Prerequisiti di Azure AD Connect

Questo articolo descrive i prerequisiti e i requisiti hardware per Azure Active Directory (Azure AD) Connect.

Prima di installare Azure AD Connect

Prima di installare Azure AD Connect, sono necessari alcuni elementi.

Azure AD

• È necessario un tenant di Azure AD. Uno è disponibile con una versione di valutazione gratuita di Azure. È possibile usare uno dei portali seguenti per gestire Azure AD Connect:
  • Il portale di Azure.
  • Il portale di Office.
• Aggiungere e verificare il dominio che si prevede di usare in Azure AD. Ad esempio, se si prevede di usare contoso.com per gli utenti, assicurarsi che questo dominio sia stato verificato e che non si usi solo il dominio predefinito contoso.onmicrosoft.com.
• Un tenant di Azure AD consente, per impostazione predefinita, 50.000 oggetti. Quando si verifica il dominio, il limite aumenta a 300.000 oggetti. Se sono necessari ancora più oggetti in Azure AD, aprire un caso di supporto per aumentare ulteriormente il limite. Se sono necessari più di 500.000 oggetti, è necessaria una licenza, ad esempio Microsoft 365, Azure AD Premium o Enterprise Mobility + Security.

Preparare i dati locali

• Usare IdFix per identificare errori quali duplicati e problemi di formattazione nella directory prima di eseguire la sincronizzazione con Azure AD e Microsoft 365.
• Esaminare le funzionalità di sincronizzazione facoltative che è possibile abilitare in Azure AD e valutare le funzionalità da abilitare.

Active Directory locale

• Il livello funzionale della foresta e la versione dello schema di Active Directory devono essere Windows Server 2003 o una versione successiva. I controller di dominio possono eseguire qualsiasi versione, purché siano soddisfatti i requisiti del livello della foresta e della versione dello schema. Potrebbe essere necessario un programma di supporto a pagamento se è necessario il supporto per i controller di dominio che eseguono Windows Server 2016 o versioni precedenti.
• Il controller di dominio usato da Azure AD deve essere scrivibile. L'uso di un controller di dominio di sola lettura non è supportato e Azure AD Connect non segue alcun reindirizzamento in scrittura.
• Uso di foreste o domini locali tramite "punteggiato" (il nome contiene un punto ".") I nomi NetBIOS non sono supportati.
• È consigliabile abilitare il Cestino di Active Directory.

Criteri di esecuzione di PowerShell

Azure Active Directory Connect esegue script di PowerShell firmati come parte dell'installazione. Assicurarsi che i criteri di esecuzione di PowerShell consentano l'esecuzione di script.

I criteri di esecuzione consigliati durante l'installazione sono "RemoteSigned".

Per altre informazioni sull'impostazione dei criteri di esecuzione di PowerShell, vedere Set-ExecutionPolicy.

Server di Azure AD Connect

Il server Azure AD Connect contiene dati di identità critici. È importante che l'accesso amministrativo a questo server sia protetto correttamente. Seguire le linee guida riportate in Protezione dell'accesso con privilegi.

Il server Azure AD Connect deve essere considerato come componente di livello 0 come documentato nel modello di livello amministrativo di Active Directory. È consigliabile rafforzare la protezione avanzata del server Azure AD Connect come asset del piano di controllo seguendo le indicazioni fornite in Accesso con privilegi sicuri

Per altre informazioni sulla protezione dell'ambiente Active Directory, vedere Procedure consigliate per la protezione di Active Directory.

