Prerequisiti per Microsoft Entra Connect

Questo articolo illustra i prerequisiti e i requisiti hardware per Microsoft Entra Connect.

Prima di installare Microsoft Entra Connect

Prima di installare Microsoft Entra Connect, sono necessari alcuni elementi.

Microsoft Entra ID

• È necessario un tenant di Microsoft Entra. Uno è disponibile con una versione di valutazione gratuita di Azure. È possibile usare uno dei portali seguenti per gestire Microsoft Entra Connect:
  • Interfaccia di amministrazione di Microsoft Entra.
  • Il portale di Office.
• Aggiungere e verificare il dominio che si prevede di usare in Microsoft Entra ID. Ad esempio, se si prevede di usare contoso.com per gli utenti, assicurarsi che il dominio sia stato verificato e che non si usi solo il dominio predefinito contoso.onmicrosoft.com.
• Per impostazione predefinita, in un tenant di Microsoft Entra sono consentiti 50.000 oggetti. Quando si verifica il dominio, il limite viene aumentato a 300.000 oggetti. Se sono necessari anche altri oggetti in Microsoft Entra ID, è necessario aprire un caso di supporto per aumentare ulteriormente il limite. Se sono necessari più di 500.000 oggetti, è necessaria una licenza, ad esempio Microsoft 365, Microsoft Entra ID P1 o P2 oppure Enterprise Mobility + Security.

Preparare i dati locali

• Usare IdFix per identificare gli errori, ad esempio i duplicati e i problemi di formattazione nella directory prima di eseguire la sincronizzazione con Microsoft Entra ID e Microsoft 365.
• Esaminare le funzionalità di sincronizzazione facoltative che è possibile abilitare in Microsoft Entra ID e valutare quali funzionalità abilitare.

Active Directory locale

• Il livello funzionale della foresta e la versione dello schema di Active Directory devono essere Windows Server 2003 o una versione successiva. I controller di dominio possono eseguire qualsiasi versione, purché siano soddisfatti i requisiti del livello della foresta e della versione dello schema. Potrebbe essere necessario un programma di supporto a pagamento se è necessario il supporto per i controller di dominio che eseguono Windows Server 2016 o versioni precedenti.
• Il controller di dominio utilizzato da Microsoft Entra ID deve essere scrivibile. L'uso di un controller di dominio di sola lettura non è supportato e Microsoft Entra Connect non segue il reindirizzamento delle operazioni di scrittura.
• L'uso di foreste o di domini locali con nomi NetBIOS con contenenti un punto "." non è supportato.
• È consigliabile abilitare il cestino di Active Directory.

Criteri di esecuzione di PowerShell

Microsoft Entra Connect esegue script di PowerShell firmati durante l'installazione. Assicurarsi che i criteri di esecuzione di PowerShell consentano l'esecuzione di script.

I criteri di esecuzione consigliati durante l'installazione sono "RemoteSigned".

Per altre informazioni sull'impostazione dei criteri di esecuzione di PowerShell, vedere Set-ExecutionPolicy.

Server di Microsoft Entra Connect

Il server di Microsoft Entra Connect contiene dati di identità critici. È importante che l'accesso amministrativo a questo server sia protetto in modo appropriato. Seguire le linee guida descritte in Protezione dell'accesso con privilegi.

Il server di Microsoft Entra Connect deve essere considerato come un componente di livello 0, come documentato nel modello di livello amministrativo di Active Directory. È consigliabile rafforzare il server di Microsoft Entra Connect come asset del piano di controllo seguendo le indicazioni fornite in Protezione dell'accesso con privilegi

Per altre informazioni sulla protezione dell'ambiente Active Directory, vedere Procedure consigliate per la protezione di Active Directory.

