Funcionamiento de la sincronización de directorios de Outlook Live para Live@edu

 

Se aplica a: Live@edu

Última modificación del tema: 2013-01-23

 

importantImportante:
Outlook Live Directory Sync (OLSync) es la solución de sincronización para los clientes de Live@edu de Microsoft. Si está ejecutando un servicio de correo electrónico basado en la nube con Microsoft Office 365 para empresas, debe usar la herramienta Microsoft Online Services - Sincronización de directorios para sincronizar los directorios.

Outlook Live Directory Sync (OLSync) es una herramienta de sincronización de directorios que se usa para replicar y sincronizar información de usuario entre Servicios de dominio de Active Directory (AD DS) o el servicio de directorio Active Directory local y Outlook Live. El objetivo de la sincronización de directorios consiste en representar una única entidad en bases de datos de identidades diferentes y en mantener la información sobre dicha entidad coherente y actualizada. Además, OLSync aprovisiona cuentas automáticamente en Outlook Live basándose en cómo ha configurado OLSync y los objetos de destinatario local.

OLSync se ha diseñado para simplificar la compleja tarea de sincronización de directorios. Antes de implementar OLSync, tiene que saber muy bien cómo funciona la sincronización de directorios y conocer algunos de los conceptos básicos de las herramientas de administración de identidades admitidas, Microsoft Forefront Identity Manager (FIM) 2010y Microsoft Identity Lifecycle Manager (ILM) 2007. Existen dos versiones de OLSync: la versión de 64 bits usa FIM 2010 como motor de sincronización de directorios, mientras que la versión de 32 bits usa ILM 2007.

Además, necesita entender cómo OLSync determina qué objetos de destinatario local hay que incluir en la sincronización y aprovisionamiento. Y, finalmente, debe entender cómo la configuración concreta de los objetos de destinatario y OLSync determinan el comportamiento final de la sincronización y el aprovisionamiento de los objetos de destinatario resultantes en Outlook Live.

Importancia de estos conocimientos

  • Planeación   Una comprensión de cómo funciona OLSync le ayudará a planear la implementación inicial y el aprovisionamiento de las cuentas. La implementación de una infraestructura básica de OLSync es relativamente sencilla, pero si una organización aumenta de tamaño o desea implementar dominios de Outlook Live adicionales en el futuro, tendrá que saber cuál es la mejor forma de planear la sincronización de directorios en una implementación más compleja.

  • Seguridad   Es importante que sepa qué objetos de destinatario se replican en el dominio de Outlook Live y cómo afecta esto a la privacidad y seguridad. Por ejemplo, datos de los destinatarios como nombre, teléfono, puesto, oficina y otra información personal, se sincronizan con la libreta de direcciones compartida de Outlook Live, en la que quedan expuestos. Asimismo, tendrá que crear cuentas de servicio en las distintas ubicaciones de la organización que tengan derechos elevados.

  • Solución de problemas   Después de configurar OLSync, su ejecución y mantenimiento no son complicados. Sin embargo, durante la implementación es preciso realizar varias configuraciones manuales que pueden ser susceptibles a errores. Unos conocimientos adecuados del funcionamiento de OLSync le ayudarán a solucionar los problemas de conexión y configuración que puedan surgir.

En este tema se describe lo siguiente:

Terminología básica de administración de identidades

Como FIM 2010 e ILM 2007 son los motores de sincronización de directorios que usa OLSync, resulta muy útil comprender los siguientes términos en relación con estas herramientas.

 

Término Definición

Agente de administración de Active Directory (ADMA)

Agente de administración de FIM 2010 o ILM 2007 proporcionado por Microsoft para conectar con AD DS o Active Directory.

Espacio conector

Área de almacenamiento provisional de FIM 2010 o ILM 2007 que contiene representaciones de objetos y atributos seleccionados en un origen de datos conectado, como AD DS o Active Directory. El espacio conector contiene una imagen reflejada del origen de datos conectado en un momento determinado.

Entrada del espacio conector

Objeto del espacio conector de FIM 2010 o ILM 2007 que se crea mediante la importación de datos del origen de datos conectado o mediante el aprovisionamiento. Estos objetos contienen valores de atributo que se pueden importar o exportar desde los objetos correspondientes del origen de datos conectado o el metaverso.

Agente de administración de Outlook Live (OLMA)

Agente de administración de FIM 2010 o ILM 2007 proporcionado por Microsoft para conectar con Outlook Live.

