Office
Iniciar sesión

Preparar el aprovisionamiento de usuarios a Office 365 mediante la sincronización de directorios

El aprovisionamiento de usuarios con la sincronización de directorios requiere más planificación y preparación en comparación con la opción de simplemente administrar su cuenta profesional o educativa directamente en Office 365. Las tareas de planificación y preparación adicionales son necesarias para asegurarse de que su Active Directory local se sincronice correctamente con Azure Active Directory. Las ventajas añadidas para la organización son:

  • Reducción de los programas administrativos de la organización

  • Habilitación de los escenarios de inicio de sesión único opcional

  • Automatización de los cambios de cuenta en Office 365

Para obtener más información sobre las ventajas que supone usar la sincronización de directorio, consulte Guía de sincronización de directorios y Descripción de Identidad de Office 365 y Azure Active Directory.

Para determinar cuál es el mejor escenario para su organización, revise la comparación de herramientas de integración de directorios.

Tareas de limpieza de directorios

Antes de comenzar a sincronizar el directorio, debe limpiarlo.

Revise también los atributos sincronizados a Azure Active Directory por Azure AD Connect.

Advertencia: Si no realiza la limpieza de directorios antes de sincronizar, el proceso de implementación puede verse afectado de forma negativa. Puede tardar días o incluso semanas en revisar el ciclo de sincronización de directorios, identificar los errores y volver a realizar la sincronización.

En el directorio local, realice las siguientes tareas de limpieza:

  • Asegúrese de que cada usuario al que se le asignará las ofertas de servicio de Office 365 tenga una dirección de correo electrónico válida y exclusiva en el atributo proxyAddresses.

  • Quite todos los valores duplicados en el atributo proxyAddresses.

  • Si es posible, asegúrese de que cada usuario al que se le asignen ofertas de servicio de Office 365 tenga un valor válido y único para el atributo userPrincipalName del objeto user del usuario. Para una mejor experiencia de sincronización, asegúrese de que el UPN de Active Directory local coincide con el UPN en la nube. Si un usuario no tiene un valor para el atributo userPrincipalName, el objeto user debe contener un valor válido y único para el atributo sAMAccountName. Elimine todos los valores duplicados en el atributo userPrincipalName.

  • Para un uso óptimo de la lista global de direcciones (GAL), asegúrese de que la información en los siguientes atributos sea correcta:

    • nombre

    • apellido

    • nombre para mostrar

    • Puesto

    • Departamento

    • Oficina

    • Teléfono del trabajo

    • Teléfono móvil

    • Número de fax

    • Calle

    • Ciudad

    • Estado o provincia

    • Código postal

    • País o región

Objetos de directorio y preparación de atributos

La correcta sincronización de directorios entre su directorio local y Office 365 requiere que los atributos del directorio local se hayan preparado correctamente. Por ejemplo, debe asegurarse de no usar caracteres específicos en determinados atributos que se sincronizan con el entorno de Office 365. La presencia de caracteres inesperado no genera un error de sincronización de directorios, pero puede devolver una advertencia. La presencia de caracteres no válidos provocará un error de sincronización de directorios.

También se producirá un error de sincronización de directorios si algunos de los usuarios de Active Directory tienen uno o varios atributos duplicados. Cada usuario debe tener atributos únicos.

Los atributos que necesita preparar se muestran aquí:

NOTA: También puede utilizar la herramienta IdFix para hacer este proceso mucho más fácilmente.

  • displayName

    • Si el atributo existe en el objeto de usuario, se sincronizará con Office 365.

    • Si el atributo existe en el objeto de usuario, debe tener un valor asignado. Esto significa que el atributo no puede estar vacío.

    • Número máximo de caracteres: 256

  • givenName

    • Si el atributo existe en el objeto de usuario, se sincronizará con Office 365, pero Office 365 no lo requerirá ni lo usará.

    • Número máximo de caracteres: 64

  • mail

    • El valor del atributo debe ser único dentro del directorio.

