Deshabilitar sincronización de directorios en Azure AD

última actualización: 17/04/2019

En esta ocasión vamos a ver cómo des-habilitar la sincronozación de directorios entre una infraestructura local de Windows Server Active Directory y Azure AD. 

Desde el portal de Azure se puede observar que la sincronización está habilitada y cuando fue la última vez que se realizó.

En este artículo vamos  a ver cómo deshabilitar la sincronización, para ello debemos hacer uso de Windows PowerShell, y empezamos con la siguiente instrucción para almacenar las credenciales:

$UserCredential = Get-Credential

Solicitará las credenciales de la cuenta en Azure AD ó Office 365 profesional o educativa.

Ahora en la línea de comando escribimos:

Connect-MsolService -Credential $UserCredential

 Quedamos nuevamente en la línea de comando

NOTA: Si recibe un mensaje de error al ejecutar el cmdlet Connect-MsolService, indicando que el comando no existe, es porque no tiene el módulo Msol y debe ser instalado primero. A continuación un ejemplo del mensaje de error:

Para instalarlo, basta con ejecutar el siguente comando:
Install-Module -Name MSOnline

En este paso ya estamos listos para realizar la des-activación con el cmdlet Set-MsolDirSyncEnabled 

Set-MsolDirSyncEnabled -EnableDirSync $false

Nos solicita confirmación escribimos S

Ahora solo resta esperar...pues este proceso según Microsoft puede tardar hasta 72 horas, en mi caso tardó un poco más de 30 minutos, ya que tenía pocos objetos.

Para verificar que efectivamente hemos deshabilitado la sincronización de directorios basta con ejecutar lo siguiente:

(Get-MsolCompanyInformation).DirectorySynchronizationEnabled

Como se puede apreciar, el resultado efectivamente es False

Si abrimos la consola del servicio de sincronización, observaremos en el conector de nube el estado stopped-server-down

Una vez finalice el proceso, desde el portal podemos observar que el estado aparece como no sincronizado e indica que la sincronización nunca se ha ejecutado.

Esto es todo, y espero esta información les sea de utilidad.

Error al abrir Synchronization Service Manager - Azure AD Connect

Probablemente después de instalar Azure AD Connect e intente abrir la consola Synchronization Service Manager se encuentre con el siguiente mensaje de error:

Unable to connect to the Synchronization Service
Some possible reasons are:
1) The service is not started
2) Your account is not a member of a required security group.
See the Synchronization Service documentation for details.

Se trata de algo bastante simple de resolver, resulta que después de la instalación de Azure AD Connect, se crean unos grupos locales especiales, uno de ellos es ADSyncAdmins y se necesita ser miembro der este grupo para poder abrir la consola, sin embargo, si revisas el usuario con el que se hizo la instalación ya hace parte del grupo.

Pero Windows actualiza el Token con la pertenencia a grupos durante el inicio de sesión, por lo cual lo único que debemos hacer para que Windows sepa que el usuario pertenece a este nuevo grupo es cerrar y abrir sesión.

Después de esto, la consola abrirá sin problema alguno.

Espero resulte de utilidad!

Configuración de inicio de sesión con Azure AD Connect

Hoy en día es bastante común utilizar Azure AD Connect para sincronizar las identidades locales con Azure AD con el fin de poder utilizar el inicio de sesión único o SSO con Office 365 particularmente, y una de las primeras tareas que debemos llevar a cabo es la configuración de un UPN "ruteable" en Internet y que efectivamente coincida con el nombre de dominio verificado en el directorio en Azure.

En este post vamos a ver las opciones que incorpora el asistente de instalación de Azure AD Connect para facilitarnos el proceso de configuración.

Si el asistente detecta que el UPN de nuestras identidades locales no coinciden con el que se encuentra en el directorio de Azure mostrará la siguiente advertencia:

Como se puede apreciar el asistente claramente indica que no es posible iniciar sesión en Azure AD con las mismas credenciales locales (on-premises), lo cual es cierto ya que mi dominio local se llama itpros-dc.loc y mi dominio registrado en Azure AD es cesarherrada.com tal como se muestra en la imagen a continuación:

Veamos solo el recuadro principal para mejor comprensión.