Agente de administración

Componente de FIM 2010 o ILM 2007 formado por las propiedades, las reglas y las extensiones de reglas que determinan cómo se procesa un objeto. Un único agente de administración puede tener uno o varios perfiles de ejecución que determinan su propio comportamiento, por ejemplo cómo o cuándo se ejecuta el agente de administración. Cada agente de administración tiene un espacio conector asociado.

Metaverso

Almacén de datos que usa FIM 2010 o ILM 2007 para contener toda la información de identidad agregada procedente de varios orígenes de datos conectados. Proporciona una vista única e integrada de todos los objetos combinados. El metaverso es el repositorio de identidad esencial para FIM 2010 o ILM 2007. Con frecuencia, se lo denomina metadirectorio.

Sincronización

Operación de FIM 2010 o ILM 2007 que copia información del espacio conector en el metaverso y viceversa, y aplica las reglas adecuadas a los datos.

Existen dos tipos de operaciones de importación y sincronización: completa y "delta". Cuando se configura un nuevo espacio conector se produce inicialmente una importación o sincronización completa. En las operaciones subsiguientes solamente se sincronizan los datos nuevos o modificados, es decir, el "delta" o diferencia, desde la última sincronización. Las operaciones delta son mucho más rápidas. Sin embargo, podría ser necesario realizar de nuevo operaciones completas en algún momento como consecuencia de ciertos tipos de condiciones de error. FIM 2010 o ILM 2007 solicita que se ejecute una operación completa si es preciso.

Si actualiza los archivos binarios incluidos con OLSync o si modifica las reglas predeterminadas, por ejemplo configurando flujos de atributos personalizados, debe ejecutar también un ciclo de sincronización completo.

Principio de página

Lógica de filtrado de OLSync

El filtrado se produce durante la operación de importación en un ciclo de sincronización. El objetivo de filtrar es determinar qué objetos de destinatario de AD DS o Active Directory local deberían copiarse en el metaverso para la sincronización.

Cuando se ejecuta OLSync, FIM 2010 o ILM 2007 filtra los objetos en el orden siguiente. Después de filtrar un objeto, FIM 2010 o ILM 2007 no lo vuelve a evaluar ni se copia el objeto en el metaverso para su sincronización.

  1. Objetos de destinatario que no tienen los atributos necesarios   FIM 2010 o ILM 2007 lee los siguientes objetos de destinatario. Si alguno de los atributos necesarios está vacío (es nulo), se filtra el objeto de destinatario.

     

    Tipo de objeto de destinatario Atributos necesarios

    Usuario habilitado para buzón de correo

    mail, legacyExchangeDN, proxyAddresses

    Usuario habilitado para correo electrónico

    mail, targetAddress

    Usuario (solo AD DS o Active Directory; sin Microsoft Exchange instalado)

    mail

    Contacto habilitado para correo

    mail, targetAddress

    Grupo de distribución, grupo de distribución dinámico o grupo de seguridad

    mail, proxyAddresses, mailNickName

  2. Objetos de destinatario donde el atributo adminCount está establecido en 1   El atributo adminCount se usa para identificar a usuarios en grupos de administradores protegidos, como los Administradores de dominio y Administradores. Si el atributo adminCount está establecido en 1 en cualquier objeto de destinatario, se filtrará.

  3. Objetos de usuario habilitado para correo electrónico especificados como planes de correo electrónico, buzones de correo de detección o buzones de correo de arbitraje   El atributo msExchRecipientTypeDetails se usa para identificar buzones de correo que se especifican como planes de buzón de correo, buzones de correo de detección o buzones de correo de arbitraje. Se filtran estos usuarios habilitados para buzón de correo.

  4. El atributo de correo en un usuario AD DS o solo Active Directory que no coincide con el dominio del aprovisionamiento   En un entorno local donde no se ha instalado Microsoft Exchange, OLSync deja fuera del filtro todos los objetos de usuario en los que el atributo de correo no contiene ninguna dirección SMTP que coincida con el dominio de aprovisionamiento.

  5. El atributo usado para generar el identificador de Microsoft no coincide con ninguno de los dominios aceptados   El último paso filtra los objetos de destinatario que están configurados para aprovisionamiento automático pero no tienen un dominio aceptado en el atributo empleado para generar el identificador de Microsoft.

    El atributo usado para generar el identificador de Microsoft debe contener un nombre de dominio que coincida con uno de los dominios aceptados que ha configurado en Outlook Live. Como se describe en el paso 4, de forma predeterminada, OLSync busca una coincidencia con el nombre principal del usuario (UPN), a menos que haya establecido el parámetro MVWindowsLiveIdAttributeName para que emplee un atributo diferente. En este caso, OLSync coincide con la dirección SMTP que está almacenada en el atributo que ha especificado en el parámetro MVWindowsLiveIdAttributeName. En cualquier caso, si OLSync no encuentra una coincidencia con un dominio aceptado, se filtrará el objeto de destinatario.