Prerequisiti per l'installazione

• Microsoft Entra Connect deve essere installato in Windows Server 2016 (o versione successiva) aggiunto a un dominio. È consigliabile usare Windows Server 2022 aggiunto a un dominio. È possibile distribuire Microsoft Entra Connect in Windows Server 2016, ma poiché Windows Server 2016 è disponibile in supporto "Extended", potrebbe essere necessario un programma di supporto a pagamento se è necessaria assistenza per questa configurazione.
• La versione di NET Framework minima necessaria è la 4.6.2, ma sono supportate anche versioni di .NET più recenti. La versione .NET 4.8 e successive offrono migliore conformità all'accessibilità.
• Microsoft Entra Connect non può essere installato su Small Business Server o Windows Server Essentials prima del 2019 (Windows Server Essentials 2019 è supportato). Il server deve utilizzare Windows Server Standard o versione successiva.
• Per server di Microsoft Entra Connect deve essere installata un'interfaccia utente grafica completa. L'installazione di Microsoft Entra Connect In Windows Server Core non è supportata.
• Se si usa la procedura guidata di Microsoft Entra Connect per gestire la configurazione di Active Directory Federation Services (AD FS), i Criteri di gruppo per la trascrizione di PowerShell non devono essere abilitati nel server di Microsoft Entra Connect. Se si usa la procedura guidata di Microsoft Entra Connect per gestire la configurazione della sincronizzazione, è possibile abilitare la trascrizione di PowerShell.
• Assicurarsi che MS Online PowerShell (MSOL) non sia bloccato a livello di tenant.
• Se la distribuzione di AD FS è in corso:
  • I server in cui viene installato AD FS o Proxy applicazione Web devono essere Windows Server 2012 R2 o versione successiva. Gestione remota Windows . Potrebbe essere necessario un programma di supporto a pagamento se è necessario il supporto per Windows Server 2016 o versioni precedenti.
  • È necessario configurare i certificati TLS/SSL. Per altre informazioni, vedere Gestire protocolli SSL/TLS e pacchetti di crittografia per AD FS e Gestire i certificati TLS/SSL in AD FS.
  • È necessario configurare la risoluzione dei nomi.
• Non è consentito interrompere e analizzare il traffico tra Microsoft Entra Connect e Microsoft Entra ID. Tale operazione potrebbe interrompere il servizio.
• Se l'autenticazione a più fattori è abilitata per gli amministratori delle identità ibride, l'URL https://secure.aadcdn.microsoftonline-p.com deve trovarsi nell'elenco dei siti attendibili. Viene richiesto di aggiungere il sito all'elenco dei siti attendibili quando viene richiesto il test di autenticazione a più fattori, se non è stato aggiunto prima. È possibile usare Internet Explorer per aggiungerlo ai siti attendibili.
• Se si prevede di usare Microsoft Entra Connect Health per la sincronizzazione, assicurarsi che vengano soddisfatti anche i prerequisiti per Microsoft Entra Connect Health. Per altre informazioni, vedere Installazione dell'agente di Microsoft Entra Connect Health.

Implementare la protezione avanzata per il server di Microsoft Entra Connect

Microsoft consiglia di implementare la protezione avanzata per il server di Microsoft Entra Connect per ridurre la superficie di attacco di sicurezza per questo componente critico dell'ambiente IT. Seguendo queste raccomandazioni, è possibile attenuare alcuni rischi per la sicurezza dell'organizzazione.

