Tutorial complet d'Azure AD Connect i Microsoft Entra Connect

Azure AD Connect (ara Microsoft Entra Connect) és la peça clau per unir el teu directori local d'Active Directory amb el núvol de Microsoft: Azure AD i Microsoft 365. Gràcies a aquesta eina, els teus usuaris poden iniciar sessió amb el mateix usuari i contrasenya tant a l'entorn on‑premisos com als serveis al núvol, evitant comptes duplicats i reduint mals de cap al departament de TI.

Al llarg d'aquest tutorial veuràs de forma molt detallada tot el cicle: preparació de l'entorn on-premises, creació del domini i del bosc d'Active Directory, configuració de Microsoft Entra ID, instal·lació i configuració d'Azure AD Connect, mètodes d'autenticació, filtratge d'objectes i característiques avançades com la sincronització de hash de contrasenyes, l'escriptura diferida o l'ús de Microsoft Entra .

Què és Azure AD Connect i per a què serveix?

Azure AD Connect és la utilitat oficial de Microsoft que actua com a “pont” entre el teu Active Directory local i Azure Active Directory, integrant també Microsoft 365. Permet que les identitats que ja tens al teu domini on-premises se sincronitzin amb el núvol, de manera que l'usuari faci servir les mateixes credencials en ambdós mons i, si ho desitges, gaudeixi d'inici de sessió únic (SSO).

El client d'Azure AD Connect s'instal·la a un servidor membre del domini, i encara que tècnicament es pot instal·lar en un controlador de domini, Microsoft recomana evitar-ho per seguretat i aïllament de serveis. Aquest servidor serà l'encarregat de sincronitzar usuaris, grups i altres objectes del vostre AD amb Azure AD a intervals regulars.

Un cop configurat, Azure AD Connect podeu utilitzar diferents models d'autenticació: sincronització de contrasenya de contrasenya (PHS), autenticació de pas a través (PTA), federació amb AD FS o federació amb proveïdors com PingFederate. A més, ofereix opcions com SSO, filtrat per OU o grups, protecció davant eliminacions massives i actualització automàtica del producte.

En escenaris on ja treballes amb Microsoft 365 i tens usuaris “només al núvol”, Azure AD Connect us permet unificar identitats: si l'UPN i el correu d'un usuari local coincideixen amb els de l'usuari al núvol, en sincronitzar, aquest usuari deixarà de ser “cloud only” i passarà a ser usuari sincronitzat des d'AD, centralitzant el govern d'atributs al vostre directori local.

Preparació de l'entorn d'Active Directory local

Abans de pensar a sincronitzar res amb Azure, necessiteu un entorn d'Active Directory funcional. Si ja tens un domini corporatiu en producció, el pots utilitzar; si no és així, podeu aixecar un laboratori des de zero per provar tots els escenaris d'identitat híbrida sense tocar el vostre entorn real.

La idea del laboratori és crear un servidor que actuarà com a controlador de domini (DC) i hostatjarà els serveis d'AD DS, DNS i les eines d'administració. Tot això es pot muntar sobre una màquina virtual de Hyper-V amb Windows Server, utilitzant scripts de PowerShell que automatitzen gran part del treball.

Creació de la màquina virtual per al controlador de domini

El primer pas és crear una màquina virtual que funcionarà com a servidor d'Active Directory on-premises. Per fer-ho, pots obrir PowerShell ISE com a administrador al host Hyper‑V i executar un script que defineix nom de la VM, switch de xarxa, ruta del VHDX, mida del disc i mitjà d'instal·lació (ISO de Windows Server).

En aquest script es crea una VM de generació 2, amb memòria fixa, un disc virtual nou i s'adjunta una unitat de DVD virtual apuntant a la ISO del sistema operatiu. Després es configura el firmware de la màquina perquè arrenqui inicialment des del DVD i puguis realitzar la instal·lació del sistema de manera interactiva.

Un cop creada la màquina virtual, des de l'Administrador de Hyper‑V has d'iniciar-la, connectar-te a la seva consola i realitzar la instal·lació estàndard de Windows Server: seleccionar idioma, introduir la clau de producte, acceptar els termes de llicència, triar instal·lació personalitzada i utilitzar el disc recent creat. Al final de la instal·lació, reinicia, inicia sessió i aplica totes les actualitzacions disponibles.