Prerequisiti di installazione

• Azure AD Connect deve essere installato in un Windows Server 2016 aggiunto a un dominio o versione successiva. È possibile distribuire Azure AD Connect in Windows Server 2016, ma poiché Windows Server 2016 è in supporto esteso, potrebbe essere necessario un programma di supporto a pagamento se è necessario il supporto per questa configurazione. È consigliabile usare Windows Server 2022 aggiunto a un dominio.
• La versione minima di .NET Framework necessaria è la 4.6.2 e sono supportate anche le versioni più recenti di .NET.
• Azure AD Connect non può essere installato in Small Business Server o Windows Server Essentials prima del 2019 (Windows Server Essentials 2019 è supportato). Il server deve utilizzare Windows Server Standard o versione successiva.
• Il server Azure AD Connect deve avere un'interfaccia utente grafica completa installata. L'installazione di Azure AD Connect in Windows Server Core non è supportata.
• Se si usa la procedura guidata di Azure AD Connect per gestire la configurazione di Active Directory Federation Services (AD FS) non è abilitata la trascrizione di PowerShell Criteri di gruppo. È possibile abilitare la trascrizione di PowerShell se si usa la procedura guidata di Azure AD Connect per gestire la configurazione della sincronizzazione.
• Se AD FS è in fase di distribuzione:
  • I server in cui sono installati AD FS o Application Proxy Web devono essere Windows Server 2012 R2 o versione successiva. Gestione remota Windows . È possibile richiedere un programma di supporto a pagamento se è necessario il supporto per Windows Server 2016 e versioni precedenti.
  • È necessario configurare i certificati TLS/SSL. Per altre informazioni, vedere Gestione di protocolli SSL/TLS e pacchetti di crittografia per AD FS e Gestione dei certificati SSL in AD FS.
  • È necessario configurare la risoluzione dei nomi.
• Non è supportata l'interruzione e l'analisi del traffico tra Azure AD Connect e Azure AD. In questo modo è possibile interrompere il servizio.
• Se l'autenticazione a più fattori è abilitata per gli amministratori delle identità ibride, l'URL https://secure.aadcdn.microsoftonline-p.comdeve trovarsi nell'elenco dei siti attendibili. Viene richiesto di aggiungere questo sito all'elenco dei siti attendibili quando viene richiesta una richiesta di autenticazione a più fattori e non è stata aggiunta in precedenza. È possibile usare Internet Explorer per aggiungerlo ai siti attendibili.
• Se si prevede di usare Azure AD Connect Health per la sincronizzazione, assicurarsi che vengano soddisfatti anche i prerequisiti per Azure AD Connect Health. Per altre informazioni, vedere Installazione dell'agente di Azure AD Connect Health.

Rafforzare la protezione avanzata del server Azure AD Connect

È consigliabile rafforzare la protezione avanzata del server Azure AD Connect per ridurre la superficie di attacco alla sicurezza per questo componente critico dell'ambiente IT. Seguendo queste raccomandazioni, è possibile attenuare alcuni rischi per la sicurezza per l'organizzazione.

