Installazione personalizzata di Microsoft Entra Connect
Usare le impostazioni personalizzate in Microsoft Entra Connessione quando si desiderano altre opzioni per l'installazione. Usare queste impostazioni, ad esempio, se si dispone di più foreste o se si desidera configurare le funzionalità facoltative. Usare le impostazioni personalizzate in tutti i casi in cui l'installazione rapida non soddisfa le esigenze di distribuzione o topologia.
Prerequisiti:
- Scaricare Microsoft Entra Connessione.
- Completare i passaggi prerequisiti in Microsoft Entra Connessione: Hardware e prerequisiti.
- Assicurarsi di disporre degli account descritti in Microsoft Entra Connessione account e autorizzazioni.
Impostazioni di installazione personalizzata
Per configurare un'installazione personalizzata per Microsoft Entra Connessione, esaminare le pagine della procedura guidata descritte nelle sezioni seguenti.
Impostazioni rapide
Nella pagina Express Impostazioni selezionare Personalizza per avviare un'installazione personalizzata delle impostazioni. Il resto di questo articolo illustra il processo di installazione personalizzato. Usare i collegamenti seguenti per passare rapidamente alle informazioni per una determinata pagina:
Installare i componenti necessari
Quando si installano i servizi di sincronizzazione, è possibile lasciare deselezionata la sezione di configurazione facoltativa. Microsoft Entra Connessione configura automaticamente tutto. Configura un'istanza di SQL Server 2019 Express Local DB, crea i gruppi appropriati e assegna le autorizzazioni. Se si desidera modificare le impostazioni predefinite, selezionare le caselle appropriate. Nella tabella seguente sono riepilogate queste opzioni e vengono forniti collegamenti a informazioni aggiuntive.
Configurazione facoltativa | Descrizione |
---|---|
Specificare un percorso di installazione personalizzato | Consente di modificare il percorso di installazione predefinito per Microsoft Entra Connessione. |
Usare un server SQL esistente | Consente di specificare il nome e il nome dell'istanza di SQL Server. Scegliere questa opzione se si dispone già di un server di database che si vuole usare. In Nome istanza immettere il nome dell'istanza, una virgola e il numero di porta se l'istanza di SQL Server non ha abilitato l'esplorazione. Specificare quindi il nome del database microsoft Entra Connessione. I privilegi SQL determinano se è possibile creare un nuovo database o se l'amministratore SQL deve creare il database in anticipo. Se si dispone delle autorizzazioni di amministratore di SQL Server, vedere Installare Microsoft Entra Connessione usando un database esistente. Se si dispone di autorizzazioni delegate, vedere Installare Microsoft Entra Connessione usando autorizzazioni di amministratore delegato SQL. |
Usare un account di servizio esistente | Per impostazione predefinita, Microsoft Entra Connessione fornisce un account del servizio virtuale per i servizi di sincronizzazione. Se si usa un'istanza remota di SQL Server o si usa un proxy che richiede l'autenticazione, è possibile usare un account del servizio gestito o un account del servizio protetto da password nel dominio. In questi casi, immettere l'account che si vuole usare. Per eseguire l'installazione, è necessario essere un amministratore di sistema in SQL per poter creare le credenziali di accesso per l'account del servizio. Per altre informazioni, vedere Account e autorizzazioni di Microsoft Entra Connessione. Usando la build più recente, l'amministratore SQL può ora effettuare il provisioning del database fuori banda. Quindi, l'amministratore di Microsoft Entra Connessione può installarlo con i diritti di proprietario del database. Per altre informazioni, vedere Installare Microsoft Entra Connessione usando autorizzazioni di amministratore delegato SQL. |
Specificare i gruppi di sincronizzazione personalizzati | Per impostazione predefinita, quando vengono installati i servizi di sincronizzazione, Microsoft Entra Connessione crea quattro gruppi locali per il server. Questi gruppi sono Amministrazione istrator, Operatori, Sfoglia e Reimpostazione password. È possibile specificare qui i gruppi personalizzati. I gruppi devono essere locali nel server. Non possono trovarsi nel dominio. |
Importare le impostazioni di sincronizzazione | Consente di importare le impostazioni da altre versioni di Microsoft Entra Connect. Per altre informazioni, vedere Importazione ed esportazione delle impostazioni di configurazione di Microsoft Entra Connessione. |
Accesso utente
Dopo aver installato i componenti necessari, selezionare il metodo Single Sign-On degli utenti. La tabella seguente descrive brevemente le opzioni disponibili. Per una descrizione completa dei metodi di accesso, vedere Accesso utente.
