Configuración de la sincronización con ámbito entre Microsoft Entra ID y Microsoft Entra Domain Services mediante el Centro de administración de Microsoft Entra

Para proporcionar servicios de autenticación, Microsoft Entra Domain Services sincroniza los usuarios y grupos de Microsoft Entra ID. En un entorno híbrido, los usuarios y grupos de un entorno local de Active Directory Domain Services (AD DS) se pueden sincronizar primero con Microsoft Entra ID mediante Microsoft Entra Connect y, luego, con un dominio administrado de Domain Services.

De forma predeterminada, todos los usuarios y grupos de un directorio de Microsoft Entra se sincronizan con un dominio administrado. Si solo algunos usuarios necesitan usar Domain Services, puede elegir sincronizar solo grupos de usuarios. Puede filtrar la sincronización de grupos locales, solo en la nube o ambos.

En este artículo, se muestra cómo configurar la sincronización con ámbito y, luego, cambiar o deshabilitar el conjunto de usuarios con ámbito mediante el centro de administración de Microsoft Entra. También puede completar estos pasos con PowerShell.

Screenshot of group filter option.

Antes de empezar

Para completar este artículo, necesitará los siguientes recursos y privilegios:

Introducción a la sincronización con ámbito

De forma predeterminada, todos los usuarios y grupos de un directorio de Microsoft Entra se sincronizan con un dominio administrado. Puede limitar la sincronización solo a cuentas de usuario creadas en Microsoft Entra ID o sincronizar todos los usuarios.

Si solo algunos grupos de usuarios necesitan acceder al dominio administrado, puede seleccionar Filtrar por derecho de grupo para sincronizar solo esos grupos. Esta sincronización con ámbito solo se basa en grupos. Al configurar la sincronización con ámbito basada en grupos, solo las cuentas de usuario que pertenecen a los grupos que especifique se sincronizan con el dominio administrado. Los grupos anidados no se sincronizan; sólo se sincronizan los grupos que especifique.

Puede cambiar el ámbito de sincronización antes o después de crear el dominio administrado. Una entidad de servicio define el ámbito de sincronización con el identificador de la aplicación 2565bd9d-da50-47d4-8b85-4c97f669dc36. Para evitar la pérdida de ámbito, no elimine ni cambie la entidad de servicio. Si se elimina accidentalmente, no se puede recuperar el ámbito de sincronización.

Tenga en cuenta las siguientes advertencias si cambia el ámbito de sincronización:

  • Se produce una sincronización completa.
  • Los objetos que ya no son necesarios en el dominio administrado se eliminan. Se crean objetos en el dominio administrado.

Para más información sobre el proceso de sincronización, consulte Funcionamiento de la sincronización en Microsoft Entra Domain Services.

Habilitación de la sincronización con ámbito

Para habilitar la sincronización con ámbito en el centro de administración de Microsoft Entra, siga estos pasos:

  1. En el Centro de administración de Microsoft Entra, busque y seleccione Microsoft Entra Domain Services. Elija el dominio administrado como, por ejemplo, aaddscontoso.com.

  2. Seleccione Sincronización en el menú de la izquierda.

  3. En Ámbito de sincronización, seleccione Todos o Solo en la nube.

  4. Para filtrar la sincronización de grupos seleccionados, haga clic en Mostrar grupos seleccionados, elija si desea sincronizar grupos solo en la nube, grupos locales o ambos. Por ejemplo, en la captura de pantalla siguiente se muestra cómo sincronizar solo tres grupos creados en Microsoft Entra ID. Solo los usuarios que pertenecen a esos grupos tendrán sus cuentas sincronizadas con Domain Services.

    Screenshot that shows filter by cloud-only groups.

  5. Para agregar grupos, haga clic en Agregar grupos y, a continuación, busque y elija los grupos que desea agregar.

  6. Cuando se realicen todos los cambios, seleccione Guardar ámbito de sincronización.

Al cambiar el ámbito de sincronización el dominio administrado vuelve a sincronizar todos los datos. Los objetos que ya no son necesarios en el dominio administrado se eliminan y la resincronización puede tardar un poco en completarse.

Modificación de la sincronización con ámbito

Para modificar la lista de grupos cuyos usuarios deben sincronizarse con el dominio administrado, lleve a cabo los pasos siguientes:

  1. En el Centro de administración de Microsoft Entra, busque y seleccione Microsoft Entra Domain Services. Elija el dominio administrado como, por ejemplo, aaddscontoso.com.
  2. Seleccione Sincronización en el menú de la izquierda.
  3. Para agregar un grupo, seleccione + Agregar grupos en la parte superior y, después, seleccione los grupos que quiere agregar.
  4. Para quitar un grupo del ámbito de sincronización, selecciónelo en la lista de grupos actualmente sincronizados y elija Quitar grupos.
  5. Cuando se realicen todos los cambios, seleccione Guardar ámbito de sincronización.

Al cambiar el ámbito de sincronización el dominio administrado vuelve a sincronizar todos los datos. Los objetos que ya no son necesarios en el dominio administrado se eliminan y la resincronización puede tardar un poco en completarse.

Deshabilitación de la sincronización con ámbito

Para deshabilitar la sincronización con ámbito basada en grupos para un dominio administrado, lleve a cabo los pasos siguientes:

  1. En el Centro de administración de Microsoft Entra, busque y seleccione Microsoft Entra Domain Services. Elija el dominio administrado como, por ejemplo, aaddscontoso.com.
  2. Seleccione Sincronización en el menú de la izquierda.
  3. Desactive la casilla Mostrar grupos seleccionados y haga clic en Guardar ámbito de sincronización.

Al cambiar el ámbito de sincronización el dominio administrado vuelve a sincronizar todos los datos. Los objetos que ya no son necesarios en el dominio administrado se eliminan y la resincronización puede tardar un poco en completarse.

Pasos siguientes

Para más información sobre el proceso de sincronización, consulte Funcionamiento de la sincronización en Microsoft Entra Domain Services.