Configuració inicial del servidor Windows Server

Amb el sistema operatiu ja implantat, cal deixar el servidor llest per rebre el rol d'Active Directory Domain Services. Això implica assignar-li un nom coherent (per exemple, DC1), configurar una IP estàtica, definir DNS i afegir les eines dadministració necessàries mitjançant característiques de Windows.

Mitjançant un altre script de PowerShell pots automatitzar aquestes tasques: s'estableix l'adreça IP, màscara, porta d'enllaç i servidors DNS (normalment el propi servidor i, com a secundari, un DNS públic com a 8.8.8.8), es reanomena l'equip i s'instal·len les RSAT d'Active Directory, tot registrant-se en un fitxer de log per a auditoria.

Després d'aplicar aquests canvis el servidor es reinicia i quedarà preparat per promoure'l a controlador de domini d'un nou bosc, de manera que passaràs a tenir el teu entorn d'AD on premis operatiu per a proves o per a integració real amb el núvol.

Creació del bosc i domini d'Active Directory

El següent pas és instal·lar AD DS, DNS i la Consola d'Administració de Directives de Grup (GPMC), i després crear un nou bosc d'Active Directory. Un altre cop, PowerShell permet agilitzar el procés instal·lant les característiques necessàries i executant el cmdlet Install‑ADDSForest amb tots els paràmetres requerits.

A la definició del bosc indiques nom de domini (per exemple, contoso.com), nom NetBIOS, rutes de la base de dades d'AD (NTDS), dels logs i de SYSVOL, així com els nivells funcionals de domini i bosc. També es defineix la contrasenya del mode de restauració de serveis de directori (DSRM), imprescindible per a tasques de recuperació.

Quan el servidor es reinicia després de la promoció, ja tens un entorn de Windows Server AD amb un domini operatiu, DNS integrat i totes les eines necessàries per gestionar usuaris, grups, OU i polítiques de grup.

Creació d'usuaris de prova a Active Directory

Amb el bosc funcionant, és útil disposar de comptes de prova per verificar la sincronització amb Azure AD. A través d'un script de PowerShell podeu crear, per exemple, l'usuari “Allie McCray” amb un nom d'inici de sessió (samAccountName), contrasenya inicial, nom per mostrar i l'opció que la contrasenya no caduqui.

L'script també pot marcar l'usuari com a habilitat, evitar que hagueu de canviar la contrasenya al següent inici de sessió i situar-lo a la ruta de contenidor adequada (per exemple, CN=Users,DC=contós,DC=com). Aquests usuaris seran posteriorment sincronitzats amb Microsoft Entra ID mitjançant Azure AD Connect.

Preparació del domini local per a la sincronització

Abans de desplegar Azure AD Connect convé revisar el teu AD per assegurar-te que compleix els requisits de Microsoft: dominis ben configurats, sufixos UPN adequats, atributs de correu coherents i sense dades conflictives. Per a aquesta tasca, Microsoft ofereix l'eina IdFix que ajuda a detectar objectes problemàtics.

En molts entorns hi ha un domini local del tipus mydominio.local i, d'altra banda, un domini públic de correu, per exemple mydominio.com utilitzat a Microsoft 365. Perquè la sincronització sigui neta, és recomanable afegir a l'AD local el sufix UPN corresponent al domini de correu públic.

Des de “Dominis i confiança d'Active Directory” podeu obrir les propietats i afegir el nou sufix UPN (per exemple, mydominio.com). Posteriorment, a les propietats dels comptes d'usuari, a la pestanya “Compte”, canvies l'UPN d'usuari perquè passi d'usuari@mydominio.local a usuario@mydominio.com, alineant-ho així amb l'adreça de correu a Microsoft 365.

Tot i que canviar l'UPN és altament recomanable per facilitar posteriors logins i un eventual SSO, aquest canvi no modifica el mètode d'inici de sessió clàssic DOMINI\usuari (pre Windows 2000), per la qual cosa no afecta aplicacions o scripts que segueixin usant aquest format.

També és important emplenar correctament l'atribut mail dels comptes d'usuari amb la vostra adreça de correu principal. Si ja teniu usuaris creats directament al núvol, la combinació d'UPN i mail coincident entre on‑premises i Microsoft 365 permetrà que, després de la sincronització, aquests comptes s'uneixin i l'usuari cloud passi a ser una identitat sincronitzada des d'AD.

