Installazione personalizzata di Azure Active Directory Connect

Usare le impostazioni personalizzate in Azure Active Directory (Azure AD) Connect quando si desiderano altre opzioni per l'installazione. Usare queste impostazioni, ad esempio, se si dispone di più foreste o se si desidera configurare funzionalità facoltative. Usare le impostazioni personalizzate in tutti i casi in cui l'installazione rapida non soddisfa le esigenze di distribuzione o topologia.

Prerequisiti:

Impostazioni di installazione personalizzata

Per configurare un'installazione personalizzata per Azure AD Connect, vedere le pagine della procedura guidata descritte nelle sezioni seguenti.

Impostazioni rapide

Nella pagina Impostazioni express selezionare Personalizza per avviare un'installazione personalizzata delle impostazioni. Il resto di questo articolo illustra il processo di installazione personalizzato. Usare i collegamenti seguenti per passare rapidamente alle informazioni per una determinata pagina:

Installare i componenti necessari

Quando si installano i servizi di sincronizzazione, è possibile lasciare deselezionata la sezione di configurazione facoltativa. Azure AD Connect configura automaticamente tutto. Configura un'istanza di Express LocalDB SQL Server 2019, crea i gruppi appropriati e assegna le autorizzazioni. Se si desidera modificare le impostazioni predefinite, selezionare le caselle appropriate. La tabella seguente riepiloga queste opzioni e fornisce collegamenti a informazioni aggiuntive.

Screenshot che mostra le selezioni facoltative per i componenti di installazione necessari in Azure AD Connect.

Configurazione facoltativa Descrizione
Specificare un percorso di installazione personalizzato Consente di modificare il percorso di installazione predefinito per Azure AD Connect.
Usare un server SQL esistente Consente di specificare il nome e il nome dell'istanza di SQL Server. Scegliere questa opzione se si dispone già di un server di database che si vuole usare. Per Nome istanza immettere il nome dell'istanza, una virgola e il numero di porta se l'istanza di SQL Server non ha abilitato l'esplorazione. Specificare quindi il nome del database Azure AD Connect. I privilegi SQL determinano se è possibile creare un nuovo database o l'amministratore SQL deve creare il database in anticipo. Se si dispone di autorizzazioni di amministratore (SA) di SQL Server, vedere Installare Azure AD Connect usando un database esistente. Se si dispone di autorizzazioni delegate (DBO), vedere Installare Azure AD Connect usando le autorizzazioni di amministratore delegate di SQL.
Usare un account di servizio esistente Per impostazione predefinita, Azure AD Connect fornisce un account del servizio virtuale per i servizi di sincronizzazione. Se si usa un'istanza remota di SQL Server o si usa un proxy che richiede l'autenticazione, è possibile usare un account del servizio gestito o un account del servizio protetto da password nel dominio. In questi casi immettere l'account che si vuole usare. Per eseguire l'installazione, è necessario essere un sa in SQL in modo da poter creare credenziali di accesso per l'account del servizio. Per altre informazioni, vedere Account e autorizzazioni di Azure AD Connect.

Usando la build più recente, l'amministratore SQL può ora effettuare il provisioning del database fuori banda. L'amministratore di Azure AD Connect può quindi installarlo con i diritti di proprietario del database. Per altre informazioni, vedere Installare Azure AD Connect usando le autorizzazioni di amministratore con delega SQL.
Specificare i gruppi di sincronizzazione personalizzati Per impostazione predefinita, quando vengono installati i servizi di sincronizzazione, Azure AD Connect crea quattro gruppi locali nel server. Questi gruppi sono Amministratori, Operatori, Sfoglia e Reimpostazione password. È possibile specificare qui i gruppi personalizzati. I gruppi devono essere locali nel server. Non possono trovarsi nel dominio.
Importare le impostazioni di sincronizzazione (anteprima) Consente di importare le impostazioni da altre versioni di Azure AD Connect. Per altre informazioni, vedere Importazione ed esportazione delle impostazioni di configurazione di Azure AD Connect.

Accesso utente

Dopo aver installato i componenti necessari, selezionare il metodo Single Sign-On degli utenti. La tabella seguente descrive brevemente le opzioni disponibili. Per una descrizione completa dei metodi di accesso, vedere Accesso utente.

