Configuración del cumplimiento de grupos de AD en Microsoft Entra Cloud Sync (versión preliminar)

Microsoft Entra Cloud Sync puede aprovisionar grupos en la nube para Active Directory local (AD). La aplicación de restricciones en grupos de AD permite designar grupos sincronizados específicos, de modo que los cambios solo puedan realizarse a través del servicio de aprovisionamiento de Microsoft Entra. Esta alineación entre Microsoft Entra ID y grupos de AD elimina la necesidad de un proceso de conciliación independiente y ayuda a garantizar que se conceda todo el acceso a través de Microsoft Entra.

Importante

La aplicación de grupos de AD se encuentra actualmente en versión preliminar. Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Prerequisites

Prerrequisito Detalles
Sistema operativo del controlador de dominio Windows Server 2022 o Windows Server 2025.
Rol de controlador de dominio La directiva debe instalarse en el controlador de dominio del rol PDCe.
Actualización de Windows en los controladores de dominio Actualice los controladores de dominio a una actualización de Windows Server acumulativa que contenga el código de cumplimiento del grupo de AD. La versión mínima de C:\Windows\System32\ntdsai.dll es 10.0.20348.5257 para Windows Server 2022 y 10.0.26100.32995 para Windows Server 2025. El código se distribuye en la actualización, pero está deshabilitado de forma predeterminada. Para comprobar la versión instalada, ejecute (Get-Item C:\Windows\System32\ntdsai.dll).VersionInfo.FileVersion en el controlador de dominio. En el caso de los entornos de prueba, puede usar en su lugar una compilación de Windows Server Insider Preview, que tiene la característica ya habilitada.
MSI de directiva de grupo para habilitar la característica Si no está usando una compilación de Windows Server Insider Preview, instale el MSI de directiva de grupo correspondiente en cada controlador de dominio para habilitar el código de aplicación que ya está incluido en la actualización del sistema operativo: Windows Server 2022 MSI, Windows Server 2025 MSI.
Host del agente de aprovisionamiento Instale el agente de aprovisionamiento en una máquina Windows Server 2019 o Windows Server 2022 que esté unida al dominio de AD. Use un entorno de prueba para esta versión preliminar.
licencia de Microsoft Entra Un inquilino de Microsoft Entra con licencias de Microsoft Entra ID P1 para configurar el aprovisionamiento de grupos en AD.
Función Administrador de dominio (necesario para ejecutar el script de PowerShell que instala la directiva).
Script de PowerShell Script Set-CloudSyncSOAPolicy.ps1 para configurar la directiva de cumplimiento, descargada del repositorio AzureAD/EntraIDGovernance en GitHub.

Para obtener la lista completa de los requisitos previos del agente de aprovisionamiento, consulte Requisitos previos para Microsoft Entra Cloud Sync.

Comprenda cómo funciona la aplicación de los grupos de AD

Después de instalar la actualización de Windows para la aplicación de grupos de AD en el controlador de dominio con la función PDCe, se crea un nuevo contenedor de directivas llamado SOA-Policies en CN=System,DC=<your domain>. La directiva tiene dos propósitos:

  • Almacena los identificadores de seguridad (SID) autorizados para realizar cambios en los objetos de AD marcados como aplicados. Si no hay ningún SID en la directiva, se considera que la directiva está desactivada. Cualquier usuario con permiso para actualizar el grupo puede actualizarlo como si la directiva no estuviera presente.
  • Almacena el estado actual de la directiva: Aplicado o Auditoría.
Modo Behavior
Aplicado Solo los SID permitidos como parte de la directiva pueden realizar cambios en los grupos habilitados para esta funcionalidad. La directiva impide las operaciones de modificación de LDAP y las restauraciones de objetos de la Papelera de reciclaje. La directiva permite las operaciones Add de LDAP, incluso si la operación de adición incluye el atributo msDS-ObjectSoa.
Auditoría Los cambios en el grupo se permiten según el modelo de control de acceso basado en rol (RBAC) de AD existente. La directiva emite un registro a Visor de eventos cuando un usuario que no está autorizado por la directiva actualiza un objeto. Para ver el evento, establezca el nivel de registro diagnóstico de seguridad en mínimo. Para obtener más información, consulte Registro de eventos de diagnóstico de AD y LDS.

El atributo msDS-ObjectSoa AD indica qué objetos están habilitados para la funcionalidad de cumplimiento. La directiva solo se aplica a los objetos que tienen este conjunto de atributos.

El cumplimiento de grupos de AD se suma al modelo de RBAC de AD existente. Coloca una restricción adicional sobre el modelo de RBAC existente, sin conceder acceso adicional.

