Concetti di gestione per account utente, password e amministrazione in Microsoft Entra Domain Services
Quando si crea ed esegue un dominio gestito di Microsoft Entra Domain Services, esistono alcune differenze di comportamento rispetto a un ambiente di Active Directory Domain Services locale tradizionale. Si usano gli stessi strumenti di amministrazione in Servizi di dominio di un dominio autogestito, ma non è possibile accedere direttamente ai controller di dominio. Esistono anche alcune differenze di comportamento per i criteri password e gli hash delle password a seconda dell'origine della creazione dell'account utente.
Questo articolo concettuale illustra in dettaglio come amministrare un dominio gestito e il diverso comportamento degli account utente a seconda del modo in cui vengono creati.
Gestione dei domini
Un dominio gestito è costituito da uno spazio dei nomi DNS e da una directory corrispondente. In un dominio gestito, i controller di dominio che contengono tutte le risorse come utenti e gruppi, credenziali e criteri fanno parte del servizio gestito. Per la ridondanza, due controller di dominio vengono creati come parte di un dominio gestito. Non è possibile accedere a questi controller di dominio per eseguire attività di gestione. Si crea invece una macchina virtuale di gestione aggiunta al dominio gestito, quindi si installano i normali strumenti di gestione di Active Directory Domain Services. È possibile usare gli snap-in Active Directory Amministrazione istrative Center o Microsoft Management Console (MMC), ad esempio oggetti DNS o Criteri di gruppo.
Creazione dell'account utente
Gli account utente possono essere creati in un dominio gestito in diversi modi. La maggior parte degli account utente viene sincronizzata da Microsoft Entra ID, che può includere anche l'account utente sincronizzato da un ambiente di Active Directory Domain Services locale. È anche possibile creare manualmente account direttamente nel dominio gestito. Alcune funzionalità, ad esempio la sincronizzazione iniziale delle password o i criteri password, si comportano in modo diverso a seconda di come e dove vengono creati gli account utente.
- L'account utente può essere sincronizzato da Microsoft Entra ID. Sono inclusi gli account utente solo cloud creati direttamente in Microsoft Entra ID e gli account utente ibridi sincronizzati da un ambiente di Active Directory Domain Services locale usando Microsoft Entra Connessione.
- La maggior parte degli account utente in un dominio gestito viene creata tramite il processo di sincronizzazione da Microsoft Entra ID.
- L'account utente può essere creato manualmente in un dominio gestito e non esiste in Microsoft Entra ID.
- Se è necessario creare account di servizio per le applicazioni eseguite solo nel dominio gestito, è possibile crearli manualmente nel dominio gestito. Poiché la sincronizzazione è un modo da Microsoft Entra ID, gli account utente creati nel dominio gestito non vengono sincronizzati con Microsoft Entra ID.
Criteri password
Domain Services include un criterio password predefinito che definisce le impostazioni per elementi quali blocco dell'account, validità massima della password e complessità delle password. Impostazioni come i criteri di blocco dell'account si applicano a tutti gli utenti di un dominio gestito, indipendentemente dalla modalità di creazione dell'utente come descritto nella sezione precedente. Alcune impostazioni, ad esempio la lunghezza minima della password e la complessità delle password, si applicano solo agli utenti creati direttamente in un dominio gestito.
È possibile creare criteri password personalizzati per eseguire l'override dei criteri predefiniti in un dominio gestito. Questi criteri personalizzati possono quindi essere applicati a gruppi specifici di utenti in base alle esigenze.
Per altre informazioni sulle differenze di applicazione dei criteri password a seconda dell'origine della creazione dell'utente, vedere Criteri di blocco delle password e degli account nei domini gestiti.
Hash delle password
Per autenticare gli utenti nel dominio gestito, Domain Services richiede hash delle password in un formato adatto per l'autenticazione NT LAN Manager (NTLM) e Kerberos. Microsoft Entra ID non genera o archivia gli hash delle password nel formato necessario per l'autenticazione NTLM o Kerberos fino a quando non si abilita Servizi di dominio per il tenant. Per motivi di sicurezza, anche Microsoft Entra ID non archivia credenziali password in formato non crittografato. Pertanto, Microsoft Entra ID non può generare automaticamente questi hash delle password NTLM o Kerberos in base alle credenziali esistenti degli utenti.
Per gli account utente solo cloud, gli utenti devono modificare le password prima di poter usare il dominio gestito. Questo processo di modifica della password causa la generazione e l'archiviazione degli hash delle password per l'autenticazione Kerberos e NTLM in Microsoft Entra ID. L'account non viene sincronizzato da Microsoft Entra ID a Servizi di dominio fino a quando la password non viene modificata.
Per gli utenti sincronizzati da un ambiente di Active Directory Domain Services locale tramite Microsoft Entra Connessione, abilitare la sincronizzazione degli hash delle password.
Importante
Microsoft Entra Connessione sincronizza gli hash delle password legacy solo quando si abilita Servizi di dominio per il tenant di Microsoft Entra. Gli hash delle password legacy non vengono usati se si usa solo Microsoft Entra Connessione per sincronizzare un ambiente di Active Directory Domain Services locale con Microsoft Entra ID.
Se le applicazioni legacy non usano l'autenticazione NTLM o le associazioni semplici LDAP, è consigliabile disabilitare la sincronizzazione dell'hash delle password NTLM per Domain Services. Per altre informazioni, vedere Disabilitare i pacchetti di crittografia deboli e la sincronizzazione dell'hash delle credenziali NTLM.
