# Sincronización de usuarios de Microsoft Entra ID (Azure AD)

ServiceDesk Plus le permite importar usuarios desde Microsoft Entra ID (Azure AD) según ciertos criterios. Puede asignar los campos de usuario de Azure AD con los campos de ServiceDesk Plus para importar detalles específicos del usuario.

También puede sincronizar automáticamente los usuarios eliminados de Microsoft Entra ID con ServiceDesk Plus.

**Rol requerido**: Administrador de la organización para la configuración de ESM; **SDAdmin** para configuraciones que no sean ESM

> Puede importar usuarios de varios tenants a la aplicación. Cada tenant debe tener un registro de aplicación independiente.

> ServiceDesk Plus solo lee información de usuario desde Azure mediante API y no modifica datos en Azure.

> Deshabilite la importación de AD para los dominios que tengan configurada la sincronización con Microsoft Entra ID.

## Requisitos previos

### Configurar Microsoft Entra ID

Para obtener información de usuarios y grupos desde Azure AD, cree un **registro de aplicación** con los permisos requeridos. Siga los pasos a continuación para registrar la aplicación.

**Rol requerido**: Administrador global

- Inicie sesión en [Azure](http://portal.azure.com/).
- En el panel izquierdo, seleccione **Microsoft Entra ID**.
- En la página de Microsoft Entra ID, seleccione **Registros de aplicaciones** en el panel izquierdo y haga clic en **Nuevo registro**.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2025/unknown(4).png)

- Proporcione un nombre para la aplicación.
- Seleccione los tipos de cuenta admitidos para la aplicación. Esto determina quién puede acceder a la aplicación.

> Tenga en cuenta que debe seleccionarse únicamente la opción **Cuentas en este directorio organizacional** para sincronizar usuarios desde Entra ID.

- Haga clic en **Registrar** para guardar la aplicación.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2025/unknown(5).png)

- En la aplicación registrada, puede encontrar el ID de cliente y la URL del token para ServiceDesk Plus:
  - **ID de cliente**: **ID de la aplicación** en la sección **Información general**.
  - **URL del token**: **Extremo del token OAuth 2.0 (v2)** en **Información general** > **Extremo**.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2025/unknown(6).png)

- Para obtener el Secreto del cliente, vaya a **Certificados y secretos** > **Secreto del cliente** > **Nuevo secreto del cliente**.
- Proporcione una descripción del secreto del cliente y elija su vigencia.
- Haga clic en **Agregar**.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2025/unknown(7).png)

- Actualice los permisos requeridos para la sincronización de usuarios en la aplicación registrada:
  - Vaya a **Permisos de API** y haga clic en **Agregar un permiso**.
  - Seleccione **Microsoft Graph** > **Permisos de aplicación**.
  - Agregue los permisos **User.Read.All** y **Group.Read.All**.
  - Otorgue el consentimiento del administrador para los permisos agregados.

> El permiso **Group.Read.All** es necesario para listar los grupos de usuarios de Azure al establecer criterios. Si no necesita criterios basados en grupos, este permiso no es necesario.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2025/unknown(8).png)

## Configurar la sincronización de usuarios

Configure la integración de Microsoft Entra ID para la sincronización de usuarios en **ESM Directory** > **User Management** > **Microsoft Entra ID (Azure AD)** para implementaciones ESM.

Para implementaciones que no sean ESM, acceda a **Microsoft Entra ID (Azure AD)** en **Admin** > **Users & Permissions**.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2025/unknown(9).png)

Siga estos pasos para configurar la importación de usuarios desde Microsoft Entra ID:

### Paso 1: Agregar dominios

Agregue dominios para sincronizar usuarios desde Microsoft Entra ID. Puede configurar varios dominios con diferentes asignaciones de campos y criterios para importar usuarios.

- Vaya a la página de Microsoft Entra ID (Azure AD) en ServiceDesk Plus.
- En **Detalles del dominio**, haga clic en **Agregar nuevo dominio**.
- En la ventana emergente **Agregar dominio**, ingrese los siguientes detalles:
  - **Nombre del dominio**: Nombre del dominio.
  - **ID de cliente**: ID de la aplicación de Azure.
  - **Secreto del cliente**: Valor del secreto del cliente en Azure.
  - **URL del token**: Enlace al extremo de Azure para obtener el token de acceso.
  - **Extremo de Graph**: Especifique la URL de Microsoft Graph API utilizada. [Más información](https://www.manageengine.com/latam/service-desk/help/adminguide/graph-endpoints).