• È consigliabile implementare la protezione avanzata del server di Microsoft Entra Connect come asset del piano di controllo (in precedenza livello 0) seguendo le indicazioni fornite in Protezione dell'accesso con privilegi e Modello di livello amministrativo di Active Directory.
• Limitare l'accesso amministrativo al server di Microsoft Entra Connect solo agli amministratori di dominio o ad altri gruppi di sicurezza strettamente controllati.
• Creare un account dedicato per tutto il personale con accesso con privilegi. Gli amministratori non devono esplorare il Web, controllare la posta elettronica personale e svolgere attività di produttività quotidiane con account con privilegi elevati.
• Seguire le indicazioni in Protezione dell'accesso con privilegi.
• Negare l'uso dell'autenticazione NTLM con il server di Microsoft Entra Connect. Ecco alcuni modi per eseguire questa operazione: Limitare NTLM nel server di Microsoft Entra Connect e Limitare NTLM in un dominio.
• Assicurarsi che a ogni computer sia assegnata una password di amministratore locale univoca. Per altre informazioni, vedere Soluzione password dell'amministratore locale (Windows LAPS), che può configurare password casuali univoche in ogni workstation e server e archiviarle in Active Directory protette da un elenco di controllo di accesso. Solo gli utenti autorizzati idonei possono leggere o richiedere la reimpostazione di queste password di account amministratore locale. Per altre indicazioni sull'utilizzo di un ambiente con Windows LAPS e workstation dotate di accesso con privilegi (PAW), vedere Standard operativi basati sul principio dell'origine pulita.
• Implementare workstation dotate di accesso con privilegi dedicate per tutto il personale con accesso con privilegi ai sistemi informativi dell'organizzazione.
• Seguire queste linee guida aggiuntive per ridurre la superficie di attacco dell'ambiente Active Directory.
• Seguire la procedura Monitorare le modifiche alla configurazione della federazione per configurare gli avvisi per monitorare le modifiche apportate al trust stabilito tra il proprio provider di identità e Microsoft Entra ID.
• Abilitare l'autenticazione a più fattori (MFA) per tutti gli utenti con accesso con privilegi in Microsoft Entra ID o in Active Directory. Quando si usa Microsoft Entra Connect può verificarsi un problema di sicurezza se un utente malintenzionato acquisisce il controllo del server di Microsoft Entra Connect e può manipolare gli utenti in Microsoft Entra ID. Per impedire a un utente malintenzionato di usare queste funzionalità per acquisire il controllo degli account di Microsoft Entra, l'autenticazione a più fattori offre sistemi di protezione tali che, anche se un utente malintenzionato riuscisse, ad esempio, a reimpostare la password di un utente tramite Microsoft Entra Connect, non potrebbe comunque ignorare il secondo fattore.
• Disabilitare la corrispondenza flessibile nel tenant. Soft Match è un'ottima funzionalità che consente di trasferire l'origine dell'autorità per gli oggetti gestiti dal cloud esistenti a Microsoft Entra Connect, ma presenta alcuni rischi per la sicurezza. Se non è necessaria, disabilitare la corrispondenza flessibile.
• Disabilitare l'acquisizione della corrispondenza rigida. L'acquisizione della proprietà tramite Hard Match consente a Microsoft Entra Connect di assumere il controllo di un oggetto gestito dal cloud e di modificare l'origine dell'autorità per l'oggetto in Active Directory. Quando l'origine dell'autorità di un oggetto viene acquisita da Microsoft Entra Connect, le modifiche apportate all'oggetto Active Directory collegato all'oggetto Microsoft Entra sovrascriveranno i dati originali di Microsoft Entra, incluso l'hash delle password, se è abilitata la sincronizzazione dell'hash delle password. Un utente malintenzionato potrebbe usare questa funzionalità per acquisire il controllo gli oggetti gestiti nel cloud. Per attenuare questo rischio, disabilitare l'acquisizione della corrispondenza rigida.

SQL Server usato da Microsoft Entra Connect

• Per archiviare i dati sull'identità, Microsoft Entra Connect richiede un database SQL. Per impostazione predefinita, viene installato SQL Server 2019 Express Local DB (una versione ridotta di SQL Server Express). SQL Server Express ha un limite di dimensioni di 10 GB che consente di gestire circa 100.000 oggetti. Se è necessario gestire un numero di oggetti directory maggiore, scegliere un'installazione di SQL Server diversa nell'installazione guidata. Il tipo di installazione di SQL Server può influire sulle prestazioni di Microsoft Entra Connect.
• Se si usa un'installazione diversa di SQL Server, si applicano questi requisiti:
  • Microsoft Entra Connect supporta tutte le versioni di SQL Server con supporto Mainstream fino a SQL Server 2022 in esecuzione in Windows. Vedere l'articolo relativo al ciclo di vita di SQL Server per verificare lo stato del supporto della versione di SQL Server in uso. SQL Server 2012 non è più supportato. Il database SQL di Azure non è supportato come database. Questo include sia il database SQL di Azure che l'Istanza gestita di SQL di Azure.
  • È necessario usare regole di confronto SQL senza distinzione tra maiuscole e minuscole. Queste regole di confronto sono identificabili per la presenza di CI_ all'interno del nome. L'uso di regole di confronto con distinzione tra maiuscole e minuscole identificate da _CS_ all'interno del nome non è supportato.
  • È possibile avere un unico motore di sincronizzazione per ogni istanza di SQL. La condivisione dell'istanza di SQL con la sincronizzazione di Microsoft Identity Manager, DirSync o Azure AD Sync non è supportata.

