Requisitos previos para Microsoft Entra Connect

Artículo
11/20/2023

En este artículo se describen los requisitos previos y los requisitos de hardware de Microsoft Entra Connect.

Antes de instalar Microsoft Entra Connect

Antes de instalar Microsoft Entra Connect, hay algunas cosas que necesita.

Microsoft Entra ID

Necesita un inquilino de Microsoft Entra. Obtiene uno con una prueba gratuita de Azure. Puede usar uno de los siguientes portales para administrar Microsoft Entra Connect:
- El Centro de administración de Microsoft Entra.
- Portal de Office
Agregue y compruebe el dominio que pretende usar en Microsoft Entra ID. Por ejemplo, si tiene previsto usar contoso.com para los usuarios, asegúrese de que este dominio se ha comprobado y de que no usa solamente el dominio predeterminado contoso.onmicrosoft.com.
Un inquilino de Microsoft Entra permite, de forma predeterminada, 50 000 objetos. Al comprobar el dominio, el límite se incrementa a 300 000 objetos. Si todavía necesita más objetos en Microsoft Entra, abra una incidencia de soporte técnico para aumentar el límite aún más. Si necesita más de 500 000 objetos, necesitará una licencia, como Microsoft 365, Microsoft Entra ID P1 o P2, o Enterprise Mobility + Security.

Preparación de los datos locales

Use IdFix para identificar errores como duplicados y problemas de formato en el directorio antes de sincronizar con Microsoft Entra ID y Microsoft 365.
Revise las características de sincronización opcionales que se pueden habilitar en Microsoft Entra ID y valore cuáles son las que debe habilitar.

Active Directory local

La versión del esquema de Active Directory y el nivel funcional del bosque deben ser Windows Server 2003 o una versión posterior. Los controladores de dominio pueden ejecutar cualquier versión siempre que se cumplan los requisitos de versión de esquema y nivel de bosque. Es posible que necesite un programa de soporte técnico de pago si le hace asistencia para los controladores de dominio que ejecutan Windows Server 2016 o versiones anteriores.
El controlador de dominio usado por Microsoft Entra ID debe ser grabable. No se admite el uso de un controlador de dominio de solo lectura (RODC), y Microsoft Entra Connect no sigue las redirecciones de escritura.
No se admite el uso de bosques o dominios locales con nombres de NetBIOS con puntos (el nombre contiene un punto ".").
Se recomienda habilitar la papelera de reciclaje de Active Directory.

Directiva de ejecución de PowerShell

Microsoft Entra Connect ejecuta scripts de PowerShell firmados como parte de la instalación. Asegúrese de que la directiva de ejecución de PowerShell permita la ejecución de scripts.

La directiva de ejecución recomendada durante la instalación es "RemoteSigned".

Para más información sobre cómo establecer la directiva de ejecución de PowerShell, consulte Set-ExecutionPolicy.

Servidor de Microsoft Entra Connect

El servidor de Microsoft Entra Connect contiene datos de identidad críticos. Es importante que el acceso administrativo a este servidor esté protegido correctamente. Siga las instrucciones de Protección del acceso con privilegios.

El servidor de Microsoft Entra Connect debería tratarse como un componente de nivel 0, tal como se documenta en el modelo de nivel administrativo de Active Directory. Se recomienda proteger el servidor de Microsoft Entra Connect como un recurso de Plano de control siguiendo las instrucciones proporcionadas en Protección del acceso con privilegios

Para más información sobre cómo proteger el entorno de Active Directory, vea Procedimientos recomendados para proteger Active Directory.

