Prerequisiti di Azure AD Connect

Questo articolo descrive i prerequisiti e i requisiti hardware per Azure Active Directory (Azure AD) Connect.

Prima di installare Azure AD Connect

Prima di installare Azure AD Connect, sono necessari alcuni elementi.

Azure AD

• È necessario un tenant di Azure AD. Uno è disponibile con una versione di valutazione gratuita di Azure. È possibile usare uno dei portali seguenti per gestire Azure AD Connect:
  • Il portale di Azure.
  • Il portale di Office.
• Aggiungere e verificare il dominio che si prevede di usare in Azure AD. Ad esempio, se si prevede di usare contoso.com per gli utenti, assicurarsi che questo dominio sia stato verificato e che non si usi solo il dominio predefinito contoso.onmicrosoft.com.
• Un tenant di Azure AD consente, per impostazione predefinita, 50.000 oggetti. Quando si verifica il dominio, il limite aumenta a 300.000 oggetti. Se sono necessari ancora più oggetti in Azure AD, aprire un caso di supporto per aumentare ulteriormente il limite. Se sono necessari più di 500.000 oggetti, è necessaria una licenza, ad esempio Microsoft 365, Azure AD Premium o Enterprise Mobility + Security.

Preparare i dati locali

• Usare IdFix per identificare errori quali duplicati e problemi di formattazione nella directory prima di eseguire la sincronizzazione con Azure AD e Microsoft 365.
• Esaminare le funzionalità di sincronizzazione facoltative che è possibile abilitare in Azure AD e valutare le funzionalità da abilitare.

Active Directory locale

• Il livello funzionale della foresta e la versione dello schema di Active Directory devono essere Windows Server 2003 o una versione successiva. I controller di dominio possono eseguire qualsiasi versione, purché siano soddisfatti i requisiti del livello della foresta e della versione dello schema. Potrebbe essere necessario un programma di supporto a pagamento se è necessario il supporto per i controller di dominio che eseguono Windows Server 2016 o versioni precedenti.
• Il controller di dominio usato da Azure AD deve essere scrivibile. L'uso di un controller di dominio di sola lettura non è supportato e Azure AD Connect non segue alcun reindirizzamento in scrittura.
• Uso di foreste o domini locali tramite "punteggiato" (il nome contiene un punto ".") I nomi NetBIOS non sono supportati.
• È consigliabile abilitare il Cestino di Active Directory.

Criteri di esecuzione di PowerShell

Azure Active Directory Connect esegue script di PowerShell firmati come parte dell'installazione. Assicurarsi che i criteri di esecuzione di PowerShell consentano l'esecuzione di script.

I criteri di esecuzione consigliati durante l'installazione sono "RemoteSigned".

Per altre informazioni sull'impostazione dei criteri di esecuzione di PowerShell, vedere Set-ExecutionPolicy.

Server di Azure AD Connect

Il server Azure AD Connect contiene dati di identità critici. È importante che l'accesso amministrativo a questo server sia protetto correttamente. Seguire le linee guida riportate in Protezione dell'accesso con privilegi.

Il server Azure AD Connect deve essere considerato come componente di livello 0 come documentato nel modello di livello amministrativo di Active Directory. È consigliabile rafforzare la protezione avanzata del server Azure AD Connect come asset del piano di controllo seguendo le indicazioni fornite in Accesso con privilegi sicuri

Per altre informazioni sulla protezione dell'ambiente Active Directory, vedere Procedure consigliate per la protezione di Active Directory.

