Implementación de la sincronización de contraseñas con la sincronización de Azure Active Directory
Actualizado: 22 de julio de 2015
Importante
Este tema se archivará pronto.
Hay un nuevo producto denominado "Azure Active Directory Conectar" que reemplaza AADSync y DirSync.
Azure AD Connect incorpora los componentes y la funcionalidad publicados previamente como Dirsync y Sincronización de AAD.
En algún momento en el futuro, finalizará la compatibilidad con Dirsync y Sincronización de AAD.
Estas herramientas ya no se actualizan individualmente con mejoras de características y todas las mejoras futuras se incluirán en las actualizaciones de Azure AD Conectar.
Con la sincronización de contraseña, permite a los usuarios usar la misma contraseña que utilizan para iniciar sesión en su Active Directory local para iniciar sesión en Azure Active Directory.
El objetivo de este tema es proporcionarle la información necesaria para entender cómo funciona la característica de sincronización de contraseña y cómo habilitarla en su entorno.
Qué es la sincronización de contraseña
La sincronización de contraseña es una característica del servicio de sincronización de Azure Active Directory (Azure AD Sync) que sincroniza contraseñas de usuario desde su Active Directory local a Azure Active Directory (“Azure AD”). Esta característica permite a los usuarios iniciar sesión en sus servicios de Azure Active Directory (como Office 365, Microsoft Intune, CRM Online, etc.) con la misma contraseña que usan para iniciar sesión en la red local. Es importante tener en cuenta que esta característica no proporciona una solución de inicio de sesión único (SSO) ya que no se comparten ni intercambian tokens en el proceso basado en la sincronización de contraseña.
Nota
Para obtener más información sobre los Servicios de dominio de Active Directory configurados para la sincronización de contraseñas y FIPS, consulte Error de sincronización de contraseñas en sistemas compatibles con FIPS.
Disponibilidad de la sincronización de contraseña
Cualquier cliente de Azure Active Directory es apto para ejecutar la sincronización de contraseña. Vea a continuación la información de compatibilidad de la sincronización de contraseña y otras características como la autenticación federada.
Debe ejecutar la versión de octubre o una versión superior de Azure AD Sync para habilitar la sincronización de contraseña (la versión está disponible en la descarga del instalador .exe). Puede descargar la versión más reciente de Sincronización de Azure AD mediante este vínculo.
Cómo funciona la sincronización de contraseña
La sincronización de contraseña es una extensión de la característica de sincronización de directorios implementada por la herramienta de sincronización de directorios. En consecuencia, la característica necesita que se configure la sincronización de directorios entre su Active Directory local y Azure Active Directory.
El Servicio de dominio de Active Directory almacena contraseñas en forma de representación de valor hash de la contraseña de usuario real. La contraseña hash no se puede usar para iniciar sesión en su red local. Además, está diseñada de modo que no se puede reservar para acceder a la contraseña sin formato del usuario. Para sincronizar una contraseña, Azure AD Sync extrae el hash de contraseña del usuario del Active Directory local. Se aplica un procesamiento de seguridad adicional a la contraseña hash antes de sincronizarla al servicio de autenticación de Azure Active Directory. El flujo de datos reales del proceso de sincronización de contraseñas es similar al de sincronización de datos de usuario, como el nombre para mostrar o las direcciones de correo electrónico.
Las contraseñas se sincronizan con mayor frecuencia que la ventana de sincronización de directorios estándar para otros atributos. Las contraseñas se sincronizan por usuario y normalmente en orden cronológico. Cuando la contraseña de un usuario se sincronice desde el AD local a la nube, se sobrescribirá la contraseña de la nube existente.
Cuando se habilite por primera vez la característica de sincronización de contraseña, esta realizará una sincronización inicial de las contraseñas de todos los usuarios en el ámbito desde el Active Directory local a Azure Active Directory. No puede definir explícitamente el conjunto de usuarios cuyas contraseñas se sincronizarán en la nube. Por consiguiente, cuando un usuario local ha cambiado una contraseña, la característica de sincronización de contraseña detecta y sincroniza la contraseña cambiada, muy a menudo en cuestión de minutos. La característica de sincronización de contraseña reintenta automáticamente las sincronizaciones de contraseña de usuario que han fallado. Si se produce un error durante un intento de sincronizar una contraseña, el error se registra en el visor de eventos.
La sincronización de una contraseña no influye en los usuarios con la sesión iniciada en ese momento. Si un usuario que tiene la sesión iniciada en un servicio en la nube también cambia la contraseña local, la sesión del servicio en la nube seguirá sin interrupciones. Sin embargo, tan pronto como el servicio en la nube requiera que el usuario se vuelva a autenticar, se deberá proporcionar la nueva contraseña. En ese punto, el usuario debe proporcionar la nueva contraseña: la contraseña que se ha sincronizado recientemente desde el Active Directory local a la nube.
Consideraciones sobre la seguridad
Al sincronizar contraseñas, la versión de texto sin formato de la contraseña de un usuario no se expone a la característica de sincronización de contraseña ni a Azure AD o a cualquiera de los servicios asociados.