• È consigliabile rafforzare la protezione avanzata del server Azure AD Connect come asset del piano di controllo (in precedenza livello 0) seguendo le indicazioni fornite in Secure Privileged Access e nel modello di livello amministrativo di Active Directory.
• Limitare l'accesso amministrativo al server Azure AD Connect solo agli amministratori di dominio o ad altri gruppi di sicurezza strettamente controllati.
• Creare un account dedicato per tutto il personale con accesso con privilegi. Gli amministratori non devono esplorare il Web, controllare la posta elettronica e svolgere attività di produttività quotidiane con account con privilegi elevati.
• Seguire le indicazioni fornite in Protezione dell'accesso con privilegi.
• Negare l'uso dell'autenticazione NTLM con il server AADConnect. Ecco alcuni modi per eseguire questa operazione: Limitazione di NTLM nel server AADConnect e Limitazione di NTLM in un dominio
• Assicurarsi che ogni computer abbia una password di amministratore locale univoca. Per altre informazioni, vedere Soluzione password amministratore locale (LAPS) può configurare password casuali univoche in ogni workstation e server archiviarle in Active Directory protette da un ACL. Solo gli utenti autorizzati idonei possono leggere o richiedere la reimpostazione di queste password di account amministratore locale. È possibile ottenere il LAPS da usare nelle workstation e nei server dall'Area download Microsoft. Altre indicazioni per l'uso di un ambiente con LAPS e workstation con accesso con privilegi sono disponibili in Standard operativi basati sul principio di origine pulita.
• Implementare workstation con accesso con privilegi dedicati per tutto il personale con accesso con privilegi ai sistemi informativi dell'organizzazione.
• Seguire queste linee guida aggiuntive per ridurre la superficie di attacco dell'ambiente Active Directory.
• Seguire le modifiche apportate alla configurazione della federazione per configurare gli avvisi per monitorare le modifiche apportate all'attendibilità stabilita tra i provider di identità e Azure AD.
• Abilitare Multi Factor Authentication (MFA) per tutti gli utenti con accesso con privilegi in Azure AD o in AD. Un problema di sicurezza relativo all'uso di Azure AD Connect è che se un utente malintenzionato può ottenere il controllo sul server Azure AD Connect, può modificare gli utenti in Azure AD. Per impedire a un utente malintenzionato di usare queste funzionalità per acquisire gli account Azure AD, L'autenticazione a più fattori offre protezioni, in modo che anche se un utente malintenzionato riesce a reimpostare la password di un utente usando Azure AD Connect, non può comunque ignorare il secondo fattore.
• Disabilitare la corrispondenza temporanea nel tenant. La corrispondenza temporanea è un'ottima funzionalità che consente di trasferire l'origine dell'autorità per gli oggetti gestiti dal cloud esistenti in Azure AD Connect, ma presenta alcuni rischi per la sicurezza. Se non è necessario, è consigliabile disabilitare la corrispondenza temporanea.
• Disabilitare l'acquisizione di corrispondenze difficili. L'acquisizione con corrispondenza difficile consente ad Azure AD Connect di assumere il controllo di un oggetto gestito dal cloud e di modificare l'origine dell'autorità per l'oggetto in Active Directory. Dopo aver acquisito l'origine dell'autorità di un oggetto da Azure AD Connect, le modifiche apportate all'oggetto Active Directory collegato all'oggetto Azure AD sovrascriveranno i dati originali di Azure AD, incluso l'hash delle password, se è abilitata la sincronizzazione dell'hash delle password. Un utente malintenzionato potrebbe usare questa funzionalità per assumere il controllo degli oggetti gestiti dal cloud. Per attenuare questo rischio, disabilitare l'acquisizione di corrispondenze difficili.

SQL Server usato da Azure AD Connect

• Per archiviare i dati sull'identità, Azure AD Connect richiede un database SQL. Per impostazione predefinita, viene installato un SQL Server 2019 Express LocalDB (versione light di SQL Server Express). SQL Server Express ha un limite di dimensioni di 10 GB che consente di gestire circa 100.000 oggetti. Se è necessario gestire un volume maggiore di oggetti directory, puntare l'installazione guidata a un'installazione diversa di SQL Server. Il tipo di installazione di SQL Server può influire sulle prestazioni di Azure AD Connect.
• Se si usa un'installazione diversa di SQL Server, si applicano questi requisiti:
  • Azure AD Connect supporta tutte le versioni mainstream supportate SQL Server fino a SQL Server 2019. Fare riferimento all'articolo SQL Server ciclo di vita per verificare lo stato del supporto della versione SQL Server. SQL Server 2012 non è più supportato. Azure SQL Database non è supportato come database. Sono inclusi sia Azure SQL database che Istanza gestita di SQL di Azure.
  • È necessario usare regole di confronto SQL senza distinzione tra maiuscole e minuscole. Queste regole di confronto vengono identificate con un _CI_ nel nome. L'uso di regole di confronto con distinzione tra maiuscole e minuscole identificate da _CS_ nel nome non è supportato.
  • È possibile avere un solo motore di sincronizzazione per ogni istanza di SQL. La condivisione di un'istanza di SQL con sincronizzazione FIM/MIM, DirSync o Azure AD Sync non è supportata.

Account

• È necessario disporre di un account amministratore globale di Azure AD o di un account amministratore identità ibrido per il tenant di Azure AD con cui si vuole eseguire l'integrazione. Questo account deve essere un account dell'istituto di istruzione o dell'organizzazione e non può essere un account Microsoft.
• Se si usano le impostazioni rapide o l'aggiornamento da DirSync, è necessario disporre di un account amministratore dell'organizzazione per il Active Directory locale.
• Se si usa il percorso di installazione delle impostazioni personalizzate, sono disponibili altre opzioni. Per altre informazioni, vedere Impostazioni di installazione personalizzate.

