Cómo migrar a nube un buzón compartido basado en una identidad híbrida de Microsoft Entra ID

yellow postbriefkasten floating mailbox on brown concrete wall

Es habitual en muchas empresas que proceden de entornos on-premise que todos sus usuarios, independientemente de su función, estén gestionados desde el Active Directory on-premise.

Los buzones compartidos de Exchange no serían una excepción, puesto que, al fin y al cabo, un buzón compartido es un usuario más de Microsoft 365 y aparece como tal en Entra ID. Sin embargo, es una buena práctica que cada cosa esté en su sitio: si los buzones compartidos son recursos de Exchange Online (nube) se deberían gestionar únicamente desde allí.

Recordemos que los buzones compartidos creados desde Active Directory on-premise tendrán usuario y contraseña y que, por lo tanto, un usuario podría iniciar sesión en ellos. Si ese usuario fuese un atacante, accedería a los directorios on-premise y de nube.

Cómo migrar la identidad híbrida de un buzón compartido

Por ejemplo, tenemos un buzón compartido llamado «Shared Mailbox» cuya identidad está sincronizada desde Active Directory a Entra ID. En este buzón hay cuatro miembros.

Esta identidad está en una unidad organizativa que Azure AD Connect sincroniza con la nube, junto con otros empleados.

Lo primero será asignar una licencia de Microsoft 365 con Exchange Online para facilitar la restauración del buzón compartido. Para ello, vamos al centro de administración de Microsoft 365 (admin.microsoft.com) y nos dirigimos a Usuarios > Usuarios activos.

Hacemos clic sobre el usuario, pulsamos en «Licencias y aplicaciones» y elegimos la licencia correspondiente. Pulsamos en «Guardar cambios».

El siguiente paso es mover la identidad a una unidad organizativa que esté fuera del ámbito de Azure AD Connect y que, por lo tanto, no se sincronice. En mi caso, la unidad organizativa «Local» no se sincroniza, así que lo muevo ahí.

Iniciamos un ciclo de sincronización abriendo PowerShell con el comando «Start-ADSyncSyncCycle -PolicyType Delta» o esperamos a que la sincronización se ejecute automáticamente.

Ahora, vamos al centro de administración de Microsoft Entra (entra.microsoft.com) y nos dirigimos a Identidad > Usuarios > Usuarios eliminados. Ahí estará el usuario que acabamos de mover.

Lo marcamos y pulsamos en «Restaurar usuarios».

Si ahora volvemos al centro de administración de Microsoft 365, en Equipos y grupos > Buzones compartidos, veremos que allí está el buzón compartido como antes con los mismos integrantes.

El último paso es ir a Usuarios activos y seleccionar el usuario para retirar la licencia que le habíamos asignado previamente.

Y ya estaría… ¿O no? Funcionalmente sí, pero al hacer esto hemos generado un pequeño error de sincronización. No va a afectar a la operativa diaria del Active Directory o de Microsoft Entra, pero Microsoft 365 no tardará en avisarnos de que ha detectado un fallo de sincronización y, si en el futuro aparece un fallo importante, no lo veríamos al haber ignorado los errores anteriores.

Cómo solucionar el error «DeletingCloudOnlyObjectNotAllowed»

Si vamos al servidor donde tenemos instalado Azure AD Connect y abrimos la aplicación Syncronization Service nos encontraremos que las últimas exportaciones aparecen con el estado «completed-export-errors». Si hacemos clic, en la parte inferior derecha aparecerá el detalle del error: DeletingCloudOnlyObjectNotAllowed.

Esto ocurre porque hemos movido el usuario a una unidad organizativa no sincronizada o lo hemos eliminado, pero Azure AD Connect lo sigue viendo en Entra ID e intenta eliminarlo. Sin embargo, el usuario ya es solo de nube al haberlo migrado previamente y, por lo tanto, Azure AD Connect no puede eliminarlo.

En caso de que no recordemos cuál fue el usuario que habíamos migrado a nube, podemos pulsar sobre el error y nos mostrará toda la información. Ahí, tendremos que buscar el UserPrincipalName.

Para solucionarlo tendremos que apoyarnos en PowerShell. Necesitaremos el módulo «MSOnline», así que si no lo tienes instalado, puedes hacerlo con el siguiente comando:

Install-Module MSOnline

Ahora, nos conectamos al servicio de Microsoft Online.

Connect-MsolService

Introducimos nuestras credenciales y seguimos con este comando:

Set-MsolUser -UserPrincipalName '<UserPrincipalName>' -ImmutableId "$null"

Lanzamos nuevamente la sincronización de Azure AD Connect.

Start-ADSyncSyncCycle -PolicyType Delta

Y ahora vemos que el estado de la exportación es «success».

, ,

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *