.png)
Sincronización de usuarios desde Microsoft Entra ID con Microsoft Graph
La integración de Microsoft Entra ID (antes Azure AD) utiliza Microsoft Graph para sincronizar usuarios con MyQ. Antes de poder configurar la sincronización, el servicio debe estar habilitado y correctamente configurado en el portal de Microsoft Azure.
Requisito previo
Añadir Microsoft Entra ID como fuente
Una vez establecida la conexión con Microsoft Entra ID, vaya a MyQ > Configuración > Sincronización de usuarios. Haga clic en Añadir y, a continuación, en Añadir fuente de Microsoft Entra ID.
Una vez establecida la fuente, las opciones de configuración le permiten editar cómo se importan los usuarios.
En la pestaña General, se configura el servidor de autenticación y la fuente de sincronización, y se habilita o deshabilita la sincronización.
En la pestaña Usuarios, se definen los usuarios que se importan a MyQ, se configuran sus propiedades y se establecen las opciones relacionadas.
En la pestaña Grupos, se define cómo se importan y crean los grupos de la fuente en MyQ. Cuando se importan los grupos, MyQ crea las definiciones de grupo correspondientes y los usuarios se asignan a estos grupos en función de su pertenencia a Entra ID.
Pestaña General
Esta pestaña se abre de forma predeterminada al seleccionar Añadir fuente de Microsoft Entra ID. Están disponibles las siguientes opciones:
Habilitar: utilice este botón para habilitar o deshabilitar la sincronización de usuarios.
Servidor de autenticación: seleccione el servidor de autenticación que se va a utilizar. Si se establecen varias conexiones, puede seleccionar cuál utilizar para esta sincronización de usuarios.
Fuente de sincronización: asigne un nombre para identificar fácilmente la fuente de sincronización. Esto resulta útil para distinguir entre varios inquilinos de Entra ID.
Pestaña Usuarios
Esta pestaña le permite seleccionar qué usuarios importar, sus propiedades y diversas opciones para la sincronización de usuarios.
Usuarios a importar
Aquí es donde puede seleccionar qué usuarios desea importar desde su inquilino de Entra ID a MyQ.
Opciones disponibles:
Todos los usuarios
Usuarios de grupos seleccionados: especifica los grupos de los que se importarán usuarios. Esta opción importa a un usuario si es miembro de al menos un grupo seleccionado.
Usuarios de grupos que contengan una cadena: Especifica una o más cadenas e importa solo a los miembros de los grupos cuyo nombre contenga al menos una de ellas. Coloca cada cadena en una nueva línea. La coincidencia no distingue entre mayúsculas y minúsculas.
¡Atención!
La función «Usuarios de grupos que contengan una cadena» puede ralentizar la sincronización.
Propiedades
En la sección Propiedades, puede asignar la información de usuario de Microsoft Entra ID a las credenciales de MyQ. Se proporciona una selección predefinida de valores recomendados. Si no se utiliza el valor predefinido, un atributo personalizado introducido manualmente puede sustituirlo y sincronizar un atributo de usuario diferente de Entra ID.
Nombre de la propiedad | Descripción | Atributos predefinidos |
|---|---|---|
Nombre completo | Nombre completo de los usuarios. |
|
Número personal | Número de identificación del usuario. |
|
Correo electrónico | Correo electrónico de los usuarios. |
|
Notas | Notas relevantes. |
|
Idioma | Idioma preferido de los usuarios. |
|
Departamento | Departamento de los usuarios. |
|
Alias | Un nombre o nombre de usuario alternativo. |
|
Tarjeta | El número de tarjeta de identificación del usuario. |
|
PIN | El PIN del usuario. |
|
Personalizado (1) | Atributo personalizado para asignar a otra información relevante. |
|
Personalizado (2) | Atributo personalizado para asignar a otra información relevante. |
|
Personalizado (3) | Atributo personalizado para asignar a otra información relevante. |
|
Para la propiedad Alias, si se utiliza el atributo onPremisesSamAccountName@onPremisesDomainName , el alias del usuario tras la sincronización será una combinación de los atributos de Microsoft Entra ID del usuario onPremisesSamAccountName y onPremisesDomainName en el formato, por ejemplo, user@myq.cz.