Opzione Single Sign-On | Descrizione |
---|---|
Sincronizzazione dell'hash delle password | Gli utenti possono accedere ai servizi cloud Microsoft, ad esempio Microsoft 365, usando la stessa password usata nella rete locale. Le password utente vengono sincronizzate con Microsoft Entra ID come hash delle password. L'autenticazione viene eseguita nel cloud. Per altre informazioni, vedere Sincronizzazione dell'hash delle password. |
Autenticazione pass-through | Gli utenti possono accedere ai servizi cloud Microsoft, ad esempio Microsoft 365, usando la stessa password usata nella rete locale. Le password utente vengono convalidate passando al controller di dominio Active Directory locale. |
Federazione con ADFS | Gli utenti possono accedere ai servizi cloud Microsoft, ad esempio Microsoft 365, usando la stessa password usata nella rete locale. Gli utenti vengono reindirizzati all'istanza locale di Azure Directory Federation Services (AD FS) per accedere. L'autenticazione avviene in locale. |
Federazione con PingFederate | Gli utenti possono accedere ai servizi cloud Microsoft, ad esempio Microsoft 365, usando la stessa password usata nella rete locale. Gli utenti vengono reindirizzati all'istanza locale di PingFederate per accedere. L'autenticazione avviene in locale. |
Non configurare | Nessuna funzionalità di accesso utente installata o configurata. Scegliere questa opzione se è già disponibile un server federativo di terze parti o un'altra soluzione. |
Abilita Single Sign-On | Questa opzione è disponibile sia con la sincronizzazione dell'hash delle password che con l'autenticazione pass-through. Offre un'esperienza single sign-on per gli utenti desktop nelle reti aziendali. Per altre informazioni, vedere Single Sign-On. Nota: per i clienti di AD FS, questa opzione non è disponibile. AD FS offre già lo stesso livello di Single Sign-On. |
Stabilire la connessione a Microsoft Entra ID
Nella pagina Connessione a Microsoft Entra ID immettere un account e una password di identità ibrida Amministrazione istrator. Se è stata selezionata la federazione con AD FS nella pagina precedente, non accedere con un account incluso in un dominio che si prevede di abilitare per la federazione.
È possibile usare un account nel dominio di onmicrosoft.com predefinito, incluso nel tenant di Microsoft Entra. Questo account viene usato solo per creare un account del servizio in Microsoft Entra ID. Non viene usato al termine dell'installazione.
Nota
Una procedura consigliata consiste nell'evitare di usare account sincronizzati locali per le assegnazioni di ruolo di Microsoft Entra. Se l'account locale è compromesso, può essere usato anche per compromettere le risorse di Microsoft Entra. Per un elenco completo delle procedure consigliate, vedere Procedure consigliate per i ruoli di Microsoft Entra
Se l'account globale Amministrazione istrator ha l'autenticazione a più fattori abilitata, specificare di nuovo la password nella finestra di accesso ed è necessario completare la richiesta di autenticazione a più fattori. La richiesta può consistere in un codice di verifica o in una telefonata.
L'account globale Amministrazione istrator può anche avere la gestione delle identità con privilegi abilitata.
Per usare il supporto dell'autenticazione per scenari non password come account federati, smart card e scenari MFA, è possibile specificare l'opzione /InteractiveAuth all'avvio della procedura guidata. L'uso di questa opzione ignora l'interfaccia utente di autenticazione della procedura guidata e usa l'interfaccia utente della libreria MSAL per gestire l'autenticazione.
Se viene visualizzato un errore o si verificano problemi di connettività, vedere Risolvere i problemi di connettività.
Sincronizzare le pagine
Le sezioni seguenti descrivono le pagine nella sezione Sincronizza .
Connessione delle directory
Per connettersi a Dominio di Active Directory Services (AD DS), Microsoft Entra Connessione richiede il nome e le credenziali della foresta di un account con autorizzazioni sufficienti.
Dopo aver immesso il nome della foresta e aver selezionato Aggiungi directory, viene visualizzata una finestra. Nella tabella seguente vengono descritte le opzioni disponibili.
Opzione | Descrizione |
---|---|
Crea un nuovo account | Creare l'account di Active Directory Domain Services che Microsoft Entra Connessione deve connettersi alla foresta di Active Directory durante la sincronizzazione della directory. Dopo aver selezionato questa opzione, immettere il nome utente e la password per un account amministratore dell'organizzazione. Microsoft Entra Connessione usa l'account amministratore dell'organizzazione fornito per creare l'account di Active Directory Domain Services richiesto. È possibile immettere la parte del dominio in formato NetBIOS o FQDN. Ovvero immettere FABRIKAM\administrator o fabrikam.com\administrator. |
Usare l'account esistente | Specificare un account di Active Directory Domain Services esistente che Microsoft Entra Connessione può usare per connettersi alla foresta di Active Directory durante la sincronizzazione della directory. È possibile immettere la parte del dominio in formato NetBIOS o FQDN. Ovvero immettere FABRIKAM\syncuser o fabrikam.com\syncuser. Questo account può essere un account utente normale perché richiede solo le autorizzazioni di lettura predefinite. Tuttavia, a seconda dello scenario, potrebbero essere necessarie altre autorizzazioni. Per altre informazioni, vedere Account e autorizzazioni di Microsoft Entra Connessione. |
Nota
A partire dalla build 1.4.18.0, non è possibile usare un account amministratore aziendale o amministratore di dominio come account del connettore di Active Directory Domain Services. Quando si seleziona Usa account esistente, se si tenta di immettere un account amministratore dell'organizzazione o un account amministratore di dominio, viene visualizzato l'errore seguente: "L'uso di un account amministratore di dominio o aziendale per l'account della foresta di Active Directory non è consentito. È possibile consentire a Microsoft Entra Connect di creare automaticamente l'account o specificare un account di sincronizzazione con le autorizzazioni corrette".