Principio de página

¿Cómo se sincroniza cada objeto?

Ahora explicaremos cómo los distintos tipos de objeto de destinatario se sincronizan desde su dominio local en Outlook Live.

Antes de describir cómo se trata cada tipo de objeto de destinatario, vamos a estudiar varios conceptos importantes.

 

Término Definición

Objetos de entidad de seguridad

Objetos de Active Directory que tienen asignados identificadores de seguridad (SID), que se pueden usar para iniciar sesión en la red y a los que se puede asignar acceso a los recursos del dominio.

Dominio de aprovisionamiento

Nombre del dominio de Outlook Live que va a configurar con OLSync. Al implementar OLSync, debe escribir de forma manual al menos un dominio de aprovisionamiento, por ejemplo student.contoso.edu, durante el proceso de configuración de FIM 2010 o ILM 2007. El dominio de aprovisionamiento tiene que ser un dominio aceptado en la implementación de Outlook Live.

Para simplificar la configuración del enrutamiento del correo entre su organización local y Outlook Live, recomendamos que el dominio de aprovisionamiento también sea un dominio autoritativo en su organización de Outlook Live. Con esta configuración, el atributo targetAddress de usuarios habilitados para correo local hará referencia al dominio autoritativo en Outlook Live. Por consiguiente, el correo electrónico enviado al usuario habilitado para correo local se enrutará al buzón de correo de Outlook Live correspondiente sin configuración de enrutamiento local adicional.

Dominio aceptado

Cualquier espacio de nombres SMTP con el que una organización de Outlook Live envía o recibe correo electrónico. OLSync usa los datos de dominio aceptado de Outlook Live para determinar qué tipo de objetos de destinatario de Exchange crear en el dominio de Outlook Live. Para más información, vea Dominios aceptados.

Esquema local

Además del dominio aceptado de Outlook Live, el esquema de Active Directory que se ejecuta de forma local también dicta qué tipo de objetos de destinatario de Exchange crea OLSync en el dominio de Outlook Live. OLSync actúa en un esquema de Active Directory donde no se ha instalado Microsoft Exchange. OLSync también actúa en el esquema de Active Directory donde se han instalado Microsoft Exchange Server 2003 o versiones posteriores de Microsoft Exchange.

atributo targetAddress

targetAddress es un atributo de Active Directory de objetos de destinatario de Exchange. En un entorno de Exchange, el atributo targetAddress se expone como la dirección externa y se emplea para enrutar correo electrónico.

En el contexto de la sincronización y el aprovisionamiento de OLSync, los dominios aceptados son importantes. Como procedimiento recomendado, todos los dominios del bosque local se deben representar y configurar como dominios aceptados en la implementación de Outlook Live. Además, todos los usuarios del bosque local deben tener nombres principales de usuario (UPN) que coincidan con uno de los dominios aceptados en la implementación de Outlook Live. Un cambio importante en la versión más reciente de OLSync es la forma de administrar los nuevos dominios aceptados cuando OLSync ya se haya ejecutado. Dependiendo de la configuración, OLSync puede eliminar o crear nuevos objetos de destinatario en exOutlookLive si agrega o quita un dominio aceptado.

Por ejemplo, piense en una organización con usuarios habilitados para correo local cuyos atributos targetAddress no coinciden con un dominio aceptado de Outlook Live. Cuando se ejecuta OLSync, los contactos externos se aprovisionan en Outlook Live de forma que se correspondan con los usuarios habilitados para correo local. Ahora, el administrador agrega un dominio aceptado a Outlook Live que coincide con los atributos targetAddress de los usuarios habilitados para correo. La próxima vez que se ejecute OLSync, los contactos externos que se crearon previamente se eliminarán y, en su lugar, se crearán usuarios habilitados para buzones de correo.

Objetos de usuario habilitado para correo electrónico

Un objeto de usuario habilitado para correo electrónico es un objeto de entidad de seguridad de Active Directory que tiene asociada una dirección SMTP como mínimo. De manera predeterminada, un objeto de usuario habilitado para correo electrónico tiene los atributos mail, targetAddress y proxyAddresses. De manera predeterminada, cada uno de estos atributos tiene el mismo valor de correo electrónico.

Cuando OLSync encuentra un objeto de usuario habilitado para correo electrónico en el bosque local, crea uno de los tres tipos de objetos siguientes en la organización de Outlook Live correspondiente, según el atributo targetAddress del usuario habilitado para correo electrónico.