- Haga clic en **Guardar** y **Probar conexión**.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2026/2026_02_19_10_44_521.png)

[Consulte aquí](https://www.manageengine.com/latam/service-desk/help/adminguide/microsoft-entra-id-azure-ad-user-sync$prerequisites) para obtener el ID de cliente, el Secreto del cliente y la URL del token desde Azure.

Después de que la prueba de conexión sea exitosa, aparecerán las secciones **Asignación de campos** y **Configuración de importación de usuarios** en la ventana emergente *Agregar dominio*.

### Paso 2: Asignación de campos

Asigne los campos de detalles del usuario para la sincronización desde Microsoft Entra ID en la ventana emergente Agregar dominio.

- En los campos desplegables mostrados, seleccione los campos de ServiceDesk Plus y asígnelos a los campos de usuario correspondientes en Microsoft Entra ID.
- Al seleccionar nombres de campo desde la columna de ServiceDesk Plus, los campos relevantes de Microsoft Entra ID se asignarán automáticamente. Puede cambiar la asignación según sea necesario.
- Agregue o elimine campos usando los íconos ![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2025/unknown(10).png) y ![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2025/unknown(11).png).

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2025/unknown(12).png)

> Los campos **Nombre** y **Nombre de inicio de sesión** son obligatorios para obtener usuarios de Azure y no pueden eliminarse.

> El campo **Reporta a** solo puede asignarse al campo **manager** en Azure AD.

> **Object ID**, **userPrincipalName**, **onPremisesUserPrincipalName**, **onPremisesDomainName** y **onPremisesSamAccountName** se importan de forma predeterminada.

> También se pueden usar campos adicionales para la asignación en ServiceDesk Plus.

### Paso 3: Configuración de importación de usuarios

Programe la importación de usuarios para una sincronización periódica o importe usuarios manualmente en la ventana emergente Agregar dominio.

- **Importación programada**:
  - En la pestaña **Configuración del horario**, elija importar usuarios con o sin criterios.
  - **Sin criterios**: Importa todos los usuarios automáticamente en la hora programada.
  - **Basado en criterios**: Importa usuarios según los criterios especificados.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2025/unknown(13).png)

- **Importación manual**:
  - En la pestaña **Importar una vez**, introduzca el User Principal Name de los usuarios. Puede importar hasta cinco usuarios a la vez.
  - Haga clic en **Importar ahora**. Se mostrará el conteo de registros agregados, sobrescritos y fallidos.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2025/unknown(14).png)

> Al agregar nuevos usuarios, el gerente del usuario se incluirá automáticamente como usuario. Para evitar esto, elimine el campo **manager** en la sección Asignación de campos.

> Cuando se cambian la asignación de campos o los criterios de importación, se iniciará una importación completa en la siguiente sincronización delta.

### Paso 4: Establecer una contraseña de autenticación local para los usuarios importados

Establezca una contraseña de autenticación local predeterminada para los usuarios importados desde Microsoft Entra ID. Los usuarios pueden cambiar esta contraseña después de su primer inicio de sesión.

- En la página de Microsoft Entra ID (Azure AD), pase el cursor sobre **Contraseña de autenticación local** y haga clic en **Editar**.
- Genere una contraseña aleatoria o establezca una contraseña predefinida.
- Haga clic en **Guardar**.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2025/unknown(15).png)

> Asegúrese de que la contraseña predefinida cumpla con todos los requisitos de la política de contraseñas.

> Los usuarios recibirán los detalles por correo electrónico. Configure las notificaciones en **Admin** > **Automation** > **Notification Rules** > **Request** > **Send Self-service login details**.

> Puede obligar a los usuarios a actualizar la contraseña predeterminada después del primer inicio de sesión en **Admin** > **Security Settings** > **Password Policy**.

> La contraseña establecida para usuarios importados desde AD también es aplicable a usuarios importados desde archivos CSV.

