Installazione personalizzata di Microsoft Entra Connect
Usa le impostazioni personalizzate in Microsoft Entra Connect quando desideri altre opzioni per l'installazione. Usare queste impostazioni, ad esempio, se si dispone di più foreste o se si desidera configurare funzionalità facoltative. Usare le impostazioni personalizzate in tutti i casi in cui l'installazione rapida non soddisfa le proprie esigenze di distribuzione o topologia.
Prerequisiti:
- Scaricare Microsoft Entra Connect.
- Completare i passaggi preliminari in Microsoft Entra Connect: hardware e prerequisiti.
- Assicurarsi di disporre degli account descritti in Account e autorizzazioni di Microsoft Entra Connect.
Impostazioni di installazione personalizzata
Per configurare un'installazione personalizzata per Microsoft Entra Connect, vedere le pagine della procedura guidata descritte nelle sezioni seguenti.
Impostazioni rapide
Nella pagina Impostazioni rapide selezionare Personalizzare per avviare un'installazione personalizzata delle impostazioni. Il resto di questo articolo illustra il processo di installazione personalizzato. Usare i collegamenti seguenti per passare rapidamente alle informazioni per una determinata pagina:
Installare i componenti necessari
Quando si installano i servizi di sincronizzazione, è possibile lasciare deselezionata la sezione di configurazione facoltativa. Microsoft Entra Connect configura ogni aspetto in modo automatico. Viene configurata un'istanza di SQL Server 2019 Express Local DB, vengono creati i gruppi appropriati e vengono assegnate le autorizzazioni. Se si desidera modificare le impostazioni predefinite, selezionare le caselle appropriate. Nella tabella seguente vengono riepilogate queste opzioni e vengono riportati i collegamenti a ulteriori informazioni.
Configurazione facoltativa | Descrizione |
---|---|
Specificare una posizione di installazione personalizzata | Consente di modificare il percorso di installazione predefinito per Microsoft Entra Connect. |
Usare un server SQL esistente | Permette di specificare il nome del server SQL e il nome dell'istanza. Scegliere questa opzione se si dispone già di un server database che si desidera usare. Per Nome istanza, immettere il nome dell'istanza, una virgola e il numero di porta se la funzionalità di esplorazione non è abilitata nell’istanza di SQL Server. Specificare quindi il nome del database Microsoft Entra Connect. I privilegi di SQL determinano se è possibile creare un nuovo database o se l'amministratore di SQL deve creare il database in anticipo. In caso di autorizzazioni dell'amministratore di SQL Server (SA), vedere Installare Microsoft Entra Connect usando un database esistente. Se sono state delegate autorizzazioni (DBO), consultare la sezione Installare Microsoft Entra Connect usando autorizzazioni di amministratore con delega SQL. |
Usare un account di servizio esistente | per impostazione predefinita, Microsoft Entra Connect usa un account del servizio virtuale per i servizi di sincronizzazione. Se si usa un'istanza di SQL Server remota o un proxy che richiede l'autenticazione, usare un account del servizio gestito o un account del servizio protetto da password nel dominio. In questi casi, immettere l'account che si desidera usare. Per eseguire l'installazione, è necessario essere un amministratore di sistema in SQL, così da poter creare le credenziali di accesso per l'account del servizio. Per altre informazioni, vedere Account e autorizzazioni di Microsoft Entra Connect. Usando la build più recente, l'amministratore SQL può ora effettuare il provisioning del database fuori dalla barra delle azioni. L'amministratore di Microsoft Entra Connect può quindi installarlo con i diritti di proprietario del database. Per altre informazioni, vedere Installare Microsoft Entra Connect usando le autorizzazioni di amministratore con delega SQL. |
Specificare i gruppi di sincronizzazione personalizzati | Per impostazione predefinita, quando vengono installati i servizi di sincronizzazione, Microsoft Entra Connect crea quattro gruppi locali nel server. I gruppi sono: Administrators, Operators, Browse e Password Reset. È possibile specificare qui i gruppi personalizzati. I gruppi devono essere locali nel server. Non possono trovarsi nel dominio. |
Importare impostazioni di sincronizzazione | Consente di importare le impostazioni da altre versioni di Microsoft Entra Connect. Per altre informazioni, vedere Importazione ed esportazione delle impostazioni di configurazione di Microsoft Entra Connect. |
Accesso utente
Dopo l'installazione dei componenti necessari, selezionare il metodo di accesso Single Sign-On degli utenti. Nella tabella seguente vengono descritte brevemente le opzioni disponibili. Per una descrizione completa dei metodi di accesso, vedere Accesso utente.
