sincronizándonos con office 365, integración con nuestro ad existente
DESCRIPTION
Office365 AD sync session given at Microsoft Techday 2014 in MadridTRANSCRIPT
![Page 1: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/1.jpg)
TechDay – MadridAlberto Pascual – MVP en Office365
[email protected] | @guruxp
Mario Cortés – MVP en Office365
[email protected] | @mariocortesf
Sincronizándonos con Office 365, integración con nuestro AD existente
![Page 2: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/2.jpg)
Agenda Cómo funciona DirSync Demo Requisitos y consideraciones
![Page 3: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/3.jpg)
Cómo funciona el login de Office365?
![Page 4: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/4.jpg)
El login de Office365
WAAD
• Desde cloud• Sincronizada• Federada
Local AD
![Page 5: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/5.jpg)
Cómo funciona DirSync
![Page 6: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/6.jpg)
DirSync Sincroniza objetos de un directorio on-premise con WAAD. Usuarios, grupos, contactos.
Facilita el mantenimiento de identidades.
Pensado para escenarios híbridos. No esta pensado como herramienta de migración.
![Page 7: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/7.jpg)
Sincronización Sincronización es on-premise -
> cloud Excepto si se activa “write-back”.
Se sincroniza cada 3h Cada 2 minutos para contraseñas* Se puede forzar con el cmdlet Start-OnlineCoexistenceSync
La primera sincronización es completa y el resto delta.
Nuevos objetos y modificaciones se envían a Office365. No se envían todos los atributos La asignación de licencias no es automático
Windows Azure Active Directory
User
On-Premises IdentityEx: Domain\Alice
Cloud IdentityEx: [email protected]
Directory Synchronization
![Page 8: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/8.jpg)
Scope Define los elementos a excluir durante la sincronización.
Niveles: Por dominio de AD. Basado en Unidad Organizativa. Basado en atributo de usuario.
![Page 9: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/9.jpg)
Escenarios Simple Con contraseñas* Single Sign-on Multiforest con single Sign-on
![Page 10: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/10.jpg)
Contraseñas El usuario hace login con la
misma contraseña en on-premise y en cloud.
Se sincroniza un hash de la contraseña.
Aplica dos políticas: Password Complexity PolicyPassword Expiration Policy
Se aplican las políticas locales El botón de “Cambiar contraseña”
desaparece en el portal de Office365 del usuario
Windows Azure Active Directory
User
On-Premises IdentityEx: Domain\Alice
Cloud IdentityEx: [email protected]
Directory Synchronization with one way Password Hash
![Page 11: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/11.jpg)
Eliminación de usuarios Usuarios, grupos y contacto borrados desde on-premise serán borrados en WAAD.
Usuarios deshabilitados on-premise serán deshabilitados en WAAD. No se quitarán las licencias automáticamente.
Los objetos son recuperables dependiendo desde donde se eliminen.
![Page 12: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/12.jpg)
DirSync+Password vs ADFS
Solo se necesita un servidor.
Arquitectura más sencilla.
ADFS 2.1/3 ofrece un verdadero SSO.
No permite control de acceso por IP.
Ventajas Desventajas
![Page 13: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/13.jpg)
Demo
![Page 14: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/14.jpg)
Requisitos de DirSync
![Page 15: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/15.jpg)
Requisitos Windows Server 2008R2+ (noDC*) Windows Installer 4.5 or later Windows PowerShell version 2.0 .NET FW 3.5 o 4.0 SQL Server 2008R2+**
![Page 16: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/16.jpg)
Requisitos II Microsoft Online Services Sign-In Assistant
Administrador: Enterprise en local* para crear la cuenta MSOL_AD_Sync Global en cloud
Nivel funcional de dominio 2003+
![Page 17: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/17.jpg)
Requisitos: PuertosService Protocol Port
LDAP TCP/UDP 389Kerberos TCP/UDP 88
DNS TCP/UDP 53Kerberos Change
PasswordTCP/UDP 464
RPC TCP 135RPC randomly
allocated high TCP ports
TCP1024 - 65535
49152 - 655351
SMB TCP 445SSL TCP 443SQL TCP 1433
![Page 18: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/18.jpg)
Consideraciones
![Page 19: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/19.jpg)
Consideraciones Sufijos UPN .local, .loc, .internal, etc no están soportados
Cuentas de sistema (p.ej, Administrador) no se sincronizan.
Limite 300.000 objetos. Si son mas podemos ampliarlo llamando a soporte.
Las licencias hay que asignarlas manualmente.
![Page 20: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/20.jpg)
Referencias
![Page 21: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/21.jpg)
Referencias DirSync
http://technet.microsoft.com/en-us/library/jj151800.aspx
Gestión de usuarios con WAADhttp://technet.microsoft.com/en-us/library/hh852415.aspx
Atributos de AD que se sincronizanhttp://support.microsoft.com/kb/2256198
![Page 22: Sincronizándonos con office 365, integración con nuestro AD existente](https://reader033.vdocuments.net/reader033/viewer/2022042714/5560b7d2d8b42af43b8b4b61/html5/thumbnails/22.jpg)
Gracias!!!
Alberto Pascual – MVP en [email protected] | @guruxp
Mario Cortés – MVP en [email protected]