Alta i configuració de Microsoft Entra ID (Azure AD)

Perquè el directori local es pugui sincronitzar necessites disposar d'un llogater (tenant) de Microsoft Entra ID. Aquest tenant és el directori al núvol on es crearan les rèpliques dels teus usuaris, grups i dispositius procedents de l'entorn on premis.

Si encara no tens un tenant, podeu crear-lo accedint al Centre d'administració de Microsoft Entra amb un compte que tingui la subscripció. Des de la secció d'informació general escolliu l'opció d'administrar llogaters i després crear-ne un de nou, proporcionant un nom per a l'organització i un domini inicial (per exemple, alguna cosa.onmicrosoft.com).

Un cop finalitzat l'assistent, el directori queda creat i pots administrar-ho des del portal. Més endavant podràs associar dominis personalitzats (com contoso.com) i verificar-los per utilitzar-los com a principals als UPN dels teus usuaris sincronitzats des d'AD.

Creació d'un compte administrador d'identitats híbrides

Al tenant de Microsoft Entra és recomanable crear un compte dedicat per gestionar la part híbrida. Aquest compte s'usarà, per exemple, per a la configuració inicial de l'Azure AD Connect i les tasques relacionades amb identitat.

Des de l'apartat Usuaris crees un nou usuari, assignes un nom i un nom d'usuari (UPN) i canvies el seu rol a “Administrador d'identitat híbrida”. Durant la creació podeu veure i copiar la contrasenya temporal que se us assigna.

Després de crear aquest compte, convé iniciar sessió a myapps.microsoft.com amb aquest usuari i la contrasenya temporal, forçant el canvi de contrasenya per una definitiva. Aquesta serà la identitat d'administració que utilitzareu en diversos passos de configuració híbrida.

Instal·lació d'Azure AD Connect (Microsoft Entra Connect)

Amb l'entorn local llest i el tenant al núvol preparat, ja podeu instal·lar Azure AD Connect en un servidor membre del domini local. Microsoft recomana no utilitzar un controlador de domini per minimitzar riscos de seguretat i de disponibilitat.

La descàrrega d'Azure AD Connect està disponible des del portal d'Azure Active Directory, a la secció d'Azure AD Connect, o directament des del Centre de baixades de Microsoft. Un cop descarregat l'instal·lador, l'executeu al servidor designat.

Durant l'assistent d'instal·lació s'accepten els termes de llicència i tens dos camins: configuració ràpida o personalitzada. L'opció ràpida configura per defecte la sincronització completa d'AD utilitzant el mètode de sincronització de hash de contrasenyes, mentre que la personalitzada permet un control molt més gran sobre atributs, dominis, OU, mètodes d'autenticació i característiques addicionals.

En instal·lacions habituals sol resultar més interessant triar la ruta personalitzada, sobretot si necessites limitar quines unitats organitzatives se sincronitzen, vols avaluar diferents mètodes d'inici de sessió o tens topologies de diversos boscos.

Configuració del mètode d'inici de sessió

Un dels punts clau a l'assistent és l'elecció del mètode d'autenticació que els usuaris utilitzaran en accedir a recursos al núvol. Azure AD Connect ofereix diverses opcions integrades, cadascuna amb els seus avantatges i requisits.

1. Sincronització de hash de contrasenyes (PHS): aquest mètode sincronitza amb Azure AD un hash addicional de la contrasenya emmagatzemada al teu Active Directory on-premises. L'usuari inicia sessió al núvol directament contra Azure AD, usant la mateixa contrasenya que a l'entorn local, però només administrada a AD. És el model més simple dimplantar i el més utilitzat.

2. Autenticació de pas a través (PTA): en aquest cas, les contrasenyes no s'emmagatzemen a Azure AD; quan l'usuari intenta iniciar sessió, la validació es reenvia mitjançant agents instal·lats on premis que comproven les credencials contra l'AD local. Permet aplicar restriccions d'accés locals, horaris, etc., mantenint el control d'autenticació a la teva infraestructura.

3. Federació amb AD FS: Azure AD delega l'autenticació en un sistema de federació basat en Active Directory Federation Services. Requereix desplegar servidors AD FS i, normalment, un servidor intermediari d'aplicació web. És més complex de mantenir, però ofereix un màxim control i compatibilitat amb escenaris avançats.