Opzione Single Sign-On | Descrizione |
---|---|
Sincronizzazione dell’hash delle password | Gli utenti possono accedere ai servizi cloud Microsoft, ad esempio Microsoft 365, usando la stessa password specificata nella rete locale. Le password utente vengono sincronizzate con Microsoft Entra ID come hash delle password. L'autenticazione viene eseguita nel cloud. Per altre informazioni, vedere Sincronizzazione dell’hash delle password. |
Autenticazione pass-through | Gli utenti possono accedere ai servizi cloud Microsoft, ad esempio Microsoft 365, usando la stessa password specificata nella rete locale. La password degli utenti viene passata al controller di dominio di Active Directory locale per la convalida. |
Federazione tramite AD FS | Gli utenti possono accedere ai servizi cloud Microsoft, ad esempio Microsoft 365, usando la stessa password specificata nella rete locale. Gli utenti vengono reindirizzati all'istanza locale di Azure Directory Federation Services (AD FS) per accedere. L'autenticazione avviene in locale. |
Federazione con PingFederate | Gli utenti possono accedere ai servizi cloud Microsoft, ad esempio Microsoft 365, usando la stessa password specificata nella rete locale. Gli utenti vengono reindirizzati all'istanza locale di PingFederate per l'accesso. L'autenticazione avviene in locale. |
Non configurare | Nessuna funzionalità di accesso utente viene installata o configurata. Scegliere questa opzione se si dispone già di un server federativo di terze parti o di un'altra soluzione esistente installata. |
Abilita Single Sign-On | Questa opzione è disponibile sia con la sincronizzazione dell'hash delle password che con l'autenticazione pass-through. Offre un'esperienza single sign-on per gli utenti desktop nelle reti aziendali. Per altre informazioni, vedere Single Sign-On. Nota: questa opzione non è disponibile per i clienti AD FS. AD FS offre già lo stesso livello di Single Sign-On. |
Stabilire la connessione a Microsoft Entra ID
Nella pagina Connessione a Microsoft Entra ID, immettere l'account amministratore di identità ibrida e la password. Se è stato selezionato Federazione tramite AD FS nella pagina precedente, non accedere con un account in un dominio che si intende abilitare per la federazione.
È possibile usare un account nel dominio predefinito onmicrosoft.com, che è incluso nel proprio tenant di Microsoft Entra. Questo account viene usato solo per creare un account del servizio in Microsoft Entra ID. Non viene usato una volta che l'installazione è terminata.
Nota
Una procedura consigliata consiste nell'evitare di usare account sincronizzati locali per le assegnazioni di ruolo di Microsoft Entra. Se l'account locale è compromesso, ciò può portare alla compromissione anche delle proprie risorse di Microsoft Entra. Per un elenco completo delle procedure consigliate, vedere Procedure consigliate per i ruoli di Microsoft Entra
Se per l'account amministratore globale è abilitata l'autenticazione a più fattori, è necessario fornire nuovamente la password nella finestra di accesso e completare la richiesta di autenticazione a più fattori. La richiesta può consistere in un codice di verifica o in una chiamata telefonica.
Per l'account amministratore globale può essere abilitato anche Privileged Identity Management .
Per usare il supporto dell'autenticazione per scenari che non necessitano di password come account federati, smart card e scenari MFA, è possibile specificare l'opzione /InteractiveAuth all'avvio della procedura guidata. L'uso di questa opzione ignora l'interfaccia utente di autenticazione della procedura guidata e usa l'interfaccia utente della libreria MSAL per gestire l'autenticazione.
Se viene visualizzato un errore o si hanno problemi di connettività, vedere Risolvere i problemi di connettività.
Sincronizzare le pagine
Le sezioni seguenti descrivono le pagine nella sezione Sincronizza.
Connessione delle directory
Per connettersi ad Active Directory Domain Services (AD DS), Microsoft Entra Connect richiede il nome della foresta e le credenziali di un account che disponga di autorizzazioni sufficienti.
Dopo aver immesso il nome della foresta e aver selezionato Aggiungi directory, viene visualizzata una finestra. Nella seguente tabella vengono illustrate le opzioni.
Opzione | Descrizione |
---|---|
Crea un nuovo account | Creare l'account Active Directory Domain Services (AD DS) di cui Microsoft Entra Connect ha bisogno per connettersi alla foresta Active Directory durante la sincronizzazione della directory. Dopo aver selezionata questa opzione, immettere il nome utente e la password di un account amministratore dell'organizzazione. Microsoft Entra Connect usa l'account amministratore aziendale fornito per creare l'account di Active Directory Domain Services richiesto. È possibile immettere la parte del dominio in formato NetBIOS o FQDN. Ovvero, immettere FABRIKAM\administrator o fabrikam.com\administrator. |
Usare l'account esistente | Specificare un account di Active Directory Domain Services esistente (AD DS) che Microsoft Entra Connect può usare per connettersi alla foresta Active Directory durante la sincronizzazione della directory. È possibile immettere la parte del dominio in formato NetBIOS o FQDN. Ovvero, immettere FABRIKAM\syncuser o fabrikam.com\syncuser. Questo account può essere un account utente normale, perché richiede solo permessi di lettura predefiniti. Ma, a seconda dello scenario, possono essere necessarie autorizzazioni aggiuntive. Per altre informazioni, vedere Account e autorizzazioni di Microsoft Entra Connect. |
Nota
A partire dalla build 1.4.18.0, non è possibile usare un account amministratore dell'organizzazione o amministratore di dominio come account del connettore Active Directory Domain Services (AD DS). Quando si seleziona Usa account esistente, se si tenta di immettere un account amministratore dell'organizzazione o un account amministratore di dominio, viene visualizzato l'errore seguente: "L'uso di un account di tipo Amministratore dell'organizzazione o Amministratore di dominio per l'account della foresta di AD non è consentito. È possibile consentire a Microsoft Entra Connect di creare automaticamente l'account o specificare un account di sincronizzazione con le autorizzazioni corrette".