Dopo la corretta configurazione, gli hash delle password utilizzabili vengono archiviati nel dominio gestito. Se si elimina il dominio gestito, verranno eliminati anche gli hash delle password archiviati in quel momento. Le informazioni sulle credenziali sincronizzate in Microsoft Entra ID non possono essere riutilizzate se in un secondo momento si crea un altro dominio gestito. È necessario riconfigurare la sincronizzazione dell'hash delle password per archiviare nuovamente gli hash delle password. Le macchine virtuali o gli utenti aggiunti a un dominio in precedenza non saranno in grado di eseguire immediatamente l'autenticazione. Microsoft Entra ID deve generare e archiviare gli hash delle password nel nuovo dominio gestito. Per altre informazioni, vedere Processo di sincronizzazione dell'hash delle password per Domain Services e Microsoft Entra Connessione.
Importante
Microsoft Entra Connessione deve essere installato e configurato solo per la sincronizzazione con gli ambienti di Active Directory Domain Services locali. Non è supportato installare Microsoft Entra Connessione in un dominio gestito per sincronizzare gli oggetti con Microsoft Entra ID.
Foreste e trust
Una foresta è un costrutto logico usato da Active Directory Domain Services (AD DS) per raggruppare uno o più domini. I domini archiviano quindi gli oggetti per utenti o gruppi e offrono servizi di autenticazione.
In Servizi di dominio la foresta contiene solo un dominio. Le foreste AD DS locali contengono spesso molti domini. Nelle organizzazioni di grandi dimensioni, soprattutto dopo fusioni e acquisizioni, è possibile che vi siano più foreste locali, ognuna delle quali con più domini.
Per impostazione predefinita, un dominio gestito sincronizza tutti gli oggetti da Microsoft Entra ID, inclusi tutti gli account utente creati in un ambiente Active Directory Domain Services locale. Gli account utente possono eseguire direttamente l'autenticazione nel dominio gestito, ad esempio per accedere a una macchina virtuale aggiunta a un dominio. Questo approccio funziona quando gli hash delle password possono essere sincronizzati e gli utenti non usano metodi di accesso esclusivi come l'autenticazione tramite smart card.
In Servizi di dominio è anche possibile creare un trust tra foreste con un altro dominio per consentire agli utenti di accedere alle risorse. A seconda dei requisiti di accesso, è possibile creare la relazione di trust tra foreste in diverse direzioni.
| Direzione attendibilità | Accesso utente |
|---|---|
| Bidirezionale | Consente agli utenti sia nel dominio gestito che nel dominio locale di accedere alle risorse in entrambi i domini. |
| Uscita unidirezionale | Consente agli utenti nel dominio locale di accedere alle risorse nel dominio gestito, ma non viceversa. |
| Ingresso unidirezionale | Consente agli utenti nel dominio gestito di accedere alle risorse nel dominio locale. |
SKU di Servizi di dominio
In Servizi di dominio le prestazioni e le funzionalità disponibili sono basate sullo SKU. È possibile selezionare uno SKU quando si crea il dominio gestito ed è possibile cambiare SKU man mano che i requisiti aziendali cambiano dopo la distribuzione del dominio gestito. La tabella seguente illustra gli SKU disponibili e le differenze tra di essi:
| Nome SKU | Numero massimo di oggetti | Frequenza di backup |
|---|---|---|
| Standard | Nessun limite | Ogni 5 giorni |
| Enterprise | Nessun limite | Ogni 3 giorni |
| Premium | Nessun limite | Ogni giorno |
Prima di questi SKU di Servizi di dominio, è stato usato un modello di fatturazione basato sul numero di oggetti (account utente e computer) nel dominio gestito. Non sono più previsti prezzi variabili in base al numero di oggetti nel dominio gestito.
Per altre informazioni, vedere la pagina dei prezzi di Domain Services.
Prestazioni del dominio gestito
Le prestazioni del dominio variano in base alla modalità di implementazione dell'autenticazione per un'applicazione. Risorse di calcolo aggiuntive possono contribuire a migliorare il tempo di risposta delle query e ridurre il tempo impiegato nelle operazioni di sincronizzazione. Con l'aumentare del livello di SKU, le risorse di calcolo disponibili per il dominio gestito aumentano. Monitorare le prestazioni delle applicazioni e pianificare le risorse necessarie.
Se l'azienda o l'applicazione richiede modifiche e è necessaria una potenza di calcolo aggiuntiva per il dominio gestito, è possibile passare a uno SKU diverso.
Frequenza di backup
La frequenza di backup determina la frequenza con cui viene acquisito uno snapshot del dominio gestito. I backup sono un processo automatizzato gestito dalla piattaforma Azure. In caso di problemi con il dominio gestito, il supporto tecnico di Azure può fornire assistenza per il ripristino dal backup. Poiché la sincronizzazione si verifica solo in un modo rispetto all'ID Microsoft Entra, tutti i problemi in un dominio gestito non influisce sugli ambienti e sulle funzionalità di Active Directory Domain Services locali.
Man mano che il livello di SKU aumenta, aumenta la frequenza di tali snapshot di backup. Esaminare i requisiti aziendali e l'obiettivo del punto di ripristino (RPO) per determinare la frequenza di backup necessaria per il dominio gestito. Se i requisiti aziendali o dell'applicazione cambiano e sono necessari backup più frequenti, è possibile passare a uno SKU diverso.
Passaggi successivi
Per iniziare, creare un dominio gestito di Servizi di dominio.