Además, no es necesario que el Active Directory local almacene la contraseña en un formato cifrado de manera reversible. Un resumen de la contraseña hash de Windows Active Directory se usa para la transmisión entre el AD local y Azure Active Directory. El resumen del hash de contraseña no se puede usar para acceder a recursos en el entorno local del cliente.
Consideraciones de la directivas de contraseñas
Hay dos tipos de directiva de contraseñas que se ven afectados por la habilitación de la sincronización de contraseña:
Directiva de complejidad de contraseñas
Directiva de expiración de contraseñas
Directiva de complejidad de contraseñas
Al habilitar la sincronización de contraseña, las directivas de complejidad de contraseñas configuradas en el Active Directory local anulan las directivas de complejidad que pueda haber definidas en la nube para los usuarios sincronizados. Esto significa que cualquier contraseña válida en el entorno de Active Directory local del cliente se puede usar para acceder a los servicios de Azure AD.
Nota:
Las contraseñas para los usuarios que se crean directamente en la nube siguen estando sujetas a las directivas de contraseñas tal como se definen en la nube.
Directiva de expiración de contraseñas
Si un usuario está en el ámbito de la sincronización de contraseña, la contraseña de la cuenta en la nube se establece en "No caducar nunca". Esto significa que es posible que la contraseña de un usuario caduque en el entorno local y que este pueda seguir iniciando sesión en los servicios en la nube usando la contraseña caducada.
La contraseña en la nube se actualizará la próxima vez que el usuario cambie la contraseña en el entorno local.
Sobrescribir contraseñas sincronizadas
Un administrador puede restablecer manualmente una contraseña de usuario con Azure Active Directory PowerShell.
En este caso, la nueva contraseña invalidará la contraseña sincronizada del usuario y todas las directivas de contraseñas definidas en la nube se aplicarán a la nueva contraseña.
Si el usuario vuelve a cambiar la contraseña local, la nueva contraseña se sincronizará en la nube e invalidará la contraseña actualizada manualmente.
Preparar la sincronización de contraseña
El inquilino de Azure Active Directory debe estar habilitado para la sincronización de directorios antes de poder estar habilitado para la sincronización de contraseña.
Habilitar la sincronización de contraseña
La sincronización de contraseña se habilita al ejecutar el Asistente para configuración de Azure AD Sync.
En la página del cuadro de diálogo Características opcionales, active la casilla “Sincronización de contraseña”.
.jpg "Optional features")
Nota
Este proceso activa una sincronización completa. Los ciclos de sincronización completa suelen tardar más en completarse que otros ciclos de sincronización.
Administración de la sincronización de contraseña
Puede supervisar el progreso de la sincronización de contraseña a través del registro de eventos de la máquina que ejecuta Azure AD Sync.
Determinar el estado de la sincronización de contraseña
Puede determinar qué usuarios sincronizaron sus contraseñas revisando los eventos que coinciden con los siguientes criterios:
| Source | Id. de evento |
|---|---|
Sincronización de directorios |
656 |
Sincronización de directorios |
657 |
Los eventos con el id. de evento 656 proporcionan un informe de solicitudes de cambio de contraseña procesadas:
.jpg "Event ID 656")
Los eventos correspondientes con el id. 657 proporcionan el resultado de estas solicitudes:
.jpg "Event ID 657")
En los eventos, los objetos afectados se identifican por su delimitador y el valor DN. El valor del delimitador corresponde al valor ImmutableId que el cmdlet Get-MsoUser devuelve para un usuario.
Además de los identificadores de objeto, el id. de evento ID 656 proporciona la fecha en que la contraseña del usuario se cambió en el Active Directory local:
.jpg "Password Change Request")
El id. de evento 657 tiene el campo Resultado además de los identificadores de objeto de origen para indicar el estado de sincronización del objeto de usuario en cuestión.
Una contraseña sincronizada correctamente está en un evento con el id. de evento 657 indicado por un valor de Correcto para el atributo Resultado. Cuando se produce un error en el intento de sincronización de contraseñas, el valor del atributo Resultado es Error:
.jpg "Password Change Result")
Deshabilitar la sincronización de contraseña
La sincronización de contraseña se deshabilita al volver a ejecutar el Asistente para configuración de Azure AD Sync.
Cuando se lo solicite el Asistente, anule la activación de la casilla “Sincronización de contraseña”.
Nota
Este proceso activa una sincronización completa. Los ciclos de sincronización completa suelen tardar más en completarse que otros ciclos de sincronización.
Después de ejecutar el Asistente para la configuración, el inquilino ya no tendrá que sincronizar contraseñas. Los cambios de las nuevas contraseñas se sincronizarán en la nube. Los usuarios que sincronizaron sus contraseñas previamente podrán seguir iniciando sesión con esas contraseñas hasta que cambien las contraseñas en la nube manualmente.
Consulte también
Conceptos
sincronización de Azure Active Directory