Requisitos previos de instalación

Microsoft Entra Connect debe estar instalado en una instancia de Windows Server 2016 o una versión posterior unida a dominio. Se recomienda usar Windows Server 2022 unido a un dominio. Puede implementar Microsoft Entra Connect en Windows Server 2016, pero dado que Windows Server 2016 está en soporte extendido, quizá requiera un programa de soporte técnico de pago en caso de necesitar asistencia para esta configuración.
La versión mínima de Framework .NET necesaria es la 4.6.2. y, además, también se admiten las versiones más recientes de .NET. La versión 4,8 de .NET y versiones posteriores ofrecen el mejor cumplimiento de accesibilidad.
Microsoft Entra Connect no puede instalarse en Small Business Server o Windows Server Essentials antes de 2019 (se admite Windows Server Essentials 2019). El servidor debe usar Windows Server estándar o una versión superior.
El servidor de Microsoft Entra Connect debe tener una GUI completa instalada. No se admite la instalación de Microsoft Entra Connect en Windows Server Core.
El servidor de Microsoft Entra Connect no debe tener la directiva de grupo de transcripción de PowerShell habilitada si usa el Asistente de Microsoft Entra Connect para administrar la configuración de los Servicios de federación de Active Directory (AD FS). Puede habilitar la transcripción de PowerShell si usa el asistente de Microsoft Entra Connect para administrar la configuración de sincronización.
Si se implementa AD FS:
- los servidores en los que se instale AD FS o el Proxy de aplicación web deben ser Windows Server 2012 R2 o versiones posteriores. La Administración remota de Windows debe estar habilitada en estos servidores para la instalación remota. Es posible que necesite un programa de soporte técnico de pago en caso de requerir asistencia para Windows Server 2016 y versiones anteriores.
- Debe configurar los certificados TLS/SSL. Para más información, vea Administración de los protocolos SSL/TLS y los conjuntos de cifrado para AD FS y Administrar certificados SSL en AD FS.
- Debe configurar la resolución de nombres.
No se admite la interrupción y el análisis del tráfico entre Microsoft Entra Connect y Microsoft Entra ID. Si lo hace, el servicio podría interrumpirse.
Si los administradores de identidad híbrida tienen MFA habilitado, la dirección URL https://secure.aadcdn.microsoftonline-p.comdebe estar en la lista de sitios de confianza. Se le solicita que agregue este sitio a la lista de sitios de confianza cuando se le pide un desafío MFA y no se ha agregado antes. Puede utilizar Internet Explorer para agregarla a los sitios de confianza.
Si tiene previsto usar Microsoft Entra Connect Health para la sincronización, asegúrese de que también se cumplen los requisitos previos de Microsoft Entra Connect Health. Para más información, consulte agente de instalación de Microsoft Entra Connect Health.

Protección del servidor de Microsoft Entra Connect

Se recomienda reforzar el servidor de Microsoft Entra Connect para reducir la superficie de ataque de seguridad para este componente crítico de su entorno de TI. La aplicación de estas recomendaciones lo ayudará a reducir algunos riesgos de seguridad de su organización.