En la columna de la izquierda tenemos los UPN que el asistente encontró, si se están preguntando porque aparte de mi UPN local itpros-dc.loc muestra el UPN cesarherrada.com. Ocurre de este modo debido a que tengo configurado a nivel de Active Directory dicho UPN, veamos cómo se hace esto:

Abrimos la consola Active Directory Domains and Trusts y hacemos clic derecho sobre la raìz y seleccionamos Properties

En la siguiente ventana podemos agregar el sufijo UPN que necesitemos, en mi caso he agregado el UPN cesarherrada.com

Después de hacer esto, nuestro dominio consta de más de un sufijo UPN, lo cual también nos permite cambiarlo directamente sobre los usuarios,tal como se muestra a continuación:

Con esto podemos cambiar el UPN de nuestros usuarios y establecer uno valido en Internet, lo cual vamos a requerir por ejemplo si queremos sincronizar las identidades para usar las mismas locales en Office 365 por ejemplo. Si desea saber más sobre la sincronización de identidades con Office 365 puede consultar el siguiente artículo: Identidad sincronizada con Office 365

Y ahora si, teniendo claro esto, entendemos porqué muestra dos sufijos UPN la tabla del asistente de instalación de AD Connect, y también podemos ver que el UPN cesarherrada.com lo muestra como Verified en Azure AD mientras que el UPN itpros-dc.loc aparece en estado Not Added. Ahora comprendamos mejor el significado de estos estados:

Verified: Esto significa verificado, es decir; encontró que el UPN que vamos a usar cuenta con un dominio verificado en Azure AD, verificado significa que hemos comprobado la propiedad de ese dominio y por lo tanto podemos hacer uso del mismo, en este caso no es necesaria ninguna acción y es lo que generalmente deseamos que aparezca en el asistente-

Not Verified: Esto significa que el asistente encontró un dominio en Azure AD que coincide con el UPN pero aún no ha sido verificado, lo cual significa que debemos completar el proceso de verificación para poder usar dicho dominio, si no lo hacemos el UPN que se establecerá en la nube tendrá el sufijo ".onmicrosoft.com", 

Not Added: Azure AD Connect no encontró un dominio en Azure AD que coincida con el UPN que tenemos, como se puede apreciar, este es precisamente mi caso con el sufijo itpros-dc.loc, claramente este es mi sufijo local no ruteable en Internet, por ende no tengo ningún dominio configurado en Azure AD que coincida con este nombre, y tampoco lo vamos a hacer, para ello he agregado un sufijo UPN adicional que sí coincide con mi nombre de dominio público cesarherrada.com 

Ahora bien, la primera pantalla que puse de AD Connect es la que aparece cuando nos vamos con la configuración Express, pero si elegimos la opción personalizada tendremos la opción de elegir un atributo diferente al UPN, como por ejemplo la dirección de correo electrónico.

Si deseamos usar un atributo alternativo, tenemos que tener en cuenta ciertas restricciones especialmente si vamos a usar Office 365. Por lo cual recomiendo leer el siguiente articulo: Configuring Alternate Login ID

Bien, esto es todo por ahora, y como siempre espero les sea de utilidad.

Azure AD Connect 1.1 Disponible

Hola a todos,

En este artículo vamos a revisar de manera general que novedades incorpora la última versión de Azure AD Connect, disponible aquí, que sin lugar a duda, se ha convertido en una herramienta clave a la hora de sincronizar nuestras identidades con la nube.

Empecemos con la primer novedad.

Actualizaciones automáticas

Personalmente esta es la característica que me mas me ha gustado, ya que cada que salia una nueva versión era necesario bajar el paquete de instalación y hacer el "upgrade" de forma manual. En cambio hora para quienes tenga la herramienta configurada en modo express gozarán de la actualización automática de la misma, así que tendremos todas las mejoras que salgan sin necesidad de hacer nada, en ese orden de ideas esta es la última vez que haremos la instalación para actualizar la herramienta.

Como siempre el asistente nos informa que hay una versión anterior de la herramienta instalada, hacemos clic en Upgrade

Luego nos solicita las credenciales de un usuario con rol de administrador global hacemos clic en Next

Viene marcada por defecto la opción para que el proceso de sincronización inicie tan pronto como termine la instalación, hacemos clic en Upgrade

Nos avisará cuando todo termine de manera satisfactoria.