Account

• È necessario disporre di un account amministratore globale di Microsoft Entra o di un account di amministratore delle identità ibride per il tenant di Microsoft Entra con cui si vuole eseguire l'integrazione. Questo account deve essere un account aziendale o dell'istituto di istruzione e non un account Microsoft.
• Se si usano le impostazioni rapide o si esegue l'aggiornamento da DirSync, è necessario un account amministratore dell'organizzazione per Active Directory locale.
• Se si usa il percorso di installazione con impostazioni personalizzate, sono disponibili altre opzioni. Per altre informazioni, vedere Impostazioni di installazione personalizzate.

Connettività

• Il server di Microsoft Entra Connect necessita della risoluzione DNS per Intranet e Internet. Il server DNS deve poter risolvere i nomi sia per gli endpoint di Active Directory locale che per gli endpoint di Microsoft Entra.

• Microsoft Entra Connect richiede la connettività di rete a tutti i domini configurati.

• Microsoft Entra Connect richiede la connettività di rete al dominio radice di tutta la foresta di domini configurata.

• Se sono presenti firewall nella rete Intranet ed è necessario aprire alcune porte tra i server di Microsoft Entra Connect e i controller di dominio, vedere Porte di Microsoft Entra Connect per altre informazioni.

• Se il proxy o il firewall limita gli URL a cui è possibile accedere, è necessario aprire gli URL documentati in URL e intervalli di indirizzi IP per Office 365 . Vedere anche Aggiungere gli URL dell'Interfaccia di amministrazione di Microsoft Entra nell'elenco di indirizzi attendibili nel firewall o nel server proxy.

  • Se si usa Microsoft Cloud Germany o il cloud di Microsoft Azure per enti pubblici, vedere Microsoft Entra Connect: Considerazioni speciali per le istanze del servizio di sincronizzazione per gli URL.

• Per impostazione predefinita, Microsoft Entra Connect (versione 1.1.614.0 e successive) usa TLS 1.2 per crittografare le comunicazioni tra il motore di sincronizzazione e Microsoft Entra ID. Se TLS 1.2 non è disponibile nel sistema operativo sottostante, Microsoft Entra Connect esegue il fallback in modo incrementale a protocolli meno recenti (TLS 1.1 e TLS 1.0). A partire da Microsoft Entra Connect versione 2.0, TLS 1.0 e 1.1 non sono più supportati e l'installazione non riuscirà se TLS 1.2 non è abilitato.

• Prima della versione 1.1.614.0, per impostazione predefinita Microsoft Entra Connect usa TLS 1.0 per crittografare le comunicazioni tra il motore di sincronizzazione e Microsoft Entra ID. Per passare a TLS 1.2, seguire la procedura descritta in Abilitare TLS 1.2 per Microsoft Entra Connect.

• Se per la connessione a Internet si usa un proxy per traffico in uscita, è necessario aggiungere l'impostazione seguente al file C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config per consentire all'installazione guidata e al servizio di sincronizzazione di Microsoft Entra Connect di connettersi a Internet e a Microsoft Entra ID. Questo testo deve essere immesso alla fine del file. In questo codice <PROXYADDRESS> rappresenta l'effettivo indirizzo IP o nome host del proxy.

      <system.net>
          <defaultProxy>
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Se il server proxy richiede l'autenticazione, l'account del servizio deve trovarsi nel dominio. Usare il percorso di installazione con impostazioni personalizzate per specificare un account del servizio personalizzato. È inoltre necessario modificare il file machine.config, in modo tale che l'installazione guidata e il motore di sincronizzazione rispondano alle richieste di autenticazione provenienti dal server proxy. In tutte le pagine dell'installazione guidata, esclusa quella di configurazione, vengono usate le credenziali dell'utente che ha eseguito l'accesso. Nella pagina di configurazione al termine dell'installazione guidata il contesto passa all'account del servizio creato. La sezione machine.config dovrebbe essere simile alla seguente:

      <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Se la configurazione del proxy viene eseguita in un'installazione esistente, è necessario riavviare il servizio di sincronizzazione di Microsoft Entra ID per consentire a Microsoft Entra Connect di leggere la configurazione del proxy e aggiornare il comportamento.

• Quando Microsoft Entra Connect invia una richiesta Web a Microsoft Entra ID durante la sincronizzazione della directory, può essere necessario attendere fino a cinque minuti per ottenere la risposta da Microsoft Entra ID. Accade spesso che i server proxy abbiano una configurazione per il timeout di inattività della connessione. Verificare che la configurazione sia impostata almeno su sei minuti.