Se recomienda proteger el servidor de Microsoft Entra Connect como un recurso de plano de control (anteriormente nivel 0) siguiendo las instrucciones proporcionadas en Protección del acceso con privilegios y Modelo de nivel administrativo de Active Directory.
Restrinja el acceso administrativo al servidor de Microsoft Entra Connect a solo los administradores del dominio o a otros grupos de seguridad rigurosamente controlados.
Cree una cuenta dedicada para todo el personal con privilegios de acceso. Los administradores no deben explorar la Web, consultar su correo electrónico y realizar las tareas de productividad cotidianas con cuentas con privilegios elevados.
Siga las instrucciones que se proporcionan en Protección del acceso con privilegios.
Denegar el uso de la autenticación NTLM con el servidor de Microsoft Entra Connect. Estas son algunas maneras de hacerlo: Restringir NTLM en Microsoft Entra Connect Server y Restringir NTLM en un dominio
Asegúrese de que todas las máquinas tienen una contraseña de administrador local única. Para más información, vea cómo la Solución de contraseñas de administrador local (Windows LAPS) puede configurar contraseñas aleatorias únicas en cada estación de trabajo y almacenarlas en Active Directory protegidas mediante una ACL. Solo los usuarios autorizados válidos pueden leer o solicitar el restablecimiento de estas contraseñas de cuenta de administrador local. Puede encontrar orientación adicional para el funcionamiento de un entorno con Windows LAPS y las estaciones de trabajo de acceso privilegiado en Estándares operativos basados en el principio de origen limpio.
Implemente estaciones de trabajo de acceso privilegiado dedicadas para todo el personal con acceso con privilegios a los sistemas de información de su organización.
Siga estas instrucciones adicionales para reducir la superficie expuesta a ataques de su entorno de Active Directory.
Consulte Supervisión de cambios en la configuración de federación para configurar alertas para supervisar los cambios en la confianza establecida entre el Idp y Microsoft Entra ID.
Habilite la autenticación multifactor (MFA) para todos los usuarios que tengan acceso con privilegios en Microsoft Entra ID o AD. Un problema de seguridad con el uso de Microsoft Entra Connect es que si un atacante puede obtener control sobre el servidor de Microsoft Entra Connect, puede manipular a los usuarios en Microsoft Entra ID. Para evitar que un atacante use estas funcionalidades para tomar el control de las cuentas de Microsoft Entra, MFA ofrece protecciones para que, aunque un atacante logre, por ejemplo, restablecer la contraseña de un usuario mediante Microsoft Entra Connect, no pueda omitir el segundo factor.
Deshabilite la coincidencia temporal en el inquilino. La coincidencia temporal es una característica excelente para ayudar a transferir el origen de autoridad de los objetos administrados por la nube existentes a Microsoft Entra Connect, pero conlleva ciertos riesgos de seguridad. Si no la necesita, debe deshabilitar la coincidencia temporal.
Deshabilite la adquisición de coincidencias permanentes. La adquisición de coincidencias permanentes permite a Microsoft Entra Connect tomar el control de un objeto administrado por la nube y cambiar el origen de autoridad del objeto a Active Directory. Una vez que Microsoft Entra Connect toma el origen de autoridad de un objeto, los cambios realizados en el objeto de Active Directory vinculado al objeto de Microsoft Entra sobrescribirán los datos originales de Microsoft Entra, incluido el hash de contraseña, si la sincronización de hash de contraseña está habilitada. Un atacante podría usar esta funcionalidad para tomar el control de los objetos administrados por la nube. Para mitigar este riesgo, deshabilite la adquisición de coincidencias permanentes.

SQL Server que usa Microsoft Entra Connect

Microsoft Entra Connect requiere una base de datos de SQL Server para almacenar los datos de identidad. De manera predeterminada, se instala SQL Server 2019 Express LocalDB (versión ligera de SQL Server Express). SQL Server Express tiene un límite de tamaño de 10 GB que le permite administrar aproximadamente 100 000 objetos. Si tiene que administrar un volumen superior de objetos de directorio, es necesario que el asistente para la instalación apunte a otra instalación de SQL Server. El tipo de instalación de SQL Server puede afectar al rendimiento de Microsoft Entra Connect.
Si usa una instalación diferente de SQL Server, se aplican estos requisitos:
- Microsoft Entra Connect admite todas las versiones de SQL Server compatibles estándar hasta SQL Server 2022 que se ejecutan en Windows. Consulte el artículo del ciclo de vida de SQL Server para comprobar el estado de soporte de su versión de SQL Server. Ya no se admite SQL Server 2012. Azure SQL Database no se admite como una base de datos. Esto incluye Azure SQL Database y Azure SQL Managed Instance.
- Debe usar una intercalación de SQL sin distinción de mayúsculas y minúsculas. Estas intercalaciones se identifican porque el nombre incluye _CI_. No se admite el uso de una intercalación que distinga mayúsculas de minúsculas identificada por _CS_ en el nombre.
- Solo se puede tener un motor de sincronización por cada instancia de SQL. No se puede compartir una instancia de SQL con MIM Sync, DirSync o la Sincronización de Azure AD.

Cuentas

Debe tener una cuenta de administrador global de Microsoft Entra o una cuenta de administrador de identidades híbridas para el inquilino de Microsoft Entra con el que quiera realizar la integración. Esta cuenta debe ser una cuenta profesional o educativa y no puede ser una cuenta Microsoft.
Si usa la configuración rápida o actualiza desde DirSync, debe tener una cuenta de administrador de empresa para la instancia de Active Directory local.
Si usa la ruta de acceso de instalación de configuración personalizada, dispone de más opciones. Para más información, consulte Configuración de la instalación personalizada.

