Configurare l'aggiunta ad Azure AD ibrido

Con il trasferimento dei dispositivi in Azure AD si ottimizza la produttività degli utenti grazie all'accesso Single Sign-On (SSO) a tutte le risorse locali e cloud. È possibile proteggere l'accesso alle risorse con l'accesso condizionale contemporaneamente.

Prerequisiti

  • Azure AD Connect versione 1.1.819.0 o successiva.
    • Non escludere gli attributi predefiniti del dispositivo dalla configurazione di sincronizzazione di Azure AD Connect. Per altre informazioni sugli attributi di dispositivo predefiniti sincronizzati con Azure AD, vedere Attributi sincronizzati da Azure AD Connect.
    • Se gli oggetti computer dei dispositivi da aggiungere ad Azure AD ibrido appartengono a unità organizzative specifiche, configurare le unità organizzative corrette da sincronizzare in Azure AD Connect. Per altre informazioni su come sincronizzare oggetti computer con Azure AD Connect, vedere Filtro basato su unità organizzative.
  • Credenziali di amministratore globale per il tenant di Azure AD.
  • Credenziali di amministratore dell'organizzazione per ognuna delle foreste Active Directory locale Domain Services.
  • (Per i domini federati) Almeno Windows Server 2012 R2 con Active Directory Federation Services installato.
  • Gli utenti possono registrare i propri dispositivi con Azure AD. Per altre informazioni su questa impostazione, vedere l'intestazione Configurare le impostazioni del dispositivo nell'articolo Configurare le impostazioni del dispositivo.

Requisiti di rete e connettività

Per l'aggiunta ad Azure AD ibrido i dispositivi devono avere accesso alle risorse Microsoft seguenti dalla rete dell'organizzazione:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (se si usa o si prevede di usare Seamless SSO)
  • Servizio token di sicurezza (STS) dell'organizzazione (per i domini federati)

Avviso

Se l'organizzazione usa server proxy che intercettano il traffico SSL per scenari come la prevenzione della perdita di dati o le restrizioni del tenant di Azure AD, assicurarsi che il traffico verso https://device.login.microsoftonline.com venga escluso da tls break-and-inspect. L'impossibilità di escludere questo URL può causare interferenze con l'autenticazione del certificato client, causare problemi con la registrazione del dispositivo e l'accesso condizionale basato su dispositivo.

Se l'organizzazione richiede l'accesso a Internet tramite un proxy in uscita, è possibile usare Web Proxy Auto-Discovery (WPAD) per abilitare Windows 10 o computer più recenti per la registrazione dei dispositivi con Azure AD. Per risolvere i problemi durante la configurazione e la gestione di WPAD, vedere Risoluzione dei problemi relativi al rilevamento automatico.

Se non si usa WPAD, è possibile configurare le impostazioni proxy WinHTTP nel computer con un oggetto Criteri di gruppo a partire da Windows 10 1709. Per altre informazioni, vedere Impostazioni del proxy WinHTTP distribuite dall'oggetto Criteri di gruppo.

Nota

Se si configurano le impostazioni proxy nel computer usando le impostazioni WinHTTP, i computer che non possono connettersi al proxy configurato non riusciranno a connettersi a Internet.

Se l'organizzazione richiede l'accesso a Internet tramite un proxy in uscita autenticato, assicurarsi che i computer Windows 10 o più recenti possano eseguire correttamente l'autenticazione al proxy in uscita. Poiché Windows 10 o più recenti computer eseguono la registrazione del dispositivo usando il contesto del computer, configurare l'autenticazione proxy in uscita usando il contesto del computer. Per i requisiti di configurazione, contattare il provider del proxy in uscita.

Verificare che i dispositivi possano accedere alle risorse Microsoft necessarie nell'account di sistema usando lo script Test Device Registration Connectivity (Test Device Registration Connectivity).

Domini gestiti

La maggior parte delle organizzazioni distribuirà l'aggiunta ad Azure AD ibrido con domini gestiti. I domini gestiti usano la sincronizzazione dell'hash delle password (PHS) o l'autenticazione pass-through conaccesso Single Sign-On facile. Gli scenari di dominio gestito non richiedono la configurazione di un server federativo.

Configurare l'aggiunta ad Azure AD ibrido usando Azure AD Connect per un dominio gestito:

  1. Avviare Azure AD Connect e quindi selezionare Configura.

  2. In Attività aggiuntive selezionare Configura le opzioni del dispositivo e quindi Avanti.

  3. In Panoramica selezionare Avanti.

  4. In Connetti ad Azure AD immettere le credenziali di un amministratore globale per il tenant di Azure AD.

  5. In Opzioni dispositivo selezionare Configura l'aggiunta ad Azure AD ibrido e quindi Avanti.

  6. In Sistemi operativi del dispositivo selezionare i sistemi operativi usati dai dispositivi nell'ambiente Active Directory e quindi selezionare Avanti.

  7. In Configurazione del punto di connessione del servizio per ogni foresta in cui si vuole che Azure AD Connect configuri il punto di connessione del servizio eseguire i passaggi seguenti e quindi selezionare Avanti.

