TechDay – Madrid

Alberto Pascual – MVP en Office365a.pascual@outlook.com | @guruxp

Mario Cortés – MVP en Office365mcortes@plainconcepts.com | @mariocortesf

Sincronizándonos con Office 365, integración con nuestro AD existente

Agenda Cómo funciona DirSync Demo Requisitos y consideraciones

Cómo funciona el login de Office365?

El login de Office365

WAAD

• Desde cloud• Sincronizada• Federada

Local AD

Cómo funciona DirSync

DirSync Sincroniza objetos de un directorio on-premise con WAAD. Usuarios, grupos, contactos.

Facilita el mantenimiento de identidades.

Pensado para escenarios híbridos. No esta pensado como herramienta de migración.

Sincronización Sincronización es on-premise -

> cloud Excepto si se activa “write-back”.

Se sincroniza cada 3h Cada 2 minutos para contraseñas* Se puede forzar con el cmdlet Start-OnlineCoexistenceSync

La primera sincronización es completa y el resto delta.

Nuevos objetos y modificaciones se envían a Office365. No se envían todos los atributos La asignación de licencias no es automático

Windows Azure Active Directory

User

On-Premises IdentityEx: Domain\Alice

Cloud IdentityEx: alice@contoso.com

Directory Synchronization

Scope Define los elementos a excluir durante la sincronización.

Niveles: Por dominio de AD. Basado en Unidad Organizativa. Basado en atributo de usuario.

Escenarios Simple Con contraseñas* Single Sign-on Multiforest con single Sign-on

Contraseñas El usuario hace login con la

misma contraseña en on-premise y en cloud.

Se sincroniza un hash de la contraseña.

Aplica dos políticas: Password Complexity PolicyPassword Expiration Policy

Se aplican las políticas locales El botón de “Cambiar contraseña”

desaparece en el portal de Office365 del usuario

Windows Azure Active Directory

User

On-Premises IdentityEx: Domain\Alice

Cloud IdentityEx: alice@contoso.com

Directory Synchronization with one way Password Hash

Eliminación de usuarios Usuarios, grupos y contacto borrados desde on-premise serán borrados en WAAD.

Usuarios deshabilitados on-premise serán deshabilitados en WAAD. No se quitarán las licencias automáticamente.

Los objetos son recuperables dependiendo desde donde se eliminen.

DirSync+Password vs ADFS

Solo se necesita un servidor.

Arquitectura más sencilla.

ADFS 2.1/3 ofrece un verdadero SSO.

No permite control de acceso por IP.

Ventajas Desventajas

Demo

Requisitos de DirSync

Requisitos Windows Server 2008R2+ (noDC*) Windows Installer 4.5 or later Windows PowerShell version 2.0 .NET FW 3.5 o 4.0 SQL Server 2008R2+**

Requisitos II Microsoft Online Services Sign-In Assistant

Administrador: Enterprise en local* para crear la cuenta MSOL_AD_Sync Global en cloud

Nivel funcional de dominio 2003+

Requisitos: PuertosService Protocol Port

LDAP TCP/UDP 389Kerberos TCP/UDP 88

DNS TCP/UDP 53Kerberos Change

Password TCP/UDP 464RPC TCP 135

RPC randomly allocated high TCP

portsTCP 1024 - 65535

49152 - 655351

SMB TCP 445SSL TCP 443SQL TCP 1433

Consideraciones

Consideraciones Sufijos UPN .local, .loc, .internal, etc no están soportados

Cuentas de sistema (p.ej, Administrador) no se sincronizan.

Limite 300.000 objetos. Si son mas podemos ampliarlo llamando a soporte.

Las licencias hay que asignarlas manualmente.

Referencias

Referencias DirSync

http://technet.microsoft.com/en-us/library/jj151800.aspx Gestión de usuarios con WAAD

http://technet.microsoft.com/en-us/library/hh852415.aspx Atributos de AD que se sincronizan

http://support.microsoft.com/kb/2256198

Gracias!!!

Alberto Pascual – MVP en Office365a.pascual@outlook.com | @guruxp

Mario Cortés – MVP en Office365mcortes@plainconcepts.com