Instalación del contenedor de SOA-Policies en el PDCe

Habilite la aplicación de grupos de AD en el controlador de dominio principal con la función de emulador de controlador de dominio principal (PDCe) y confirme que se haya creado el contenedor SOA-Policies. La aplicación de grupos de AD se puede habilitar mediante cualquiera de las siguientes rutas de acceso:

  • PDCe existentes de Windows Server 2022 o 2025: instale la última actualización acumulativa de Windows Server y, a continuación, instale el paquete MSI de Directiva de grupo correspondiente para habilitar la característica.
  • Entorno de prueba con una compilación de Windows Server Insider Preview: instale la compilación más reciente Windows Server Insider Preview, que ya tiene habilitada la característica. El paso MSI de directiva de grupo no es necesario.

  1. Configurar un servidor de Windows Server 2022 o Windows Server 2025 y promoverlo a un controlador de dominio. Omita este paso si ya tiene una PDCe.

  2. Instale la actualización de Windows Server acumulativa más reciente en el PDCe. Omita este paso si usa una compilación Windows Server Insider Preview.

  3. Reinicie el PDCe si la actualización de Windows se lo pide.

  4. Instale el paquete MSI de directiva de grupo correspondiente en el PDCe para habilitar el código de aplicación incluido ya en la actualización del sistema operativo. MSI utiliza un modelo de habilitación de tipo reversión de problemas conocidos (KIR). Omita este paso si usa una compilación de Windows Server Insider Preview:

  5. Reinicia el controlador de dominio.

  6. Confirme que SOA-Policies existe en CN=System,DC=<your domain> (sustituya el nombre de dominio real). El contenedor puede tardar entre 5 y 10 minutos en aparecer.

    Captura de pantalla de ADSI Edit que muestra el contenedor CN=SOA-Policies en CN=System.

Para una aplicación total en todo el dominio, repita la actualización del sistema operativo y la instalación del MSI de Directiva de grupo en cada controlador de dominio que deba aplicar la directiva.

Instale la directiva en modo de aplicación o de auditoría

Una vez implementado el SOA-Policies contenedor, instale el agente de aprovisionamiento de Cloud Sync y ejecute el script de PowerShell que configura el modo de directiva:

  1. Instale el agente de aprovisionamiento de Microsoft Entra Cloud Sync. Para obtener instrucciones de instalación, consulte Instalación del agente de aprovisionamiento de Microsoft Entra Cloud Sync.

  2. Descargue el Set-CloudSyncSOAPolicy.ps1 script de PowerShell del repositorio azureAD/EntraIDGovernance en GitHub.

  3. Abra PowerShell como administrador.

  4. Cambie el directorio a la carpeta que contiene el script.

  5. Ejecute el script. Cuando se le solicite, especifique Enforced como modo:

    .\Set-CloudSyncSOAPolicy.ps1 -EnforcementMode Enforced -Credential (Get-Credential -Message "Enter Domain Admin credentials (format: DOMAIN\Username)")

  6. Confirme que SOAPolicy está configurado con la palabra clave Enforced.

Para configurar la directiva en modo "what-if" en su lugar, ejecute el script con -EnforcementMode Audit.

Marcar un grupo para la aplicación

Marque un grupo para su aplicación estableciendo el atributo msDS-ObjectSoa en Cloud mediante la asignación de atributos de Cloud Sync.

  1. En la configuración del aprovisionamiento de grupos en AD de Cloud Sync, edite las asignaciones de atributos.
  2. Agregue msDS-ObjectSoa como atributo de destino con el valor Cloud. Puede hacer una de estas dos cosas:
    • Configúrelo como una asignación constante, que establece la propiedad para todos los grupos dentro del ámbito o
    • Configure una expresión que limite los grupos para los que se establece la propiedad.
  3. Asigne los grupos que desea probar al ámbito de aprovisionamiento.
  4. Aprovisionar el grupo bajo demanda o iniciando el ciclo de sincronización.

Para obtener más información sobre cómo configurar el aprovisionamiento de grupos en Active Directory, consulte Configuración del aprovisionamiento de Microsoft Entra ID para Active Directory.

Comprobación de que el atributo está establecido en el grupo

Use ADSI Edit en un controlador de dominio para confirmar que la directiva se aplica al grupo local:

  1. Abra ADSI Edit.

  2. Seleccione Ver>características avanzadas.

  3. Vaya al grupo y abra Propiedades.

  4. Confirme que la propiedad msDS-ObjectSoa esté configurada en el grupo.

    Captura de pantalla de la pestaña Editor de atributos de un grupo de Active Directory en ADSI Edit, en la que se muestra el conjunto de atributos msDS-ObjectSoa.