Configurazione dell'accesso a Microsoft Entra
Nella pagina di configurazione dell'accesso a Microsoft Entra esaminare i domini del nome dell'entità utente (UPN) in Active Directory Domain Services locale. Questi domini UPN sono stati verificati in Microsoft Entra ID. In questa pagina viene configurato l'attributo da usare per userPrincipalName.
Esaminare ogni dominio contrassegnato come Non aggiunto o Non verificato. Assicurarsi che i domini usati siano stati verificati in Microsoft Entra ID. Dopo aver verificato i domini, selezionare l'icona di aggiornamento circolare. Per altre informazioni, vedere Aggiungere e verificare il dominio.
Gli utenti usano l'attributo userPrincipalName quando accedono a Microsoft Entra ID e Microsoft 365. Microsoft Entra ID deve verificare i domini, noti anche come suffisso UPN, prima che gli utenti vengano sincronizzati. Microsoft consiglia di mantenere l'attributo predefinito userPrincipalName.
Se l'attributo userPrincipalName non è indirizzabile e non può essere verificato, è possibile selezionare un altro attributo. È ad esempio possibile selezionare posta elettronica come attributo che contiene l'ID di accesso. Quando si usa un attributo diverso da userPrincipalName, è noto come ID alternativo.
Il valore dell'attributo ID alternativo deve essere conforme allo standard RFC 822. È possibile usare un ID alternativo con la sincronizzazione dell'hash delle password, l'autenticazione pass-through e la federazione. In Active Directory l'attributo non può essere definito come multivalore, anche se ha un solo valore. Per altre informazioni sull'ID alternativo, vedere Autenticazione pass-through: domande frequenti.
Nota
Quando si abilita l'autenticazione pass-through, è necessario disporre di almeno un dominio verificato per continuare il processo di installazione personalizzato.
Avviso
Gli ID alternativi non sono compatibili con tutti i carichi di lavoro di Microsoft 365. Per altre informazioni, vedere Configurazione degli ID di accesso alternativi.
Filtro unità organizzativa e dominio
Per impostazione predefinita, tutti i domini e le unità organizzative (UNITÀ organizzative) vengono sincronizzati. Se non si desidera sincronizzare alcuni domini o unità organizzative con Microsoft Entra ID, è possibile cancellare le selezioni appropriate.
Questa pagina configura il filtro basato su dominio e basato su unità organizzative. Se si prevede di apportare modifiche, vedere Filtro basato su dominio e filtro basato su unità organizzative. Alcune unità organizzative sono essenziali per la funzionalità, quindi è consigliabile lasciarle selezionate.
Se si usa il filtro basato su unità organizzative con una versione di Microsoft Entra Connessione precedente alla 1.1.524.0, le nuove unità organizzative vengono sincronizzate per impostazione predefinita. Se non si vuole sincronizzare nuove unità organizzative, è possibile modificare il comportamento predefinito dopo il passaggio di filtro basato su unità organizzative . Per Microsoft Entra Connessione 1.1.524.0 o versione successiva, è possibile indicare se si desidera sincronizzare nuove unità organizzative.
Se si prevede di usare il filtro basato su gruppo, assicurarsi che l'unità organizzativa con il gruppo sia inclusa e non venga filtrata usando il filtro unità organizzativa. Il filtro delle unità organizzative viene valutato prima della valutazione del filtro basato su gruppo.
È anche possibile che alcuni domini non siano raggiungibili a causa di restrizioni del firewall. Questi domini non sono selezionati per impostazione predefinita e visualizzano un avviso.
Se viene visualizzato questo avviso, assicurarsi che questi domini siano effettivamente non raggiungibili e che l'avviso sia previsto.
Identificazione univoca degli utenti
Nella pagina Identificazione utenti scegliere come identificare gli utenti nelle directory locali e come identificarli usando l'attributo sourceAnchor.
Selezionare la modalità di identificazione degli utenti nelle directory locali
Usando la funzionalità Corrispondenza tra foreste , è possibile definire il modo in cui gli utenti delle foreste di Active Directory Domain Services vengono rappresentati in Microsoft Entra ID. Un utente potrebbe essere rappresentato una sola volta in tutte le foreste o potrebbe avere una combinazione di account abilitati e disabilitati. In alcune foreste è possibile che l'utente sia rappresentato anche come un contatto.