Configurazione dell'accesso a Microsoft Entra.
Nella pagina di configurazione dell'accesso a Microsoft Entra esaminare i domini dello user principal name (UPN) in Active Directory Domain Services (AD DS) locale. Tali domini sono stati verificati in Microsoft Entra ID. In questa pagina si configura l'attributo da usare per userPrincipalName.
Verificare ogni dominio contrassegnato come Non aggiunto o Non verificato. Assicurarsi che i domini utilizzati siano stati verificati in Microsoft Entra ID. Dopo aver verificato i domini, selezionare l'icona di aggiornamento circolare. Per altre informazioni, vedere Aggiungere e verificare il dominio.
Gli utenti usano l'attributo userPrincipalName quando accedono a Microsoft Entra ID e Microsoft 365. Microsoft Entra ID deve verificare i domini, noti anche come suffisso UPN, prima che gli utenti vengano sincronizzati. Microsoft consiglia di mantenere l'attributo predefinito userPrincipalName.
Se l'attributo userPrincipalName non è indirizzabile e non può essere verificato, è possibile selezionare un altro attributo. Ad esempio è possibile selezionare l’email, come attributo che contiene l'ID di accesso. Quando si usa un attributo diverso da userPrincipalName, esso è noto come ID alternativo.
Il valore dell'attributo ID alternativo deve essere conforme allo standard RFC 822. È possibile usare un ID alternativo con la sincronizzazione dell'hash delle password, l'autenticazione pass-through e la federazione. In Active Directory l'attributo non può essere definito come multivalore, anche se ha un solo valore. Per ulteriori informazioni sull'ID alternativo, vedere l'argomento Autenticazione pass-through: Domande frequenti.
Nota
Quando si abilita l'autenticazione pass-through è necessario avere almeno un dominio verificato per continuare la procedura di installazione personalizzata.
Avviso
Gli ID alternativi non sono compatibili con tutti i carichi di lavoro di Microsoft 365. Per altre informazioni, vedere Configurazione di ID di accesso alternativi.
Filtro dominio e unità organizzativa (OU)
Per impostazione predefinita, vengono sincronizzati tutti i domini e le unità organizzative (OU). Se non si desidera sincronizzare alcuni domini o unità organizzative (OU) con Microsoft Entra ID, è possibile cancellare le selezioni appropriate.
Questa pagina configura i filtri basati su dominio e unità organizzativa (OU). Se si prevede di apportare modifiche, vedere gli articoli sui Filtri basati su dominio e Filtri basati su unità organizzativa (OU). Alcune unità organizzative (OU) sono essenziali per la funzionalità, quindi è consigliabile lasciarle selezionate.
Se si usa il filtro basato sull'unità organizzativa (OU) con una versione di Microsoft Entra Connect precedente alla 1.1.524.0, le nuove unità organizzative vengono sincronizzate per impostazione predefinita. Se non si desidera sincronizzare nuove unità organizzative (OU), è possibile modificare il comportamento predefinito dopo il passaggio Filtri basati su unità organizzativa. Per Microsoft Entra Connect versione 1.1.524.0 o successiva, è possibile indicare se si desidera che le nuove unità organizzative (OU) vengano sincronizzate o meno.
Se si prevede di usare il filtro basato su gruppo, assicurarsi che l'unità organizzativa (OU) con il gruppo sia inclusa e non filtrata con il filtro basato su unità organizzativa. Il filtro basato su unità organizzativa (OU) viene valutato prima dell’applicazione del filtro basato sul gruppo.
Inoltre, è possibile che alcuni domini non siano raggiungibili a causa di restrizioni del firewall. Questi domini vengono deselezionati per impostazione predefinita e visualizzano un avviso.
Se viene visualizzato questo avviso, assicurarsi che i domini non siano effettivamente raggiungibili e che l'avviso sia previsto.
Identificazione univoca degli utenti
Nella pagina Identificazione utenti scegliere come identificare gli utenti nelle directory locali e come identificarli usando l'attributo sourceAnchor.
Selezionare la modalità di identificazione degli utenti nelle directory locali
Usando la funzionalità Corrispondenza tra foreste, è possibile definire il modo in cui gli utenti delle foreste di Active Directory Domain Services vengono rappresentati in Microsoft Entra ID. Un utente può essere rappresentato solo una volta in tutte le foreste oppure disporre di una combinazione di account abilitati e disabilitati. In alcune foreste è possibile che l'utente sia rappresentato anche come un contatto.