Y listo, de esta forma tendremos actualizada nuestra herramienta, y como mencioné antes, es la última vez que haremos esto. ¡un alivio!

Intervalo de sincronización reducido

En versiones anteriores de la herramienta, el intervalo de sincronización por defecto era de 3 horas, y cambiar este parámetro no era soportado, sin embargo tres horas en muchos entornos puede ser un período de tiempo bastante largo, a partir de esta nueva versión es soportado cambiar este intervalo a través de PowerShell, eso sí, no puede ser inferior a 30 minutos.

Podemos hacer uso del cmdlet Get-ADSyncScheduler para ver laconfiguración de sincronización.

En la siguiente imagen podemos observar la configuración por defecto

Y podemos apreciar que el parámetro CustomizedSyncCycleInterval se encuentra vacío, es aquí donde podemos configurar un valor no inferior a 30 minutos, que si observamos es el nuevo valor por omisión,sin embargo, es posible que necesitemos configurar este parámetro con un valor superior, por ejemplo una hora, veamos como hacerlo:

Set-ADSyncScheduler -CustomizedSyncCycleInterval 01:00:00

Autenticación moderna

Con esta nueva versión es posible iniciar sesión con un administrador que tenga habilitada la autenticación multifactor (MFA), ahora Azure AD Connect utiliza Azure AD Authentication Library (ADAL) y protocolos de autenticación moderna que hacen esto posible.

Filtro por Dominio/OU

Esto también es algo realmente fantástico, anteriormente esto era posible pero se trataba de una tarea "post-installation" y no era tan obvia y fácil de encontrar, en cambio ahora podemos elegir tanto filtrado de OU como de dominio directamente desde el asistente de instalación. A continuación podemos observar que elegimos solamente la OU llamada Office 365 para sincronizar hacia Azure AD. Algo importante a tener en cuenta, es que si tenemos por ejemplo algún sub-dominio que no sea alcanzado por la herramienta no permitirá continuar con el proceso.

Cambiar el método de inicio de sesión

Anteriormente si por ejemplo elegíamos el modo de sincronización de password y tiempo después deseábamos cambiar a federación era necesario reinstalar la herramienta para elegir el otro modo, ahora si abrimos la herramienta nos presentará una nueva opción llamada Change user sign-in 

Como se aprecia en la imagen anterior, estamos usando actualmente el modo Password Synchronization pero tenemos la opción de elegir Federation with ADFS y seguir los pasos del asistente para habilitar la federación.

Como vemos, cada vez se incluyen numerosas mejoras a esta herramienta, mis más sinceras felicitaciones al grupo de producto de Azure Active Directory quienes trabajan arduamente día a día para traernos estas mejoras.

Actualizar Azure AD Connect Preview a la versión GA

En este post veremos cómo actualizar la herramienta Azure Active Directory Connect de su versión en Vista Previa (preview) a la versión ya liberada por Microsoft conocida como GA (General Availability) la cual ya podemos usar en entornos de producción.

Primero, debemos descargar el instalador desde la siguiente URL:
http://www.microsoft.com/en-us/download/details.aspx?id=47594

Una vez descargado, ejecutamos el paquete MSI

Y seguimos los pasos del asistente, como podemos observar, el instalador detecta que existe una versión previa, bien sea DirSync, AD Sync o AAD Connect Preview, en este caso vamos a realizar un upgrade desde AAD Connect Preview, simplemente debemos hacer clic en el botón de color verde Upgarde

La siguiente ventana solicita las credenciales de un Administrador Global del directorio en Azure que usaremos para la sincronización..

La siguiente ventana activa de manera automática la casilla en la cual indicamos que el proceso de sincronización inicie una vez finalice el proceso de actualización de la configuración de sincronización de Azure Active Directory

Inicia el proceso de configuración.

Si todo sale bien, al finalizar obtendremos la siguiente ventana que indica el fin del proceso de actualización.

De este modo ya tendremos actualizada nuestra herramienta de sincronización a Azure Active Directory Connect

Azure AD Connect preview: Instalación

Primera parte: Azure AD Connect: Conecta Active Directory con Azure Active Directory

Bien, ahora que ya vimos una pequeña introducción a la herramienta Azure AD Connect y ya la hemos descargado, vamos hora a realizar el proceso de instalación, una vez descargado el paquete .msi lo ejecutamos e iniciará el asistente de instalación, la instalación se está realizando en el controlador de dominio del bosque itpros-dc.local. A continuación el proceso.