    1. Selezionare la Foresta.
    2. Selezionare Servizio di autenticazione.
    3. Selezionare Aggiungi per immettere le credenziali di amministratore aziendale.

    Dominio gestito della configurazione di SCP di Azure AD Connect

  8. In Pronto per la configurazione selezionare Configura.

  9. In La configurazione è stata completata selezionare Esci.

Domini federati

Un ambiente federato deve includere un provider di identità che supporta i requisiti riportati di seguito. Se l'ambiente federato usa Active Directory Federation Services (AD FS), i requisiti seguenti sono già supportati.

  • Attestazione WIAORMULTIAUTHN: questa attestazione è necessaria per eseguire l'aggiunta ad Azure AD ibrido per dispositivi Windows di livello inferiore.
  • Protocollo WS-Trust: questo protocollo è necessario per l'autenticazione con Azure AD degli attuali dispositivi Windows aggiunti ad Azure AD ibrido. Quando si usa AD FS, è necessario abilitare gli endpoint WS-Trust seguenti:
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

Avviso

Sia adfs/services/trust/2005/windowstransport che adfs/services/trust/13/windowstransport devono essere abilitati solo come endpoint per Intranet e NON devono essere esposti come endpoint per Extranet tramite Proxy applicazione Web. Per altre informazioni su come disabilitare gli endpoint Windows WS-Trust, vedere Disabilitare gli endpoint Windows WS-Trust sul proxy. È possibile verificare gli endpoint abilitati nella console di gestione di AD FS, in Servizio>Endpoint.

Configurare l'aggiunta ad Azure AD ibrido usando Azure AD Connect per un ambiente federato:

  1. Avviare Azure AD Connect e quindi selezionare Configura.

  2. Nella pagina Attività aggiuntive selezionare Configura le opzioni del dispositivo e quindi Avanti.

  3. Nella pagina Panoramica selezionare Avanti.

  4. Nella pagina Connetti ad Azure AD immettere le credenziali di un amministratore globale per il tenant di Azure AD e quindi selezionare Avanti.

  5. Nella pagina Opzioni dispositivo selezionare Configura l'aggiunta ad Azure AD ibrido e quindi Avanti.

  6. Nella pagina Punto di connessione del servizio completare la procedura seguente e quindi selezionare Avanti:

    1. Selezionare la foresta.
    2. Selezionare il servizio di autenticazione. È necessario selezionare il server AD FS, a meno che l'organizzazione non abbia esclusivamente Windows 10 o più recenti client e che sia stata configurata la sincronizzazione computer/dispositivo o che l'organizzazione usi l'accesso SSO facile.
    3. Selezionare Aggiungi per immettere le credenziali di amministratore aziendale.

    Dominio federato di configurazione di Azure AD Connect SCP

  7. Nella pagina Sistemi operativi del dispositivo selezionare i sistemi operativi usati dai dispositivi nell'ambiente Active Directory e quindi selezionare Avanti.

  8. Nella pagina Configurazione della federazione immettere le credenziali dell'amministratore AD FS e quindi selezionare Avanti.

  9. Nella pagina Pronto per la configurazione selezionare Configura.

  10. Nella pagina La configurazione è stata completata selezionare Esci.

Avvertenze della federazione

Con Windows 10 1803 o versione successiva, se l'aggiunta ad Azure AD ibrido istantaneo per un ambiente federato con AD FS ha esito negativo, ci si affida ad Azure AD Connect per sincronizzare l'oggetto computer in Azure AD che viene quindi usato per completare la registrazione del dispositivo per l'aggiunta ad Azure AD ibrido.

Altri scenari

Le organizzazioni possono testare l'aggiunta ad Azure AD ibrido in un subset del proprio ambiente prima di un'implementazione completa. La procedura per completare una distribuzione di destinazione è disponibile nell'articolo Distribuzione di destinazione per l'aggiunta ad Azure AD ibrido. Le organizzazioni devono includere un esempio di utenti di ruoli e profili diversi in questo gruppo pilota. Un'implementazione mirata consentirà di identificare eventuali problemi che il piano potrebbe non essere stato risolto prima di abilitare per l'intera organizzazione.

Alcune organizzazioni potrebbero non essere in grado di usare Azure AD Connect per configurare AD FS. La procedura per configurare manualmente le attestazioni è disponibile nell'articolo Configurare manualmente l'aggiunta ad Azure Active Directory ibrido.

Cloud pubblica amministrazione

Per le organizzazioni in Azure per enti pubblici, l'aggiunta ad Azure AD ibrido richiede che i dispositivi abbiano accesso alle risorse Microsoft seguenti dall'interno della rete dell'organizzazione:

  • https://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us (se si usa o si prevede di usare Seamless SSO)

Risolvere i problemi di aggiunta ad Azure AD ibrido

Se si verificano problemi durante il completamento dell'aggiunta ad Azure AD ibrido per dispositivi Windows aggiunti al dominio, vedere:

Passaggi successivi