4. Federació amb PingFederate: similar al cas anterior, però usant PingFederate com a solució de federació en lloc d'AD FS, per a organitzacions que ja disposen d'aquesta infraestructura d'identitat.

5. No configureu el mètode d'inici de sessió: pensada per quan ja tens una solució de federació de tercers i no vols que Azure AD Connect automatitzi res en aquesta part.

Addicionalment podeu activar l'inici de sessió únic (SSO) en combinació amb PHS o PTA. Amb SSO habilitat, i mitjançant una política de grup (GPO), els equips units al domini poden iniciar sessió utilitzant l'UPN de l'usuari, normalment igual que la seva adreça de correu electrònic, evitant que hagi d'introduir repetidament les credencials en accedir a serveis com el portal de Microsoft 365.

Connexió amb Microsoft 365 i l'AD local

A l'assistent d'Azure AD Connect hauràs de proporcionar primer les credencials d'un administrador del tenant de Microsoft Entra (per exemple, el compte d'administrador d'identitat híbrida creat abans). Això permet que l'eina configuri la part al núvol i registri el servidor com a origen de sincronització.

Després se sol·liciten credencials d'un compte amb permisos a l'AD local per crear l'enllaç de sincronització amb el bosc on‑premisses. Un cop validades, el directori local s'afegeix a la llista d'origens de dades per a sincronització.

Al següent pas tries quin atribut utilitzar com a nom d'usuari principal per als comptes al núvol. El més habitual és fer servir userPrincipalName, però en alguns escenaris pots optar pel camp mail si el tens homogeni i ben configurat. També pots indicar si continuaràs sense tenir encara tots els dominis UPN verificats a Azure AD (útil quan el domini d'AD és privat).

Selecció d'OU i filtratge d'objectes

Azure AD Connect permet definir quin subconjunt del vostre bosc d'Active Directory se sincronitza amb el núvol. Podeu seleccionar dominis complets, unitats organitzatives concretes o fins i tot filtrar per atributs per reduir l'abast.

A la pràctica sol ser bona idea començar sincronitzant només les OU on resideixen els usuaris que participen al pilot, o utilitzar un grup de seguretat específic els membres del qual es replicaran a Azure AD. Així, reduïm riscos de sincronitzar comptes de servei, objectes obsolets o informació que no ha d'abandonar l'entorn on premis.

Convé tenir en compte que canvis posteriors a l'estructura d'OU (renombrar, moure contenidors, etc.) poden afectar el filtratge. Una estratègia comuna és sincronitzar tot el domini però restringir per pertinença a grups i evitar dependre en excés de l'estructura organitzativa.

Opcions addicionals de configuració

A les pantalles finals de l'assistent s'ofereixen funcions complementàries, com ara l'escriptura diferida de contrasenyes (password writeback), la reescriptura de dispositius, la integració amb Exchange híbrid o la protecció davant d'eliminacions massives.

L'escriptura diferida de contrasenyes permet que els usuaris canviïn o restableixin la contrasenya des del núvol (per exemple, des del portal d'autoservei) i que aquest canvi s'apliqui també a l'AD local, respectant la directiva de contrasenyes de l'organització. Per a moltes empreses és un avantatge interessant de cara a suport.

La reescriptura de dispositius fa possible que els dispositius registrats a Microsoft Entra ID es bolquin de nou a l'Active Directory local, la qual cosa facilita escenaris d'accés condicional on necessites tenir constància dels dispositius a banda i banda.

La característica d'evitar eliminacions accidentals està activada per defecte i limita el nombre dobjectes que es poden eliminar en una mateixa execució de sincronització (per exemple, a 500). Si se supera aquest llindar, la sincronització es bloqueja per evitar esborrats massius per error, cosa fonamental en entorns grans.

Finalment, l'actualització automàtica s'habilita de sèrie en instal·lacions amb configuració ràpida i manté Azure AD Connect al dia amb les darreres versions, corregint errors i afegint compatibilitats sense que hagis d'actualitzar manualment cada servidor.

Verificació de la sincronització i operació diària

Després de completar la instal·lació i l'assistent, Azure AD Connect pot iniciar immediatament una sincronització completa si així ho heu indicat. El mateix assistent dóna l'opció de llançar un cicle inicial tan bon punt acaba, cosa que és recomanable per validar que tot està funcionant.