Prerequisiti di installazione

• Azure AD Connect deve essere installato in un Windows Server 2016 aggiunto a un dominio o versione successiva. Si noti che Windows Server 2022 non è ancora supportato. È possibile distribuire Azure AD Connect in Windows Server 2016, ma poiché Windows Server 2016 è in supporto esteso, potrebbe essere necessario un programma di supporto a pagamento se è necessario il supporto per questa configurazione. È consigliabile usare Windows Server 2019 aggiunto a un dominio.
• La versione minima di .NET Framework necessaria è la 4.6.2 e sono supportate anche le versioni più recenti di .Net.
• Azure AD Connect non può essere installato in Small Business Server o Windows Server Essentials prima del 2019 (Windows Server Essentials 2019 è supportato). Il server deve utilizzare Windows Server Standard o versione successiva.
• Il server Azure AD Connect deve avere un'interfaccia utente grafica completa installata. L'installazione di Azure AD Connect in Windows Server Core non è supportata.
• Se si usa la procedura guidata di Azure AD Connect per gestire la configurazione di Active Directory Federation Services (AD FS), il server Azure AD Connect non deve avere la funzionalità di trascrizione di PowerShell Criteri di gruppo abilitata. È possibile abilitare la trascrizione di PowerShell se si usa la procedura guidata di Azure AD Connect per gestire la configurazione della sincronizzazione.
• Se AD FS è in fase di distribuzione:
  • I server in cui sono installati AD FS o Application Proxy Web devono essere Windows Server 2012 R2 o versione successiva. Gestione remota Windows . È possibile richiedere un programma di supporto a pagamento se è necessario il supporto per Windows Server 2016 e versioni precedenti.
  • È necessario configurare i certificati TLS/SSL. Per altre informazioni, vedere Gestione di protocolli SSL/TLS e pacchetti di crittografia per AD FS e Gestione dei certificati SSL in AD FS.
  • È necessario configurare la risoluzione dei nomi.
• Non è supportata l'interruzione e l'analisi del traffico tra Azure AD Connect e Azure AD. In questo modo è possibile interrompere il servizio.
• Se l'autenticazione a più fattori è abilitata per gli amministratori delle identità ibride, l'URL https://secure.aadcdn.microsoftonline-p.comdeve trovarsi nell'elenco dei siti attendibili. Viene richiesto di aggiungere questo sito all'elenco dei siti attendibili quando viene richiesta una richiesta di autenticazione a più fattori e non è stata aggiunta in precedenza. È possibile usare Internet Explorer per aggiungerlo ai siti attendibili.
• Se si prevede di usare Azure AD Connect Health per la sincronizzazione, assicurarsi che vengano soddisfatti anche i prerequisiti per Azure AD Connect Health. Per altre informazioni, vedere Installazione dell'agente di Azure AD Connect Health.

Rafforzare la protezione avanzata del server Azure AD Connect

È consigliabile rafforzare la protezione avanzata del server Azure AD Connect per ridurre la superficie di attacco alla sicurezza per questo componente critico dell'ambiente IT. Seguendo queste raccomandazioni, è possibile attenuare alcuni rischi per la sicurezza per l'organizzazione.