Screenshot che mostra la pagina

Opzione Single Sign-On Descrizione
Sincronizzazione dell'hash delle password Gli utenti possono accedere ai servizi cloud Microsoft, ad esempio Microsoft 365, usando la stessa password usata nella rete locale. Le password utente vengono sincronizzate con Azure AD come hash delle password. L'autenticazione si verifica nel cloud. Per altre informazioni, vedere Sincronizzazione dell'hash delle password.
Autenticazione pass-through Gli utenti possono accedere ai servizi cloud Microsoft, ad esempio Microsoft 365, usando la stessa password usata nella rete locale. Le password utente vengono convalidate passando al controller di dominio di Active Directory locale.
Federazione con ADFS Gli utenti possono accedere ai servizi cloud Microsoft, ad esempio Microsoft 365, usando la stessa password usata nella rete locale. Gli utenti vengono reindirizzati all'istanza locale di Azure Directory Federation Services (AD FS) per accedere. L'autenticazione si verifica in locale.
Federazione con PingFederate Gli utenti possono accedere ai servizi cloud Microsoft, ad esempio Microsoft 365, usando la stessa password usata nella rete locale. Gli utenti vengono reindirizzati all'istanza locale di PingFederate per accedere. L'autenticazione si verifica in locale.
Non configurare Nessuna funzionalità di accesso utente è installata o configurata. Scegliere questa opzione se si dispone già di un server federativo di terze parti o di un'altra soluzione.
Abilita Single Sign-On Questa opzione è disponibile con la sincronizzazione hash delle password e l'autenticazione pass-through. Offre un'esperienza di accesso Single Sign-On per gli utenti desktop nelle reti aziendali. Per altre informazioni, vedere Single Sign-On.

Nota: Per i clienti DI AD FS, questa opzione non è disponibile. AD FS offre già lo stesso livello di Single Sign-On.

Connessione ad Azure AD

Nella pagina Connetti ad Azure AD immettere un account di amministratore delle identità ibrido e una password. Se è stata selezionata Federazione con AD FS nella pagina precedente, non accedere con un account in un dominio che si prevede di abilitare per la federazione.

È possibile usare un account nel dominio di onmicrosoft.com predefinito, che include il tenant di Azure AD. Questo account viene usato solo per creare un account di servizio in Azure AD. Non viene usato al termine dell'installazione.

Nota

È consigliabile evitare l'uso di account sincronizzati locali per le assegnazioni di ruolo di Azure AD. Se l'account locale è compromesso, questa operazione può essere usata anche per compromettere le risorse di Azure AD. Per un elenco completo delle procedure consigliate, vedere Procedure consigliate per i ruoli di Azure AD

Screenshot che mostra la pagina

Se l'account amministratore globale ha abilitato l'autenticazione a più fattori, specificare di nuovo la password nella finestra di accesso e è necessario completare la sfida di autenticazione a più fattori. La richiesta può consistere in un codice di verifica o in una telefonata.

Screenshot che mostra la pagina

L'account amministratore globale può anche avere la gestione delle identità con privilegi abilitata.

Per usare il supporto per l'autenticazione per scenari non password, ad esempio account federati, smartcard e scenari MFA, è possibile fornire l'opzione /InteractiveAuth all'avvio della procedura guidata. L'uso di questa opzione ignora l'interfaccia utente di autenticazione della procedura guidata e usa l'interfaccia utente della libreria MSAL per gestire l'autenticazione.

Se viene visualizzato un errore o si verificano problemi di connettività, vedere Risolvere i problemi di connettività.

Pagine di sincronizzazione

Le sezioni seguenti descrivono le pagine nella sezione Sincronizza .

Connessione delle directory

Per connettersi a Active Directory Domain Services (AD DS), Azure AD Connect richiede il nome e le credenziali della foresta di un account con autorizzazioni sufficienti.

Screenshot che mostra la pagina

Dopo aver immesso il nome della foresta e selezionare Aggiungi directory, viene visualizzata una finestra. Nella tabella seguente vengono descritte le opzioni.

Opzione Descrizione
Crea un nuovo account Creare l'account Active Directory Domain Services che Azure AD Connect deve connettersi alla foresta Active Directory durante la sincronizzazione della directory. Dopo aver selezionato questa opzione, immettere il nome utente e la password per un account amministratore aziendale. Azure AD Connect usa l'account amministratore aziendale fornito per creare l'account Active Directory Domain Services richiesto. È possibile immettere la parte di dominio in formato NetBIOS o FQDN. In questo caso, immettere FABRIKAM\administrator o fabrikam.com\administrator.
Usare l'account esistente Specificare un account Active Directory Domain Services esistente che Azure AD Connect può usare per connettersi alla foresta Active Directory durante la sincronizzazione della directory. È possibile immettere la parte di dominio in formato NetBIOS o FQDN. In questo caso, immettere FABRIKAM\syncuser o fabrikam.com\syncuser. Questo account può essere un account utente normale perché richiede solo le autorizzazioni di lettura predefinite. Tuttavia, a seconda dello scenario, potrebbero essere necessarie altre autorizzazioni. Per altre informazioni, vedere Account e autorizzazioni di Azure AD Connect.

Screenshot che mostra la pagina

Nota

A partire dalla build 1.4.18.0, non è possibile usare un account amministratore aziendale o amministratore di dominio come account connettore di Active Directory Domain Services. Quando si seleziona Usa account esistente, se si tenta di immettere un account amministratore aziendale o un account amministratore di dominio, viene visualizzato l'errore seguente: "L'uso di un account amministratore aziendale o di dominio per l'account della foresta AD non è consentito. È possibile consentire ad Azure AD Connect di creare automaticamente l'account o specificare un account di sincronizzazione con le autorizzazioni corrette".