Per altre informazioni, vedere l'articolo di MSDN sull'elemento proxy predefinito. Per altre informazioni in caso di problemi di connettività, vedere Risolvere i problemi di connettività.

Altro

Facoltativo: usare un account utente di test per verificare la sincronizzazione.

Prerequisiti dei componenti

PowerShell e .NET Framework

Microsoft Entra Connect dipende da Microsoft PowerShell 5.0 e .NET Framework 4.5.1. Nel server deve essere installata questa versione o una versione successiva.

Abilitare TLS 1.2 per Microsoft Entra Connect

Prima della versione 1.1.614.0, per impostazione predefinita Microsoft Entra Connect usa TLS 1.0 per crittografare le comunicazioni tra il server del motore di sincronizzazione e Microsoft Entra ID. È possibile configurare le applicazioni .NET in modo che usino TLS 1.2 per impostazione predefinita nel server. Per altre informazioni su TLS 1.2, vedere l'avviso di sicurezza Microsoft 2960358.

1. Assicurarsi di aver installato l'hotfix di .NET 4.5.1 per il sistema operativo in uso. Per altre informazioni, vedere l'avviso di sicurezza Microsoft 2960358. Questo hotfix o una versione successiva potrebbe essere già installata nel server.

2. Per tutti i sistemi operativi impostare questa chiave del Registro di sistema e riavviare il server.

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
   "SchUseStrongCrypto"=dword:00000001
   

3. Se si vuole anche abilitare TLS 1.2 tra il server del motore di sincronizzazione e un'istanza remota di SQL Server, assicurarsi che siano installate le versioni necessarie per supportare TLS 1.2 per Microsoft SQL Server.

Per altre informazioni, vedere come abilitare TLS 1.2

Prerequisiti DCOM nel server di sincronizzazione

Durante l'installazione del servizio di sincronizzazione, Microsoft Entra Connect verifica la presenza della chiave del Registro di sistema seguente:

• HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

In questa chiave del Registro di sistema Microsoft Entra Connect verificherà se i valori seguenti sono presenti e non danneggiati:

• MachineAccessRestriction
• MachineLaunchRestriction
• DefaultLaunchPermission

Prerequisiti per l'installazione e la configurazione dei servizi federativi

Gestione remota Windows

Quando si usa Microsoft Entra Connect per distribuire AD FS o Proxy applicazione Web (WAP), verificare questi requisiti:

• Se il server di destinazione è aggiunto a un dominio, assicurarsi che Windows Remote Managed sia abilitato.
  • In una finestra di comando di PowerShell con privilegi elevati usare il comando Enable-PSRemoting –force.
• Se il server di destinazione è un computer WAP non aggiunto a un dominio, è necessario considerare alcuni requisiti aggiuntivi:
  • Nel computer di destinazione (computer WAP):
    • Verificare che il servizio Windows Remote Management/WS-Management (WinRM) sia in esecuzione tramite lo snap-in Servizi.
    • In una finestra di comando di PowerShell con privilegi elevati usare il comando Enable-PSRemoting –force.
  • Nel computer in cui viene eseguita la procedura guidata (se il computer di destinazione non è aggiunto a un dominio o è in un dominio non attendibile):
    • In una finestra di comando di PowerShell con privilegi elevati usare il comando Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate.
    • In Server Manager:
      • Aggiungere un host WAP della rete perimetrale a un pool di computer. In Server Manager selezionare Gestisci>Aggiungi server e quindi usare la scheda DNS.
      • Nella scheda Tutti i server di Server Manager fare clic con il pulsante destro del mouse sul server WAP e selezionare Gestisci come. Immettere le credenziali locali (non di dominio) per il computer WAP.
      • Per convalidare la connettività remota di PowerShell, nella scheda Tutti i server di Server Manager fare clic con il pulsante destro del mouse sul server WAP e selezionare Windows PowerShell. Dovrebbe aprirsi una sessione remota di PowerShell per verificare che sia possibile stabilire sessioni remote di PowerShell.

