Cuando incorporas una nueva Unidad Organizativa (OU) a tu bosque local y pretendes que sus objetos aparezcan en Microsoft Entra ID (antes Azure AD) y, por extensión, en Microsoft 365, la sincronización híbrida se convierte en un punto crítico. A continuación encontrarás una guía completa—con contexto, procedimientos paso a paso y comprobaciones de salud—para conseguir que la nueva OU se sincronice sin provocar eliminaciones masivas ni objetos huérfanos.
Cómo funciona Azure AD Connect y por qué una OU nueva puede “desaparecer”
Azure AD Connect replica objetos desde Active Directory (AD) on‑premises hacia Entra ID mediante un motor de metasincronización. Este motor aplica tres filtros antes de exportar nada a la nube:
- Filtrado por dominio/OU (Domain/OU filtering). Es el más común. Solo se sincronizan contenedores marcados en el asistente.
- Scoped filters. Reglas adicionales a nivel de atributo que incluyen o excluyen objetos específicos (por ejemplo,
user.accountEnabled ‑eq $true). - Sync rules avanzadas. Definen cómo se transforman los atributos entre el conector de AD y el de Entra ID.
Cuando mueves un usuario a una OU que no está marcada, el objeto se elimina durante el siguiente ciclo. Si lo devuelves a la OU original, vuelve a aparecer porque entra de nuevo en el ámbito de sincronización. El comportamiento puede llegar a producir borrados masivos (accidental deletions) si la nueva estructura organiza a cientos de usuarios.
Preparación: inventario y copia de seguridad de la configuración actual
Antes de cualquier cambio ejecuta:
Import-Module ADSyncConfig
Export-ADSyncServerConfiguration -Path "C:\Respaldos\ADConnectConfig-$(Get-Date -Format yyyyMMdd).xml"
Obtendrás un archivo XML con todos los conectores, reglas y filtros. Si algo va mal, podrás restaurar la configuración con Import-ADSyncServerConfiguration.
Extender el alcance de sincronización para incluir la nueva OU
Sigue este procedimiento en la instancia de Azure AD Connect que está en modo activo (no en staging):
- Inicia sesión en el servidor que hospeda Azure AD Connect con una cuenta con permisos de AD DS Enterprise Admin y Entra ID Global Admin.
- Abre Azure AD Connect y elige Configure ► Customize synchronization options.
- Introduce las credenciales cuando te las solicite: primero las de Entra ID y después las del bosque local.
- En la página Domain/OU Filtering marca la nueva OU y deja seleccionadas todas las que ya se sincronizaban.
- Finaliza el asistente. Al acabar, no marca automáticamente un ciclo completo; por eso ejecuta:
Import-Module ADSync
Start-ADSyncSyncCycle -PolicyType Initial
El parámetro -PolicyType Initial fuerza una sincronización completa (Full Sync) que recorre cada objeto y regla. Dependiendo del tamaño del directorio, puede tardar varios minutos u horas.
Verificaciones después del cambio
| Punto de control | Herramienta | Indicador de éxito |
|---|---|---|
| OU incluida | Azure AD Connect | La casilla aparece marcada en Domain/OU Filtering. |
| Ciclo de sincronización | PowerShell | Get-ADSyncScheduler muestra InProgress = False y LastRunStatus = Success. |
| Exportación | Synchronization Service Manager | Runs ► Export ► Completed – No Errors. |
| Obj. en la nube | Entra ID portal | Los nuevos usuarios aparecen con Source = Windows Server AD. |
Inspección de filtrado adicional (Scoped Filters y reglas personalizadas)
Incluso con la OU marcada, un usuario puede quedar fuera si una regla a nivel de atributo lo excluye. Revisar:
- En Synchronization Rules Editor filtra por tipo Inbound y conector AD Connector.
- Examina las condiciones (Scoping filter) de cada regla activa. Ejemplo:
user.department ‑eq "Cloud"excluirá todo lo que no cumpla. - Si ajustas una regla, clona la existente y deshabilita la original; así mantienes histórico.
- Vuelve a lanzar un ciclo completo.
Las scoped filters se aplican antes de las reglas de transformación. Cualquier cambio incorrecto puede provocar eliminaciones invisibles hasta la fase de exportación, donde aparecen como delete.
Múltiples servidores de Azure AD Connect y el riesgo del modo Staging
Un diseño resiliente suele incluir un segundo servidor en staging mode. Sin embargo:
- Solo uno debe estar “activo”. Si ambos están activos, la configuración más reciente sobrescribe a la otra y genera un bucle de cambios.
- En staging, el servidor procesa import y sincronización, pero no exporta. Útil para validar antes de la puesta en producción.
- Cuando alternes el rol, vuelve a lanzar
Start-ADSyncSyncCycle -PolicyType Initial.
