IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

Identidad híbrida: Active Directory y Entra ID conviviendo sin romperse

14/07/2026 4 min de lectura Rubén Espinoza

En el papel, las empresas eligen entre "identidad on-premise" y "identidad en la nube". En la vida real, casi ninguna elige: tienen las dos. Tienen Active Directory sosteniendo la red local que ya funcionaba, y Entra ID porque adoptaron Microsoft 365. La pregunta deja de ser "¿cuál?" y pasa a ser "¿cómo hago que estas dos convivan sin que el usuario tenga dos contraseñas ni yo dos infiernos que administrar?". Eso es la identidad híbrida, y es el escenario por defecto de casi todos.

El puente: sincronización

La pieza que une los dos mundos es una herramienta de sincronización —Entra Connect (antes Azure AD Connect)— que corre junto a tu AD y copia sus objetos (usuarios, grupos) hacia Entra ID de forma continua. El objetivo es una identidad única: el mismo usuario, la misma contraseña, sirve para iniciar sesión en la laptop de la oficina y para entrar a M365. Sin ese puente, tendrías dos directorios divorciados y a cada empleado gestionado por partida doble.

Diagrama de identidad híbrida: Entra Connect sincroniza el Active Directory local hacia Entra ID en la nube, con los tres métodos de validación de contraseña

Entra Connect es el puente: sincroniza el AD local hacia Entra ID. La contraseña se valida con PHS, PTA o federación, y el servidor de sync es un activo Tier 0.

Las tres formas de validar la contraseña (y en qué se diferencian)

Aquí está la decisión técnica que define una identidad híbrida, y conviene entenderla sin misticismo. Cuando el usuario entra a la nube, ¿quién verifica su contraseña?

  • Password Hash Sync (PHS): se sincroniza a la nube un hash (una huella irreversible) de la contraseña, y Entra ID valida por su cuenta. Es lo más simple y resiliente: si tu enlace o tu AD se caen, la gente sigue entrando a la nube. Para la mayoría, es la opción recomendable.
  • Pass-Through Authentication (PTA): la contraseña se valida en tu AD on-premise en tiempo real, mediante un agente. La credencial no vive en la nube, pero dependes de que tu infraestructura local esté arriba para poder entrar.
  • Federación (AD FS): delegas la autenticación a un servidor propio. Da el máximo control, a cambio de la mayor complejidad y otra pieza crítica que mantener y proteger. Hoy se reserva para casos que de verdad lo justifican.

El riesgo que nadie te cuenta: el puente cruza en ambos sentidos

Aquí la advertencia honesta. Conectar tu AD a la nube tiene una consecuencia de seguridad que se subestima: si un atacante compromete tu Active Directory on-premise, ese compromiso puede escalar hacia tu nube, porque la identidad es el puente y la confianza fluye por él. El servidor donde corre Entra Connect, y las cuentas que hacen la sincronización, se vuelven activos Tier 0 —tan críticos como los controladores de dominio— y hay que protegerlos como tales. La comodidad de "una sola identidad" trae atada la responsabilidad de que un solo compromiso ya no se queda de un lado.

Lo que hay que cuidar al diseñarla

Más allá del método de autenticación, una híbrida sana cuida el alcance de la sincronización (no subir a la nube cuentas de servicio o administrativas que no deberían estar ahí), define con claridad cuál es la fuente de autoridad de cada atributo, y trata al servidor de sincronización con el mismo celo que a un DC. Son decisiones que se toman una vez y se arrastran por años.

Un detalle que la gente agradece: el password writeback

Una de las funciones que más suaviza la vida en un entorno híbrido es el password writeback: cuando lo habilitas, un usuario puede restablecer su propia contraseña desde la nube —el autoservicio de Entra ID— y ese cambio se escribe de vuelta a tu Active Directory local, manteniendo los dos mundos sincronizados. Sin esto, el autoservicio en la nube y la contraseña de la red local se desfasarían, que es justo lo que la identidad híbrida busca evitar. Es un buen ejemplo del principio de fondo: en híbrido, cada cambio debe fluir con claridad entre los dos directorios, y decidir en qué dirección viaja cada dato es media arquitectura.

La idea que se queda

La identidad híbrida no es un estado de transición hacia "la nube pura": para la mayoría es el destino, y está bien. Su corazón es el puente de sincronización y cómo eliges validar la contraseña, y su letra chica es que ese puente hay que protegerlo de los dos lados. Es la pieza que hace realista todo lo demás de la identidad como perímetro.

#identidad híbrida #entra connect #azure ad connect #phs #pta #identidad

Preguntas frecuentes

¿Qué es la identidad híbrida?

Es el escenario, muy común, en que una empresa usa Active Directory on-premise y Entra ID en la nube a la vez, conectados para que el usuario tenga una sola identidad y contraseña que sirva tanto para su laptop de oficina como para Microsoft 365. La pieza que los une es una herramienta de sincronización, Entra Connect, que copia continuamente los usuarios y grupos del AD local hacia Entra ID. Para la mayoría de las organizaciones no es una transición, sino el destino.

¿Cuál es la diferencia entre PHS, PTA y federación?

Son las tres formas de validar la contraseña en una identidad híbrida. Password Hash Sync (PHS) sincroniza a la nube un hash irreversible de la contraseña y Entra ID valida por su cuenta; es lo más simple y resiliente y suele ser la recomendación. Pass-Through Authentication (PTA) valida la contraseña en el AD local en tiempo real mediante un agente, así la credencial no vive en la nube pero dependes de tu infraestructura local. La federación (AD FS) delega la autenticación a un servidor propio: máximo control a cambio de la mayor complejidad, y hoy se reserva para casos que lo justifican.

¿Conectar mi Active Directory a la nube introduce riesgos de seguridad?

Sí, uno que se subestima: si un atacante compromete tu Active Directory on-premise, ese compromiso puede escalar hacia tu nube, porque la identidad es el puente y la confianza fluye por él. El servidor donde corre la sincronización y las cuentas que la ejecutan se vuelven activos tan críticos como los controladores de dominio (Tier 0) y hay que protegerlos igual. La comodidad de una sola identidad trae atada la responsabilidad de que un solo compromiso ya no se queda de un lado.

Los nombres y logotipos de marcas mencionados en este artículo son propiedad de sus respectivos titulares. Su mención tiene fines informativos y no implica patrocinio ni afiliación más allá de las relaciones de partner que IT Experts de México declara explícitamente.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

PAM: por qué las cuentas privilegiadas son otro juego
Entra ID (ex Azure AD): por qué no es "el Active Directory en la nube"
IAM en cristiano: RBAC, mínimo privilegio y el ciclo joiner-mover-leaver