• È consigliabile rafforzare la protezione avanzata del server Azure AD Connect come asset del piano di controllo (in precedenza livello 0) seguendo le indicazioni fornite in Secure Privileged Access e nel modello di livello amministrativo di Active Directory.
• Limitare l'accesso amministrativo al server Azure AD Connect solo agli amministratori di dominio o ad altri gruppi di sicurezza strettamente controllati.
• Creare un account dedicato per tutto il personale con accesso con privilegi. Gli amministratori non devono esplorare il Web, controllare la posta elettronica e svolgere attività di produttività quotidiane con account con privilegi elevati.
• Seguire le indicazioni fornite in Protezione dell'accesso con privilegi.
• Negare l'uso dell'autenticazione NTLM con il server AADConnect. Ecco alcuni modi per eseguire questa operazione: Limitazione di NTLM nel server AADConnect e Limitazione di NTLM in un dominio
• Assicurarsi che ogni computer abbia una password di amministratore locale univoca. Per altre informazioni, vedere Soluzione password amministratore locale (LAPS) può configurare password casuali univoche in ogni workstation e server archiviarle in Active Directory protette da un ACL. Solo gli utenti autorizzati idonei possono leggere o richiedere la reimpostazione di queste password di account amministratore locale. È possibile ottenere il LAPS da usare nelle workstation e nei server dall'Area download Microsoft. Altre indicazioni per l'uso di un ambiente con LAPS e workstation con accesso con privilegi sono disponibili in Standard operativi basati sul principio di origine pulita.
• Implementare workstation con accesso con privilegi dedicati per tutto il personale con accesso con privilegi ai sistemi informativi dell'organizzazione.
• Seguire queste linee guida aggiuntive per ridurre la superficie di attacco dell'ambiente Active Directory.
• Seguire le modifiche apportate alla configurazione della federazione per configurare gli avvisi per monitorare le modifiche apportate all'attendibilità stabilita tra i provider di identità e Azure AD.
• Abilitare Multi Factor Authentication (MFA) per tutti gli utenti con accesso con privilegi in Azure AD o in AD. Un problema di sicurezza relativo all'uso di Azure AD Connect è che se un utente malintenzionato può ottenere il controllo sul server Azure AD Connect, può modificare gli utenti in Azure AD. Per impedire a un utente malintenzionato di usare queste funzionalità per acquisire gli account Azure AD, L'autenticazione a più fattori offre protezioni, in modo che anche se un utente malintenzionato riesce a reimpostare la password di un utente usando Azure AD Connect non può comunque ignorare il secondo fattore.
• Disabilitare la corrispondenza temporanea nel tenant. La corrispondenza temporanea è un'ottima funzionalità che consente di trasferire l'origine dell'autorità per gli oggetti gestiti dal cloud esistenti in Azure AD Connect, ma presenta alcuni rischi per la sicurezza. Se non è necessario, è consigliabile disabilitare la corrispondenza temporanea.
• Disabilitare l'acquisizione di corrispondenze difficili. L'acquisizione con corrispondenza difficile consente ad Azure AD Connect di assumere il controllo di un oggetto gestito dal cloud e di modificare l'origine dell'autorità per l'oggetto in Active Directory. Dopo aver acquisito l'origine dell'autorità di un oggetto da Azure AD Connect, le modifiche apportate all'oggetto Active Directory collegato all'oggetto Azure AD sovrascriveranno i dati originali di Azure AD, incluso l'hash delle password, se è abilitata la sincronizzazione dell'hash delle password. Un utente malintenzionato potrebbe usare questa funzionalità per assumere il controllo degli oggetti gestiti dal cloud. Per attenuare questo rischio, disabilitare l'acquisizione di corrispondenze difficili.

SQL Server usato da Azure AD Connect

• Per archiviare i dati sull'identità, Azure AD Connect richiede un database SQL. Per impostazione predefinita, viene installato un SQL Server 2019 Express LocalDB (versione light di SQL Server Express). SQL Server Express ha un limite di dimensioni di 10 GB che consente di gestire circa 100.000 oggetti. Se è necessario gestire un volume maggiore di oggetti directory, puntare l'installazione guidata a un'installazione diversa di SQL Server. Il tipo di installazione di SQL Server può influire sulle prestazioni di Azure AD Connect.
• Se si usa un'installazione diversa di SQL Server, questi requisiti si applicano:
  • Azure AD Connect supporta tutte le versioni di SQL Server supportate SQL Server fino a SQL Server 2019. Per verificare lo stato di supporto della versione SQL Server, vedere l'articolo SQL Server ciclo di vita. SQL Server 2012 non è più supportato. Azure SQL database non è supportato come database. Ciò include sia database Azure SQL che Istanza gestita di SQL di Azure.
  • È necessario usare regole di confronto SQL senza distinzione tra maiuscole e minuscole. Queste regole di confronto vengono identificate con un oggetto _CI_ nel nome. L'uso di regole di confronto con distinzione tra maiuscole e minuscole identificate da _CS_ nel nome non è supportato.
  • È possibile disporre di un solo motore di sincronizzazione per ogni istanza di SQL. La condivisione di un'istanza SQL con sincronizzazione FIM/MIM, DirSync o Azure AD Sync non è supportata.

Account

• È necessario disporre di un account amministratore globale di Azure AD o dell'account Amministratore identità ibrida per il tenant di Azure AD con cui si vuole integrare. Questo account deve essere un account dell'istituto di istruzione o dell'organizzazione e non può essere un account Microsoft.
• Se si usano le impostazioni rapide o l'aggiornamento da DirSync, è necessario disporre di un account amministratore aziendale per il Active Directory locale.
• Se si usa il percorso di installazione delle impostazioni personalizzate, sono disponibili altre opzioni. Per altre informazioni, vedere Impostazioni di installazione personalizzate.