Opciones
Desactivar usuarios que faltan: esta opción permite al sistema desactivar automáticamente en MyQ X a los usuarios que ya no están presentes en la fuente de Microsoft Entra ID.
Añadir nuevos usuarios: cuando está habilitada, esta función añade automáticamente a MyQ X los nuevos usuarios encontrados en la fuente de Microsoft Entra ID.
Usar como servidor de autenticación: si tiene previsto autenticar a los usuarios en Azure utilizando credenciales de Active Directory y utilizar la opción de inicio de sesión único de Microsoft, seleccione la opción «Usar como servidor de autenticación» y haga clic en Guardar.
Emparejar por número personal: marque esta casilla si desea actualizar los usuarios en función de su número personal. Si la opción de número personal está marcada, durante la resincronización, el sistema buscará al usuario por su número personal. Si se encuentra una coincidencia, se actualizarán los datos del usuario; de lo contrario, se creará un nuevo usuario.
Desde MyQ Print Server 10.2 RC 4, la opción Emparejar por número personal está marcada de forma predeterminada para todas las fuentes de sincronización recién creadas y no se puede cambiar. Las fuentes creadas en la versión 10.1 tras la migración a la 10.2 permiten editar esta opción. Se recomienda encarecidamente emparejar a los usuarios por número personal.
Ignorar fuente de sincronización: esta opción permite ignorar de forma selectiva determinados aspectos o datos de la fuente de Microsoft Entra ID durante la sincronización.
Crear alias normalizado a partir del nombre para mostrar: esta opción significa que se añade un alias adicional al usuario, además de los configurados en la sección de atributos de usuario; este alias adopta la forma de
AzureAD\concatedDisplayName. Permite el reconocimiento adecuado de los usuarios que imprimen desde dispositivos unidos a Entra ID.
Si dos o más usuarios tienen el mismo nombre completo sincronizado desde Entra ID, se creará un alias normalizado solo para el primer usuario. No hay forma de distinguir a los propietarios de los trabajos en este caso en el entorno ADD, ya que el controlador de la impresora solo proporciona el nombre y los apellidos del usuario concatenados.
Pestaña Grupos
La pestaña Grupos no especifica qué grupos de usuarios se deben importar, sino cómo deben organizarse dentro de MyQ. Los grupos de usuarios que se importan se controlan en Usuarios > Usuarios a importar.
Las siguientes opciones están disponibles:
Tipo de sincronización: ajusta el nivel de sincronización en la pestaña Grupos. Selecciona entre:
Sincronización completa: sincroniza los grupos 1:1 tal y como están en el origen, lo que significa que los usuarios se añaden y se eliminan de los grupos igual que en el origen.
Sincronizar si no está vacío: deja a un usuario en al menos un grupo incluso después de que pierda todas sus pertenencias en el directorio.
Añadir nuevo: garantiza que, una vez que se asigna un usuario a un grupo en MyQ, no pierda esta pertenencia incluso después de ser eliminado de un grupo en el directorio de origen.
Seleccionar grupos: esto le permite seleccionar los grupos que existen en su instancia de Entra ID y que desea incluir como grupos dentro de MyQ.
Seleccionar grupos que contengan una cadena: esto le permite seleccionar grupos de Entra ID basándose en un filtro de cadena, y esos grupos se crearán en MyQ. Si esta opción se combina con «Seleccionar grupos», solo se crearán los grupos que cumplan ambas condiciones.
Importar grupos bajo este grupo: le permite seleccionar un grupo de usuarios existente en MyQ para utilizarlo como grupo principal de cualquier grupo sincronizado desde esta fuente.
Ignorar grupos: seleccione los grupos de Active Directory que no desea utilizar en esta sincronización.
Ignorar grupos que contengan una cadena: cumple la misma función que «Ignorar grupos», permitiéndole especificar los grupos que deben ignorarse según una cadena que contengan.
Sincronización de grupos: ejemplo de escenario
Los administradores tienen un mayor control sobre las pertenencias a grupos durante la sincronización de usuarios de Entra ID. Con la opción de filtro «Seleccionar grupos» en la configuración de la fuente de sincronización de usuarios de Entra ID, puede especificar qué pertenencias a grupos se importan a MyQ sin afectar al proceso general de sincronización de usuarios.
