Elimina Azure AD Connect y haz que todos los objetos AD se gestionen en la nube
En un entorno híbrido, a muchos administradores les resulta difícil gestionar usuarios y objetos de correo electrónico en las instalaciones. Permisos en la nube. Miembros de grupos en ambos sitios
¿Quieres solucionar esto y gestionar la gestión completa de todos los objetos de usuario, grupos de distribución, buzones de correo contactos en la nube?
¿Cuáles son las ventajas de Azure AD objetos gestionados?
- Fácil gestión en Microsoft 365.
- Los grupos tienen gestores y pueden ser gestionados fácilmente por terceros.
- El cambio a la nube está claro. Se acabó la confusión.
- El autoservicio y la AMF son más fáciles de implantar.
- No hay dependencias en la infraestructura local.
- Infraestructuras modernas armadas contra los riesgos de ciberseguridad.
- Entorno ágil y dinámico no atado a los sistemas del entorno corporativo.
¿Desventajas de un corte híbrido?
- Los usuarios existen "dos veces". Tienes un uso on-premises y online con idéntico nombre de usuario.
- El AD local obtiene nuevos usuarios.
- Las contraseñas ya no se sincronizan desde tu AD local.
- El autoservicio con recuperación de contraseña y otras funciones que utilizas de la nube a las instalaciones desaparecen instantáneamente.
Opinión
Si optas por la nube completa, se recomienda migrar más servicios a Microsoft 365 y Azure para que disminuya la dependencia de tus propios sistemas. Por tanto, es mejor aplicar este escenario sólo cuando hayas decidido eliminar gradualmente tu Directorio Activo y otras aplicaciones y continuar en la Nube.
¿Cómo hacer que todos los objetos AD sean sólo en la nube?
Instalar módulo MSOnline
Este usuario está sincronizado por ahora. (ver a la derecha)
Connect-Msolservice
Introduce tu nombre de usuario y contraseña.
Ya estás conectado al Servicio Msol
Set-MsolDirSyncEnabled -ActivarDirsync $False
Pueden pasar hasta 72 horas antes de que veas el estado de tus usuarios. Esto depende del número de usuarios. Más información: Microsoft Docs
Sincronización detenida
Ya puedes azure Ad quitar conectar.
Si no continúas con Azure AD Conectar, desinstala también este programa.
Si quieres ir lejos y volver con la sincronización, ejecuta el Azure AD Asistente de conexión.
Lee también
Windows 10 instalar + llevar el dispositivo a la gestión moderna con Intune
Añadir dispositivos en Endpoint Manager - Azure AD o Hybrid Join
¿Cómo instalar Azure AD preview módulo con PowerShell?
Haz que tu organización sea más segura en un clic con Azure AD Security Valores predeterminados
Hola,
En el caso de que haya varios bosques sincronizados con el mismo tenant , ¿cómo se hace para eliminar un bosque y conservar los objetos de la nube?
Hola! Puedes eliminar la sincronización y hacer que todos los objetos estén en la nube cuando la desactives desde el nivel tenant . El bosque múltiple es un escenario soportado. https://docs.microsoft.com/en-us/azure/active-directory/hybrid/plan-connect-topologies Yo pediría ayuda al Soporte de Microsoft. O trabaja con un socio de soporte avanzado o premier, que podría ayudarte a averiguarlo. Saludos, Jasper
Gran artículo Jasper. Muchas gracias por una pieza valiosa en el mundo AD. Me cuesta entender qué ocurrirá después de la PARADA DE SINCRONIZACIÓN de AD onprem a AAD. Básicamente, cuando todos los grupos on prem Security se sincronizan a través de ADConnect con AAD, ya sean grupos habilitados para correo o sólo security , y luego se decide detener la sincronización de estos grupos, ¿qué ocurre? ¿Cómo puedo remediar el acceso de los usuarios y asegurarme de que no se ven afectados por la detención de la sincronización?
Te agradecería mucho que me aclararas esta cuestión.
Gran artículo, ¡muchas gracias!
What happens with all the local AD joined computers? I have for example a domain user with a domain joined PC (and the user is local admin on the PC), that I migrate to cloud only.
As I understand, after the migration, the user will be cloud only and the domain<->cloud sync will be gone, but the computer (and the local domain user) is still connected to the local AD.
Will I need to reinstall the PCs?
¡Gracias Christian por la respuesta! Creo que lo mejor es reinstalar los PC o volver a conectarse desde el dominio e iniciar sesión en Microsoft 365. (igual que el paso 9 -> https://365tips.be/ windows-10-install-device-in-modern-administration/)
Hay algunas herramientas que puedes encontrar en Google que ayudan a este cambio a escala. Pero yo soy más partidario de reiniciar y tener una estación de trabajo limpia.
Las identidades pueden permanecer en AD local, con sincronización a Azure AD.
Los dispositivos sólo pueden eliminarse de AD unidos a AAD. (con la misma identidad)
¡Estoy deseando ver cómo va!
Jasper
Gracias por la rápida respuesta.
Creo que tendré que hacer algunas pruebas para ver cómo resulta todo, antes de empezar la migración propiamente dicha. La organización que voy a migrar no es muy grande, así que para simplificar las cosas, creo que acabaré migrando sólo los usuarios y luego reinstalaré los PC de uno en uno.
Te mantendré informado 🙂 .
/Christian