      Nota: Si hay valores duplicados, se sincroniza el primer usuario con el valor. Los siguientes usuarios no aparecerán en Office 365. Debe modificar el valor en Office 365, o bien modificar ambos valores en el directorio local para que ambos usuarios aparezcan en Office 365.

  • mailNickname (alias de Exchange)

    • El valor del atributo no puede comenzar con un punto (.).

    • El valor del atributo debe ser único dentro del directorio.

  • proxyAddresses

    • Atributos de valores múltiples

    • Cantidad máxima de caracteres por valor= 256

    • El valor del atributo no debe contener un espacio.

    • El valor del atributo debe ser único dentro del directorio.

    • Caracteres no válidos: < > ( ) ; , [ ] “

      Los caracteres no válidos se aplican a los caracteres que siguen al delimitador o a ":", de modo que SMTP:User@contso.com es válido, pero SMTP:user:M@contoso.com no.

      Importante: Todas las direcciones de Protocolo simple de transferencia de correo (SMTP) deben cumplir las normas de mensajería de correo. Si existen direcciones duplicadas o no deseadas, consulte el tema de Ayuda Eliminar direcciones proxy duplicadas o no deseadas en Exchange.

  • sAMAccountName

    • Número máximo de caracteres: 20

    • El valor del atributo debe ser único dentro del directorio.

    • Caracteres no válidos: [ \ “ | , / : < > + = ; ? * ]

    • Si un usuario tiene un atributo sAMAccountName no válido, pero tiene un atributo userPrincipalName válido, se crea la cuenta de usuario en Office 365.

    • Si sAMAccountName y userPrincipalName no son válidos, el atributo de Active DirectoryuserPrincipalName local debe actualizarse.

  • sn (apellido)

    • Si el atributo existe en el objeto de usuario, se sincronizará con Office 365, pero Office 365 no lo requerirá ni lo usará.

  • targetAddress

    Es necesario que el atributo targetAddress (por ejemplo, SMTP:juan@contoso.com) que se rellena para que el usuario figure en la GAL de Office 365. En los escenarios de migración de mensajes de terceros, esto requeriría la extensión del esquema de Office 365 para el directorio local. La extensión del esquema de Office 365 también agregaría otros atributos útiles para administrar objetos Office 365 que se hayan rellenado mediante la herramienta de sincronización de directorios del directorio local. Por ejemplo, se agregaría el atributo msExchHideFromAddressLists para administrar los buzones de correo ocultos o los grupos de distribución.

    • Número máximo de caracteres: 256

    • El valor del atributo no debe contener un espacio.

    • El valor del atributo debe ser único dentro del directorio.

    • Caracteres no válidos: \ < > ( ) ; , [ ] “

      Todas las direcciones de Protocolo simple de transferencia de correo (SMTP) deben cumplir las normas de mensajería de correo.

  • userPrincipalName

    • El atributo userPrincipalName debe tener el formato de inicio de sesión estilo Internet, donde el nombre de usuario está seguido del signo de arroba (@) y de un nombre de dominio; por ejemplo, usuario@contoso.com.

      Todas las direcciones de Protocolo simple de transferencia de correo (SMTP) deben cumplir las normas de mensajería de correo.

    • El número máximo de caracteres del parámetro userPrincipalName es 113. Se permite un número específico de caracteres antes y después del símbolo arroba (@), tal como se indica a continuación:

      • Número máximo de caracteres del nombre de usuario situado delante del signo (@): 64

      • Número máximo de caracteres para el nombre de dominio después de la arroba (@): 48

    • Caracteres no válidos: \ % & * + / = ?  { } | < > ( ) ; : , [ ] “

      la diéresis también es un carácter no válido.

    • El carácter @ es necesario en cada valor userPrincipalName.

    • El carácter @ no puede ser el primer carácter en cada valor userPrincipalName.

    • El nombre de usuario no puede terminar en un punto (.), una signo & (&), un espacio o un signo de arroba (@).

    • El nombre de usuario no puede contener espacios.

    • Deben usarse dominios enrutables; por ejemplo, no puede usar dominios internos o locales.

    • Unicode se convierte a guiones bajos.