Configurazione dell'accesso ad Azure AD

Nella pagina di configurazione dell'accesso di Azure AD esaminare i domini UPN (User Principal Name) in Active Directory Domain Services locale. Questi domini UPN sono stati verificati in Azure AD. In questa pagina viene configurato l'attributo da usare per userPrincipalName.

Screenshot che mostra i domini non verificati nella pagina

Esaminare ogni dominio contrassegnato come Non aggiunto o Non verificato. Assicurarsi che i domini usati siano stati verificati in Azure AD. Dopo aver verificato i domini, selezionare l'icona di aggiornamento circolare. Per altre informazioni, vedere Aggiungere e verificare il dominio.

Gli utenti usano l'attributo userPrincipalName quando accedono ad Azure AD e Microsoft 365. Azure AD deve verificare i domini, noti anche come suffisso UPN, prima che gli utenti vengano sincronizzati. Microsoft consiglia di mantenere l'attributo predefinito userPrincipalName.

Se l'attributo userPrincipalName non è indirizzabile e non può essere verificato, è possibile selezionare un altro attributo. È possibile, ad esempio, selezionare posta elettronica come attributo che contiene l'ID di accesso. Quando si usa un attributo diverso da userPrincipalName, è noto come ID alternativo.

Il valore dell'attributo ID alternativo deve essere conforme allo standard RFC 822. È possibile usare un ID alternativo con la sincronizzazione dell'hash delle password, l'autenticazione pass-through e la federazione. In Active Directory l'attributo non può essere definito come multivalore, anche se ha un solo valore. Per altre informazioni sull'ID alternativo, vedere Autenticazione pass-through: domande frequenti.

Nota

Quando si abilita l'autenticazione pass-through, è necessario avere almeno un dominio verificato per continuare attraverso il processo di installazione personalizzato.

Avviso

Gli ID alternativi non sono compatibili con tutti i carichi di lavoro di Microsoft 365. Per altre informazioni, vedere Configurazione degli ID di accesso alternativi.

Filtro unità organizzativa e dominio

Per impostazione predefinita, tutti i domini e le unità organizzative vengono sincronizzati. Se non si vuole sincronizzare alcuni domini o unità organizzative in Azure AD, è possibile cancellare le selezioni appropriate.

Screenshot che mostra la pagina Filtro dominio e O U.

Questa pagina configura il filtro basato su dominio e basato sull'unità organizzativa. Se si prevede di apportare modifiche, vedere Filtro basato su dominio e filtro basato su unità organizzativa. Alcune unità organizzative sono essenziali per la funzionalità, quindi è consigliabile lasciarle selezionate.

Se si usa il filtro basato su unità organizzativa con una versione di Azure AD Connect precedente alla versione 1.1.524.0, le nuove unità organizzative vengono sincronizzate per impostazione predefinita. Se non si desidera sincronizzare nuove unità organizzative, è possibile modificare il comportamento predefinito dopo il passaggio di filtro basato su unità organizzativa . Per Azure AD Connect 1.1.524.0 o versione successiva, è possibile indicare se si desidera sincronizzare nuove unità organizzative.

Se si prevede di usare il filtro basato sul gruppo, assicurarsi che l'unità organizzativa con il gruppo sia inclusa e non venga filtrata usando il filtro unità organizzativa. Il filtro unità organizzativa viene valutato prima della valutazione del filtro basato sul gruppo.

È anche possibile che alcuni domini non siano raggiungibile a causa di restrizioni del firewall. Questi domini non vengono selezionati per impostazione predefinita e visualizzano un avviso.

Screenshot che mostra i domini non raggiungibile.

Se viene visualizzato questo avviso, assicurarsi che questi domini siano effettivamente inarrivabili e che l'avviso sia previsto.

Identificazione univoca degli utenti

Nella pagina Identificazione utenti scegliere come identificare gli utenti nelle directory locali e come identificarli usando l'attributo sourceAnchor.

Selezionare la modalità di identificazione degli utenti nelle directory locali

Usando la funzionalità Corrispondenza tra foreste , è possibile definire il modo in cui gli utenti delle foreste di Active Directory Domain Services sono rappresentati in Azure AD. Un utente potrebbe essere rappresentato una sola volta in tutte le foreste o potrebbe avere una combinazione di account abilitati e disabilitati. In alcune foreste è possibile che l'utente sia rappresentato anche come un contatto.

Screenshot che mostra la pagina in cui è possibile identificare in modo univoco gli utenti.