Connettività

• Il server Azure AD Connect necessita della risoluzione DNS per Intranet e Internet. Il server DNS deve essere in grado di risolvere i nomi per gli endpoint locali di Active Directory e per gli endpoint di Azure AD.

• Azure AD Connect richiede la connettività di rete a tutti i domini configurati

• Azure AD Connect richiede la connettività di rete al dominio radice di tutte le foreste configurate

• Se sono presenti firewall nella intranet e sono necessarie porte aperte tra i server Azure AD Connect e i controller di dominio, vedere Porte di Azure AD Connect per altre informazioni.

• Se è possibile accedere agli URL o al firewall, gli URL documentati negli URL Office 365 e negli intervalli di indirizzi IP devono essere aperti. Vedere Anche Safelist gli URL di portale di Azure nel firewall o nel server proxy.

  • Se si usa il cloud Microsoft in Germania o il cloud Microsoft Azure per enti pubblici, vedere Considerazioni sulle istanze del servizio di sincronizzazione di Azure AD Connect per gli URL.

• Per impostazione predefinita Azure AD Connect (versione 1.1.614.0 e successive) usa TLS 1.2 per crittografare le comunicazioni tra il motore di sincronizzazione e Azure AD. Se TLS 1.2 non è disponibile nel sistema operativo sottostante, Azure AD Connect esegue il fallback in modo incrementale sui protocolli meno recenti (TLS 1.1 e TLS 1.0). Da Azure AD Connect versione 2.0 successiva. TLS 1.0 e 1.1 non sono più supportati e l'installazione avrà esito negativo se TLS 1.2 non è abilitato.

• Prima della versione 1.1.614.0, per impostazione predefinita, Azure AD Connect usa TLS 1.0 per crittografare le comunicazioni tra il motore di sincronizzazione e Azure AD. Per passare a TLS 1.2 seguire i passaggi descritti in Abilitare TLS 1.2 per Azure AD Connect.

• Se si usa un proxy in uscita per la connessione a Internet, è necessario aggiungere l'impostazione seguente nel file C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config per l'installazione guidata e la sincronizzazione di Azure AD Connect per poter connettersi a Internet e Azure AD. Questo testo deve essere immesso alla fine del file. In questo codice PROXYADDRESS<> rappresenta l'indirizzo IP proxy effettivo o il nome host.

      <system.net>
          <defaultProxy>
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Se il server proxy richiede l'autenticazione, l'account del servizio deve trovarsi nel dominio. Usare il percorso di installazione delle impostazioni personalizzate per specificare un account del servizio personalizzato. È inoltre necessaria una modifica diversa per machine.config. Con questa modifica in machine.config, l'installazione guidata e il motore di sincronizzazione rispondono alle richieste di autenticazione dal server proxy. In tutte le pagine della procedura guidata di installazione, escluse la pagina Configura , vengono usate le credenziali dell'utente connesso. Nella pagina Configura alla fine della procedura guidata di installazione, il contesto passa all'account del servizio creato. La sezione machine.config dovrebbe essere simile alla seguente:

      <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Se la configurazione del proxy viene eseguita in una configurazione esistente, il servizio di sincronizzazione Microsoft Azure AD deve essere riavviato una volta per Azure AD Connect per leggere la configurazione del proxy e aggiornare il comportamento.

• Quando Azure AD Connect invia una richiesta Web ad Azure AD come parte della sincronizzazione della directory, possono essere necessari fino a 5 minuti per ottenere la risposta da Azure AD. È comune che i server proxy abbiano la configurazione del timeout inattiva della connessione. Assicurarsi che la configurazione sia impostata su almeno 6 minuti o più.

Per altre informazioni, vedere MSDN sull'elemento proxy predefinito. Per altre informazioni in caso di problemi di connettività, vedere Risolvere i problemi di connettività.