Impostazione | Descrizione |
---|---|
Gli utenti vengono rappresentati solo una volta in tutte le foreste | Tutti gli utenti vengono creati come singoli oggetti in Microsoft Entra ID. Gli oggetti non vengono uniti nel metaverse. |
Attributo di posta | Questa opzione unisce utenti e contatti se l'attributo di posta ha lo stesso valore in foreste diverse. Usare questa opzione quando i contatti sono stati creati mediante GALSync. Se si sceglie questa opzione, gli oggetti utente il cui attributo di posta elettronica non è popolato non vengono sincronizzati con Microsoft Entra ID. |
Attributi ObjectSID e msExchangeMasterAccountSID/msRTCSIP-OriginatorSid | Questa opzione unisce un utente abilitato in una foresta di account a un utente disabilitato in una foresta di risorse. In Exchange questa configurazione è definita cassetta postale collegata. È possibile utilizzare questa opzione se si utilizza solo Lync, ed Exchange non è presente nella foresta di risorse. |
Attributi SAMAccountName e MailNickname | Questa opzione consente di unire attributi dove si prevede di trovare l'ID di accesso per l'utente. |
Scegliere un attributo specifico | Questa opzione consente di selezionare un attributo personale. Se si sceglie questa opzione, gli oggetti utente il cui attributo (selezionato) non è popolato non vengono sincronizzati con Microsoft Entra ID. Limitazione: per questa opzione sono disponibili solo gli attributi già presenti nel metaverse. |
Selezionare la modalità di identificazione degli utenti usando un’ancoraggio di origine
L'attributo sourceAnchor non può essere modificato per l'intera durata di un oggetto utente. È la chiave primaria che collega l'utente locale all'utente in Microsoft Entra ID.
Impostazione | Descrizione |
---|---|
Consentire ad Azure di gestire l'ancoraggio di origine | Selezionare questa opzione se si desidera che Microsoft Entra ID selezioni automaticamente l'attributo. Se si seleziona questa opzione, Microsoft Entra Connect applica la logica di selezione dell'attributo sourceAnchor descritta in Uso di ms-DS-ConsistencyGuid come sourceAnchor. Al termine dell'installazione personalizzata, viene visualizzato quale attributo è stato selezionato come attributo sourceAnchor. |
Scegliere un attributo specifico | Selezionare questa opzione se si vuole specificare un attributo di AD esistente come attributo sourceAnchor. |
Poiché l'attributo sourceAnchor non può essere modificato, è necessario scegliere un attributo appropriato. Un candidato valido è objectGUID. Questo attributo non subisce modifiche, a meno che l'account utente non venga spostato tra foreste o domini. Non scegliere attributi che possono cambiare quando una persona si sposa o cambia assegnazioni.
Non è possibile usare attributi che includono una chiocciola (@), quindi non è possibile usare email e userPrincipalName. L'attributo rispetta anche la distinzione tra maiuscole e minuscole. Quando si sposta un oggetto tra foreste, occorre quindi assicurarsi di mantenere tale distinzione. Gli attributo binari hanno una codifica di tipo base64, ma altri tipi di attributi mantengono lo stato non codificato.
Negli scenari di federazione e in alcune interfacce di Microsoft Entra ID l’attributo sourceAnchor è noto anche come immutableID.
Per altre informazioni sull'ancoraggio di origine, vedere Concetti relativi alla progettazione.
Filtro di sincronizzazione basato sui gruppi
La funzionalità di filtro sui gruppi consente di sincronizzare solo un sottoinsieme ridotto di oggetti per un progetto pilota. Per usare questa funzionalità, creare un gruppo per questo scopo specifico nell'istanza locale di Active Directory. Aggiungere quindi utenti e gruppi da sincronizzare in Microsoft Entra ID come membri diretti, Successivamente, è possibile aggiungere utenti a questo gruppo e rimuoverli per gestire l'elenco di oggetti utente che devono essere presenti in Microsoft Entra ID.
Tutti gli oggetti che si desidera sincronizzare devono essere membri diretti del gruppo, ad esempio utenti, gruppi, contatti e computer o dispositivi. L'appartenenza ai gruppi annidati non viene risolta. Quando si aggiunge un gruppo come membro, viene aggiunto solo il gruppo stesso. I relativi membri non vengono aggiunti.
Avviso
Questa funzionalità è destinata solo al supporto di una distribuzione pilota. Non usarla in una distribuzione di produzione completa.
In una distribuzione di produzione completa sarebbe difficile mantenere un singolo gruppo con tutti gli oggetti da sincronizzare. Anziché la funzionalità di filtro sui gruppi, usare uno dei metodi descritti in Configurare il filtro.
Funzionalità facoltative
Nella pagina successiva è possibile selezionare le funzionalità facoltative per lo scenario specifico.
Avviso
Le versioni di Microsoft Entra Connect 1.0.8641.0 e precedenti si basano sul servizio di controllo di accesso di Azure per il writeback delle password. Questo servizio non è più disponibile a partire dal 7 novembre 2018. Se si usa una di queste versioni di Microsoft Entra Connect ed è stato abilitato il writeback delle password, gli utenti potrebbero perdere la possibilità di modificare o reimpostare le password quando il servizio non è più disponibile. Queste versioni di Microsoft Entra Connect non supportano il writeback delle password.
