Topologie e scenari supportati dalla sincronizzazione cloud di Microsoft Entra

  • Articolo

Questo articolo descrive varie topologie locali e Microsoft Entra che usano Microsoft Entra Cloud Sync. Questo articolo include solo configurazioni e scenari supportati.

Importante

Microsoft non supporta la modifica o l'uso di Microsoft Entra Cloud Sync all'esterno delle configurazioni o delle azioni documentate formalmente. Una di queste configurazioni o azioni potrebbe causare uno stato incoerente o non supportato di Microsoft Entra Cloud Sync. Di conseguenza, Microsoft non può fornire supporto tecnico per tali distribuzioni.

Per ulteriori informazioni, vedi il video seguente.

Aspetti da ricordare per tutti gli scenari e le topologie

Quando si seleziona una soluzione, tenere presenti le informazioni seguenti.

  • Gli utenti e i gruppi devono essere identificati in modo univoco in tutte le foreste.
  • La corrispondenza tra foreste non si verifica con la sincronizzazione cloud.
  • L'ancoraggio di origine per gli oggetti viene scelto automaticamente. Usa ms-DS-ConsistencyGuid se presente; in caso contrario, viene usato ObjectGUID.
  • Non è possibile modificare l'attributo usato per l'ancoraggio di origine.

Topologie supportate da Active Directory a Microsoft Entra ID

Per il provisioning da Active Directory all'ID Microsoft Entra sono supportate le topologie seguenti.

Foresta singola, singolo tenant di Microsoft Entra

Diagramma che mostra la topologia per una singola foresta e un singolo tenant.

La topologia più semplice è una singola foresta locale, con uno o più domini e un singolo tenant di Microsoft Entra. Per un esempio di questo scenario, vedere Esercitazione: Una singola foresta con un singolo tenant di Microsoft Entra

Multi-foresta, singolo tenant di Microsoft Entra

Topologia per una foresta multipla e un singolo tenant

Più foreste di Active Directory sono una topologia comune, con uno o più domini e un singolo tenant di Microsoft Entra.

Foresta esistente con Microsoft Entra Connessione, nuova foresta con provisioning cloud

Diagramma che mostra la topologia per una foresta esistente e una nuova foresta.

Questo scenario è simile allo scenario con più foreste, ma questo implica un ambiente microsoft Entra Connessione esistente e quindi un nuovo insieme di strutture con Microsoft Entra Cloud Sync. Per un esempio di questo scenario, vedere Esercitazione: Una foresta esistente con un singolo tenant di Microsoft Entra

Distribuzione pilota di Microsoft Entra Cloud Sync in una foresta di Active Directory ibrida esistente

Topologia per una foresta singola e un tenant singoloLo scenario pilota prevede l'esistenza sia di Microsoft Entra Connessione che di Microsoft Entra Cloud Sync nella stessa foresta e di definire l'ambito degli utenti e dei gruppi di conseguenza. NOTA: un oggetto deve essere incluso nell'ambito solo in uno degli strumenti.

Per un esempio di questo scenario, vedere Esercitazione: Pilot Microsoft Entra Cloud Sync in una foresta di Active Directory sincronizzata esistente

Unione di oggetti da origini disconnesse

(Anteprima pubblica)

Diagramma per l'unione di oggetti da origini disconnesse In questo scenario, gli attributi di un utente vengono forniti da due foreste Active Directory disconnesse.

Un esempio sarebbe:

  • Una foresta (1) contiene la maggior parte degli attributi.
  • Una seconda foresta (2) contiene alcuni attributi.

Poiché la seconda foresta non dispone della connettività di rete al server di Connessione Microsoft Entra, l'oggetto non può essere unito tramite Microsoft Entra Connessione. La sincronizzazione cloud nella seconda foresta consente di recuperare il valore dell'attributo dalla seconda foresta. Il valore può quindi essere unito all'oggetto in Microsoft Entra ID sincronizzato da Microsoft Entra Connessione.