Impostazione | Descrizione |
---|---|
Gli utenti vengono rappresentati una sola volta in tutte le foreste | Tutti gli utenti vengono creati come singoli oggetti in Microsoft Entra ID. Gli oggetti non sono uniti nel metaverse. |
Attributo di posta | Questa opzione unisce utenti e contatti se l'attributo di posta ha lo stesso valore in foreste diverse. Usare questa opzione quando i contatti sono stati creati tramite GALSync. Se si sceglie questa opzione, gli oggetti utente il cui attributo di posta elettronica non è popolato non vengono sincronizzati con Microsoft Entra ID. |
Attributi ObjectSID e msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID | Questa opzione unisce un utente abilitato in una foresta di account a un utente disabilitato in una foresta di risorse. In Exchange questa configurazione è definita cassetta postale collegata. È possibile usare questa opzione se si usa solo Lync e se Exchange non è presente nella foresta di risorse. |
Attributi SAMAccountName e MailNickName | Questa opzione viene aggiunta agli attributi in cui si prevede di trovare l'ID di accesso per l'utente. |
Scegliere un attributo specifico | Questa opzione consente di selezionare un attributo personale. Se si sceglie questa opzione, gli oggetti utente il cui attributo (selezionato) non viene sincronizzato con Microsoft Entra ID. Limitazione: per questa opzione sono disponibili solo gli attributi già presenti nel metaverse. |
Selezionare la modalità di identificazione degli utenti tramite un ancoraggio di origine
L'attributo sourceAnchor non è modificabile durante la durata di un oggetto utente. È la chiave primaria che collega l'utente locale all'utente in Microsoft Entra ID.
Impostazione | Descrizione |
---|---|
Consentire ad Azure di gestire l'ancoraggio di origine | Selezionare questa opzione se si vuole che Microsoft Entra ID selezioni l'attributo. Se si seleziona questa opzione, Microsoft Entra Connessione applica la logica di selezione dell'attributo sourceAnchor descritta in Uso di ms-DS-ConsistencyGuid come sourceAnchor. Al termine dell'installazione personalizzata, viene visualizzato quale attributo è stato selezionato come attributo sourceAnchor. |
Scegliere un attributo specifico | Selezionare questa opzione se si vuole specificare un attributo DI AD esistente come attributo sourceAnchor. |
Poiché l'attributo sourceAnchor non può essere modificato, è necessario scegliere un attributo appropriato. objectGUID è un candidato valido. Questo attributo non viene modificato a meno che l'account utente non venga spostato tra foreste o domini. Non scegliere attributi che possono cambiare quando una persona sposa o cambia assegnazioni.
Non è possibile usare attributi che includono un simbolo di accesso (@), quindi non è possibile usare email e userPrincipalName. L'attributo fa anche distinzione tra maiuscole e minuscole, quindi quando si sposta un oggetto tra foreste, assicurarsi di mantenere maiuscole e minuscole. Gli attributi binari sono con codifica Base64, ma altri tipi di attributo rimangono nello stato non codificato.
Negli scenari di federazione e in alcune interfacce ID di Microsoft Entra, l'attributo sourceAnchor è noto anche come immutableID.
Per altre informazioni sull'ancoraggio di origine, vedere Concetti relativi alla progettazione.
Filtro di sincronizzazione basato sui gruppi
La funzionalità di filtro sui gruppi consente di sincronizzare solo un piccolo subset di oggetti per un progetto pilota. Per usare questa funzionalità, creare un gruppo a questo scopo nell'istanza locale di Active Directory. Aggiungere quindi utenti e gruppi che devono essere sincronizzati con Microsoft Entra ID come membri diretti. In seguito è possibile aggiungere utenti o rimuovere utenti da questo gruppo per mantenere l'elenco di oggetti che devono essere presenti in Microsoft Entra ID.
Tutti gli oggetti da sincronizzare devono essere membri diretti del gruppo. Gli utenti, i gruppi, i contatti e i computer o i dispositivi devono essere tutti membri diretti. L'appartenenza a gruppi annidati non viene risolta. Quando si aggiunge un gruppo come membro, viene aggiunto solo il gruppo stesso. I relativi membri non vengono aggiunti.
Avviso
Questa funzionalità è progettata per supportare solo una distribuzione pilota. Non usarlo in una distribuzione di produzione completa.
In una distribuzione di produzione completa, sarebbe difficile mantenere un singolo gruppo e tutti i relativi oggetti da sincronizzare. Anziché la funzionalità di filtro sui gruppi, usare uno dei metodi descritti in Configurare il filtro.
Funzionalità facoltative
Nella pagina successiva è possibile selezionare le funzionalità facoltative per lo scenario.
Avviso
Microsoft Entra Connessione versioni 1.0.8641.0 e precedenti si basano sul servizio Azure Controllo di accesso per il writeback delle password. Questo servizio è stato ritirato il 7 novembre 2018. Se si usa una di queste versioni di Microsoft Entra Connessione e si è abilitato il writeback delle password, gli utenti potrebbero perdere la possibilità di modificare o reimpostare le password quando il servizio viene ritirato. Queste versioni di Microsoft Entra Connessione non supportano il writeback delle password.
Se si vuole usare il writeback delle password, scaricare la versione più recente di Microsoft Entra Connessione.
Avviso
Se Sincronizzazione diretta di Azure AD o Sincronizzazione diretta (DirSync) sono attive, non attivare funzionalità di writeback in Microsoft Entra Connessione.