Se si vuole usare il writeback delle password, scaricare la versione più recente di Microsoft Entra Connect.
Avviso
Se Azure AD Sync o Sincronizzazione diretta (DirSync) sono attive, non attivare funzionalità di writeback in Microsoft Entra Connect.
Funzionalità facoltative | Descrizione |
---|---|
Distribuzione ibrida di Exchange | La funzionalità Distribuzione ibrida di Exchange consente la coesistenza di cassette postali di Exchange in locale e in Microsoft 365. La sincronizzazione cloud di Microsoft Entra Connect sincronizza un set specifico di attributi da Microsoft Entra nella directory locale. |
Cartelle pubbliche della posta di Exchange | La funzionalità Cartelle pubbliche della posta di Exchange consente di sincronizzare gli oggetti cartella pubblica abilitata alla posta elettronica dall'istanza locale di Active Directory a Microsoft Entra ID. Si noti che la sincronizzazione dei gruppi che contengono cartelle pubbliche come membri non è supportata e il tentativo di effettuare tale operazione genererà un errore di sincronizzazione. |
Applicazione Microsoft Entra e filtro degli attributi | Se si abilita l’applicazione Microsoft Entra e il filtro attributi, il set di attributi sincronizzati può essere adattato. Questa opzione aggiunge altre due pagine di configurazione alla procedura guidata. Per altre informazioni, vedere App Microsoft Entra e Filtro attributi. |
Sincronizzazione dell’hash delle password | Se è stata selezionata la federazione come soluzione di accesso, è possibile abilitare la sincronizzazione dell'hash delle password. È quindi possibile usarla come opzione di backup. Se si seleziona l'autenticazione pass-through, è possibile abilitare questa opzione per garantire il supporto per i client legacy e fornire un’opzione di backup. Per altre informazioni, vedere Sincronizzazione dell’hash delle password. |
Writeback delle password | Usare questa opzione per assicurarsi che le modifiche alle password che hanno origine Microsoft Entra ID vengano riscritte nella directory locale. Per altre informazioni, vedere Introduzione alla gestione delle password. |
Writeback dei gruppi | Se si usa la funzionalità Gruppi di Microsoft 365, è possibile rappresentare i gruppi nell'istanza locale di Active Directory. Questa opzione è disponibile solo se si dispone di Exchange nell’istanza locale di Active Directory. Per altre informazioni, vedere Writeback dei gruppi di Microsoft Entra Connect. |
Writeback dispositivi | Per gli scenari di accesso condizionale, usare questa opzione per eseguire il writeback degli oggetti dispositivo in Microsoft Entra ID nell'istanza locale di Active Directory. Per altre informazioni, vedere Abilitazione del writeback dispositivi in Microsoft Entra Connect. |
Sincronizzazione attributi Estensione della directory | Selezionare questa opzione per sincronizzare gli attributi specificati con Microsoft Entra ID. Per altre informazioni, vedere Estensioni della directory. |
Applicazione Microsoft Entra e filtro degli attributi
Per limitare gli attributi da sincronizzare con Microsoft Entra ID, selezionare prima di tutto i servizi che si utilizzano. Se si modificano le selezioni in questa pagina, sarà necessario selezionare esplicitamente un nuovo servizio eseguendo di nuovo la procedura di installazione guidata.
In base ai servizi selezionati nel passaggio precedente, questa pagina visualizza tutti gli attributi che vengono sincronizzati. Questo elenco è una combinazione di tutti i tipi di oggetti da sincronizzare. Se è necessario che alcuni attributi rimangano non sincronizzati, è possibile cancellare la selezione da tali attributi.
Avviso
La rimozione degli attributi può influire sulle funzionalità. Per procedure consigliate e indicazioni, vedere Attributi da sincronizzare.
Sincronizzazione attributi Estensione della directory
È possibile estendere lo schema in Microsoft Entra ID usando attributi personalizzati aggiunti dall'organizzazione o altri attributi in Active Directory. Per usare questa funzionalità, nella pagina Funzionalità facoltative selezionare Sincronizzazione attributi estensione della directory. Nella pagina Estensioni della directory è possibile selezionare altri attributi da sincronizzare.
Nota
Il campo Attributi disponibili fa distinzione tra maiuscole e minuscole.
Per altre informazioni, vedere Estensioni della directory.
Abilitazione di Single Sign-On
Nella pagina Single Sign-On viene configurato l'accesso Single Sign-On da utilizzare con sincronizzazione password o autenticazione pass-through. Questo passaggio viene eseguito una volta per ogni foresta sincronizzata con Microsoft Entra ID. La configurazione comporta due passaggi:
- Creare l'account computer necessario nell’istanza locale di Active Directory.
- Configurare l'area Intranet dei computer client per il supporto Single Sign-On.
Creare l'account computer in Active Directory
Per ogni foresta aggiunta in Microsoft Entra Connect è necessario specificare le credenziali di amministratore di dominio in modo che l'account computer possa essere creato in ciascuna foresta. Le credenziali vengono usate solo per creare l'account. Non vengono archiviate o usate per altre operazioni. Aggiungere le credenziali nella pagina Abilita accesso Single Sign-On, come illustrato nell'immagine seguente.