  • El usuario habilitado para correo electrónico se sincroniza con Outlook Live como un objeto de usuario habilitado para buzón de correo   Si el atributo targetAddress del usuario habilitado para correo electrónico coincide con un dominio de aprovisionamiento, se aprovisionará un buzón de correo de Outlook Live para el usuario. El parámetro MVWindowsLiveIdAttributeName controla el identificador de Microsoft resultante para el usuario aprovisionado. De forma predeterminada, el identificador de Microsoft coincidirá con el UPN del usuario local.

  • El usuario habilitado para correo se sincroniza con Outlook Live como un usuario habilitado para correo electrónico   Si el atributo targetAddress del usuario habilitado para correo no coincide con un dominio de aprovisionamiento, pero coincide con un dominio aceptado en la organización de Outlook Live, se crea un usuario habilitado para correo en Outlook Live. No obstante, no se crea un identificador de Microsoft para esta cuenta.

  • El usuario habilitado para correo se sincroniza con Outlook Live como un contacto externo   Si el atributo targetAddress del usuario habilitado para correo electrónico no coincide con un dominio de aprovisionamiento ni con ningún dominio aceptado en la organización de Outlook Live, se crea un contacto externo en Outlook Live. Outlook Live representa a los usuarios externos como contactos externos, mientras que los usuarios habilitados para correo representan a los usuarios internos. OLSync distingue a los usuarios internos y externos en función de si el atributo targetAddress asociado coincide con un dominio aceptado o no.

Objetos de usuario habilitado para buzón de correo

Un objeto de usuario habilitado para buzón de correo es un objeto de entidad de seguridad de Active Directory que tiene atributos específicos de Exchange, como homeMDB.

Al ejecutar OLSync, los objetos de usuario habilitado para buzón de correo de la organización local se sincronizan con el centro de datos de Microsoft como objetos de usuario habilitado para correo electrónico o contactos de correo. Dicho de otro modo, la libreta de direcciones de Outlook Live contiene todos los usuarios de la organización local.

Los objetos de usuario habilitado para buzón de correo no tienen ningún atributo targetAddress en Active Directory. Por consiguiente, cuando OLSync se ejecuta, lee el atributo proxyAddresses para determinar cómo sincronizar el objeto con Outlook Live.

Si el atributo proxyAddresses contiene una dirección SMTP principal que coincide con un dominio aceptado de Outlook Live, se crea un usuario habilitado para correo. Para enrutamiento de correo electrónico, el atributo targetAddress del usuario habilitado para correo correspondiente de Outlook Live coincidirá con la dirección SMTP principal de usuario habilitado para buzón de correo local.

Si, por otro lado, el atributo proxyAddresses no contiene ninguna dirección SMTP principal que coincida con un dominio aceptado de Outlook Live, se crea un contacto de correo.

Contactos de correo

Un contacto de correo no es un objeto de entidad de seguridad. Es un objeto que tiene al menos una dirección SMTP asociada. Use los contactos de correo para representar a las personas externas a su organización que tengan direcciones de correo electrónico externas y a quienes los usuarios de su organización envíen correo con frecuencia.

Cuando OLSync encuentra un objeto de contacto para correo en el bosque local, crea uno de los dos tipos de objeto siguientes en la organización de Outlook Live correspondiente, según el atributo targetAddress del contacto externo.

  • El contacto de correo se sincroniza con Outlook Live como un contacto externo   Si el atributo targetAddress del contacto de correo no coincide con un dominio aceptado de Outlook Live, se crea un contacto externo en Outlook Live.

  • El contacto de correo se sincroniza con Outlook Live como un usuario habilitado para correo electrónico   Si el atributo targetAddress del contacto de correo coincide con un dominio aceptado de la organización de Outlook Live, se crea un usuario habilitado para correo electrónico en Outlook Live.

Grupos

Un grupo puede ser un grupo de seguridad o un grupo de distribución de correo electrónico, que se denomina "grupo público" en Outlook Live. Los grupos de seguridad son objetos de entidad de seguridad. Es posible habilitar un grupo de seguridad para correo, pero no es un procedimiento recomendado.

Los grupos de distribución de correo electrónico, los grupos de seguridad y los grupos de distribución dinámicos no tienen un atributo targetAddress en sus objetos respectivos en Active Directory. Por tanto, cuando OLSync se ejecuta, lee el atributo proxyAddresses para detectar la dirección SMTP principal que, a su vez, determina cómo sincroniza OLSync el objeto con Outlook Live.