Impostazione Descrizione
Gli utenti vengono rappresentati una sola volta in tutte le foreste Tutti gli utenti vengono creati come singoli oggetti in Azure AD. Gli oggetti non vengono aggiunti al metaverse.
Attributo di posta Questa opzione unisce utenti e contatti se l'attributo di posta ha lo stesso valore in foreste diverse. Usare questa opzione quando i contatti sono stati creati usando GALSync. Se si sceglie questa opzione, gli oggetti utente i cui attributi di posta elettronica non sono sincronizzati con Azure AD.
Attributi ObjectSID e msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID Questa opzione unisce un utente abilitato in una foresta di account a un utente disabilitato in una foresta di risorse. In Exchange questa configurazione è definita cassetta postale collegata. È possibile usare questa opzione se si usa solo Lync e se Exchange non è presente nella foresta di risorse.
Attributi SAMAccountName e MailNickName Questa opzione viene aggiunta agli attributi in cui è previsto che venga trovato l'ID di accesso per l'utente.
Scegliere un attributo specifico Questa opzione consente di selezionare un attributo personale. Se si sceglie questa opzione, gli oggetti utente il cui attributo (selezionato) non è sincronizzato con Azure AD. Limitazione: Per questa opzione sono disponibili solo gli attributi già presenti nel metaverse.

Selezionare il modo in cui gli utenti devono essere identificati usando un ancoraggio di origine

L'attributo sourceAnchor non è modificabile durante la durata di un oggetto utente. È la chiave primaria che collega l'utente locale all'utente in Azure AD.

Impostazione Descrizione
Consentire ad Azure di gestire l'ancoraggio di origine Selezionare questa opzione se si vuole che Azure AD selezioni automaticamente l'attributo. Se si seleziona questa opzione, Azure AD Connect applica la logica di selezione dell'attributo sourceAnchor descritta in Uso di ms-DS-ConsistencyGuid come sourceAnchor. Al termine dell'installazione personalizzata, viene visualizzato l'attributo selezionato come attributo sourceAnchor.
Scegliere un attributo specifico Selezionare questa opzione se si vuole specificare un attributo AD esistente come attributo sourceAnchor.

Poiché l'attributo sourceAnchor non può essere modificato, è necessario scegliere un attributo appropriato. objectGUID è un candidato valido. Questo attributo non viene modificato a meno che l'account utente non venga spostato tra foreste o domini. Non scegliere attributi che possono cambiare quando una persona sposa o modifica le assegnazioni.

Non è possibile usare gli attributi che includono un segno (@), quindi non è possibile usare la posta elettronica e userPrincipalName. L'attributo è anche distinzione tra maiuscole e minuscole, quindi quando si sposta un oggetto tra foreste, assicurarsi di mantenere maiuscole e minuscole. Gli attributi binari sono con codifica Base64, ma altri tipi di attributo rimangono nello stato non codificato.

Negli scenari di federazione e alcune interfacce di Azure AD, l'attributo sourceAnchor è noto anche come immutableID.

Per altre informazioni sull'ancoraggio di origine, vedere Concetti di progettazione.

Filtro di sincronizzazione basato sui gruppi

La funzionalità filtro su gruppi consente di sincronizzare solo un piccolo subset di oggetti per un progetto pilota. Per usare questa funzionalità, creare un gruppo per questo scopo nell'istanza locale di Active Directory. Aggiungere quindi utenti e gruppi da sincronizzare in Azure AD come membri diretti, È possibile aggiungere utenti o rimuovere utenti da questo gruppo per mantenere l'elenco di oggetti che devono essere presenti in Azure AD.

Tutti gli oggetti da sincronizzare devono essere membri diretti del gruppo. Gli utenti, i gruppi, i contatti e i computer o i dispositivi devono essere tutti membri diretti. L'appartenenza al gruppo annidata non viene risolta. Quando si aggiunge un gruppo come membro, viene aggiunto solo il gruppo stesso. I membri non vengono aggiunti.

Screenshot che mostra la pagina in cui è possibile scegliere come filtrare utenti e dispositivi.

Avviso

Questa funzionalità è destinata a supportare solo una distribuzione pilota. Non usarlo in una distribuzione di produzione completa.

In una distribuzione di produzione completa, sarebbe difficile mantenere un singolo gruppo e tutti gli oggetti da sincronizzare. Anziché la funzionalità filtro sui gruppi, usare uno dei metodi descritti in Configura filtro.

Funzionalità facoltative

Nella pagina successiva è possibile selezionare funzionalità facoltative per lo scenario.

Avviso

Azure AD Connect versione 1.0.8641.0 e versioni precedenti si basano su Azure Controllo di accesso Service per il writeback delle password. Questo servizio è stato ritirato il 7 novembre 2018. Se si usa una di queste versioni di Azure AD Connect e si è abilitato il writeback delle password, gli utenti potrebbero perdere la possibilità di modificare o reimpostare le password quando il servizio viene ritirato. Queste versioni di Azure AD Connect non supportano il writeback delle password.

Per altre informazioni, vedere Eseguire la migrazione da Azure Controllo di accesso Service.

Per usare il writeback delle password, scaricare la versione più recente di Azure AD Connect.

Screenshot che mostra la pagina

Avviso

Se Azure AD Sync o sincronizzazione diretta (DirSync) sono attivi, non attivare funzionalità di writeback in Azure AD Connect.