Cambiar entre los modos Aplicación y Auditoría

Para cambiar el modo, vuelva a ejecutar Set-CloudSyncSOAPolicy.ps1 con el nuevo valor para -EnforcementMode:

.\Set-CloudSyncSOAPolicy.ps1 -EnforcementMode Audit -Credential (Get-Credential -Message "Enter Domain Admin credentials (format: DOMAIN\Username)")

Añadir una cuenta de emergencia

Puede agregar el SID de un usuario autorizado adicional a la directiva para que el usuario pueda realizar cambios en los grupos forzados en el entorno local.

  1. Abra ADSI Edit.

  2. Vaya a CN=SOA-Policies>CN=CloudSyncSOAPolicy.

  3. Abra el Editor de atributos.

  4. Edite el atributo msDS-Settings y agregue el SID de la cuenta de emergencia.

    Captura de pantalla de Editor ADSI que muestra como se edita el atributo msDS-Settings debajo de CN=SOA-Policies en el Editor de cadenas de varios valores con un valor SID.

Visualización de eventos de cumplimiento en el registro de eventos

Para ver los eventos de auditoría relacionados con cambios no autorizados:

  1. Establezca el valor Diagnóstico de seguridad en 1 en el registro. Para obtener más información, consulte Registro de eventos de diagnóstico de AD y LDS.
  2. Abra Visor de eventos y vea el registro de eventos de Servicios de directorio.

Solucionar problemas de la directiva de cumplimiento

Si la aplicación de las restricciones de grupos de AD no se comporta según lo previsto (por ejemplo, los cambios en el entorno local que deberían bloquearse se siguen procesando), utilice el script Check-CloudSyncSOAPolicy.ps1 para confirmar que la aplicación de las restricciones de grupos de AD está habilitada en el controlador de dominio.

  1. Descargue el Check-CloudSyncSOAPolicy.ps1 script del repositorio AzureAD/EntraIDGovernance en GitHub.
  2. Inicie sesión en el controlador de dominio que desea validar.
  3. Abra PowerShell como administrador.
  4. Cambie el directorio a la carpeta que contiene el script.
  5. Ejecute el script. Informa de si la directiva de cumplimiento de grupos de AD está habilitada en ese controlador de dominio.

Si el script informa de que la directiva no está habilitada, compruebe que:

  • La actualización acumulativa más reciente de Windows Server está instalada en el controlador de dominio, o bien está ejecutando una compilación Insider Preview de Windows Server.
  • La MSI de directiva de grupo coincidente se instala en el controlador de dominio y la máquina se reinicia después.
  • El SOA-Policies contenedor existe en CN=System,DC=<your domain>.

Pruebe la política

Use estos casos de prueba de ejemplo para validar la configuración:

  • Actualice la pertenencia de un grupo aplicado en el entorno local con una cuenta no autorizada. El cambio debe bloquearse.
  • Cambie la directiva a Auditar y repita la prueba. Se permite el cambio y aparece un evento en el registro de eventos de Servicios de directorio.
  • Agregue un SID a SOA-Policies como una cuenta de emergencia e intente realizar una actualización con la cuenta de emergencia.
  • Intente identificar una forma de eludir o vulnerar la directiva y actualizar un grupo en el entorno local.

Comportamiento conocido y limitaciones en esta versión preliminar

  • Solo se admiten objetos de grupo en esta versión preliminar. Aunque la funcionalidad de cumplimiento de AD se puede aplicar tanto a grupos como a usuarios, aún no se admite el aprovisionamiento de usuarios en AD a través del agente de aprovisionamiento.
  • La conversión del origen de autoridad de un grupo en Microsoft Entra no bloquea automáticamente el grupo en AD. Debe completar la configuración de este artículo para marcar un grupo como bloqueado a través del aprovisionamiento de grupos en AD.
  • Actualmente, la aplicación no impide eliminaciones.
  • Las limitaciones existentes del aprovisionamiento de grupos en AD siguen aplicándose durante esta versión preliminar.
  • Se procesa un cambio realizado en un objeto bloqueado si se produce en un controlador de dominio en el que la aplicación de grupos de AD no está habilitada. Para el bloqueo completo, habilite la característica en cada controlador de dominio mediante la actualización acumulativa de Windows Server y la MSI de directiva de grupo o una compilación de Windows Server Insider Preview.

Contenido relacionado

  • Last updated on