeras etapas, pero hay actualizaciones periódicas de la funcionalidad de sincronización en la nube.

“Cada trimestre a cada seis meses, actualizamos y agregamos nuevas capacidades”, dijo Dadzie. “Estamos en una misión para descifrar las razones por las que alguien podría querer usar la sincronización completa de AD Connect. Tenemos la misión de seguir agregando a la sincronización en la nube hasta el punto de que eventualmente reemplacemos la sincronización de AD Connect, pero aún no hemos llegado a eso”.

Elegir entre Azure AD Connect y la sincronización en la nube

No hay urgencia en pasar a la sincronización en la nube si necesita una función de sincronización de AD Connect, pero hay algunos escenarios en los que la sincronización en la nube ya es la mejor opción, además de menos exigente.

“Funciona bien para organizaciones que no son tan complicadas o que no tienen muchos objetos; si tienen menos de 150 000 objetos en su directorio, entonces es más fácil comenzar a usar la sincronización en la nube”, dijo Dadzie.

Hay una mago en el centro de administración de Microsoft 365 que lo guiará a través de la elección de la opción de sincronización de identidad correcta, así como una guía paso a paso guía de migración si desea pasar de la sincronización de Azure AD Connect a la sincronización en la nube.

La complejidad de la migración depende de la complejidad de su entorno de AD: «Cuanto más complejo es el entorno, entonces funciona un enfoque más gradual», dijo Dazie. Pero si sus necesidades son menos complejas y está comenzando con una identidad híbrida, sugiere comenzar con la sincronización en la nube para simplificar (Figura A).

Figura A

Esta lista de escenarios en el asistente de sincronización de Azure AD hace que sea sencillo averiguar si la sincronización en la nube se ajusta a sus necesidades.
Esta lista de escenarios en el asistente de sincronización de Azure AD hace que sea sencillo averiguar si la sincronización en la nube se ajusta a sus necesidades. Imagen: María Branscombe.

De hecho, una gran parte del atractivo de la sincronización en la nube es que está diseñada para que sea mucho más fácil comenzar.

“En la sincronización de Connect, usted mismo tiene que hacer toda la asignación de esquemas, mientras que en la sincronización en la nube tratamos de descubrirlos automáticamente para usted, para que no tenga que buscar y para que le resulte más fácil configurarlos”, dijo Dadzie. . “La filosofía principal que estamos tratando de lograr con la sincronización en la nube es hacer que sea muy, muy fácil, para que los clientes no tengan que pensar en estas cosas”.

Fuente

accesoAceAcerActiveActoactoractualactualizaactualizacionesactualmenteAdaademásadministraciónadministradoradministraradmiteAdobeadquisiciónAgeagenteagentesagregaagreganagregandoahoraajustaalaAlealgoalguienalgunaalgunasalgunoalgunosalrededoraltaalternativaAlternativasAMOSanalizanañoañosanteanterioranterioresaplicaaplicaciónaplicacionesArcarchivoarchivosARGArloArmartarteAsaasarASEAshasíasignaciónAsistenteassAstaatractivoAúnaunqueautenticaciónAutoautomáticaautomáticamenteautosautoservicioavanzaavanzadaavanzadasaveazarAzurAzurebajabajanbajarbasabasadabasebienBosqueBrabrechaBriBrosBusbuscabuscanBuscandobuscarCADcadaCalCamCambiacambiarcapacapacidadcapacidadesCarcasicatcenacenarCentcentroCESChancifracifrarCIPACipalclaroClientclienteclientescloudcomentacomentarioscomenzandocomenzarcomenzócomienzaCómocompartidocompartidoscompatiblecomplejasComplejocompletacompletocomplicadoconconectadoconectadosconectarconectarseConexiónconfianzaconfiguraciónconfigurarconfusoConnectcontactocontactoscontracontrascontraseñacontraseñascontrolcontroladorcontroladorescorrectacosacosascostcostoscostosocredencialescualquiercubrirCuecuentacursocursosCutDaddandardatosdebedeberádeberíadeberíandebesdejadejardejarádeldeltademásdesarrolladesarrollandesarrollandodesarrollodescifrardesconectaDescubrirdeseadespuésdicediferentediferentesdifícildijoDirectdirectodirectordirectoriodiseñadiseñadadisponibilidaddisponibledisponiblesdispositivodispositivosdocumentacióndominiodosDrivedualduraDurantduranteEchaEchoecoEDAejecutaejecutarelecciónelegireliminaeliminarellaelloempresaempresasencuentraEndoeneroenfoqueentornoEntraentreenviarequipoeraErenEriesaesasescenaescenarioescenariosescrituraEseEsiEsoespacioespecialesquemaEsquemasESTestáestamosestánestarestasEstoestosetapaetapasEveEventexigeexigenexigenteEXPfácilfactorFiafigurafiltraFILTRADOformaformasFrontfuefuentefunfunciónfuncionafuncionalfuncionalidadfuncionefuncionesFusfusiónfuturoGaNGengentegestionargradualGrangrupogruposguíaGunhacehacenhacerhanHangehastahayhechoHellhemosherramientaherramientashíbridahíbridashojaHoraideaidentidadidoImageImagenimitaimplementaimplementaciónimplementarimpresoraimpresorasinfraestructurainiciainiciarInoinstaiOSIveJetJosephjuntojuntosjustaladoLandlargolaslecturalegadoleslgLidarLigalimitalimitacionesLinlistlistalivianoLizLLAllegallegadollevallevarlocalocallocalesLoglogralograrLorelosLTELucioluegomacMaiMainManManamantenermarmásmayomayormayoríaMegamejorMenmenosmentemesmesesMFAMicromicrosoftmiembrosmientrasmigraciónmigrarMinimismisiónmismamismoMITMovemovermuchamuchasmuchoMuchosmuevemúltiplesmundomuynaciónNamiNariNASNatNCUnecesidadnecesidadesnecesitanecesitanNESNiconidoNISTnombrenominadosnosnubenuevaNuevasobjetivoobjetoobjetosobligaobtieneOdaolaollaOMENOneDriveopciónopcionesorganizacionesosoOSTotrootrosparparaPartPartepartidopasapasadopasarPassPenpensarperopersonapersonalPersonalizapersonalizaciónPlaceplazopocopoco cPodpodríapodríamosporporqueportpositivoPrimeprimerprimeraprimerasprincipalProPublicpuedapuedepuntoquererquiereRaeRAMrápidarataRayrazonesrealrealizarecibirrecomendadarecursorecursosredreemplacereemplazareemplazarreemplazoRequiererequisitorequisitosresultaresultadorinderolRossaltaSANSARSCARseasecretsecretosecretosseguirseguridadseisseñalseñalasencilloseptiembreserServerServiceServicesservicioServiciosservidorsesiónSidSIMsinsincronizaciónsincronizarsobreSoftsolsolicitudsolicitudessoloSolucionessonsoporteSOSSpecialStarstocksugieresusSynctactotaltambiéntanTantaTantastantoTechTedTentenemostenertengatengantenidoTIEtienetienentodaTodasTodavíatodoTomtornotrabajatrabajantrabajandotrabajartrastratatratandotravéstrayendotributotrimestreTrutrucotrucosUEMUnaunasúnicounounosusausanusarusarlausarloUScanusoustedusuariousuariosútilutilizautilizanutilizandoValvanvariasvariosvasvenvervíaVicViceviciowinWindWindowsYorZone

Written by TecTop

Exoprimal, el próximo shooter multijugador de Capcom, tiene descuento para PC

Diablo 4: ¿El reembolso de puntos de habilidad siempre es gratis? Explicado