MENU
  1. Inicio
  2. Microsoft 365
  3. Azure AD Connect y Entra: por qué tus OUs no aparecen y cómo sincronizar equipos con Hybrid Azure AD Join

Azure AD Connect y Entra: por qué tus OUs no aparecen y cómo sincronizar equipos con Hybrid Azure AD Join

Microsoft 365

Configuraste Azure AD Connect para sincronizar ciertas OUs y en Microsoft Entra no “aparecen”. No es un fallo de replicación de OUs: Entra no crea OUs. Esta guía explica por qué sucede y cómo lograr que los equipos se muestren como Dispositivos en Entra usando Hybrid Azure AD Join.

Índice

La idea clave

Microsoft Entra ID (antes Azure AD) no replica contenedores ni OUs. Solo sincroniza objetos (usuarios, grupos y dispositivos). Por eso nunca verás tus OUs “recreadas” en Entra. Los equipos de AD aparecerán en Entra como Dispositivos únicamente si están Hybrid Azure AD Joined (HAADJ) y cumplen los requisitos de registro.

Qué sí se sincroniza y dónde verlo

Elemento en AD¿Se replica a Entra?¿Dónde verlo en Entra?Notas
OU / contenedorNoNo aplicaEl filtrado por OU en AAD Connect solo limita qué objetos se consideran para sincronizar.
UsuarioIdentidad → UsuariosRequiere atributos válidos; IDFix ayuda para usuarios y grupos.
GrupoGruposSe aplican reglas de sincronización/alcance.
Equipo (computer)Sí, como DeviceDispositivos → Todos los dispositivosDebe estar HAADJ. Sin registro, no se crea el Device en Entra.

Síntomas frecuentes

  • AAD Connect configurado con filtrado por OU; las OUs “no aparecen” en Entra.
  • Las OUs contienen sobre todo objetos computer (por ejemplo, (Site) Display Computers).
  • IDFix sin errores; el solucionador de problemas de AAD Connect no arroja pistas.

Diagnóstico y solución paso a paso

Valida que necesitas equipos en Entra, no OUs

  1. Entra admin center → DevicesAll devices. Busca por nombre un equipo que exista en una OU “problemática”.
  2. Si no está, el problema no es que falte la OU: es que ese equipo no se ha registrado como dispositivo en Entra.

Habilita o verifica Hybrid Azure AD Join

En el servidor de AAD Connect, ejecuta el Asistente:

  1. Device optionsConfigure Hybrid Azure AD join. Incluye todos los bosques/dominios aplicables.
  2. OU Filtering: confirma que las OUs donde residen los equipos estén incluidas.
  3. Comprueba que se creó el Service Connection Point (SCP) en la partición de Configuration del bosque (bajo CN=Services). El asistente lo crea automáticamente.

Por qué importa: AAD Connect no “publica” equipos por sí mismo. El registro del equipo en Entra escribe el atributo userCertificate en el objeto computer on‑prem. Sin userCertificate, no se genera el Device en Entra.

Comprueba que los equipos estén realmente registrados

En Windows 10/11 o Windows Server 2012 R2+:

  • Abre una consola con privilegios de administrador y ejecuta:
dsregcmd /status

Debe mostrar AzureAdJoined : YES y DomainJoined : YES.

  • En Active Directory Users and Computers, abre las propiedades del equipo → Attribute Editor y confirma que existe userCertificate.
  • Revisa eventos en Event ViewerApplications and Services LogsMicrosoftWindowsUser Device Registration.

Si algunos equipos de la misma OU no se registran

  • GPO de registro: asegura que la directiva llegue a esos equipos: Equipo → Plantillas administrativas → Componentes de Windows → Device Registration → Register domain joined computers as devices = Enabled
  • Conectividad/Proxy: desde esos sitios o subredes, valida salida hacia los endpoints de registro (por ejemplo, enterpriseregistration.windows.net y login.microsoftonline.com). Los errores detrás de proxies autenticados en contexto de equipo son comunes.
  • Hora/TLS: desfases de tiempo, problemas de certificados raíz o TLS viejo suelen bloquear el registro silencioso. Asegura NTP correcto y protocolos/algoritmos modernos habilitados.
  • Estado del objeto: equipos deshabilitados o sin permisos adecuados no completan el registro.