Connettività

• Il server Azure AD Connect necessita della risoluzione DNS per Intranet e Internet. Il server DNS deve essere in grado di risolvere i nomi per gli endpoint locali di Active Directory e per gli endpoint di Azure AD.

• Azure AD Connect richiede la connettività di rete a tutti i domini configurati

• Azure AD Connect richiede la connettività di rete al dominio radice di tutte le foreste configurate

• Se si dispone di firewall nella intranet ed è necessario aprire le porte tra i server Azure AD Connect e i controller di dominio, vedere Porte di Azure AD Connect per altre informazioni.

• Se il proxy o il firewall limitano gli URL a cui è possibile accedere, è necessario aprire gli URL documentati in URL e intervalli di indirizzi IP Office 365. Vedere anche Elenco degli URL portale di Azure nel firewall o nel server proxy.

  • Se si usa il cloud Microsoft in Germania o nel cloud di Microsoft Azure per enti pubblici, vedere Considerazioni sulle istanze del servizio di sincronizzazione di Azure AD Connect per gli URL.

• Per impostazione predefinita Azure AD Connect (versione 1.1.614.0 e successive) usa TLS 1.2 per crittografare le comunicazioni tra il motore di sincronizzazione e Azure AD. Se TLS 1.2 non è disponibile nel sistema operativo sottostante, Azure AD Connect esegue il fallback in modo incrementale sui protocolli meno recenti (TLS 1.1 e TLS 1.0). Da Azure AD Connect versione 2.0 e successive. TLS 1.0 e 1.1 non sono più supportati e l'installazione avrà esito negativo se TLS 1.2 non è abilitato.

• Prima della versione 1.1.614.0, per impostazione predefinita, Azure AD Connect usa TLS 1.0 per crittografare le comunicazioni tra il motore di sincronizzazione e Azure AD. Per passare a TLS 1.2 seguire i passaggi descritti in Abilitare TLS 1.2 per Azure AD Connect.

• Se si usa un proxy in uscita per la connessione a Internet, è necessario aggiungere l'impostazione seguente nel file C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config per l'installazione guidata e la sincronizzazione di Azure AD Connect per potersi connettere a Internet e Azure AD. Questo testo deve essere immesso alla fine del file. In questo codice <PROXYADDRESS> rappresenta l'indirizzo IP proxy effettivo o il nome host.

      <system.net>
          <defaultProxy>
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Se il server proxy richiede l'autenticazione, l'account del servizio deve trovarsi nel dominio. Usare il percorso di installazione delle impostazioni personalizzate per specificare un account del servizio personalizzato. È necessaria anche una modifica diversa per machine.config. Con questa modifica in machine.config, l'installazione guidata e il motore di sincronizzazione rispondono alle richieste di autenticazione dal server proxy. In tutte le pagine dell'installazione guidata, esclusa la pagina Configura , vengono usate le credenziali dell'utente connesso. Nella pagina Configura alla fine dell'installazione guidata il contesto viene passato all'account del servizio creato. La sezione machine.config dovrebbe essere simile alla seguente:

      <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Se la configurazione del proxy viene eseguita in un'installazione esistente, il servizio di sincronizzazione Microsoft Azure AD deve essere riavviato una volta per Azure AD Connect per leggere la configurazione del proxy e aggiornare il comportamento.

• Quando Azure AD Connect invia una richiesta Web ad Azure AD come parte della sincronizzazione della directory, possono essere necessari fino a 5 minuti per ottenere la risposta da Azure AD. È comune che i server proxy abbiano la configurazione del timeout di inattività della connessione. Verificare che la configurazione sia impostata su almeno 6 minuti.

Per altre informazioni, vedere MSDN sull'elemento proxy predefinito. Per altre informazioni in caso di problemi di connettività, vedere Risolvere i problemi di connettività.

Altro

Facoltativo: usare un account utente di test per verificare la sincronizzazione.