Reproducir la selección de OUs entre producción y staging
A falta de un cmdlet “oficial” que modifique el filtrado de OUs por PowerShell, la vía avalada por Microsoft es exportar la configuración y volverla a importar:
Exportar la configuración desde producción
Import-Module ADSyncConfig
Export-ADSyncServerConfiguration -Path "C:\ADConnectConfig.xml"
Importar en staging con sobreescritura
Copy-Item "C:\ADConnectConfig.xml" "\\ServidorStaging\C$\"
Import-Module ADSyncConfig
Import-ADSyncServerConfiguration -Path "C:\ADConnectConfig.xml" -OverwriteConflictingConnector
Ejecutar un ciclo de sincronización completo
Import-Module ADSync
Start-ADSyncSyncCycle -PolicyType Initial
El parámetro -OverwriteConflictingConnector garantiza que los conectores del servidor staging adopten exactamente la configuración exportada: nombres, GUIDs, reglas y, por supuesto, OUs.
¿Por qué no modificar las reglas directamente via PowerShell?
Las reglas de Azure AD Connect se almacenan en la base de Metadirectory Services (MIIS). Alterarlas con Set-ADSyncRule o editando el archivo MiisServer.exe.config es técnicamente posible pero no está documentado; un error dejaría la instalación en estado inconsistente. Usa siempre el asistente o la export‑import.
Usuarios “sincronizados” que no aparecen en Microsoft 365
A veces el log muestra Success pero los usuarios no se ven en el centro de administración:
- Fase de exportación Comprueba Synchronization Service Manager ► Operations ► Export. Los errores más comunes:
- missing‑mandatory‑attributes: falta UPN o
mail. - duplicateAttr: UPN duplicado.
- largeObject: un atributo supera el tamaño permitido (por ejemplo, thumbnailPhoto >100 KB).
- missing‑mandatory‑attributes: falta UPN o
- Coincidencia de atributos Los usuarios deben tener un UPN único y un correo principal (
mailoproxyAddresses). El sufijo UPN (@dominio.com) ha de estar verificado en Entra ID. - Licenciamiento Un objeto puede existir en Entra ID pero no en “Usuarios activos” de Microsoft 365 si carece de licencia. Revisa:
- Asignación automática (grupos de licencias).
- Politicas de service plans (ej. ExchangeOnline).
- Restricciones de suscripción (límite alcanzado, expiración).
- Conectores en staging Si hay varios servidores, asegúrate de que el que exporta es el que ejecuta los cambios. El staging no exporta, por lo que los objetos se “quedan” en el metadirectorio local.
Evitar eliminaciones accidentales (Accidental Deletions)
Azure AD Connect incluye un umbral por defecto de 500 eliminaciones por ciclo (Delete Threshold). Si aplicas un filtro incorrecto y superas el límite:
Set-ADSyncScheduler -SyncCycleEnabled $false
Deshabilita la programación y corrige la configuración. Cuando estés seguro:
Set-ADSyncScheduler -SyncCycleEnabled $true
También puedes ajustar el umbral:
Set-ADSyncAADCompanyFeature -CompanyDeletionThreshold 1000
Establecerlo demasiado alto elimina la “red de seguridad”. Mantén un valor acorde al tamaño de tu directorio.
Comandos de referencia rápida
| Acción | Comando |
|---|---|
| Forzar Full Sync | Start-ADSyncSyncCycle -PolicyType Initial |
| Ver estado del scheduler | Get-ADSyncScheduler |
| Exportar configuración | Export-ADSyncServerConfiguration |
| Importar configuración | Import-ADSyncServerConfiguration |
| Parar la planificación | Set-ADSyncScheduler -SyncCycleEnabled $false |
| Cambiar Delete Threshold | Set-ADSyncAADCompanyFeature -CompanyDeletionThreshold <N> |
| Mostrar reglas activas | Get-ADSyncRule | Where-Object {$.Direction -eq 'Inbound' -and $.Enabled -eq 'True'} |
Preguntas frecuentes
¿Cuánto tarda en reflejarse un cambio de OU?
Depende del intervalo del scheduler (30 min ≈ Δ por defecto), la latencia de servicios Entra ID y si ejecutas un ciclo completo. Con -PolicyType Delta suele bastar, pero tras grandes cambios usa -PolicyType Initial.
¿Puedo sincronizar dos bosques independientes a la misma organización M365?
Sí, usa conectores múltiples en Azure AD Connect. Todos comparten la base MIIS. Vigila los sufijos UPN y los atributos de coincidencia (sourceAnchor).
¿Cómo elimino definitivamente una OU de la sincronización?
Desmarca la OU en Domain/OU Filtering, lanza Full Sync y, cuando sea seguro, reduce el delete threshold. Alternativamente, habilita staging para validar.
Conclusión
Sincronizar una nueva OU con Azure AD y Microsoft 365 implica algo más que marcar una casilla: requiere comprender cómo filtra y transforma datos Azure AD Connect, exportar‑importar configuraciones de forma controlada y monitorizar los ciclos de sincronización. Siguiendo las prácticas descritas—respaldo de configuración, verificación de reglas y control de licencias—garantizarás que los objetos permanezcan accesibles y que tus usuarios dispongan de una identidad coherente en todos los servicios.