Funzionalità facoltative Descrizione
Distribuzione ibrida di Exchange La funzionalità di distribuzione ibrida di Exchange consente la coesistenza delle cassette postali di Exchange sia in locale che in Microsoft 365. Azure AD Connect sincronizza un set specifico di attributi da Azure AD nella directory locale.
Cartelle pubbliche di posta di Exchange La funzionalità Cartelle pubbliche di posta elettronica exchange consente di sincronizzare gli oggetti cartella pubblica abilitati per la posta elettronica dall'istanza locale di Active Directory ad Azure AD. Si noti che non è supportato per sincronizzare i gruppi che contengono cartelle pubbliche come membri e che tenta di eseguire questa operazione genererà un errore di sincronizzazione.
Filtro attributi e app di Azure AD Abilitando il filtro delle app e degli attributi di Azure AD, è possibile personalizzare il set di attributi sincronizzati. Questa opzione aggiunge altre due pagine di configurazione alla procedura guidata. Per altre informazioni, vedere Filtro attributi e app Azure AD.
Sincronizzazione dell'hash delle password Se è stata selezionata la federazione come soluzione di accesso, è possibile abilitare la sincronizzazione dell'hash delle password. È quindi possibile usarlo come opzione di backup.

Se è stata selezionata l'autenticazione pass-through, è possibile abilitare questa opzione per garantire il supporto per i client legacy e fornire un backup.

Per altre informazioni, vedere Sincronizzazione dell'hash delle password.
writeback delle password Usare questa opzione per assicurarsi che le modifiche della password che hanno origine in Azure AD vengano scritte nella directory locale. Per altre informazioni, vedere Introduzione alla gestione delle password.
Writeback dei gruppi Se si usa Gruppi di Microsoft 365, è possibile rappresentare i gruppi nell'istanza locale di Active Directory. Questa opzione è disponibile solo se si dispone di Exchange nell'istanza locale di Active Directory. Per altre informazioni, vedere Writeback del gruppo di Azure AD Connect.
Writeback dispositivi Per gli scenari di accesso condizionale, usare questa opzione per scrivere oggetti dispositivo in Azure AD nell'istanza locale di Active Directory. Per altre informazioni, vedere Abilitazione del writeback dei dispositivi in Azure AD Connect.
Sincronizzazione attributi estensione della directory Selezionare questa opzione per sincronizzare gli attributi specificati in Azure AD. Per altre informazioni, vedere Estensioni della directory.

Filtro attributi e app di Azure AD

Per limitare gli attributi sincronizzati con Azure AD, iniziare selezionando i servizi usati. Se si modificano le selezioni in questa pagina, è necessario selezionare in modo esplicito un nuovo servizio eseguendo nuovamente l'installazione guidata.

Screenshot che mostra le funzionalità facoltative delle app Azure A D.

In base ai servizi selezionati nel passaggio precedente, questa pagina mostra tutti gli attributi sincronizzati. Questo elenco è una combinazione di tutti i tipi di oggetti sincronizzati. Se sono necessari alcuni attributi per rimanere non sincronizzati, è possibile cancellare la selezione da tali attributi.

Screenshot che mostra le funzionalità facoltative degli attributi di Azure A D.

Avviso

La rimozione degli attributi può influire sulla funzionalità. Per le procedure consigliate e le raccomandazioni, vedere Attributi da sincronizzare.

Sincronizzazione attributi estensione della directory

È possibile estendere lo schema in Azure AD usando attributi personalizzati aggiunti dall'organizzazione o usando altri attributi in Active Directory. Per usare questa funzionalità, nella pagina Funzionalità facoltativeselezionare Sincronizzazione attributo estensione directory. Nella pagina Estensioni directory è possibile selezionare altri attributi da sincronizzare.

Nota

Il campo Attributi disponibili è distinzione tra maiuscole e minuscole.

Screenshot che mostra la pagina

Per altre informazioni, vedere Estensioni della directory.

Abilitazione dell'accesso Single Sign-On

Nella pagina Single Sign-On viene configurato l'accesso Single Sign-On da usare con la sincronizzazione delle password o l'autenticazione pass-through. Eseguire questo passaggio una volta per ogni foresta sincronizzata con Azure AD. La configurazione prevede due passaggi:

  1. Creare l'account computer necessario nell'istanza locale di Active Directory.
  2. Configurare l'area Intranet dei computer client per supportare l'accesso Single Sign-On.

Creare l'account computer in Active Directory

Per ogni foresta aggiunta in Azure AD Connect, è necessario specificare le credenziali di amministratore di dominio in modo che l'account computer possa essere creato in ogni foresta. Le credenziali vengono usate solo per creare l'account. Non vengono archiviati o usati per qualsiasi altra operazione. Aggiungere le credenziali nella pagina Abilita accesso Single Sign-On , come illustrato nell'immagine seguente.

Screenshot che mostra la pagina

Nota

È possibile ignorare le foreste in cui non si vuole usare l'accesso Single Sign-On.

Configurare l'area Intranet per i computer client

Per assicurarsi che il client accressi automaticamente nell'area Intranet, assicurarsi che l'URL faccia parte dell'area Intranet. Questo passaggio garantisce che il computer aggiunto al dominio invii automaticamente un ticket Kerberos ad Azure AD quando è connesso alla rete aziendale.