Prerequisiti dei componenti

PowerShell e .NET Framework

Azure AD Connect dipende da Microsoft PowerShell 5.0 e .NET Framework 4.5.1. Nel server deve essere installata questa versione o una versione successiva.

Abilitare TLS 1.2 per Azure AD Connect

Prima della versione 1.1.614.0, per impostazione predefinita Azure AD Connect usa TLS 1.0 per crittografare le comunicazioni tra il server del motore di sincronizzazione e Azure AD. È possibile configurare le applicazioni .NET per l'uso di TLS 1.2 per impostazione predefinita nel server. Per altre informazioni su TLS 1.2, vedere Microsoft Security Advisory 2960358.

1. Assicurarsi di avere installato l'hotfix .NET 4.5.1 per il sistema operativo. Per altre informazioni, vedere Microsoft Security Advisory 2960358. Questo hotfix o una versione successiva potrebbe essere già installata nel server.

2. Per tutti i sistemi operativi impostare questa chiave del Registro di sistema e riavviare il server.

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
   "SchUseStrongCrypto"=dword:00000001
   

3. Se si vuole anche abilitare TLS 1.2 tra il server del motore di sincronizzazione e un SQL Server remoto, assicurarsi di avere le versioni necessarie installate per il supporto TLS 1.2 per Microsoft SQL Server.

Prerequisiti DCOM nel server di sincronizzazione

Durante l'installazione del servizio di sincronizzazione, Azure AD Connect verifica la presenza della seguente chiave del Registro di sistema:

• HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

In questa chiave del Registro di sistema, Azure AD Connect verificherà se i valori seguenti sono presenti e non corretti:

• MachineAccessRestriction
• MachineLaunchRestriction
• DefaultLaunchPermission

Prerequisiti per l'installazione e la configurazione dei servizi federativi

Gestione remota Windows

Quando si usa Azure AD Connect per distribuire AD FS o il web Application Proxy (WAP), verificare i requisiti seguenti:

• Se il server di destinazione è aggiunto a un dominio, assicurarsi che Gestione remota Windows sia abilitato.
  • In una finestra di comando di PowerShell con privilegi elevati usare il comando Enable-PSRemoting –force.
• Se il server di destinazione è un computer WAP non aggiunto a un dominio, esistono alcuni requisiti aggiuntivi:
  • Nel computer di destinazione (computer WAP):
    • Verificare che il servizio Gestione remota Windows/Gestione remota Windows (WinRM) sia in esecuzione tramite lo snap-in Servizi.
    • In una finestra di comando di PowerShell con privilegi elevati usare il comando Enable-PSRemoting –force.
  • Nel computer in cui è in esecuzione la procedura guidata (se il computer di destinazione è non aggiunto a un dominio o è un dominio non attendibile):
    • In una finestra di comando di PowerShell con privilegi elevati usare il comando Set-Item.WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate.
    • In Server Manager:
      • Aggiungere un host WAP della rete perimetrale a un pool di computer. In Server Manager selezionare Gestisci>server e quindi usare la scheda DNS .
      • Nella scheda Server Manager Tutti i server fare clic con il pulsante destro del mouse sul server WAP e scegliere Gestisci come. Immettere le credenziali locali (non di dominio) per il computer WAP.
      • Per convalidare la connettività remota di PowerShell, nella scheda Server Manager Tutti i server fare clic con il pulsante destro del mouse sul server WAP e scegliere Windows PowerShell. È consigliabile aprire una sessione remota di PowerShell per assicurarsi che sia possibile stabilire sessioni di PowerShell remote.