Al servidor on vas instal·lar Azure AD Connect podeu obrir la consola “Servei de sincronització” des del menú d'inici. Allà veureu l'historial d'execucions, incloent-hi la sincronització inicial, possibles errors i el detall d'importació, sincronització i exportació d'objectes.

Al portal de Microsoft 365 o al de Microsoft Entra pots revisar la llista d'usuaris per comprovar que estan apareixent com a “Sincronitzats amb Active Directory” en lloc de “Només al núvol”. Des d'aquest moment, els atributs principals (nom, cognoms, adreça de correu, etc.) es gestionen des de l'AD local.

Azure AD Connect executa per defecte un cicle de sincronització cada 30 minuts, encara que sempre en pots forçar un manualment mitjançant PowerShell si necessites que un canvi es reflecteixi immediatament. És bona pràctica documentar aquest comportament perquè l'equip de suport sàpiga què cal esperar.

Escenaris avançats: diversos boscos i servidors addicionals

En organitzacions més complexes et pots trobar amb diversos boscos d'Active Directory, cadascun amb el seu propi domini i usuaris. També hi pot haver boscos de recursos on resideixen bústies de correu vinculades o altres serveis.

Azure AD Connect està preparat per a aquestes topologies, permetent afegir múltiples boscos com a orígens de sincronització i aplicar un model d'aprovisionament declaratiu. Això significa que les regles de combinació, transformació i flux d'atributs es defineixen de manera declarativa i es poden ajustar per encaixar amb el vostre disseny d'identitats.

Per a laboratoris més avançats es pot crear un segon bosc (per exemple fabrikam.com) amb el seu propi controlador de domini (CP1), repetint els passos de creació de VM, instal·lació de sistema, configuració d'IP i DNS, promoció a DC i creació d'usuaris de prova. Així es proven escenaris de multibosc i sincronització al núvol amb diferents dominis.

En entorns de producció és recomanable comptar amb un servidor d'Azure AD Connect en espera o en mode provisional. El servidor en mode staging manté una còpia de la configuració i realitza importació i sincronització interna, però no exporta canvis a Azure AD. En cas de fallada del servidor principal, pots commutar el servidor en staging amb un impacte mínim.

Microsoft Entra Connect Health: supervisió i alertes

Per mantenir sota control la infraestructura d'identitat híbrida, Microsoft ofereix Microsoft Entra Connect Health, una solució premium que monitoritza components clau com Azure AD Connect (sincronització), AD FS i AD DS, proporcionant alertes, mètriques de rendiment i anàlisi dús.

El funcionament es basa en agents que instal·leu als servidors d'identitat: servidors AD FS, controladors de domini i servidors d'Azure AD Connect. Aquests agents envien informació d'estat i rendiment al servei al núvol, on podeu visualitzar-la al portal específic de Connect Health.

Per començar necessites disposar de llicències de Microsoft Entra ID P1 o P2 (o una prova). Després descarregues els agents de Connect Health des del portal i els instal·les a cada servidor rellevant. Un cop registrats, el servei detecta automàticament quins rols s'estan monitoritzant.

Al portal de Connect Health trobaràs diferents panells: un per als serveis de sincronització (Azure AD Connect), un altre per als serveis de federació (AD FS) i un altre per als boscos d'AD DS. A cadascun podeu veure alertes actives, estat de rèplica, possibles problemes de certificats, errors d'autenticació i tendències d'ús.

A més de la part tècnica, Connect Health inclou opcions per configurar l'accés basat en rols (IAM) i, opcionalment, autoritzar Microsoft a accedir a les dades de diagnòstic només amb finalitats de suport. Aquesta opció està deshabilitada per defecte, però pot ser útil si necessiteu assistència avançada de Microsoft per resoldre incidències complexes.

Amb tot aquest ecosistema configurat —AD local, Microsoft Entra ID, Azure AD Connect i Connect Health— disposes d´una plataforma d´identitat híbrida completa, capaç d´oferir inici de sessió únic, govern centralitzat de comptes i contrasenyes, alta disponibilitat i visibilitat sobre l´estat de la infraestructura; una combinació que simplifica la vida a lusuari final i et dóna a tu el control que necessites per operar amb seguretat i flexibilitat.