Nota
È possibile ignorare le foreste per le quali non si vuole usare l'accesso Single Sign-On.
Configurare l'area Intranet per i computer client
Per assicurarsi che il client acceda automaticamente all'area Intranet, accertarsi che l'URL faccia parte dell'area Intranet. Questo passaggio fa sì che il computer aggiunto al dominio invii automaticamente un ticket Kerberos a Microsoft Entra ID quando è connesso alla rete aziendale.
In un computer con gli strumenti di gestione criteri di gruppo:
Aprire gli strumenti di gestione criteri di gruppo.
Modificare i criteri di gruppo che verranno applicati a tutti gli utenti. Ad esempio, il criterio di dominio predefinito.
Passare a Configurazione>Modelli amministrativi>Componenti di Windows>Internet Explorer>Pannello di controllo Internet>Pagina Sicurezza. Selezionare quindi Elenco di assegnazione siti ad aree.
Abilitare il criterio. Quindi, nella finestra di dialogo immettere un nome di valore
https://autologon.microsoftazuread-sso.com
ehttps://aadg.windows.net.nsatc.net
con il valore1
per entrambi gli URL. La configurazione dovrebbe essere simile all'immagine seguente.Selezionare OK due volte.
Configurazione della federazione con AD FS
È possibile configurare AD FS con Microsoft Entra Connect in pochi clic. Prima di iniziare, è necessario:
- Windows Server 2012 R2 o successivo per il server federativo. La gestione remota deve essere abilitata.
- Windows Server 2012 R2 o successivo per il server Proxy applicazione Web. La gestione remota deve essere abilitata.
- Un certificato TLS/SSL per il nome del servizio federativo che si intende usare (ad esempio sts.contoso.com).
Nota
È possibile aggiornare il certificato TLS/SSL della farm AD FS usando Microsoft Entra Connect anche se non si usa la soluzione per gestire la relazione di trust federativa.
Prerequisiti di configurazione di AD FS
Per configurare la farm AD FS con Microsoft Entra Connect, accertarsi che WinRM sia abilitata sui server remoti. Verificare di avere completato le altre attività indicate nei Prerequisiti per la federazione. Assicurarsi inoltre di seguire i requisiti delle porte elencati nella tabella Server Microsoft Entra Connect e Federazione/WAP.
Creare una nuova farm AD FS o usare una farm AD FS esistente
È possibile usare una farm AD FS esistente o crearne una nuova. Se si sceglie di crearne una nuova, è necessario fornire il certificato TLS/SSL. Se il certificato TLS/SSL è protetto da password, viene richiesto di fornire la password.
Se si sceglie di usare una farm AD FS esistente, viene visualizzata la pagina in cui è possibile configurare la relazione di trust tra AD FS e Microsoft Entra ID.
Nota
È possibile usare Microsoft Entra Connect per gestire una sola farm AD FS. Se si dispone di un trust federativo esistente in cui Microsoft Entra ID è configurato nella farm AD FS selezionata, Microsoft Entra Connect ricrea l'attendibilità da zero.
Specificare i server AD FS
Specificare i server AD FS in cui si vuole installare AD FS. È possibile aggiungere uno o più server, a seconda delle esigenze di capacità. Prima di definire la configurazione, aggiungere tutti i server AD FS ad Active Directory. Questo passaggio non è necessario per i server proxy applicazione Web.
È consigliabile installare un singolo server AD FS per distribuzioni di test e pilota. Dopo la configurazione iniziale, è possibile aggiungere e distribuire altri server per soddisfare i requisiti di ridimensionamento, eseguendo di nuovo Microsoft Entra Connect.
Nota
Prima di eseguire questa configurazione, assicurarsi che tutti i server siano aggiunti a un dominio Microsoft Entra.
Specificare i server Proxy applicazione Web
Specificare i propri server Proxy applicazione Web Il server proxy applicazione Web viene distribuito nella rete perimetrale, davanti alla rete Extranet. Supporta le richieste di autenticazione provenienti dalla Extranet. È possibile aggiungere uno o più server, in base alle esigenze di capacità.
È consigliabile installare un singolo server proxy applicazione Web per distribuzioni di test e pilota. Dopo la configurazione iniziale, è possibile aggiungere e distribuire altri server per soddisfare i requisiti di ridimensionamento, eseguendo di nuovo Microsoft Entra Connect. È consigliabile avere un numero equivalente di server proxy per soddisfare l'autenticazione dalla Intranet.
Nota
- Se l'account usato non è un amministratore locale nei server Proxy applicazione Web, vengono richieste le credenziali di amministratore.
- Prima di specificare i server Proxy applicazione Web, assicurarsi che sia presente la connettività HTTP/HTTPS tra il server Microsoft Entra Connect e il server Proxy applicazione Web.
- Verificare la connettività HTTP/HTTPS tra il server applicazioni Web e il server AD FS per consentire il passaggio delle richieste di autenticazione.
Viene richiesta l'immissione delle credenziali, in modo che il server applicazione Web possa stabilire una connessione protetta al server AD FS. Tali credenziali devono corrispondere a un account amministratore locale sul server AD FS.