Requisiti del certificato TLS/SSL

• È consigliabile usare lo stesso certificato TLS/SSL in tutti i nodi della farm AD FS e in tutti i server di Proxy applicazione Web.
• Il certificato deve essere un certificato X509.
• È possibile utilizzare un certificato autofirmato su server federativi in un ambiente di testing. Per un ambiente di produzione, è consigliabile ottenere il certificato da un'autorità di certificazione pubblica.
  • Se si usa un certificato non attendibile pubblicamente, assicurarsi che il certificato installato in ciascun server di Proxy applicazione Web sia attendibile sia nel server locale che in tutti i server federativi.
• L'identità del certificato deve corrispondere al nome del servizio federativo (ad esempio, sts.contoso.com).
  • L'identità è un'estensione nome alternativo del soggetto (SAN) di tipo dNSName o, se non sono presenti voci SAN, il nome del soggetto viene specificato come nome comune.
  • Nel certificato possono essere presenti più voci SAN, purché una di esse corrisponda al nome del servizio federativo.
  • Se si prevede di usare Workplace Join, è necessario un nome SAN aggiuntivo con valore enterpriseregistration. seguito dal suffisso del nome dell'entità utente (UPN) dell'organizzazione, ad esempio enterpriseregistration.contoso.com.
• I certificati basati su chiavi CNG (CryptoAPI next-generation) e su provider di archiviazione chiavi (KSP) non sono supportati. Di conseguenza, è necessario usare un certificato basato su un provider del servizio di crittografia (CSP) e non su un provider di archiviazione chiavi.
• I certificati con caratteri jolly sono supportati.

Risoluzione dei nomi per i server federativi

• Configurare i record DNS per il nome AD FS (ad esempio, sts.contoso.com) sia per la rete Intranet (il server DNS interno) che per la rete Extranet (DNS pubblico attraverso il registrar). Per il record DNS Intranet, accertarsi di usare record A e non record CNAME. L'uso di record A consente il corretto funzionamento dell'autenticazione di Windows dal computer aggiunto a un dominio.
• Se si distribuiscono più server di AD FS o di Proxy applicazione Web, assicurarsi di aver configurato il servizio di bilanciamento del carico e che i record DNS per il nome AD FS (ad esempio sts.contoso.com) puntino al servizio di bilanciamento del carico.
• Per garantire il corretto funzionamento dell'autenticazione integrata di Windows per le applicazioni browser con Internet Explorer nella rete Intranet, assicurarsi che il nome AD FS (ad esempio adfs.contoso.com) venga aggiunto alla zona Intranet in Internet Explorer. Questo requisito può essere controllato tramite Criteri di gruppo e distribuito a tutti i computer aggiunti a un dominio.

Componenti di supporto di Microsoft Entra Connect

Microsoft Entra Connect installa i componenti seguenti nel server in cui viene installato. L'elenco riguarda un'istallazione di SQL Express di base. Se si sceglie di usare una versione diversa di SQL Server nella pagina Installazione dei servizi di sincronizzazione, SQL Express Local DB non viene installato in locale.

• Microsoft Entra Connect Health
• Microsoft SQL Server 2022 Command Line Utilities
• Microsoft SQL Server 2022 Express Local DB
• Microsoft SQL Server 2022 Native Client
• Microsoft Visual C++ 14 Redistribution Package

Requisiti hardware per Microsoft Entra Connect

La tabella seguente elenca i requisiti minimi per il computer del servizio di sincronizzazione di Microsoft Entra Connect.

Numero di oggetti in Active Directory	CPU	Memoria	Dimensioni del disco rigido
Meno di 10.000	1,6 GHz	6 GB	70 GB
10.000-50.000	1,6 GHz	6 GB	70 GB
50.000-100.000	1,6 GHz	16 GB	100 GB
Per 100.000 o più oggetti, è necessaria la versione completa di SQL Server. Per motivi di prestazioni, è preferibile eseguire l'installazione in locale. I valori seguenti sono validi solo per l'installazione di Microsoft Entra Connect. Se SQL Server verrà installato nello stesso server, sono necessari memoria, unità e CPU aggiuntivi.
100.000-300.000	1,6 GHz	32 GB	300 GB
300.000-600.000	1,6 GHz	32 GB	450 GB
Più di 600.000	1,6 GHz	32 GB	500 GB

I requisiti minimi per i computer che eseguono server di AD FS o di Proxy applicazione Web sono:

• CPU: dual core da 1,6 GHz o superiore
• Memoria: 2 GB o superiore
• Macchina virtuale di Azure: configurazione A2 o superiore

Passaggi successivi

Altre informazioni sull'integrazione di identità locali con Microsoft Entra ID.