Funzionalità facoltative | Descrizione |
---|---|
Distribuzione ibrida di Exchange | La funzionalità di distribuzione ibrida di Exchange consente la coesistenza delle cassette postali di Exchange sia in locale che in Microsoft 365. Microsoft Entra Connessione sincronizza un set specifico di attributi da Microsoft Entra nella directory locale. |
Cartelle pubbliche di Posta di Exchange | La funzionalità Cartelle pubbliche di Posta di Exchange consente di sincronizzare gli oggetti cartella pubblica abilitati per la posta elettronica dall'istanza locale di Active Directory all'ID Microsoft Entra. Si noti che non è supportato sincronizzare i gruppi che contengono cartelle pubbliche come membri e il tentativo di farlo genererà un errore di sincronizzazione. |
Applicazione Microsoft Entra e filtro degli attributi | Abilitando l'app Microsoft Entra e il filtro degli attributi, è possibile personalizzare il set di attributi sincronizzati. Questa opzione aggiunge altre due pagine di configurazione alla procedura guidata. Per altre informazioni, vedere Applicazione Microsoft Entra e filtro degli attributi. |
Sincronizzazione dell'hash delle password | Se è stata selezionata la federazione come soluzione di accesso, è possibile abilitare la sincronizzazione dell'hash delle password. È quindi possibile usarlo come opzione di backup. Se è stata selezionata l'autenticazione pass-through, è possibile abilitare questa opzione per garantire il supporto per i client legacy e fornire un backup. Per altre informazioni, vedere Sincronizzazione dell'hash delle password. |
writeback delle password | Usare questa opzione per assicurarsi che le modifiche alle password che hanno origine nell'ID di Microsoft Entra vengano riscritto nella directory locale. Per altre informazioni, vedere Introduzione alla gestione delle password. |
Writeback dei gruppi | Se si usa Gruppi di Microsoft 365, è possibile rappresentare i gruppi nell'istanza locale di Active Directory. Questa opzione è disponibile solo se si dispone di Exchange nell'istanza locale di Active Directory. Per altre informazioni, vedere Writeback di Microsoft Entra Connessione group. |
Writeback dispositivi | Per gli scenari di accesso condizionale, usare questa opzione per eseguire il writeback degli oggetti dispositivo in Microsoft Entra ID nell'istanza locale di Active Directory. Per altre informazioni, vedere Abilitazione del writeback dei dispositivi in Microsoft Entra Connessione. |
Sincronizzazione attributi estensione della directory | Selezionare questa opzione per sincronizzare gli attributi specificati con Microsoft Entra ID. Per altre informazioni, vedere Estensioni della directory. |
Applicazione Microsoft Entra e filtro degli attributi
Per limitare gli attributi sincronizzati con Microsoft Entra ID, iniziare selezionando i servizi usati. Se si modificano le selezioni in questa pagina, è necessario selezionare in modo esplicito un nuovo servizio eseguendo nuovamente l'installazione guidata.
In base ai servizi selezionati nel passaggio precedente, questa pagina mostra tutti gli attributi sincronizzati. Questo elenco è una combinazione di tutti i tipi di oggetto da sincronizzare. Se sono necessari alcuni attributi per rimanere non sincronizzati, è possibile cancellare la selezione da tali attributi.
Avviso
La rimozione degli attributi può influire sulle funzionalità. Per procedure consigliate e consigli, vedere Attributi da sincronizzare.
Sincronizzazione attributi estensione della directory
È possibile estendere lo schema in Microsoft Entra ID usando attributi personalizzati aggiunti dall'organizzazione o usando altri attributi in Active Directory. Per usare questa funzionalità, nella pagina Funzionalità facoltative selezionare Sincronizzazione attributi estensione directory. Nella pagina Estensioni directory è possibile selezionare altri attributi da sincronizzare.
Nota
Il campo Attributi disponibili fa distinzione tra maiuscole e minuscole.
Per altre informazioni, vedere Estensioni della directory.
Abilitazione dell'accesso Single Sign-On
Nella pagina Single Sign-On viene configurato l'accesso Single Sign-On per l'uso con la sincronizzazione delle password o l'autenticazione pass-through. Questo passaggio viene eseguito una volta per ogni foresta sincronizzata con Microsoft Entra ID. La configurazione prevede due passaggi:
- Creare l'account computer necessario nell'istanza locale di Active Directory.
- Configurare l'area Intranet dei computer client per supportare l'accesso Single Sign-On.
Creare l'account computer in Active Directory
Per ogni foresta aggiunta in Microsoft Entra Connessione, è necessario specificare le credenziali di amministratore di dominio in modo che l'account computer possa essere creato in ogni foresta. Le credenziali vengono usate solo per creare l'account. Non vengono archiviati o usati per qualsiasi altra operazione. Aggiungere le credenziali nella pagina Abilita accesso Single Sign-On , come illustrato nell'immagine seguente.
Nota
È possibile ignorare le foreste in cui non si vuole usare l'accesso Single Sign-On.