Ejemplo:
La estructura de grupos de Entra ID es la siguiente:
Todos los estudiantes: 1500 usuarios
Clase1A: 1000 usuarios
Clase1B: 500 usuarios
Configuración de MyQ:
En la pestaña Usuarios, en Usuarios a importar, seleccione Usuarios de los grupos seleccionados y especifique el grupo Todos los estudiantes para sincronizar los 1.500 usuarios.
En la pestaña Grupos, en «Seleccionar grupos», seleccione solo Clase 1B.
Resultado:
Los 1.500 usuarios se sincronizan con MyQ.
Solo a los 500 usuarios de Clase1B se les aplica la pertenencia al grupo en MyQ.
Los 1.000 usuarios restantes se importan sin pertenecer a ningún grupo.
A los usuarios que también son miembros de Class1A no se les aplica esta pertenencia al grupo en MyQ.
Sincronizar ahora
Ahora se pueden sincronizar los usuarios seleccionando su fuente de Microsoft Entra ID de la lista y haciendo clic en Sincronizar ahora. También puede programar la sincronización de usuarios mediante el programador de tareas.
Para ver los detalles de una ejecución de sincronización, consulte el registro de sincronización.
Sincronización y autenticación multitenant
Ahora puede utilizar varios inquilinos de Entra ID en entornos MyQ para sincronizar y autenticar usuarios. Esto resulta especialmente útil en entornos de infraestructura de impresión compartida, como los del sector público, donde varias organizaciones gestionan impresoras desde una única ubicación, mientras que cada una utiliza su propio Entra ID.
Siga el proceso que se describe a continuación, pero repítalo para configurar varias instancias. Asegúrese de asignar un nombre claro y único a cada inquilino, lo que permitirá a los usuarios identificar cuál es el relevante para su uso.
Identidad local para usuarios híbridos de Entra ID
En entornos híbridos de Entra ID, donde los usuarios se gestionan con Entra ID Connect y tienen cuentas de Active Directory correspondientes, MyQ importa automáticamente dos atributos adicionales durante la sincronización de usuarios:
onPremisesSamAccountName→ almacenado como nombre de usuario localonPremisesDomainName→ almacenado como dominio local
Estos atributos se sincronizan automáticamente siempre que estén presentes en Entra ID. No se requiere ninguna configuración adicional de la fuente de sincronización. El registro de sincronización registra, por usuario, si se ha encontrado e importado cada atributo; si un atributo no está presente en Entra ID para un usuario determinado, se registra una advertencia.
Estos atributos se distribuyen a los servidores de sitio conectados como parte de la sincronización de usuarios, lo que permite a los usuarios híbridos de Entra ID acceder a destinos del sistema de archivos local desde cualquier sitio.
Los campos «Nombre de usuario local» y «Dominio local» son visibles en el perfil del usuario, en la sección «Avanzado». Ambos campos se pueden editar manualmente, por ejemplo, con fines de prueba, pero cualquier valor introducido manualmente se sobrescribe en la siguiente sincronización de Entra ID.
Derivación del dominio NETBIOS
Cuando MyQ construye la identidad local para operaciones del sistema de archivos, el nombre de dominio NETBIOS se deriva del valor del dominio local tomando su primera etiqueta DNS:
Dominio local | Identidad NETBIOS derivada |
|---|---|
|
|
|
|
Uso durante las operaciones del sistema de archivos
Para los usuarios híbridos de Entra ID con ambos atributos locales rellenados, MyQ utiliza la NETBIOS\username identidad en lugar del UPN de Entra ID al autenticarse en destinos del sistema de archivos local.
MyQ utiliza la NETBIOS\username identidad para Easy Scan to Folder, Easy Scan to User Storage y Easy Print from User Storage cuando se configura «Conectar como: usuario que ha iniciado sesión», o cuando se utiliza «Conectar como: servicio MyQ» junto con «Hacer que el usuario que ha escaneado sea el propietario del archivo».
Comportamiento alternativo
Si los atributos locales no se pueden utilizar para construir la identidad, MyQ recurre a lo siguiente:
Dominio local ausente: MyQ recurre a la resolución de dominio del servidor de autenticación; se registra una advertencia en el registro.
Ausencia de nombre de usuario local: MyQ recurre al nombre de usuario de MyQ del usuario; se registra una advertencia en el registro.
Los usuarios sin atributos locales en Entra ID no se ven afectados por esta función.