Questa configurazione è avanzata e esistono alcune avvertenze per questa topologia:

  1. È necessario usare ms-DS-ConsistencyGuid come ancoraggio di origine nella configurazione di sincronizzazione cloud.
  2. L'oggetto ms-DS-ConsistencyGuid dell'oggetto utente nella seconda foresta deve corrispondere a quello dell'oggetto corrispondente in Microsoft Entra ID.
  3. È necessario popolare l'attributo UserPrincipalName e l'attributo Alias nella seconda foresta e deve corrispondere a quelli sincronizzati dalla prima foresta.
  4. È necessario rimuovere tutti gli attributi dal mapping degli attributi nella configurazione di sincronizzazione cloud che non hanno un valore o che possono avere un valore diverso nella seconda foresta. Non è possibile avere mapping di attributi sovrapposti tra la prima foresta e la seconda.
  5. Se nella prima foresta non è presente alcun oggetto corrispondente, per un oggetto sincronizzato dalla seconda foresta, la sincronizzazione cloud creerà comunque l'oggetto in Microsoft Entra ID. L'oggetto avrà solo gli attributi definiti nella configurazione di mapping della sincronizzazione cloud per la seconda foresta.
  6. Se si elimina l'oggetto dalla seconda foresta, verrà eliminato temporaneamente in Microsoft Entra ID. Verrà ripristinato automaticamente dopo il successivo ciclo di sincronizzazione di Microsoft Entra Connessione.
  7. Se si elimina l'oggetto dalla prima foresta, verrà eliminato softmente dall'ID Microsoft Entra. L'oggetto non verrà ripristinato a meno che non venga apportata una modifica all'oggetto nella seconda foresta. Dopo 30 giorni l'oggetto verrà eliminato definitivamente da Microsoft Entra ID e, se viene apportata una modifica all'oggetto nella seconda foresta, verrà creato come nuovo oggetto in Microsoft Entra ID.

Microsoft Entra ID to Active Directory supported topologies (ID Microsoft Entra to Active Directory supported topologies)

Per il provisioning da Microsoft Entra ID ad Active Directory sono supportate le topologie seguenti.

Provisioning di gruppi a foresta singola in Active Directory

Diagramma concettuale del writeback a foresta singola.

La topologia di provisioning dei gruppi più semplice è una singola foresta locale, con uno o più domini e un singolo tenant di Microsoft Entra. Per un esempio di questo scenario, vedere Effettuare il provisioning di gruppi in Active Directory

Provisioning di gruppi a più foreste in Active Directory

Diagramma concettuale del writeback a più foreste.

Una topologia di provisioning dei gruppi più avanzata è costituita da più foreste AD locali che condividono un singolo tenant di Microsoft Entra ID.

Questa configurazione è avanzata e ci sono alcuni aspetti da ricordare con questa topologia:

  • I gruppi di cui è stato effettuato il provisioning in ACTIVE Directory tramite la sincronizzazione cloud possono contenere solo utenti sincronizzati locali e/o altri gruppi di sicurezza creati dal cloud.
  • Tutti questi utenti devono avere l'attributo onPremisesObjectIdentifier impostato sul proprio account.
  • OnPremisesObjectIdentifier deve corrispondere a un objectGUID corrispondente nell'ambiente AD di destinazione.
  • Un attributo objectGUID degli utenti locali per un utente cloud suPremisesObjectIdentifier può essere sincronizzato usando Microsoft Entra Cloud Sync (1.1.1370.0) o Microsoft Entra Connessione Sync (2.2.8.0)
  • All'interno del tenant è possibile condividere un gruppo comune che contiene utenti di entrambe le foreste.
  • Tuttavia, gli utenti che non esistono nell'altra foresta non verranno sottoposte a provisioning come membri del gruppo quando viene effettuato il provisioning in locale. Pertanto, se si dispone di un gruppo in Microsoft Entra ID che contiene utenti di contoso.com e fabrikam.com, solo gli utenti presenti nella foresta contoso.com saranno membri del gruppo quando viene effettuato il provisioning in contoso.com. E lo stesso con fabrikam.

Passaggi successivi