Conectividad

El servidor de Microsoft Entra Connect necesita resolución DNS para intranet e Internet. El servidor DNS debe ser capaz de resolver nombres en su Active Directory local y en los puntos de conexión de Microsoft Entra.
Microsoft Entra Connect requiere conectividad de red a todos los dominios configurados
Microsoft Entra Connect requiere conectividad de red con el dominio raíz de todos los bosques configurados
Si tiene firewalls en la intranet y necesita abrir puertos entre los servidores de Microsoft Entra Connect y los controladores de dominio, vea puertos de Microsoft Entra para más información.
Si el proxy o firewall limita a qué direcciones URL se puede acceder, deben abrirse las direcciones URL que se documentan en URL de Office 365 e intervalos de direcciones IP. Vea también Lista segura las direcciones URL del centro de administración de Microsoft Entra en el firewall o servidor proxy.
- Si usa Microsoft Cloud en Alemania o Microsoft Azure Government Cloud, vea Microsoft Entra Connect: consideraciones especiales para instancias de servicio para ver las direcciones URL.
Microsoft Entra Connect (versión 1.1.614.0 y posteriores) usa de forma predeterminada TLS 1.2 para cifrar la comunicación entre el motor de sincronización y Microsoft Entra ID. Si TLS 1.2 no está disponible en el sistema operativo subyacente, Microsoft Entra Connect recurre de mayor a menor a los protocolos anteriores (TLS 1.1 y TLS 1.0). Desde Microsoft Entra Connect versión 2.0 y versiones posteriores. Ya no se admiten TLS 1.0 ni 1.1, y se produce un error en la instalación si TLS 1.2 no está habilitado.
Antes de la versión 1.1.614.0, Microsoft Entra Connect utilizaba de forma predeterminada TLS 1.0 para cifrar la comunicación entre el motor de sincronización y Microsoft Entra ID. Para cambiar este protocolo a TLS 1.2, siga los pasos que se describen en Habilitación de TLS 1.2 en Microsoft Entra Connect.
Si usa un proxy de salida para realizar la conexión a Internet, se tiene que agregar la siguiente configuración del archivo C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config con el fin de que el Asistente para instalación y la sincronización de Microsoft Entra Connect se puedan conectar a Internet y Microsoft Entra ID. Este texto debe escribirse en la parte inferior del archivo. En este código, <PROXYADDRESS> representa el nombre de host o la dirección IP de proxy real.
```
    <system.net>
        <defaultProxy>
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
```
Si el servidor proxy requiere autenticación, la cuenta de servicio debe encontrarse en el dominio. Use la ruta de instalación de configuración personalizada para especificar una cuenta de servicio personalizada. También necesita otro cambio en el archivo machine.config. Con este cambio en el archivo machine.config, el asistente para instalación y el motor de sincronización responden a las solicitudes de autenticación del servidor proxy. En todas las páginas del Asistente para instalación, excepto la página Configurar, se usan las credenciales del usuario que ha iniciado sesión. En la página Configurar al final del Asistente para instalación, el contexto se cambia a la cuenta de servicio que creó. La sección del archivo machine.config debería tener este aspecto:
```
    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
```
Si la configuración del proxy se realiza en una instalación existente, el servicio de sincronización de Microsoft Entra ID debe reiniciarse una vez para que Microsoft Entra Connect lea la configuración del proxy y actualice el comportamiento.
Cuando Microsoft Entra Connect envía una solicitud web para Microsoft Entra ID como parte de la sincronización de directorios, Microsoft Entra ID puede tardar hasta 5 minutos en responder. Es habitual que los servidores proxy tengan la configuración de tiempo de espera de inactividad de conexión. Asegúrese de que la configuración esté establecida en 6 minutos o más.

Para más información, vea el artículo de MSDN sobre el elemento de proxy predeterminado. Para obtener más información si tiene problemas de conectividad, consulte Solución de problemas de conectividad.