Configurare l'area Intranet per i computer client
Per assicurarsi che il client accressi automaticamente nell'area Intranet, assicurarsi che l'URL faccia parte dell'area Intranet. Questo passaggio garantisce che il computer aggiunto a un dominio invii automaticamente un ticket Kerberos all'ID Microsoft Entra quando è connesso alla rete aziendale.
In un computer con strumenti di gestione criteri di gruppo:
Aprire gli strumenti di gestione di Criteri di gruppo.
Modificare i criteri di gruppo che verranno applicati a tutti gli utenti. Ad esempio, i criteri di dominio predefiniti.
Passare a Configurazione> utente Amministrazione modelli>amministrativi Componenti>di Windows Internet Explorer Internet Explorer>Pannello di controllo pagina> Sicurezza. Selezionare quindi Elenco di assegnazione siti ad aree.
Abilitare il criterio. Quindi, nella finestra di dialogo immettere un nome di valore di
https://autologon.microsoftazuread-sso.com
ehttps://aadg.windows.net.nsatc.net
con il valore per1
entrambi gli URL. L'installazione dovrebbe essere simile all'immagine seguente.Selezionare OK due volte.
Configurazione della federazione con AD FS
È possibile configurare AD FS con Microsoft Entra Connessione in pochi clic. Prima di iniziare, è necessario:
- Windows Server 2012 R2 o versione successiva per il server federativo. La gestione remota deve essere abilitata.
- Windows Server 2012 R2 o versione successiva per il server Proxy applicazione Web. La gestione remota deve essere abilitata.
- Un certificato TLS/SSL per il nome del servizio federativo che si intende usare (ad esempio sts.contoso.com).
Nota
È possibile aggiornare un certificato TLS/SSL per la farm AD FS usando Microsoft Entra Connessione anche se non viene usato per gestire il trust federativo.
Prerequisiti di configurazione di AD FS
Per configurare la farm AD FS usando Microsoft Entra Connessione, assicurarsi che WinRM sia abilitato nei server remoti. Assicurarsi di aver completato le altre attività nei prerequisiti di federazione. Assicurarsi inoltre di seguire i requisiti delle porte elencati nella tabella Dei server Microsoft Entra Connessione e federazione/WAP.
Creare una nuova farm ADFS o usare una farm ADFS esistente
È possibile usare una farm AD FS esistente o crearne una nuova. Se si sceglie di crearne uno nuovo, è necessario specificare il certificato TLS/SSL. Se il certificato TLS/SSL è protetto da una password, viene richiesto di specificare la password.
Se si sceglie di usare una farm AD FS esistente, viene visualizzata la pagina in cui è possibile configurare la relazione di trust tra AD FS e Microsoft Entra ID.
Nota
È possibile utilizzare Microsoft Entra Connessione per gestire una sola farm AD FS. Se si dispone di un trust federativo esistente in cui microsoft Entra ID è configurato nella farm AD FS selezionata, Microsoft Entra Connessione ricrea l'attendibilità da zero.
Specificare i server ADFS
Specificare i server in cui si desidera installare AD FS. È possibile aggiungere uno o più server, in base alle esigenze di capacità. Prima di definire la configurazione, aggiungere tutti i server AD FS ad Active Directory. Questo passaggio non è necessario per i server proxy applicazione Web.
È consigliabile installare un singolo server AD FS per distribuzioni di test e pilota. Dopo la configurazione iniziale, è possibile aggiungere e distribuire altri server per soddisfare i requisiti di ridimensionamento, eseguendo di nuovo Microsoft Entra Connect.
Nota
Prima di configurare questa configurazione, assicurarsi che tutti i server siano aggiunti a un dominio Microsoft Entra.
Specificare i server Proxy applicazione Web
Specificare i server proxy applicazione Web. Il server proxy applicazione Web viene distribuito nella rete perimetrale, davanti alla rete Extranet. Supporta le richieste di autenticazione provenienti dalla Extranet. È possibile aggiungere uno o più server, in base alle esigenze di capacità.
Microsoft consiglia di installare un singolo server proxy applicazione Web per le distribuzioni di test e pilota. Dopo la configurazione iniziale, è possibile aggiungere e distribuire altri server per soddisfare i requisiti di ridimensionamento, eseguendo di nuovo Microsoft Entra Connect. È consigliabile disporre di un numero equivalente di server proxy per soddisfare l'autenticazione dalla intranet.
Nota
- Se l'account usato non è un amministratore locale nei server proxy applicazione Web, viene richiesto di immettere le credenziali di amministratore.
- Prima di specificare i server Proxy applicazione Web, assicurarsi che sia presente la connettività HTTP/HTTPS tra il server Microsoft Entra Connessione e il server Proxy applicazione Web.
- Assicurarsi che sia presente connettività HTTP/HTTPS tra il server applicazioni Web e il server AD FS per consentire il flusso delle richieste di autenticazione.
Viene richiesto di immettere le credenziali in modo che il server applicazioni Web possa stabilire una connessione sicura al server AD FS. Queste credenziali devono essere per un account amministratore locale nel server AD FS.