In un computer con strumenti di gestione Criteri di gruppo:

  1. Aprire gli strumenti di gestione Criteri di gruppo.

  2. Modificare i criteri di gruppo che verranno applicati a tutti gli utenti. Ad esempio, il criterio Dominio predefinito.

  3. Passare alla paginaConfigurazione> utenteModelli> amministrativi Componenti >di WindowsInternet Explorer>Internet Pannello di controllo> Sicurezza. Selezionare quindi Elenco di assegnazione siti ad aree.

  4. Abilitare il criterio. Nella finestra di dialogo immettere quindi un nome di valore e https://autologon.microsoftazuread-sso.com il valore .1 La configurazione dovrebbe essere simile all'immagine seguente.

    Screenshot che mostra le zone Intranet.

  5. Selezionare OK due volte.

Configurazione della federazione con ADFS

È possibile configurare AD FS con Azure AD Connect in pochi clic. Prima di iniziare, è necessario:

  • Windows Server 2012 R2 o versione successiva per il server federativo. La gestione remota deve essere abilitata.
  • Windows Server 2012 R2 o versione successiva per il server di Application Proxy Web. La gestione remota deve essere abilitata.
  • Un certificato TLS/SSL per il nome del servizio federativo che si intende usare (ad esempio sts.contoso.com).

Nota

È possibile aggiornare un certificato TLS/SSL per la farm AD FS usando Azure AD Connect anche se non viene usato per gestire l'attendibilità federativa.

Prerequisiti di configurazione di AD FS

Per configurare la farm AD FS usando Azure AD Connect, assicurarsi che WinRM sia abilitato nei server remoti. Assicurarsi di aver completato le altre attività nei prerequisiti di federazione. Assicurarsi inoltre di seguire i requisiti delle porte elencati nella tabella Server Di azure AD Connect e federazione/WAP .

Creare una nuova farm ADFS o usare una farm ADFS esistente

È possibile usare una farm AD FS esistente o crearne una nuova. Se si sceglie di crearne uno nuovo, è necessario specificare il certificato TLS/SSL. Se il certificato TLS/SSL è protetto da una password, viene richiesto di specificare la password.

Screenshot che mostra la pagina

Se si sceglie di usare una farm AD FS esistente, viene visualizzata la pagina in cui è possibile configurare la relazione di trust tra AD FS e Azure AD.

Nota

È possibile usare Azure AD Connect per gestire una sola farm AD FS. Se si dispone di un trust federativo esistente in cui Azure AD è configurato nella farm AD FS selezionata, Azure AD Connect crea nuovamente l'attendibilità da zero.

Specificare i server ADFS

Specificare i server in cui si vuole installare AD FS. È possibile aggiungere uno o più server, in base alle esigenze di capacità. Prima di definire la configurazione, aggiungere tutti i server AD FS ad Active Directory. Questo passaggio non è necessario per i server proxy applicazione Web.

È consigliabile installare un singolo server AD FS per distribuzioni di test e pilota. Dopo la configurazione iniziale, è possibile aggiungere e distribuire altri server per soddisfare i requisiti di ridimensionamento, eseguendo di nuovo Azure AD Connect.

Nota

Prima di configurare questa configurazione, assicurarsi che tutti i server siano aggiunti a un dominio di Azure AD.

Screenshot che mostra la pagina

Specificare i server Proxy applicazione Web

Specificare i server di Application Proxy Web. Il server proxy applicazione Web viene distribuito nella rete perimetrale, davanti alla rete Extranet. Supporta le richieste di autenticazione provenienti dalla Extranet. È possibile aggiungere uno o più server, in base alle esigenze di capacità.

Microsoft consiglia di installare un singolo server di Application Proxy Web per le distribuzioni di test e pilota. Dopo la configurazione iniziale, è possibile aggiungere e distribuire altri server per soddisfare i requisiti di ridimensionamento, eseguendo di nuovo Azure AD Connect. È consigliabile disporre di un numero equivalente di server proxy per soddisfare l'autenticazione dalla Intranet.

Nota

  • Se l'account usato non è un amministratore locale nei server Application Proxy Web, viene richiesto di immettere le credenziali di amministratore.
  • Prima di specificare i server Application Proxy Web, assicurarsi che sia presente la connettività HTTP/HTTPS tra il server Azure AD Connect e il server web Application Proxy.
  • Assicurarsi che sia presente la connettività HTTP/HTTPS tra il server applicazioni Web e il server AD FS per consentire il flusso delle richieste di autenticazione.

Screenshot che mostra la pagina Server Application Proxy Web.

Viene richiesto di immettere le credenziali in modo che il server applicazioni Web possa stabilire una connessione sicura al server AD FS. Queste credenziali devono essere per un account amministratore locale nel server AD FS.