### Paso 5: Programar la importación de Microsoft Entra ID

Los usuarios y sus detalles se sincronizan de dos maneras:

- **Importación completa**: Sincroniza todos los datos de usuario.
- **Importación delta**: Sincroniza los detalles actualizados y las cuentas agregadas recientemente cada hora.

Para habilitar el horario de importación:

- En la página de Microsoft Entra ID (Azure AD), pase el cursor sobre **Horario de importación** y haga clic en **Editar**.
- Habilite el horario y especifique la frecuencia.
- Establezca la fecha y hora de inicio.
- Haga clic en **Guardar**.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2025/unknown(16).png)

Los usuarios se importarán según el horario configurado. Puede ver la hora de la última importación y la próxima programación en la sección correspondiente.

El resumen de la importación se notificará mediante notificaciones de campana ![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2025/unknown(17).png), mostrando el conteo de usuarios agregados, actualizados y fallidos. Se incluirá un archivo CSV con los usuarios fallidos.

> Las cuentas pueden sobrescribirse si cumplen condiciones específicas. [Más información](https://learn.microsoft.com/en-us/entra/identity/hybrid/cloud-sync/tutorial-single-forest).

> Durante la sincronización delta, solo se notificarán los fallos.

> Realice una sincronización completa al menos una vez cada 30 días para mantener los datos actualizados.

### Paso 6: Sincronizar usuarios eliminados de Active Directory

Configure qué sucede con los datos del usuario en ServiceDesk Plus cuando se eliminan en Microsoft Entra ID.

Puede eliminar a los usuarios automáticamente o manualmente. La sincronización ocurre durante la importación completa programada.

- En la página de Microsoft Entra ID (Azure AD), pase el cursor sobre **Sincronizar usuarios eliminados** y haga clic en **Editar**.
- Elija el método: **Automático** o **Manual** (la eliminación automática aplica solo a usuarios no técnicos).
- Haga clic en **Guardar**.

![](https://www.manageengine.com/userfiles/866/14262/ckfinder/images/qu/2025/unknown(18).png)

Si se elige la eliminación manual, el administrador recibirá una notificación con la lista de usuarios eliminados.

Si se elige la eliminación automática:

- Los usuarios no técnicos se eliminarán automáticamente y se notificará al administrador con un archivo CSV.
- Los técnicos no se eliminarán automáticamente; se notificará al administrador para revisión.

Además, el enlace a la lista de usuarios eliminados se mostrará en la página de Microsoft Entra ID y en **Admin** > **Users & Permission** > pestaña **Users/Technician**.

## Autenticación

Autentique a los usuarios importados mediante SAML SSO:  
https://pitstop.manageengine.com/portal/en/kb/articles/configuring-saml-with-azure-ad-9-8-2020

## Criterios para sobrescribir usuario

El usuario se sobrescribirá si:

- **ObjectID** coincide con un usuario existente.
- **onPremisesUserPrincipalName** o **onPremisesImmutableId** coinciden con el **userPrincipalName** o **lookup_guid** del usuario existente.
- **OnPremiseDomainName** y **OnPremiseSamAccountName** coinciden con el dominio y nombre de inicio de sesión existentes.
- El nombre de inicio de sesión y el dominio coinciden con un usuario existente.
- El nombre de inicio de sesión coincide, pero el dominio no está asociado con ese usuario.
- Está habilitada la opción de sobrescribir por correo electrónico y el correo coincide.

> Esta opción puede habilitarse/deshabilitarse en **General Settings** > **Advanced Portal Settings** (no ESM) y **ESM Directory** > **General Settings** > **Application Settings** (ESM).

Si no se cumple ninguno de los criterios anteriores, se creará una nueva cuenta.

> **onPremisesUserPrincipalName**, **onPremisesImmutableId**, **OnPremiseDomainName** y **OnPremiseSamAccountName** estarán disponibles solo para usuarios sincronizados desde Active Directory local.

Consulte la documentación de Microsoft:

- [Agregar una asignación de atributos de AD a Microsoft Entra ID](https://learn.microsoft.com/en-us/entra/identity/hybrid/cloud-sync/how-to-attribute-mapping#add-an-attribute-mapping---ad-to-microsoft-entra-id)
- [Integrar un solo bosque con un solo tenant de Microsoft Entra](https://learn.microsoft.com/en-us/entra/identity/hybrid/cloud-sync/tutorial-single-forest)