Specificare l'account di servizio per il servizio ADFS
Il servizio AD FS richiede un account del servizio di dominio per autenticare gli utenti e cercare le informazioni utente in Active Directory. Supporta due tipi di account di servizio:
- Account del servizio gestito del gruppo: questo tipo di account è stato introdotto in Servizi di dominio Active Directory da Windows Server 2012. Questo tipo di account fornisce servizi come AD FS. Si tratta di un singolo account in cui non è necessario aggiornare regolarmente la password. Usare questa opzione se il dominio a cui appartengono i server AD FS include già controller di dominio di Windows Server 2012.
- Account utente di dominio: questo tipo di account richiede di fornire una password e aggiornarla regolarmente alla scadenza. Usare questa opzione solo quando non si dispone di controller di dominio windows Server 2012 nel dominio a cui appartengono i server AD FS.
Se è stata selezionata l'opzione Crea un account del servizio gestito di gruppo e questa funzionalità non è mai stata usata in Active Directory, immettere le credenziali di amministratore dell'organizzazione. Queste credenziali vengono usate per avviare l'archivio chiavi e abilitare la funzionalità di Active Directory.
Nota
Microsoft Entra Connessione verifica se il servizio AD FS è già registrato come nome dell'entità servizio (SPN) nel dominio. Servizi di dominio Active Directory non consente la registrazione contemporaneamente dei nomi SPN duplicati. Se viene trovato un NOME SPN duplicato, non è possibile continuare fino a quando non viene rimosso il nome SPN.
Selezionare il dominio Microsoft Entra che si desidera federate
Utilizzare la pagina Dominio Microsoft Entra per configurare la relazione di federazione tra AD FS e Microsoft Entra ID. Qui si configura AD FS per fornire token di sicurezza per Microsoft Entra ID. È anche possibile configurare Microsoft Entra ID per considerare attendibili i token di questa istanza di AD FS.
In questa pagina è possibile configurare solamente un singolo dominio nell'installazione iniziale. È possibile configurare più domini in un secondo momento eseguendo nuovamente Microsoft Entra Connect.
Verificare il dominio Microsoft Entra selezionato per la federazione
Quando si seleziona il dominio che si desidera eseguire la federazione, Microsoft Entra Connessione fornisce informazioni che è possibile usare per verificare un dominio non verificato. Per altre informazioni, vedere Aggiungere e verificare il dominio.
Nota
Microsoft Entra Connessione tenta di verificare il dominio durante la fase di configurazione. Se non si aggiungono i record DNS (Domain Name System) necessari, la configurazione non può essere completata.
Configurazione della federazione con PingFederate
È possibile configurare PingFederate con Microsoft Entra Connessione in pochi clic. Sono richiesti i prerequisiti seguenti:
- PingFederate 8.4 o versione successiva. Per altre informazioni, vedere PingFederate integration with Microsoft Entra ID and Microsoft 365 (Integrazione di PingFederate con Microsoft Entra ID e Microsoft 365 ) nella documentazione di Ping Identity.
- Un certificato TLS/SSL per il nome del servizio federativo che si intende usare (ad esempio sts.contoso.com).
Verificare il dominio
Dopo aver scelto di configurare la federazione usando PingFederate, viene chiesto di verificare il dominio che si vuole federato. Selezionare il dominio nel menu a discesa.
Esportare le impostazioni di PingFederate
Configurare PingFederate come server federativo per ciascun dominio di Azure federato. Selezionare Esporta Impostazioni per condividere queste informazioni con l'amministratore PingFederate. L'amministratore del server federativo aggiorna la configurazione e quindi fornisce l'URL del server PingFederate e il numero di porta in modo che Microsoft Entra Connessione possa verificare le impostazioni dei metadati.
Contattare l'amministratore di PingFederate per risolvere eventuali problemi di convalida. L'immagine seguente mostra informazioni su un server PingFederate che non ha una relazione di trust valida con Azure.
Verificare la connettività della federazione
Microsoft Entra Connessione tenta di convalidare gli endpoint di autenticazione recuperati dai metadati PingFederate nel passaggio precedente. Microsoft Entra Connessione prima di tutto tenta di risolvere gli endpoint usando i server DNS locali. Successivamente, tenta di risolvere gli endpoint usando un provider DNS esterno. Contattare l'amministratore di PingFederate per risolvere eventuali problemi di convalida.
Verificare l'accesso alla federazione
Infine, è possibile verificare il flusso di accesso federato appena configurato accedendo al dominio federato. Se l'accesso riesce, la federazione con PingFederate viene configurata correttamente.
Configurare e verificare le pagine
La configurazione viene eseguita nella pagina Configura .
Nota
Se è stata configurata la federazione, assicurarsi di aver configurato anche la risoluzione dei nomi per i server federativi prima di continuare l'installazione.
Usare la modalità di gestione temporanea
È possibile configurare un nuovo server di sincronizzazione in parallelo con la modalità di gestione temporanea. Se si vuole usare questa configurazione, solo un server di sincronizzazione può esportare in una directory nel cloud. Tuttavia, se si vuole passare da un altro server, ad esempio un server che esegue DirSync, è possibile abilitare Microsoft Entra Connessione in modalità di gestione temporanea.