Screenshot che mostra la pagina

Specificare l'account di servizio per il servizio ADFS

Il servizio AD FS richiede un account del servizio di dominio per autenticare gli utenti e cercare le informazioni utente in Active Directory. Supporta due tipi di account di servizio:

  • Account del servizio gestito del gruppo: questo tipo di account è stato introdotto in Servizi di dominio Active Directory da Windows Server 2012. Questo tipo di account fornisce servizi come AD FS. Si tratta di un singolo account in cui non è necessario aggiornare regolarmente la password. Usare questa opzione se il dominio a cui appartengono i server AD FS include già controller di dominio di Windows Server 2012.
  • Account utente di dominio: questo tipo di account richiede di specificare una password e aggiornarla regolarmente alla scadenza. Usare questa opzione solo quando non si dispone di Windows Server 2012 controller di dominio nel dominio a cui appartengono i server AD FS.

Se è stata selezionata l'opzione Crea un account del servizio gestito di gruppo e questa funzionalità non è mai stata usata in Active Directory, immettere le credenziali di amministratore dell'organizzazione. Queste credenziali vengono usate per avviare l'archivio chiavi e abilitare la funzionalità di Active Directory.

Nota

Azure AD Connect verifica se il servizio AD FS è già registrato come nome dell'entità servizio (SPN) nel dominio. Servizi di dominio Active Directory non consente la registrazione contemporaneamente dei nomi SPN duplicati. Se viene trovato un nome SPN duplicato, non è possibile continuare fino a quando non viene rimosso il nome SPN.

Screenshot che mostra la pagina

Selezionare il dominio di Azure AD da federazione

Usare la pagina Dominio di Azure AD per configurare la relazione di federazione tra AD FS e Azure AD. Qui si configura AD FS per fornire token di sicurezza per Azure AD. Si configura anche Azure AD per considerare attendibili i token di questa istanza di AD FS.

In questa pagina è possibile configurare solamente un singolo dominio nell'installazione iniziale. È possibile configurare altri domini in un secondo momento, eseguendo di nuovo Azure AD Connect.

Screenshot che mostra la pagina

Verificare il dominio di Azure AD selezionato per la federazione

Quando si seleziona il dominio da federazione, Azure AD Connect fornisce informazioni che è possibile usare per verificare un dominio non verificato. Per altre informazioni, vedere Aggiungere e verificare il dominio.

Screenshot che mostra la pagina

Nota

Azure AD Connect tenta di verificare il dominio durante la fase di configurazione. Se non si aggiungono i record DNS (Domain Name System) necessari, la configurazione non può essere completata.

Configurazione della federazione con PingFederate

È possibile configurare PingFederate con Azure AD Connect in pochi clic. Sono richiesti i prerequisiti seguenti:

Verificare il dominio

Dopo aver scelto di configurare la federazione usando PingFederate, viene chiesto di verificare il dominio da federatore. Selezionare il dominio nel menu a discesa.

Screenshot che mostra la pagina

Esportare le impostazioni di PingFederate

Configurare PingFederate come server federativo per ciascun dominio di Azure federato. Selezionare Esporta impostazioni per condividere queste informazioni con l'amministratore PingFederate. L'amministratore del server federativo aggiorna la configurazione e quindi fornisce l'URL e il numero di porta del server PingFederate in modo che Azure AD Connect possa verificare le impostazioni dei metadati.

Screenshot che mostra la pagina

Contattare l'amministratore di PingFederate per risolvere eventuali problemi di convalida. L'immagine seguente mostra informazioni su un server PingFederate che non ha una relazione di trust valida con Azure.

Screenshot che mostra le informazioni sul server: il server PingFederate è stato trovato, ma la connessione del provider di servizi per Azure è mancante o disabilitata.

Verificare la connettività della federazione

Azure AD Connect tenta di convalidare gli endpoint di autenticazione recuperati dai metadati PingFederate nel passaggio precedente. Azure AD Connect tenta prima di tutto di risolvere gli endpoint usando i server DNS locali. Successivamente, tenta di risolvere gli endpoint usando un provider DNS esterno. Contattare l'amministratore di PingFederate per risolvere eventuali problemi di convalida.

Screenshot che mostra la pagina

Verificare l'accesso federativo

Infine, è possibile verificare il flusso di accesso federato appena configurato accedendo al dominio federato. Se l'accesso ha esito positivo, la federazione con PingFederate è configurata correttamente.

Screenshot che mostra la pagina

Configurare e verificare le pagine

La configurazione viene eseguita nella pagina Configura .

Nota

Se è stata configurata la federazione, assicurarsi di aver configurato anche la risoluzione dei nomi per i server federativi prima di continuare l'installazione.

Screenshot che mostra la pagina

Usare la modalità di gestione temporanea

È possibile configurare un nuovo server di sincronizzazione in parallelo con la modalità di gestione temporanea. Se si vuole usare questa configurazione, è possibile esportare un solo server di sincronizzazione in una directory nel cloud. Tuttavia, se si vuole spostare da un altro server, ad esempio un server che esegue DirSync, è possibile abilitare Azure AD Connect in modalità di gestione temporanea.