Requisiti del certificato TLS/SSL

• È consigliabile usare lo stesso certificato TLS/SSL in tutti i nodi della farm AD FS e in tutti i server di Application Proxy Web.
• Il certificato deve essere un certificato X509.
• È possibile utilizzare un certificato autofirmato su server federativi in un ambiente di testing. Per un ambiente di produzione, è consigliabile ottenere il certificato da un'autorità di certificazione pubblica.
  • Se si usa un certificato non attendibile pubblicamente, assicurarsi che il certificato installato in ogni server web Application Proxy sia considerato attendibile sia nel server locale che in tutti i server federativi.
• L'identità del certificato deve corrispondere al nome del servizio federativo (ad esempio, sts.contoso.com).
  • L'identità è un'estensione SAN (Subject Alternative Name) di tipo dNSName oppure, se non sono presenti voci SAN, il nome soggetto viene specificato come nome comune.
  • Nel certificato possono essere presenti più voci SAN, che corrispondono al nome del servizio federativo.
  • Se si prevede di usare Workplace Join, è necessaria una san aggiuntiva con il valore enterpriseregistration. Seguito dal suffisso UPN (User Principal Name) dell'organizzazione, ad esempio, enterpriseregistration.contoso.com.
• I certificati basati sulle chiavi di nuova generazione (CNG) cryptoAPI e sui provider di archiviazione delle chiavi (KSP) non sono supportati. Di conseguenza, è necessario usare un certificato basato su un provider di servizi di crittografia (CSP) e non su un provider di servizi di crittografia.
• I certificati con caratteri jolly sono supportati.

Risoluzione dei nomi per i server federativi

• Configurare i record DNS per il nome AD FS (ad esempio, sts.contoso.com) sia per la intranet (server DNS interno) sia per la extranet (DNS pubblico tramite il registrar di dominio). Per il record DNS Intranet, accertarsi di usare record A e non record CNAME. L'uso di record A è necessario per autenticazione di Windows funzionare correttamente dal computer aggiunto al dominio.
• Se si distribuiscono più server AD FS o server Web Application Proxy, assicurarsi di aver configurato il servizio di bilanciamento del carico e che i record DNS per il nome AD FS (ad esempio, sts.contoso.com) puntino al servizio di bilanciamento del carico.
• Affinché l'autenticazione integrata di Windows funzioni per le applicazioni browser usando Internet Explorer nella intranet, assicurarsi che il nome di AD FS (ad esempio, sts.contoso.com) venga aggiunto all'area Intranet in Internet Explorer. Questo requisito può essere controllato tramite Criteri di gruppo e distribuito in tutti i computer aggiunti al dominio.

Componenti di supporto di Azure AD Connect

Azure AD Connect installa i componenti seguenti nel server in cui è installato Azure AD Connect. L'elenco riguarda un'istallazione di SQL Express di base. Se si sceglie di usare un SQL Server diverso nella pagina Installa servizi di sincronizzazione, SQL Express LocalDB non è installato in locale.

• Azure AD Connect Health
• Utilità della riga di comando di Microsoft SQL Server 2019
• Microsoft SQL Server 2019 Express LocalDB
• Microsoft SQL Server 2019 Native Client
• pacchetto di ridistribuzione Microsoft Visual C++ 14

Requisiti hardware per Azure AD Connect

La tabella seguente illustra i requisiti minimi per il computer di sincronizzazione azure AD Connect.

Numero di oggetti in Active Directory	CPU	Memoria	Dimensioni del disco rigido
Meno di 10.000	1,6 GHz	6 GB	70 GB
10.000-50.000	1,6 GHz	6 GB	70 GB
50.000-100.000	1,6 GHz	16 GB	100 GB
Per 100.000 o più oggetti, è necessaria la versione completa di SQL Server. Per motivi di prestazioni, l'installazione in locale è preferibile. I valori seguenti sono validi solo per l'installazione di Azure AD Connect. Se SQL Server verrà installato nello stesso server, è necessaria ulteriore memoria, unità e CPU.
100.000-300.000	1,6 GHz	32 GB	300 GB
300.000-600.000	1,6 GHz	32 GB	450 GB
Più di 600.000	1,6 GHz	32 GB	500 GB

I requisiti minimi per i computer che eseguono i server ad FS o Web Application Proxy sono:

• CPU: dual core da 1,6 GHz o superiore
• Memoria: 2 GB o versioni successive
• Macchina virtuale di Azure: configurazione A2 o superiore

Passaggi successivi

Altre informazioni su Integrazione delle identità locali con Azure Active Directory.