Configurare l'aggiunta ad Azure AD ibrido

Con il trasferimento dei dispositivi in Azure AD si ottimizza la produttività degli utenti grazie all'accesso Single Sign-On (SSO) a tutte le risorse locali e cloud. È possibile proteggere l'accesso alle risorse con accesso condizionale contemporaneamente.

Prerequisiti

  • Azure AD Connect versione 1.1.819.0 o successiva.
    • Non escludere gli attributi predefiniti del dispositivo dalla configurazione di sincronizzazione di Azure AD Connect. Per altre informazioni sugli attributi predefiniti dei dispositivi sincronizzati in Azure AD, vedere Attributi sincronizzati da Azure AD Connect.
    • Se gli oggetti computer dei dispositivi che si desidera essere aggiunti ad Azure AD ibrido appartengono a unità organizzative specifiche , configurare le unità organizzative corrette da sincronizzare in Azure AD Connect. Per altre informazioni su come sincronizzare oggetti computer con Azure AD Connect, vedere Filtro basato su unità organizzative.
  • Credenziali di amministratore globale per il tenant di Azure AD.
  • Credenziali di amministratore aziendale per ognuna delle foreste di servizi di dominio Active Directory locale.
  • (Per i domini federati) Almeno Windows Server 2012 R2 con Active Directory Federation Services installato.
  • Gli utenti possono registrare i dispositivi con Azure AD. Altre informazioni su questa impostazione sono disponibili nell'intestazione Configura impostazioni del dispositivo, nell'articolo Configurare le impostazioni del dispositivo.

Requisiti di rete e connettività

Per l'aggiunta ad Azure AD ibrido i dispositivi devono avere accesso alle risorse Microsoft seguenti dalla rete dell'organizzazione:

  • https://enterpriseregistration.windows.net
  • https://login.microsoftonline.com
  • https://device.login.microsoftonline.com
  • https://autologon.microsoftazuread-sso.com (se si usa o si prevede di usare Seamless SSO)
  • Il servizio token di sicurezza dell'organizzazione (STS) (Per i domini federati)

Avviso

Se l'organizzazione usa i server proxy che intercettano il traffico SSL per scenari come prevenzione della perdita di dati o restrizioni del tenant di Azure AD, assicurarsi che il traffico a questi URL venga escluso dall'interruzione e dall'ispezione di TLS. L'esclusione di questi URL può causare interferenze con l'autenticazione del certificato client, causare problemi con la registrazione del dispositivo e l'accesso condizionale basato su dispositivo.

Se l'organizzazione richiede l'accesso a Internet tramite un proxy in uscita, è possibile usare l'individuazione automatica proxy Web (WPAD) per abilitare Windows 10 o computer più recenti per la registrazione dei dispositivi con Azure AD. Per risolvere i problemi durante la configurazione e la gestione di WPAD, vedere Risoluzione dei problemi relativi al rilevamento automatico.

Se non si usa WPAD, è possibile configurare le impostazioni proxy WinHTTP nel computer con un oggetto oggetto Criteri di gruppo (Oggetto Criteri di gruppo) a partire da Windows 10 1709. Per altre informazioni, vedere Impostazioni del proxy WinHTTP distribuite dall'oggetto Criteri di gruppo.

Nota

Se si configurano le impostazioni proxy nel computer usando le impostazioni WinHTTP, i computer che non possono connettersi al proxy configurato non riusciranno a connettersi a Internet.

Se l'organizzazione richiede l'accesso a Internet tramite un proxy in uscita autenticato, assicurarsi che i computer Windows 10 o più recenti possano eseguire correttamente l'autenticazione nel proxy in uscita. Poiché Windows 10 o più recenti computer eseguono la registrazione del dispositivo usando il contesto del computer, configurare l'autenticazione proxy in uscita usando il contesto del computer. Per i requisiti di configurazione, contattare il provider del proxy in uscita.

Verificare che i dispositivi possano accedere alle risorse Microsoft necessarie nell'account di sistema usando lo script Test Device Registration Connectivity .

Domini gestiti

Si ritiene che la maggior parte delle organizzazioni distribuirà l'aggiunta ibrida di Azure AD con domini gestiti. I domini gestiti usano la sincronizzazione dell'hash delle password (PHS) o l'autenticazione pass-through (PTA) con accesso Single Sign-On facile. Gli scenari di dominio gestiti non richiedono la configurazione di un server federativo.

Configurare l'aggiunta ibrida di Azure AD usando Azure AD Connect per un dominio gestito:

  1. Avviare Azure AD Connect e quindi selezionare Configura.

  2. In Attività aggiuntive selezionare Configura le opzioni del dispositivo e quindi Avanti.

  3. In Panoramica selezionare Avanti.

  4. In Connettersi ad Azure AD immettere le credenziali di un amministratore globale per il tenant di Azure AD.

  5. In Opzioni dispositivo selezionare Configura l'aggiunta ad Azure AD ibrido e quindi Avanti.

  6. In Sistemi operativi del dispositivo selezionare i sistemi operativi usati dai dispositivi nell'ambiente Active Directory e quindi selezionare Avanti.

  7. In Configurazione del punto di connessione del servizio per ogni foresta in cui si vuole che Azure AD Connect configuri il punto di connessione del servizio eseguire i passaggi seguenti e quindi selezionare Avanti.