Altro

Facoltativo: usare un account utente di test per verificare la sincronizzazione.

Prerequisiti dei componenti

PowerShell e .NET Framework

Azure AD Connect dipende da Microsoft PowerShell 5.0 e .NET Framework 4.5.1. Nel server deve essere installata questa versione o una versione successiva.

Abilitare TLS 1.2 per Azure AD Connect

Prima della versione 1.1.614.0, per impostazione predefinita Azure AD Connect usa TLS 1.0 per crittografare le comunicazioni tra il server del motore di sincronizzazione e Azure AD. Per impostazione predefinita, è possibile configurare applicazioni .NET per usare TLS 1.2. Per altre informazioni su TLS 1.2, vedere Microsoft Security Advisory 2960358.

1. Assicurarsi di avere l'hotfix .NET 4.5.1 installato per il sistema operativo. Per altre informazioni, vedere Microsoft Security Advisory 2960358. Questo hotfix o una versione successiva potrebbe essere già installata nel server.

2. Per tutti i sistemi operativi impostare questa chiave del Registro di sistema e riavviare il server.

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
   "SchUseStrongCrypto"=dword:00000001
   

3. Se si vuole anche abilitare TLS 1.2 tra il server del motore di sincronizzazione e un SQL Server remoto, assicurarsi di avere le versioni necessarie installate per il supporto TLS 1.2 per Microsoft SQL Server.

Prerequisiti DCOM nel server di sincronizzazione

Durante l'installazione del servizio di sincronizzazione, Azure AD Connect verifica la presenza della chiave del Registro di sistema seguente:

• HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

In questa chiave del Registro di sistema, Azure AD Connect verificherà se i valori seguenti sono presenti e non corretti:

• MachineAccessRestriction
• MachineLaunchRestriction
• DefaultLaunchPermission

Prerequisiti per l'installazione e la configurazione dei servizi federativi

Gestione remota Windows

Quando si usa Azure AD Connect per distribuire AD FS o il web Application Proxy (WAP), controllare questi requisiti:

• Se il server di destinazione è aggiunto al dominio, assicurarsi che Windows Remote Managed sia abilitato.
  • In una finestra dei comandi di PowerShell con privilegi elevati usare il comando Enable-PSRemoting –force.
• Se il server di destinazione è un computer WAP non aggiunto a un dominio, esistono alcuni requisiti aggiuntivi:
  • Nel computer di destinazione (computer WAP):
    • Assicurarsi che il servizio Gestione remota Windows/WS-Management (WinRM) sia in esecuzione tramite lo snap-in Servizi.
    • In una finestra dei comandi di PowerShell con privilegi elevati usare il comando Enable-PSRemoting –force.
  • Nel computer in cui è in esecuzione la procedura guidata (se il computer di destinazione è aggiunto non a un dominio o è un dominio non attendibile):
    • In una finestra dei comandi di PowerShell con privilegi elevati usare il comando Set-Item.WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate.
    • Nella gestione server:
      • Aggiungere un host WAP DMZ a un pool di computer. Nella gestione server selezionare Gestisci>server aggiuntivi e quindi usare la scheda DNS .
      • Nella scheda Server Manager Tutti i server fare clic con il pulsante destro del mouse sul server WAP e scegliere Gestisci come. Immettere le credenziali locali (non di dominio) per il computer WAP.
      • Per convalidare la connettività remota di PowerShell, nella scheda Server Manager Tutti i server fare clic con il pulsante destro del mouse sul server WAP e selezionare Windows PowerShell. Una sessione remota di PowerShell deve essere aperta per garantire che le sessioni di PowerShell remote possano essere stabilite.