Specificare l'account di servizio per il servizio ADFS
Il servizio AD FS richiede un account di servizio del dominio per autenticare gli utenti e cercare le informazioni utente in Active Directory. Supporta due tipi di account di servizio:
- Account del servizio gestito del gruppo: questo tipo di account è stato introdotto in Active Directory Domain Services (AD FS) da Windows Server 2012. Questo tipo di account fornisce servizi come AD FS. Si tratta di un singolo account di cui non è necessario aggiornare regolarmente la password. Usare questa opzione se il dominio a cui appartengono i server AD FS include già controller di dominio di Windows Server 2012.
- Account utente di dominio: questo tipo di account richiede di fornire una password e di aggiornarla regolarmente in caso di scadenza. Usare questa opzione solo se il dominio a cui appartengono i server AD FS non include controller di dominio di Windows Server 2012.
Se è stato selezionato Crea un account del servizio gestito del gruppo e questa funzionalità non è mai stata usata in Active Directory, immettere le credenziali di amministratore dell'organizzazione. Queste credenziali vengono usate per avviare l'archivio chiavi e abilitare la funzionalità di Active Directory.
Nota
Microsoft Entra Connect verifica se il servizio AD FS è già registrato come nome dell'entità servizio (SPN) nel dominio. Active Directory Domain Services (AD DS) non consente la registrazione contemporanea dei nomi SPN duplicati. Se viene trovato un SPN duplicato, non è possibile continuare fino alla rimozione del valore SPN.
Selezionare il dominio Microsoft Entra che si desidera federare
Selezionare la pagina del dominio Microsoft Entra per configurare la relazione di federazione tra AD FS e Microsoft Entra ID. Qui si configura AD FS per fornire token di sicurezza per Microsoft Entra ID. È anche possibile configurare Microsoft Entra ID per considerare attendibili i token di questa istanza di AD FS.
In questa pagina è possibile configurare solamente un singolo dominio nell'installazione iniziale. È possibile configurare più domini in un secondo momento eseguendo nuovamente Microsoft Entra Connect.
Verificare il dominio Microsoft Entra selezionato per la federazione
Quando si seleziona il dominio di cui si desidera eseguire la federazione, Microsoft Entra Connect fornisce informazioni che è possibile usare per verificare un dominio non verificato. Per altre informazioni, vedere Aggiungere e verificare il dominio.
Nota
Microsoft Entra Connect prova a verificare il dominio in fase di configurazione. Se non si aggiungono i record DNS (Domain Name System) necessari, la configurazione non può essere completata.
Configurazione della federazione con PingFederate
È possibile configurare PingFederate con Microsoft Entra Connect in pochi clic. Sono richiesti i prerequisiti seguenti:
- PingFederate 8.4 o versione successiva. Per altre informazioni, vedere Integrazione di PingFederate con Microsoft Entra ID e Microsoft 365 nella documentazione di Ping Identity.
- Un certificato TLS/SSL per il nome del servizio federativo che si intende usare (ad esempio sts.contoso.com).
Verificare il dominio
Dopo aver scelto di configurare la federazione usando PingFederate, viene richiesto di verificare il dominio di cui si vuole eseguire la federazione. Selezionare il dominio nel menu a discesa.
Esportare le impostazioni di PingFederate
Configurare PingFederate come server federativo per ciascun dominio di Azure federato. Selezionare quindi Esporta impostazioni per condividere queste informazioni con l'amministratore di PingFederate. L'amministratore del server federativo aggiorna la configurazione e fornisce l'URL del server PingFederate e il numero di porta, in modo che Microsoft Entra Connect possa verificare le impostazioni dei metadati.
Contattare l'amministratore di PingFederate per risolvere eventuali problemi di convalida. L'immagine seguente mostra informazioni su un server PingFederate che non ha una relazione di trust valida con Azure.
Verificare la connettività della federazione
Microsoft Entra Connect cercherà di convalidare gli endpoint di autenticazione recuperati dai metadati di PingFederate nel passaggio precedente. Microsoft Entra Connect cercherà prima di tutto di risolvere gli endpoint usando i server DNS locali. Dopodiché, cercherà di risolvere gli endpoint usando un provider DNS esterno. Contattare l'amministratore di PingFederate per risolvere eventuali problemi di convalida.
Verificare l'accesso federato
Infine, è possibile verificare il flusso di accesso federato appena configurato accedendo al dominio federato. Se l'accesso riesce, la federazione con PingFederate viene configurata correttamente.
Configurare e verificare le pagine
La configurazione viene eseguita nella pagina Configura.
Nota
Se è stata configurata la federazione, assicurarsi di avere configurato anche la Risoluzione dei nomi per i server federativi prima di continuare l'installazione.
Usare modalità di gestione temporanea
È possibile configurare un nuovo server di sincronizzazione in parallelo con la modalità di staging. Se si vuole usare questa configurazione, solo un server di sincronizzazione può effettuare l’esportazione in una directory nel cloud. Tuttavia, per spostarsi da un altro server, ad esempio da un server con DirSync, è possibile abilitare Microsoft Entra Connect in modalità di staging.
