MENU
  1. Inicio
  2. Microsoft 365
  3. Guía completa para migrar de Azure AD Connect a Entra AD Connect sin errores (método swing)

Guía completa para migrar de Azure AD Connect a Entra AD Connect sin errores (método swing)

Microsoft 365

Introducción
Actualizar de Azure AD Connect a Entra AD Connect ofrece nuevas funciones de seguridad, rendimiento y gobierno de identidades. Sin embargo, la aparición de actualizaciones masivas en el atributo onPremisesObjectIdentifier durante el método swing genera inquietud entre los administradores. Esta guía práctica explica por qué ocurre, cómo validarlo y cómo completar la migración sin riesgos.

Índice

Visión general de Azure AD Connect frente a Entra AD Connect

Entra AD Connect (anteriormente Azure AD Connect) es la evolución natural del servicio de sincronización híbrida de Microsoft. Las versiones 2.3.x traen mejoras clave:

  • Compatibilidad con SQL Server 2022 en implementación local o DBaaS.
  • Motor de reglas consolidado y preparado para escenarios de nube híbrida.
  • Mayor resiliencia gracias a un installer autoparcheable.
  • Soporte nativo de Group Provisioning to AD mediante el atributo onPremisesObjectIdentifier.
  • Integración ampliada con Microsoft Entra ID Protection y otros componentes de Zero Trust.

Cambios funcionales del atributo onPremisesObjectIdentifier

Desde la versión 2.2.8.0, Microsoft añadió el atributo onPremisesObjectIdentifier a las reglas de sincronización predeterminadas. Su función es mantener un vínculo binario único entre los objetos locales y los objetos en la nube, facilitando la futura característica de aprovisionamiento inverso de grupos desde Entra ID a AD.

En concreto, el atributo:

  • No reemplaza a ObjectGUID ni a ImmutableID.
  • No se muestra a los usuarios finales ni impacta en credenciales.
  • Se crea o valida para cada objeto durante una sincronización de reglas predeterminadas.

Por ello, cuando un administrador importa la configuración de un servidor activo (v2.2.1.0) en uno nuevo que ya incluye reglas 2.3.20.00, el asistente detecta que todos los objetos carecen de ese atributo y programa una operación Update.

Escenario de migración con el método swing

  1. Instalación del nuevo servidor Entra AD Connect en modo staging.
  2. Exportación de la configuración desde el servidor activo (archivo JSON).
  3. Importación de parámetros en el servidor en staging.
  4. Generación del archivo de cambios pendientes para revisión.
  5. Conmutación de roles: el servidor nuevo pasa a activo y el antiguo a staging.

La sorpresa suele llegar en el paso 4: el archivo muestra miles de líneas con “Operation = Update, Attribute = onPremisesObjectIdentifier”. A primera vista parece que se van a sobrescribir todos los usuarios, pero en realidad solo se añade un atributo vacío.

Análisis detallado del archivo de cambios pendientes

Para disipar dudas, abra el CSV en Excel y filtre:

  • Operation = Update
  • Old Value en blanco
  • New Value poblado
  • Attribute = onPremisesObjectIdentifier

Si no aparecen más atributos ni operaciones Delete, puede concluir que la actualización es inocua.

Para administradores que prefieren PowerShell, el cmdlet siguiente devuelve un resumen rápido:

# Ruta al archivo PendingExport.csv
$csv = Import-Csv "C:\Temp\PendingExport.csv"
$stat = $csv | Group-Object Attribute,Operation | Select Name,Count
$stat | Format-Table

Procedimiento recomendado antes de la conmutación

Validación exhaustiva de la exportación

Compruebe que:

  • No existan filas con Delete o Add sobre atributos críticos (UserPrincipalName, proxyAddresses, etc.).
  • Las únicas modificaciones correspondan a onPremisesObjectIdentifier.