Quando si abilita l'installazione di staging, il motore di sincronizzazione importa e sincronizza i dati come di consueto. Ma non esporta dati in Microsoft Entra ID o Active Directory. In modalità di gestione temporanea, la funzionalità di sincronizzazione delle password e la funzionalità di writeback delle password sono disabilitate.
In modalità di gestione temporanea è possibile apportare le modifiche necessarie al motore di sincronizzazione ed esaminare gli elementi che verranno esportati. Durante la configurazione sembra essere corretta, eseguire nuovamente l'installazione guidata e disattivare la modalità di gestione temporanea.
I dati vengono ora esportati in Microsoft Entra ID dal server. Assicurarsi di disabilitare l'altro server allo stesso tempo, in modo che soltanto un server esegua l’esportazione in modo attivo.
Per altre informazioni, vedere Modalità di gestione temporanea.
Verificare la configurazione della federazione
Microsoft Entra Connessione verifica le impostazioni DNS quando si seleziona il pulsante Verifica. Controlla le impostazioni seguenti:
- Connettività Intranet
- Risolvere il nome di dominio completo della federazione: Microsoft Entra Connessione verifica se il DNS può risolvere il nome di dominio completo della federazione per garantire la connettività. Se Microsoft Entra Connessione non è in grado di risolvere il nome di dominio completo, la verifica ha esito negativo. Per completare la verifica, verificare che sia presente un record DNS per il nome di dominio completo del servizio federativo.
- Record DNS A: Microsoft Entra Connessione controlla se il servizio federativo ha un record A. In assenza di un record A, la verifica ha esito negativo. Per completare la verifica, creare un record A (non un record CNAME) per il nome di dominio completo della federazione.
- Connettività Extranet
Risolvere il nome di dominio completo della federazione: Microsoft Entra Connessione verifica se il DNS può risolvere il nome di dominio completo della federazione per garantire la connettività.
Per convalidare l'autenticazione end-to-end, eseguire manualmente uno o più dei test seguenti:
- Al termine della sincronizzazione, in Microsoft Entra Connessione usare l'attività aggiuntiva Verifica account di accesso federato per verificare l'autenticazione per un account utente locale scelto.
- Da un computer aggiunto a un dominio nella Intranet, assicurarsi di poter accedere da un browser. Connettersi a https://myapps.microsoft.com. Usare quindi l'account connesso per verificare l'accesso. L'account amministratore di Active Directory Domain Services predefinito non è sincronizzato e non è possibile usarlo per la verifica.
- Assicurarsi di poter accedere da un dispositivo nella extranet. In un computer domestico o in un dispositivo mobile connettersi a https://myapps.microsoft.com. Specificare quindi le credenziali.
- Convalidare l'accesso rich client. Connettersi a https://testconnectivity.microsoft.com. Selezionare quindi Test dell'accesso Single Sign-On di Office 365>di Office 365.
Risoluzione dei problemi
Questa sezione contiene informazioni sulla risoluzione dei problemi che è possibile usare in caso di problemi durante l'installazione di Microsoft Entra Connessione.
Quando si personalizza un'installazione di Microsoft Entra Connessione, nella pagina Installa componenti necessari è possibile selezionare Usa un'istanza di SQL Server esistente. Potrebbe essere visualizzato l'errore seguente: "Il database ADSync contiene già dati e non può essere sovrascritto. Rimuovere il database esistente e riprovare."
Questo errore viene visualizzato perché esiste già un database denominato ADSync nell'istanza SQL di SQL Server specificata.
Questo errore viene in genere visualizzato dopo la disinstallazione di Microsoft Entra Connessione. Il database non viene eliminato dal computer che esegue SQL Server quando si disinstalla Microsoft Entra Connessione.
Per risolvere il problema:
Controllare il database ADSync usato da Microsoft Entra Connessione prima della disinstallazione. Assicurarsi che il database non sia più in uso.
Eseguire il backup del database.
Eliminare il database:
- Usare Microsoft SQL Server Management Studio per connettersi all'istanza di SQL.
- Trovare il database ADSync e fare clic con il pulsante destro del mouse su di esso.
- Nel menu di scelta rapida selezionare Elimina.
- Selezionare OK per eliminare il database.
Dopo aver eliminato il database ADSync, selezionare Installa per ritentare l'installazione.
Passaggi successivi
Al termine dell'installazione, disconnettersi da Windows. Accedere di nuovo prima di usare Synchronization Service Manager o Synchronization Rule Editor.
Ora che è stato installato Microsoft Entra Connessione, è possibile verificare l'installazione e assegnare le licenze.
Per altre informazioni sulle funzionalità abilitate durante l'installazione, vedere Impedire eliminazioni accidentali e Microsoft Entra Connessione Health.
Per altre informazioni su altri argomenti comuni, vedere Microsoft Entra Connessione Sync: Scheduler e Integrare le identità locali con Microsoft Entra ID.