Quando si abilita l'installazione di staging, il motore di sincronizzazione importa e sincronizza i dati come di consueto. Ma non esporta dati in Microsoft Entra ID o Active Directory. Nella modalità di staging le funzionalità di sincronizzazione password e writeback delle password sono disabilitate.
In modalità di gestione temporanea, è possibile apportare le modifiche necessarie al motore di sincronizzazione ed esaminare che cosa verrà esportato. Durante la configurazione sembra essere corretta, eseguire nuovamente l'installazione guidata e disattivare la modalità di gestione temporanea.
I dati vengono ora esportati in Microsoft Entra ID dal server. Assicurarsi di disabilitare l'altro server allo stesso tempo, in modo che soltanto un server esegua l’esportazione in modo attivo.
Per altre informazioni, vedere Modalità di gestione temporanea.
Verificare la configurazione della federazione
Microsoft Entra Connect verifica le impostazioni DNS quando si seleziona il pulsante Verifica. Controlla le impostazioni seguenti:
- Connettività Intranet
- Risoluzione del nome di dominio completo della federazione (FQDN): per garantire la connettività, Microsoft Entra Connect controlla se DNS può risolvere il nome di dominio completo della federazione. Se Microsoft Entra Connect non riesce a risolvere il nome di dominio completo della federazione (FQDN), la verifica non riesce. Per completare la verifica, assicurarsi che sia presente un record DNS per il nome di dominio completo del servizio federativo (FQDN).
- Record A DNS: Microsoft Entra Connect verifica se il servizio federativo ha un record A. In assenza di un record A, la verifica ha esito negativo. Per completare la verifica, creare un record A e non un record CNAME per il nome di dominio completo della federazione (FQDN).
- Connettività Extranet
Risoluzione del nome di dominio completo della federazione (FQDN): per garantire la connettività, Microsoft Entra Connect controlla se DNS può risolvere il nome di dominio completo della federazione.
Per la convalida dell'autenticazione end-to-end, è necessario eseguire manualmente uno o più dei test seguenti:
- Una volta completata la sincronizzazione, usare l'attività aggiuntiva di Verifica dell'accesso federato in Microsoft Entra Connect per verificare l'autenticazione per un account utente locale di propria scelta.
- Verificare che sia possibile accedere da un browser da un computer aggiunto a un dominio nella Intranet: Connettersi a https://myapps.microsoft.com. Usare quindi l'account connesso per verificare l'accesso. L'account amministratore di Active Directory Domain Services predefinito non è sincronizzato e non può essere usato per la verifica.
- Assicurarsi che sia possibile accedere da un dispositivo su Extranet. In un computer di casa o in un dispositivo mobile connettersi a https://myapps.microsoft.com. Quindi, fornire le credenziali.
- Convalidare l'accesso rich client. Connettersi a https://testconnectivity.microsoft.com. Quindi selezionare Office 365>Test dell'accesso Single Sign-On a Office 365.
Risoluzione dei problemi
Questa sezione contiene informazioni sulla risoluzione dei problemi che è possibile utilizzare se si verifica un problema durante l'installazione di Microsoft Entra Connect.
Quando si personalizza un'installazione di Microsoft Entra Connect, nella pagina Installa componenti necessari è possibile selezionare Usa un'istanza di SQL Server esistente. Potrebbe essere visualizzato l’errore seguente: "Il database di ADSync contiene già dei dati e non può essere sovrascritto. Rimuovere il database esistente e riprovare".
Questo errore viene visualizzato perché esiste già un database denominato ADSync nell'istanza di SQL di SQL Server specificata.
Questo errore viene in genere visualizzato dopo la disinstallazione di Microsoft Entra Connect. Il database non viene eliminato dal computer che esegue SQL Server quando si disinstalla Microsoft Entra Connect.
Per risolvere il problema:
Controllare il database ADSync usato da Microsoft Entra Connect prima della disinstallazione. Assicurarsi che il database non sia più in uso.
Eseguire il backup del database.
Eliminare il database:
- Usare Microsoft SQL Server Management Studio per connettersi all'istanza di SQL Server.
- Trovare il database ADSync e fare clic con il pulsante destro del mouse su di esso.
- Nel menu contestuale, selezionare Elimina.
- Selezionare OK per eliminare il database.
Dopo aver eliminato il database ADSync, selezionare Installa per ripetere l'installazione.
Passaggi successivi
Al termine dell'installazione, disconnettersi da Windows. Disconnettersi e ripetere l’accesso prima di usare Synchronization Service Manager o l'Editor delle regole di sincronizzazione.
Dopo aver installato Microsoft Entra Connect, è possibile verificare l'installazione e assegnare le licenze.
Per altre informazioni sulle funzionalità che sono state abilitate con l'installazione, vedere Impedire eliminazioni accidentali e Microsoft Entra Connect Health.
Per altre informazioni su altri argomenti comuni, vedere Microsoft Entra Connect: utilità di pianificazione della sincronizzazione e Integrare le identità locali con Microsoft Entra ID.