Quando si abilita la configurazione di staging, il motore di sincronizzazione importa e sincronizza i dati come normale. Ma non esporta dati in Azure AD o Active Directory. In modalità di gestione temporanea, la funzionalità di sincronizzazione password e la funzionalità di writeback delle password sono disabilitate.

Screenshot che mostra l'opzione

In modalità di gestione temporanea è possibile apportare modifiche necessarie al motore di sincronizzazione e esaminare cosa verrà esportato. Durante la configurazione sembra essere corretta, eseguire nuovamente l'installazione guidata e disattivare la modalità di gestione temporanea.

I dati vengono ora esportati in Azure AD dal server. Assicurarsi di disabilitare l'altro server allo stesso tempo, in modo che soltanto un server esegua l’esportazione in modo attivo.

Per altre informazioni, vedere Modalità di gestione temporanea.

Verificare la configurazione della federazione

Azure AD Connect verifica le impostazioni DNS quando si seleziona il pulsante Verifica . Controlla le impostazioni seguenti:

  • Connettività Intranet
    • Risolvere il nome di dominio completo della federazione: Azure AD Connect verifica se il DNS può risolvere il nome di dominio completo della federazione per garantire la connettività. Se Azure AD Connect non riesce a risolvere il nome di dominio completo, la verifica non riesce. Per completare la verifica, assicurarsi che sia presente un record DNS per il nome di dominio completo del servizio federativo.
    • Record DNS A: Azure AD Connect verifica se il servizio federativo ha un record A. In assenza di un record A, la verifica ha esito negativo. Per completare la verifica, creare un record A (non un record CNAME) per il nome di dominio completo della federazione.
  • Connettività extranet
    • Risolvere il nome di dominio completo della federazione: Azure AD Connect verifica se il DNS può risolvere il nome di dominio completo della federazione per garantire la connettività.

      Screenshot che mostra la pagina

      Screenshot che mostra la pagina

Per convalidare l'autenticazione end-to-end, eseguire manualmente uno o più dei test seguenti:

  • Al termine della sincronizzazione, in Azure AD Connect, usare l'attività Verifica accesso federato aggiuntivo per verificare l'autenticazione per un account utente locale scelto.
  • Da un computer aggiunto a un dominio nella intranet, assicurarsi di poter accedere da un browser. Connettersi a https://myapps.microsoft.com. Usare quindi l'account connesso per verificare l'accesso. L'account amministratore di Active Directory Domain Services predefinito non è sincronizzato e non è possibile usarlo per la verifica.
  • Assicurarsi di poter accedere da un dispositivo nella rete extranet. In un computer home o in un dispositivo mobile connettersi a https://myapps.microsoft.com. Specificare quindi le credenziali.
  • Convalidare l'accesso rich client. Connettersi a https://testconnectivity.microsoft.com. Selezionare quindi Office 365>Office 365 Test Sign-On singolo.

Risolvere problemi

Questa sezione contiene informazioni sulla risoluzione dei problemi che è possibile usare se si verifica un problema durante l'installazione di Azure AD Connect.

Quando si personalizza un'installazione di Azure AD Connect, nella pagina Installa componenti necessari è possibile selezionare Usa un SQL Server esistente. Potrebbe essere visualizzato l'errore seguente: "Il database ADSync contiene già dati e non può essere sovrascritto. Rimuovere il database esistente e riprovare."

Screenshot che mostra la pagina

Questo errore viene visualizzato perché esiste già un database denominato ADSync nell'istanza SQL di SQL Server specificata.

Questo errore viene in genere visualizzato dopo la disinstallazione di Azure AD Connect. Il database non viene eliminato dal computer che esegue SQL Server quando si disinstalla Azure AD Connect.

Per risolvere il problema:

  1. Controllare il database ADSync usato da Azure AD Connect prima della disinstallazione. Assicurarsi che il database non venga più usato.

  2. Eseguire il backup del database.

  3. Eliminare il database:

    1. Usare Microsoft SQL Server Management Studio per connettersi all'istanza di SQL.
    2. Trovare il database ADSync e fare clic con il pulsante destro del mouse su di esso.
    3. Nel menu di scelta rapida selezionare Elimina.
    4. Selezionare OK per eliminare il database.

Screenshot che mostra Microsoft SQL Server Management Studio. È selezionata una sincronizzazione D.

Dopo aver eliminato il database ADSync, selezionare Installa per riprovare l'installazione.

Passaggi successivi

Al termine dell'installazione, disconnettersi da Windows. Quindi accedere di nuovo prima di usare l'editor di regole di sincronizzazione Service Manager o sincronizzazione.

Dopo aver installato Azure AD Connect, è possibile verificare l'installazione e assegnare le licenze.

Per altre informazioni sulle funzionalità abilitate durante l'installazione, vedere Impedire le eliminazioni accidentali e Azure AD Connect Health.

Per altre informazioni sugli altri argomenti comuni, vedere Sincronizzazione di Azure AD Connect: Utilità di pianificazione e Integrazione delle identità locali con Azure AD.