    • userPrincipalName no puede contener valores duplicados en el directorio.

Preparar el atributo userPrincipalName

Active Directory está diseñado para permitir que los usuarios finales de la organización inicien sesión en su directorio mediante sAMAccountName, o bien userPrincipalName. De forma similar, los usuarios finales pueden iniciar sesión en Office 365 con el nombre principal de usuario (UPN) de sus cuenta profesional o educativa. La sincronización de directorios intenta crear usuarios en Azure Active Directory con el mismo UPN que está en el directorio local. El UPN tiene el formato de una dirección de correo electrónico. En Office 365, el UPN es el atributo predeterminado que se usa para generar la dirección de correo electrónico. Es fácil obtener userPrincipalName (de manera local y en Azure Active Directory) y la dirección de correo electrónico principal en proxyAddresses establecida en distintos valores. Cuando se establecen en distintos valores, puede generar confusión a los administradores y usuarios finales.

Es mejor alinear estos atributos para reducir la confusión. Para cumplir los requisitos de inicio de sesión único con Servicios de federación de Active Directory (ADFS) 2.0, debe asegurarse de que las UPN de su Azure Active Directory y su Active Directory local coinciden y está usando un nombre de dominio válido.

Agregar un sufijo UPN alternativo para AD DS

Puede que deba agregar un sufijo UPN alternativo para asociar las credenciales corporativas del usuario con el entorno de Office 365. Un sufijo UPN es la parte de un UPN a la derecha del carácter @. Los UPN que se usan para el inicio de sesión único pueden contener letras, números, puntos, guiones y guiones bajos, pero ningún otro tipo de carácter.

Para obtener más información sobre cómo agregar un sufijo UPN alternativo a Active Directory, consulte Prepararse para la sincronización de directorios.

Haga coincidir el UPN local con el de Office 365

Si ya ha configurado la sincronización de directorios, es posible que el UPN del usuario para Office 365 no coincida con el UPN local del usuario definido en el servicio de directorio local. Esto puede suceder cuando se ha asignado una licencia a un usuario antes de que se comprobara el dominio. Para corregir esto, use PowerShell para corregir UPN duplicados para actualizar el UPN del usuario y asegurarse de que el UPN de Office 365 coincida con el nombre y el dominio corporativos del usuario. Si está actualizando el UPN en el servicio de directorio local y quiere que se sincronice con la identidad de Azure Active Directory, deberá quitar la licencia de usuario en Office 365 antes de comenzar los cambios en local.

Consulte también Cómo preparar un dominio no enrutable (por ejemplo, el dominio .local) para la sincronización de directorios

Herramientas de integración de directorios

La sincronización de directorios es la sincronización de objetos de directorio (usuarios, grupos y contactos) de su entorno local de Active Directory con la infraestructura de directorios de Office 365, Azure Active Directory. Vea Herramientas de integración de directorios para obtener una lista de las herramientas disponibles y sus características. La herramienta recomendada es Microsoft Azure Active Directory Connect. Para más información sobre Azure Active Directory Connect, vea Integración de las identidades locales con Azure Active Directory.

Al sincronizar por primera vez las cuentas de usuario con el directorio de Office 365, se marcan como no activadas. No pueden enviar o recibir correo ni consumen licencias de suscripción. Cuando esté listo para asignar suscripciones de Office 365 a usuarios específicos, debe seleccionarlos y activarlos asignándoles una licencia válida.

También puede usar PowerShell para asignar licencias. Consulte Cómo usar PowerShell para asignar licencias a sus usuarios de Office 365 automáticamente para obtener una solución automatizada.

Icono pequeño de LinkedIn Learning ¿Usa Office 365 por primera vez?
Descubra cursos en vídeo gratuitos para administradores de Office 365 y profesionales de TI, ofrecidos por LinkedIn Learning.

Temas relacionados

Integración de Office 365 con entornos locales
Corregir problemas con la sincronización de directorios de Office 365

Ampliar sus conocimientos de Office
Explorar los cursos
Obtener nuevas características primero
Únase a los participantes de Office Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×