Requisiti del certificato TLS/SSL

• È consigliabile usare lo stesso certificato TLS/SSL in tutti i nodi della farm DI AD FS e tutti i server di Application Proxy Web.
• Il certificato deve essere un certificato X509.
• È possibile utilizzare un certificato autofirmato su server federativi in un ambiente di testing. Per un ambiente di produzione, è consigliabile ottenere il certificato da un'autorità di certificazione pubblica.
  • Se si usa un certificato non attendibile pubblicamente, assicurarsi che il certificato installato in ogni server di Application Proxy Web sia attendibile sia nel server locale che in tutti i server federativi.
• L'identità del certificato deve corrispondere al nome del servizio federativo (ad esempio, sts.contoso.com).
  • L'identità è un'estensione SAN (Subject Alternative Name) di tipo dNSName o, se non sono presenti voci SAN, il nome soggetto viene specificato come nome comune.
  • Più voci SAN possono essere presenti nel certificato fornito uno di essi corrisponde al nome del servizio federativo.
  • Se si prevede di usare Workplace Join, è necessaria una san aggiuntiva con il valore enterpriseregistration. Seguito dal suffisso UPN (User Principal Name) dell'organizzazione, ad esempio enterpriseregistration.contoso.com.
• I certificati basati sulle chiavi CNG (CryptoAPI) e sui provider di archiviazione delle chiavi (KSP) non sono supportati. Di conseguenza, è necessario usare un certificato basato su un provider di servizi di crittografia (CSP) e non su un provider di servizi di crittografia.
• I certificati con caratteri jolly sono supportati.

Risoluzione dei nomi per i server federativi

• Configurare i record DNS per il nome AD FS (ad esempio, sts.contoso.com) sia per la intranet (server DNS interno) sia per la extranet (DNS pubblico tramite il registrar di dominio). Per il record DNS Intranet, accertarsi di usare record A e non record CNAME. L'uso di record A è necessario per autenticazione di Windows funzionare correttamente dal computer aggiunto al dominio.
• Se si distribuiscono più server AD FS o server Web Application Proxy, assicurarsi di aver configurato il servizio di bilanciamento del carico e che i record DNS per il nome AD FS (ad esempio, sts.contoso.com) puntino al servizio di bilanciamento del carico.
• Affinché l'autenticazione integrata di Windows funzioni per le applicazioni browser usando Internet Explorer nella intranet, assicurarsi che il nome di AD FS (ad esempio, sts.contoso.com) venga aggiunto all'area Intranet in Internet Explorer. Questo requisito può essere controllato tramite Criteri di gruppo e distribuito in tutti i computer aggiunti al dominio.

Componenti di supporto di Azure AD Connect

Azure AD Connect installa i componenti seguenti nel server in cui è installato Azure AD Connect. L'elenco riguarda un'istallazione di SQL Express di base. Se si sceglie di usare un SQL Server diverso nella pagina Installa servizi di sincronizzazione, SQL Express LocalDB non è installato in locale.

• Azure AD Connect Health
• Utilità della riga di comando microsoft SQL Server 2019
• Microsoft SQL Server 2019 Express LocalDB
• Microsoft SQL Server 2019 Native Client
• pacchetto di ridistribuzione Microsoft Visual C++ 14

Requisiti hardware per Azure AD Connect

La tabella seguente illustra i requisiti minimi per il computer di sincronizzazione azure AD Connect.

Numero di oggetti in Active Directory	CPU	Memoria	Dimensioni del disco rigido
Meno di 10.000	1,6 GHz	6 GB	70 GB
10.000-50.000	1,6 GHz	6 GB	70 GB
50.000-100.000	1,6 GHz	16 GB	100 GB
Per 100.000 o più oggetti, è necessaria la versione completa di SQL Server. Per motivi di prestazioni, l'installazione in locale è preferibile. I valori seguenti sono validi solo per l'installazione di Azure AD Connect. Se SQL Server verrà installato nello stesso server, è necessaria ulteriore memoria, unità e CPU.
100.000-300.000	1,6 GHz	32 GB	300 GB
300.000-600.000	1,6 GHz	32 GB	450 GB
Più di 600.000	1,6 GHz	32 GB	500 GB

I requisiti minimi per i computer che eseguono i server ad FS o Web Application Proxy sono:

• CPU: dual core da 1,6 GHz o superiore
• Memoria: 2 GB o versioni successive
• Macchina virtuale di Azure: configurazione A2 o superiore

Passaggi successivi

Altre informazioni su Integrazione delle identità locali con Azure Active Directory.