Otros

Opcional: use una cuenta de usuario de prueba para comprobar la sincronización.

Requisitos previos de los componentes

PowerShell y .NET Framework

Microsoft Entra Connect depende de Microsoft PowerShell 5.0 y .NET Framework 4.5.1. Necesita que esta versión o una posterior esté instalada en el servidor.

Habilitación de TLS 1.2 para Microsoft Entra Connect

Antes de la versión 1.1.614.0, Microsoft Entra Connect utilizaba de forma predeterminada TLS 1.0 para cifrar la comunicación entre el motor de sincronización y Microsoft Entra ID. Puede configurar las aplicaciones .NET para que empleen TLS 1.2 de forma predeterminada en el servidor. Para más información sobre TLS 1.2, vea el aviso de seguridad de Microsoft 2960358.

Asegúrese de que la revisión de .NET 4.5.1 esté instalada en el sistema operativo. Para más información, vea el aviso de seguridad de Microsoft 2960358. Puede que ya tenga esta revisión o una posterior instalada en el servidor.

Para todos los sistemas operativos, establezca esta clave del registro y reinicie el servidor.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
"SchUseStrongCrypto"=dword:00000001

Si también desea habilitar TLS 1.2 entre el servidor del motor de sincronización y una instancia de SQL Server remota, asegúrese de que tiene instaladas las versiones necesarias para que TLS 1.2 sea compatible con Microsoft SQL Server.

Requisitos previos de DCOM en el servidor de sincronización

Durante la instalación del servicio de sincronización, Microsoft Entra Connect comprueba la presencia de la siguiente clave del Registro:

HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

En esta clave del Registro, Microsoft Entra Connect comprobará si los valores siguientes están presentes y no están dañados:

Requisitos previos para la instalación y la configuración de la federación

Administración remota de Windows

Cuando use Microsoft Entra Connect para implementar AD FS o el proxy de aplicación web (WAP), compruebe estos requisitos:

Si el servidor de destino está unido al dominio, compruebe que está habilitada la opción Administración remota de Windows.
- En una ventana de comandos de PowerShell con privilegios elevados, use el comando Enable-PSRemoting –force.
Si el servidor de destino es un equipo WAP no unido al dominio, hay un par de requisitos adicionales:
- En el equipo de destino (equipo WAP):
  - Asegúrese de que el servicio Administración remota de Windows/ WS-Management (WinRM) se está ejecutando mediante el complemento Servicios.
  - En una ventana de comandos de PowerShell con privilegios elevados, use el comando Enable-PSRemoting –force.
- En el equipo en el que se está ejecutando el asistente (si el equipo de destino no está unido al dominio o el dominio no es de confianza):
  - En una ventana de comandos de PowerShell con privilegios elevados, use el comando Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate.
  - En el Administrador de servidores:
    - Agregue un host WAP de red perimetral a un grupo de máquinas. En el Administrador de servidores, seleccione Administrar>Agregar servidores y, a continuación, use la pestaña DNS.
    - En la pestaña Todos los servidores del Administrador de servidores, haga clic con el botón derecho en el servidor WAP y seleccione Administrar como. Escriba las credenciales locales (no de dominio) para el equipo WAP.
    - Para validar la conectividad remota de PowerShell, en la pestaña Todos los servidores del Administrador de servidores, haga clic con el botón derecho en el servidor WAP y seleccione Windows PowerShell. Debe abrirse una sesión remota de PowerShell para asegurarse de que se pueden establecer sesiones remotas de PowerShell.