1. Marcamos la casilla para aceptar los términos de la licencia y hacemos clic en el botón Continue

2. El asistente muestra los prerequisitos que necesita la herramienta para funcionar, para lo cual se conectará a Internet para descargarlos e instalarlos.

3. Debemos ingresar las credenciales de nuestro tenant en Microsoft Azure, es decir; las credenciales del administrador global que usamos para autenticarnos en el portal de Microsoft Azure.

4.  En esta ocasión hacemos clic en el botón Use express settings, ya que tenemos un solo bosque de Active Directory, y podemos ver que la lista de actividades a realizar por la configuración express consta de: 

• Instalar la herramienta de sincronización de Azure en el controlador de dominio.
• Configurar la sincronización de identidades en el bosque actual, el cual es: ITPROS-DC
• Configurar la sincronización de contraseñas desde Active Directory local hacia Azure AD
• Iniciar la sincronización inicial

5. Lo primero que solicita son las credenciales del bosque de Active Directory local en el formato dominio\usuario con privilegios de enterprise admin. Hacemos clic en Next

6. El asistente muestra el resumen de los que instalará. Hacemos clic en el botón Install

7. Iniciará el proceso de instalación y configuración de los servicios.

8. Por último, el asistente indicará que ha finalizado la instalación de ADD Connect. Hacemos clic en Exit para finalizar

Y de este modo podremos observar los nuevos iconos que se han generado en el escritorio, el módulo de PowerShell para Azure Active Directory y el programa AAD Connect.

Ahora, si vamos al portal de Azure y revisamos la lista de usuarios en Azure Active Directory, vemos que aparecen dos nuevos usuarios (que son los únicos que tengo en el directorio ;-) )

Se puede apreciar que en la columna "con origen en" aparece Active Directory Local

Y si revisamos nuestro directorio local, vemos que son los mismos usuarios

De este modo, los usuarios del directorio podrán iniciar sesión en aplicaciones en Azure. Por ejemplo en Office 365, utilizando las mismas credenciales que usan en la red local.

En una próxima entrada veremos el proceso para iniciar sesión en Office 365 usando estas credenciales que acabamos de sincronizar desde nuestro directorio local hacia los servicios de Azure Active Directory.

Azure AD Connect: Conecta Active Directory con Azure Active Directory

Hola a todos, en esta ocasión voy a dedicar unas entradas del blog a revisar el funcionamiento de la herramienta Azure Active Directory Connect más conocida como AAD Connect.

La herramienta actualmente se encuentra en "preview" pero muy pronto estará disponible de manera general, esto indica que Microsoft no recomienda su uso en entornos de producción, para ello podemos seguir usando la herramienta AAD Sync o DirSync según la necesidad. En realidad, la herramienta me encanta y creo que Microsoft escuchó todas las sugerencias de los clientes para crear una herramienta sencilla y ágil que permita conectar nuestro Windows Active Directory con Azure Active Directory.

Es importante aclarar que Microsoft pretende que esta sea la única herramienta mediante la cual se realice todo lo relacionado con conectividad entre Active Directory local y Azure Active Directory (cloud). Por lo cual la herramienta recopila todo lo mejor de las anteriores herramientas (AAD Sync y DirSync) e incorpora sus propias mejoras, gracias a esto desde una sola herramienta ágil y poderosa podemos manejar todos lo relacionado con sincronización de identidades, y algo que me gusta mucho de la herramienta es que maneja un modo configuración "express" que permite una configuración rápida estilo DirSync cuando se cuenta solo con un bosque de AD, o puedes elegir la parte personalizada donde tienes un mayor control y granularidad sobre lo que deseas hacer y te permite definir varios bosques de AD.

Entre las características que incorpora la herramienta tenemos: 

• Sincronización de uno o multiples directorios (antes se hacia mediante FIM)
• Sincronización de contraseñas
• Federación de identidades

Podemos descargar el public preview de la herramienta haciendo clic sobre la siguiente imagen:

En la próxima entrada veremos el proceso de instalación de la herramienta.