Si la dirección SMTP principal de un grupo de distribución de correo electrónico, un grupo de seguridad o un grupo de distribución dinámico dado está establecida en cualquier dominio aceptado, se sincronizarán con Outlook Live como usuarios habilitados para correo. Los grupos cuya dirección SMTP principal no coincide con un dominio aceptado se sincronizan en Outlook Live como contactos de correo externos. En ambos casos, los grupos que se sincronizan en Outlook Live no exponen los objetos del grupo local a los usuarios de Outlook Live.

Guía rápida de cómo se sincronizan los objetos

En las tablas siguientes se resume cómo se sincronizan los objetos. En la primera tabla se muestra los objetos de destinatario presentes en una organización que está ejecutando Microsoft Exchange. En la segunda tabla se muestra un objeto de usuario en una organización de Active Directory donde no se ha instalado Microsoft Exchange.

 

Objeto de destinatario local: Microsoft Exchange local Configuración del objeto de destinatario local Sincronizado con Outlook Live como:

Usuario habilitado para correo electrónico

El atributo targetAddress del objeto de destinatario local está establecido en el dominio de aprovisionamiento.

Usuario habilitado para buzón de correo

Usuario habilitado para correo electrónico

El atributo targetAddress del objeto de destinatario local está establecido en el dominio aceptado que no es un dominio de aprovisionamiento.

Usuario habilitado para correo electrónico

Usuario habilitado para correo electrónico

El atributo targetAddress del objeto de destinatario local no está establecido en el dominio de aprovisionamiento ni en el dominio aceptado.

Contacto externo

Contacto de correo

El atributo targetAddress del objeto de destinatario local no está establecido en el dominio de aprovisionamiento ni en el dominio aceptado.

Contacto externo

Contacto de correo

El atributo targetAddress del objeto de destinatario local está establecido en cualquier dominio aceptado.

Usuario habilitado para correo electrónico

Usuario habilitado para buzón de correo

La dirección SMTP principal del objeto de destinatario local está establecida en cualquier dominio aceptado.

Usuario habilitado para correo electrónico

Usuario habilitado para buzón de correo

La dirección SMTP principal del objeto de destinatario local no está establecida en cualquier dominio aceptado.

Contacto externo

Grupo de distribución, grupo de distribución dinámico o grupo de seguridad

La dirección SMTP principal del objeto de destinatario local está establecida en cualquier dominio aceptado.

Usuario habilitado para correo electrónico

Grupo de distribución, grupo de distribución dinámico o grupo de seguridad

La dirección SMTP principal del objeto de destinatario local no está establecida en el dominio de aprovisionamiento ni en el dominio aceptado.

Contacto externo

 

Objeto de destinatario local: solo Active Directory, sin Microsoft Exchange local Atributo mail del objeto de usuario local establecido en: Sincronizado con Outlook Live como:

Usuario de Active Directory

Dominio de aprovisionamiento

Usuario habilitado para buzón de correo

Contacto de Active Directory

 

No sincronizado

Dominio de aprovisionamiento, targetAddress y UPN

Cuando planee la implementación de OLSync y cómo aprovisionará a los usuarios, es importante que entienda la relación existente entre el dominio de aprovisionamiento, el atributo targetAddress y el atributo userPrincipalName. Necesitará preparar los objetos de destinatario en su dominio local antes de implementar OLSync. La forma en que se establezcan los atributos targetAddress y userPrincipalName en estos objetos de destinatario dictará cómo OLSync aprovisionará automáticamente a los usuarios.

OLSync usa el dominio de aprovisionamiento como un desencadenador para el aprovisionamiento. Debe especificar al menos un dominio de aprovisionamiento al configurar OLSync. Si el parámetro de dominio de aprovisionamiento de OLSync incluye un dominio que coincide con un valor de targetAddress de un usuario habilitado para correo electrónico determinado en el AD DS o el Active Directory local, se desencadenará el aprovisionamiento.

De forma predeterminada, si el nombre de dominio del nombre principal del usuario (UPN) local de un objeto de destinatario dado no coincide con un dominio aceptado, OLSync no aprovisionará a ningún usuario. Por otro lado, si el UPN local coincide con un dominio aceptado de Outlook Live, se realizará el aprovisionamiento.

De forma predeterminada, cuando OLSync aprovisiona un identificador de Microsoft para un usuario, el identificador de Microsoft del usuario aprovisionado coincide con el dominio del UPN local. Sin embargo, el identificador de Microsoft resultante para el usuario aprovisionado puede cambiarse mediante la configuración del parámetro MVWindowsLiveIdAttributeName.

El diagrama siguiente muestra cómo se puede sincronizar cada objeto de destinatario.

Flujo de sincronización de OLSync

Principio de página

 
Temas de ayuda relacionados
Cargando...
No se encontraron recursos.