Revisa reglas y permisos de sincronización

  • En Synchronization Rules Editor, confirma que no existan reglas personalizadas que excluyan objectClass=computer o filtren dispositivos.
  • En Synchronization Service Manager (miisclient.exe):
    1. Connectors → AD → Search Connector Space y busca un equipo de una OU afectada.
    2. Si no aparece en el conector de AD → problema de filtrado por OU o permisos de lectura del servicio de AAD Connect en esa OU.
    3. Si aparece como Filtered-Disconnector → alguna regla de alcance lo está filtrando.
    4. Verifica que la cuenta de AAD Connect tenga lectura sobre esas OUs.

Fuerza una sincronización completa

En el servidor de AAD Connect (PowerShell):

Start-ADSyncSyncCycle -PolicyType Initial

Luego, en miisclient, revisa en Operations si hay errores en Import/Sync/Export.

Guía de verificación rápida

  • Confirma expectativas: no verás OUs en Entra, solo objetos.
  • HAADJ habilitado en el asistente de AAD Connect; OUs de equipos incluidas.
  • En los equipos: AzureAdJoined : YES y atributo userCertificate presente.
  • GPO de registro aplicada y conectividad hacia endpoints de Entra sin bloqueo de proxy.
  • Sin reglas que filtren computer; permisos correctos en las OUs.
  • Sincronización completa ejecutada; revisa logs de AAD Connect y de User Device Registration.

Cómo organizar “por OU” dentro de Entra

Aunque Entra no tenga OUs, puedes simular esa organización con grupos dinámicos o Unidades administrativas (AUs) para delegación. Ejemplo de regla dinámica por OU on‑prem:

(device.onPremisesDistinguishedName -contains "OU=Display Computers,OU=Site,DC=contoso,DC=com")

Esta condición agrupa dispositivos en Entra basados en su DN on‑prem. Útil para asignar políticas de Intune, RBAC o segmentar reportes.

Tabla de decisiones: ¿por qué mi equipo no aparece como Dispositivo?

SíntomaCausa probableCómo comprobarAcción
No veo la OU en EntraEntra no replica OUsN/ABusca dispositivos, no OUs; usa grupos dinámicos para “simular” OUs.
Equipo no aparece en DispositivosNo está HAADJ / sin userCertificatedsregcmd /status; Attribute EditorHabilita HAADJ; repara registro; verifica GPO y SCP.
Algunos sitios nunca registranProxy/firewall bloquea registroPruebas de salida a endpoints; netsh winhttp show proxyPermite enterpriseregistration.windows.net y login.microsoftonline.com para contexto de equipo.
Objetos computer no llegan al espacio del conectorFiltrado por OU o permisosSearch Connector Space en miisclientIncluye OUs correctas; otorga lectura al servicio de AAD Connect.
Equipos aparecen como Filtered-DisconnectorRegla de alcance los excluyemiisclient → estado del objetoRevisa/ajusta reglas en Synchronization Rules Editor.
Cambios en filtrado no se reflejanFalta un ciclo de sincronización completoHistorial de Operations en miisclientStart-ADSyncSyncCycle -PolicyType Initial

Receta de registro silencioso estable

  1. Aplica la GPO de Device Registration a los equipos objetivo.
  2. Asegura que el servidor de AAD Connect tenga configurado HAADJ para todos los bosques/dominios relevantes y que el SCP exista.
  3. Permite salida sin autenticación de usuario, en contexto de equipo, hacia los endpoints de registro.
  4. Sincroniza relojes (Kerberos, tokens) y revisa la cadena de confianza de certificados.
  5. Verifica con dsregcmd /status y corrige cualquier error de Join antes de culpar al motor de sincronización.