    1. Selezionare la Foresta.
    2. Selezionare Servizio di autenticazione.
    3. Selezionare Aggiungi per immettere le credenziali di amministratore aziendale.

    Dominio gestito di configurazione di Azure AD Connect SCP

  8. In Pronto per la configurazione selezionare Configura.

  9. In La configurazione è stata completata selezionare Esci.

Domini federati

Un ambiente federato deve includere un provider di identità che supporta i requisiti riportati di seguito. Se l'ambiente federato usa Active Directory Federation Services (AD FS), i requisiti seguenti sono già supportati.

  • Attestazione WIAORMULTIAUTHN: questa attestazione è necessaria per eseguire l'aggiunta ad Azure AD ibrido per dispositivi Windows di livello inferiore.
  • Protocollo WS-Trust: questo protocollo è necessario per l'autenticazione con Azure AD degli attuali dispositivi Windows aggiunti ad Azure AD ibrido. Quando si usa AD FS, è necessario abilitare gli endpoint WS-Trust seguenti:
    • /adfs/services/trust/2005/windowstransport
    • /adfs/services/trust/13/windowstransport
    • /adfs/services/trust/2005/usernamemixed
    • /adfs/services/trust/13/usernamemixed
    • /adfs/services/trust/2005/certificatemixed
    • /adfs/services/trust/13/certificatemixed

Avviso

Sia adfs/services/trust/2005/windowstransport che adfs/services/trust/13/windowstransport devono essere abilitati solo come endpoint per Intranet e NON devono essere esposti come endpoint per Extranet tramite Proxy applicazione Web. Per altre informazioni su come disabilitare gli endpoint Windows WS-Trust, vedere Disabilitare gli endpoint Windows WS-Trust sul proxy. È possibile verificare gli endpoint abilitati nella console di gestione di AD FS, in Servizio>Endpoint.

Configurare l'aggiunta ibrida di Azure AD usando Azure AD Connect per un ambiente federato:

  1. Avviare Azure AD Connect e quindi selezionare Configura.

  2. Nella pagina Attività aggiuntive selezionare Configura le opzioni del dispositivo e quindi Avanti.

  3. Nella pagina Panoramica selezionare Avanti.

  4. Nella pagina Connetti ad Azure AD immettere le credenziali di un amministratore globale per il tenant di Azure AD e quindi selezionare Avanti.

  5. Nella pagina Opzioni dispositivo selezionare Configura l'aggiunta ad Azure AD ibrido e quindi Avanti.

  6. Nella pagina Punto di connessione del servizio completare la procedura seguente e quindi selezionare Avanti:

    1. Selezionare la foresta.
    2. Selezionare il servizio di autenticazione. È necessario selezionare il server AD FS a meno che l'organizzazione non abbia esclusivamente Windows 10 o più recenti client e che sia stata configurata la sincronizzazione computer/dispositivo o che l'organizzazione usi l'accesso SSO facile.
    3. Selezionare Aggiungi per immettere le credenziali di amministratore aziendale.

    Dominio federato di configurazione di Azure AD Connect SCP

  7. Nella pagina Sistemi operativi del dispositivo selezionare i sistemi operativi usati dai dispositivi nell'ambiente Active Directory e quindi selezionare Avanti.

  8. Nella pagina Configurazione della federazione immettere le credenziali dell'amministratore AD FS e quindi selezionare Avanti.

  9. Nella pagina Pronto per la configurazione selezionare Configura.

  10. Nella pagina La configurazione è stata completata selezionare Esci.

Avvisi della federazione

Con Windows 10 1803 o versione successiva, se l'aggiunta di Azure AD ibrida istantanea per un ambiente federato con AD FS ha esito negativo, ci si basa su Azure AD Connect per sincronizzare l'oggetto computer in Azure AD usato per completare la registrazione del dispositivo per l'aggiunta ad Azure AD ibrido.

Altri scenari

Le organizzazioni possono testare l'aggiunta ibrida di Azure AD in un subset dell'ambiente prima di un'implementazione completa. I passaggi per completare una distribuzione di destinazione sono disponibili nell'articolo Aggiunta ad Azure AD ibrida alla distribuzione di destinazione. Le organizzazioni devono includere un esempio di utenti di ruoli e profili diversi in questo gruppo pilota. Un'implementazione mirata consente di identificare eventuali problemi che il piano potrebbe non essere stato risolto prima di abilitare per l'intera organizzazione.

Alcune organizzazioni potrebbero non essere in grado di usare Azure AD Connect per configurare AD FS. I passaggi per configurare manualmente le attestazioni sono disponibili nell'articolo Configurare l'aggiunta di Azure Active Directory ibrida manualmente.

Cloud pubblica amministrazione

Per le organizzazioni in Azure per enti pubblici, l'aggiunta ibrida di Azure AD richiede che i dispositivi abbiano accesso alle risorse Microsoft seguenti dall'interno della rete dell'organizzazione:

  • https://enterpriseregistration.microsoftonline.us
  • https://login.microsoftonline.us
  • https://device.login.microsoftonline.us
  • https://autologon.microsoft.us (se si usa o si prevede di usare Seamless SSO)

Risolvere i problemi relativi all'aggiunta ad Azure AD ibrida

Se si verificano problemi durante il completamento dell'aggiunta ad Azure AD ibrido per dispositivi Windows aggiunti al dominio, vedere:

Passaggi successivi