Requisitos del certificado TLS/SSL

Se recomienda utilizar el mismo certificado TLS/SSL en todos los nodos de la granja de AD FS, así como todos los servidores del Proxy de aplicación web.
El certificado debe ser del tipo X 509.
Puede usar un certificado autofirmado en servidores de federación en un entorno de laboratorio de pruebas. Para un entorno de producción, se recomienda obtener el certificado de una entidad de certificación pública.
- Si usa un certificado que no es de confianza pública, asegúrese de que el certificado instalado en cada servidor del Proxy de aplicación web sea de confianza tanto en el servidor local como en todos los servidores de federación.
La identidad del certificado debe coincidir con el nombre del servicio de federación (por ejemplo, sts.contoso.com).
- La identidad es una extensión de nombre alternativo del firmante (SAN) de tipo dNSName, o bien, si no hay ninguna entrada de SAN, el nombre del firmante se especifica como un nombre común.
- Puede haber varias entradas de SAN en el certificado, siempre que una de ellas coincida con el nombre de servicio de federación.
- Si tiene intención de usar Workplace Join, se requiere un SAN adicional con el valor enterpriseregistration. seguido del sufijo del nombre principal del usuario (UPN) de su organización; por ejemplo, enterpriseregistration.contoso.com.
No se admiten certificados basados en claves CryptoAPI Next Generation (CNG) ni en proveedores de almacenamiento de claves (KSP). Como resultado, debe usar un certificado basado en un proveedor de servicios de cifrado (CSP) y no un proveedor de almacenamiento de claves (KSP).
Se admiten certificados comodín.

Resolución de nombres para los servidores de federación

Configure registros DNS para el nombre de AD FS (por ejemplo, sts.contoso.com) para la intranet (servidor DNS interno) y la extranet (DNS público a través de su registrador de dominios). Para el registro DNS de la intranet, asegúrese de que usa registros D y no registros CNAME. Es necesario usar registros A para que funcione correctamente la autenticación de Windows desde la máquina unida al dominio.
Si va a implementar más de un servidor de AD FS o servidor Proxy de aplicación web, asegúrese de que ha configurado el equilibrador de carga y que los registros DNS para el nombre de AD FS (por ejemplo, sts.contoso.com) apuntan al equilibrador de carga.
Para que la autenticación integrada de Windows funcione para las aplicaciones del explorador que usan Internet Explorer en la intranet, asegúrese de que se agrega el nombre de AD FS (por ejemplo, sts.contoso.com) a la zona de intranet en Internet Explorer. Este requisito se puede controlar mediante la directiva de grupo e implementarlo en todos los equipos unidos a un dominio.

Componentes auxiliares de Microsoft Entra Connect

Microsoft Entra Connect instala los siguientes componentes en el servidor donde está instalado Microsoft Entra Connect. Esta lista es para una instalación rápida básica. Si decide usar una instancia de SQL Server diferente en la página Instalar servicios de sincronización, SQL Express LocalDB no se instalará localmente.

Microsoft Entra Connect Health
Utilidades de la línea de comandos de Microsoft SQL Server 2022
Microsoft SQL Server 2022 Express LocalDB
Cliente nativo de Microsoft SQL Server 2022
Paquete de redistribución de Microsoft Visual C++ 14

Requisitos de hardware para Microsoft Entra Connect

En la tabla siguiente se muestran los requisitos mínimos para un equipo con sincronización de Microsoft Entra Connect.

Cantidad de objetos en Active Directory	CPU	Memoria	Tamaño de disco duro
Menos de 10.000	1,6 GHz	6 GB	70 GB
10.000–50.000	1,6 GHz	6 GB	70 GB
50.000–100.000	1,6 GHz	16 GB	100 GB
Para 100 000 objetos o más, se requiere la versión completa de SQL Server. Por motivos de rendimiento, es preferible la instalación local. Los valores siguientes solo son válidos para la instalación de Microsoft Entra Connect. Si SQL Server se instalará en el mismo servidor, se requiere más memoria, unidad y CPU.
100.000–300.000	1,6 GHz	32 GB	300 GB
300.000–600.000	1,6 GHz	32 GB	450 GB
Más de 600.000	1,6 GHz	32 GB	500 GB

Los requisitos mínimos para equipos que ejecutan AD FS o servidores Proxy de aplicación web son:

CPU: 1,6 GHz con doble núcleo o superior
Memoria: 2 GB o superior
VM de Azure: configuración A2 o superior

Pasos siguientes

Más información sobre la Integración de las identidades locales con Microsoft Entra ID.