Pruebas rápidas y comandos útiles

ObjetivoComandoQué esperar
Estado de unión a Entradsregcmd /statusAzureAdJoined : YES y DomainJoined : YES.
Forzar nuevo intento de registrodsregcmd /leave y luego ejecutar la tarea programada Automatic-Device-JoinRecrea userCertificate y renueva el registro.
Ver proxy de WinHTTPnetsh winhttp show proxyDirect access o el proxy configurado para cuenta de equipo.
Sincronización completaStart-ADSyncSyncCycle -PolicyType InitialImport/Sync/Export completos en Operations.
Buscar equipo en conectormiisclientSearch Connector SpaceEstado Connector o Joined; evitar Filtered-Disconnector.

Buenas prácticas para evitar sorpresas

  • Diseña el filtrado por OU con intención: incluye OUs de equipos reales, no solo contenedores “Display” que alojan objetos especiales o desatendidos.
  • Evita proxies que exigen autenticación de usuario para tráfico de registro de dispositivos; los equipos se registran en contexto de equipo.
  • Documenta el SCP y quién lo administra; evita que GPOs o hardening borren o modifiquen ese objeto.
  • Revisa staging mode si tienes varios AAD Connect: un servidor en staging no exporta. Asegura que el que exporta sea el esperado.
  • Multi‑bosque: configura HAADJ para cada bosque. Un equipo de un bosque no registrado no aparecerá, aunque otro bosque sí lo haga.

Preguntas frecuentes

¿Puedo “ver la OU” en Entra?
No. Entra carece de estructura de OUs. Emplea grupos dinámicos o Unidades administrativas para delegación y segmentación.

¿Por qué IDFix no me mostró errores?
IDFix se centra en atributos de usuarios y grupos. Los problemas de equipos y registro HAADJ se diagnostican con dsregcmd, eventos y userCertificate.

¿Mover un equipo de OU cambia algo en Entra?
El dispositivo seguirá siendo el mismo objeto en Entra. Si usas grupos dinámicos basados en onPremisesDistinguishedName, su pertenencia cambiará tras la próxima sincronización.

¿Qué versiones de Windows admiten HAADJ?
Windows 10/11 y Windows Server 2012 R2 o superiores. Sistemas más antiguos no completarán el registro moderno.

Caso práctico abreviado

  1. Empresa con OUs por sitio: OU=Display Computers,OU=SiteA, etc. En Entra no ven esas OUs.
  2. Verifican Devices y descubren que casi ningún equipo figura como Device.
  3. Habilitan HAADJ en el asistente, confirman SCP y amplían el filtrado por OU para incluir las OUs de equipos.
  4. GPO aplicada; validan dsregcmd /status. Donde falla, ajustan el proxy para permitir contexto de equipo.
  5. Ejecutan Start-ADSyncSyncCycle -PolicyType Initial. Los equipos comienzan a aparecer en Devices.
  6. Crean grupos dinámicos por DN on‑prem para administrar como si fueran OUs, sin depender de estructura jerárquica en Entra.

Checklist descargable para tu operación diaria

  • [ ] Entendimiento compartido: Entra no replica OUs, solo objetos.
  • [ ] HAADJ configurado en AAD Connect y SCP presente.
  • [ ] OUs de equipos incluidas en el filtrado.
  • [ ] Equipos con AzureAdJoined : YES y userCertificate en AD.
  • [ ] Conectividad a enterpriseregistration.windows.net y login.microsoftonline.com sin bloqueo en contexto de equipo.
  • [ ] Reglas de sincronización revisadas; sin filtros inesperados de computer.
  • [ ] Permisos de lectura del servicio de AAD Connect sobre las OUs objetivo.
  • [ ] Sincronización inicial forzada tras cambios de filtrado.
  • [ ] Grupos dinámicos o AUs definidos para emular la organización por OU.

Conclusión

El “problema de OUs que no aparecen” suele ser una expectativa equivocada: Entra no muestra OUs. Lo que sí importa es que los equipos de esas OUs se registren como Dispositivos mediante Hybrid Azure AD Join. Siguiendo los pasos de esta guía —habilitar HAADJ, validar GPO y conectividad, revisar reglas y ejecutar un ciclo completo— verás los dispositivos presentarse en Entra y podrás organizarlos de forma eficaz con reglas dinámicas o Unidades administrativas.

Microsoft 365
Índice