Ejecución de un ciclo de sincronización en staging

Utilice:

Start-ADSyncSyncCycle -PolicyType Initial

El ciclo inicial aplica reglas y carga registros en las tablas de metadatos, pero no exporta cambios al entorno productivo porque el servidor está en modo staging.

Monitorización con Entra Connect Health

Revise en el portal:

  • Alertas críticas y advertencias.
  • Cantidades de objetos sincronizados.
  • Tiempo de ejecución de las etapas de importación, sincronización y exportación.

Conmutación de roles y verificación posterior

Cuando la validación sea satisfactoria, ejecute en el servidor activo actual:

Set-ADSyncScheduler -SyncCycleEnabled $false
Set-ADSyncScheduler -StagingMode $true

Enseguida, desactive el modo staging en el servidor nuevo:

Set-ADSyncScheduler -StagingMode $false
Set-ADSyncScheduler -SyncCycleEnabled $true

Primeros ciclos de sincronización

Durante las primeras horas, supervise:

  • El visor de eventos Application&Services Logs > Directory Synchronisation.
  • Los conectores de exportación a Azure AD (sin errores ni advertencias).
  • El recuento de objetos en Errors debe permanecer en cero.

Auditoría proactiva con PowerShell

Para confirmar que no hay cambios inesperados:

# Objetos con estado error
Get-ADSyncConnectorRunStatus -RunStepType Export |
  Where-Object {$_.Errors -gt 0} |
  Select-Object ConnectorName,Errors

Plan de contingencia y reversión

Aunque la modificación del atributo es segura, mantenga un plan B:

  1. Conserve al menos una copia de seguridad de la base de metadatos de Entra AD Connect.
  2. Anote la hora exacta de la conmutación para correlacionar logs.
  3. Si algo falla, invierta los pasos: el servidor anterior regresa a activo y se cancela el cambio.

Comparativa rápida de versiones

ElementoAzure AD Connect v2.2.1.0Entra AD Connect v2.3.20.00
Motor de reglasLegacyOptimizado (+10 % de rendimiento)
Compatibilidad SQL20192022
Soporte onPremisesObjectIdentifierNoSí (por defecto)
Actualizaciones automáticasManualInstalador autoparcheable
Integración Zero TrustBásicaAvanzada (Entra ID Protection)

Buenas prácticas adicionales

Gestión de reglas de sincronización personalizadas

Si su organización usa reglas personalizadas, asegúrese de que:

  • No excluyan el atributo onPremisesObjectIdentifier.
  • Eviten bucles de concurrencia (precedencia adecuada).

Impacto en aplicaciones y flujos de trabajo

Aplicaciones que leen directamente de Azure AD no se verán afectadas. Sin embargo, soluciones de aprovisionamiento inverso (SCIM, MIM) pueden requerir ajuste si confían en un mapeo binario distinto.

Recomendaciones de seguridad

  • Aplique least privilege a la cuenta de servicio MSOL_.
  • Habilite MFA períodica para los operadores de Entra Connect.
  • Considere mover la base de datos a Always On Availability Groups en SQL Server 2022.

Preguntas frecuentes

¿Puedo deshabilitar el atributo onPremisesObjectIdentifier?
No se recomienda. Microsoft lo usará para funcionalidades futuras.

¿Genera alguna notificación a los usuarios?
No. El cambio es transparente.

¿Existe riesgo de duplicar objetos?
No, porque el atributo se agrega solo a objetos existentes, sin crear nuevos registros.

Conclusión

Las actualizaciones masivas del atributo onPremisesObjectIdentifier durante una migración de Azure AD Connect a Entra AD Connect son normales y forman parte de las reglas predeterminadas que habilitan el aprovisionamiento avanzado de grupos. Si se valida el archivo de cambios, se realiza un ciclo de sincronización de prueba y se monitoriza con cuidado, la conmutación de roles mediante el método swing se completa de forma segura, aportando todas las ventajas de la nueva plataforma con un riesgo mínimo.

Microsoft 365
Troubleshooting Migración Azure AD Connect sincronización AD Entra AD Connect
Índice