Sincronizzazione microsoft Entra Connessione: configurare la posizione dei dati preferita per le risorse di Microsoft 365

  • Articolo

Lo scopo di questo argomento è illustrare come configurare l'attributo per il percorso dei dati preferito in Microsoft Entra Connessione Sync. Quando un utente usa funzionalità Multi-Geo in Microsoft 365, si usa questo attributo per designare la posizione geografica dei dati di Microsoft 365 dell'utente. I termini area e area geografica vengono usati in modo intercambiabile.

Località multi-geografiche supportate

Per un elenco di tutte le aree geografiche supportate da Microsoft Entra Connessione vedere Disponibilità multi-geografica di Microsoft 365

Abilitare la sincronizzazione del percorso dati preferito

Per impostazione predefinita, le risorse di Microsoft 365 per gli utenti si trovano nella stessa area geografica del tenant di Microsoft Entra. Ad esempio, se il tenant si trova in America del Nord, le cassette postali di Exchange degli utenti si trovano anche in America del Nord. In un'organizzazione multinazionale questo aspetto può creare problemi.

Impostando l'attributo preferredDataLocation è possibile definire l'area geografica dell'utente. È possibile avere le risorse di Microsoft 365 dell'utente, ad esempio la cassetta postale e OneDrive, nella stessa area geografica dell'utente e avere ancora un tenant per l'intera organizzazione.

Importante

A partire dal 1° giugno 2023, Multi-Geo è disponibile per l'acquisto da parte dei partner CSP, almeno il 5% delle postazioni totali dell'abbonamento a Microsoft 365 del cliente.

Multi-Geo è disponibile anche per i clienti con un Contratto Enterprise attivo. Per informazioni dettagliate, contattare il rappresentante Microsoft.

Per un elenco di tutte le aree geografiche supportate da Microsoft Entra Connessione vedere Disponibilità di Microsoft 365 Multi-Geo.

Supporto di Microsoft Entra Connessione per la sincronizzazione

Microsoft Entra Connessione supporta la sincronizzazione dell'attributo preferredDataLocation per gli oggetti User nella versione 1.1.524.0 e successive. In particolare:

  • Lo schema del tipo di oggetto User in Microsoft Entra Connessione or viene esteso per includere l'attributo preferredDataLocation. L'attributo è di tipo stringa a valore singolo.
  • Lo schema del tipo di oggetto Persona nel metaverse è stato esteso per poter includere l'attributo preferredDataLocation. L'attributo è di tipo stringa a valore singolo.

Per impostazione predefinita, preferredDataLocation non è abilitato per la sincronizzazione. Questa funzionalità è destinata alle organizzazioni di grandi dimensioni. Lo schema di Active Directory in Windows Server 2019 ha un attributo msDS-preferredDataLocation da usare a questo scopo. Se lo schema di Active Directory non è stato aggiornato e non è possibile farlo, è necessario identificare un attributo per contenere l'area geografica di Microsoft 365 per gli utenti. Si tratta di un attributo diverso per ogni organizzazione.

Importante

Microsoft Entra ID consente di configurare direttamente l'attributo preferredDataLocation negli oggetti utente cloud tramite Microsoft Graph PowerShell. Per configurare questo attributo sugli oggetti User sincronizzati, è necessario utilizzare Microsoft Entra Connessione.

Prima di abilitare la sincronizzazione:

  • Se lo schema di Active Directory non è stato aggiornato a 2019, decidere quale attributo Active Directory locale da usare come attributo di origine. Deve essere di tipo stringa a valore singolo.

  • Se in precedenza è stato configurato l'attributo preferredDataLocation sugli oggetti User sincronizzati esistenti in Microsoft Entra ID usando Microsoft Graph PowerShell, è necessario eseguire il backporting dei valori dell'attributo agli oggetti User corrispondenti in Active Directory locale.

    Importante

    Se non si esegue il backporting di questi valori, Microsoft Entra Connessione rimuove i valori di attributo esistenti in Microsoft Entra ID quando la sincronizzazione per l'attributo preferredDataLocation è abilitata.

  • Configurare ora l'attributo di origine in almeno due oggetti Utente di Active Directory locale. Lo si potrà usare più avanti per la verifica.

Le sezioni seguenti illustrano la procedura per abilitare la sincronizzazione dell'attributo preferredDataLocation.

Nota

I passaggi sono descritti nel contesto di una distribuzione di Microsoft Entra con topologia a foresta singola e senza regole di sincronizzazione personalizzate. Se sono stati configurati una topologia a più foreste e regole di sincronizzazione personalizzate o si dispone di un server di gestione temporanea, modificare i passaggi di conseguenza.

Passaggio 1: Disabilitare l'utilità di pianificazione della sincronizzazione e verificare che non ci sia alcuna sincronizzazione in corso

Per evitare modifiche impreviste esportate in Microsoft Entra ID, assicurarsi che non venga eseguita alcuna sincronizzazione durante l'aggiornamento delle regole di sincronizzazione. Per disabilitare l'utilità di pianificazione della sincronizzazione predefinita:

  1. Avviare una sessione di PowerShell nel server microsoft Entra Connessione.
  2. Disabilitare la sincronizzazione pianificata eseguendo questo cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $false.
  3. Avviare Synchronization Service Manager passando a START>Synchronization Service (Servizio di sincronizzazione).
  4. Selezionare scheda Operazioni e verificare che per nessuna operazione lo stato sia In corso.

Screenshot di Synchronization Service Manager

Passaggio 2: Aggiornare lo schema per Active Directory

Se lo schema di Active Directory è stato aggiornato a 2019 e Connessione è stato installato prima dell'estensione dello schema, la cache dello schema Connessione non include lo schema aggiornato. È quindi necessario aggiornare lo schema dalla procedura guidata affinché venga visualizzato nell'interfaccia utente.

  1. Avviare la procedura guidata microsoft Entra Connessione dal desktop.
  2. Selezionare l'opzione Aggiorna schema directory e fare clic su Avanti.
  3. Immettere le credenziali di Microsoft Entra e fare clic su Avanti.
  4. Nella pagina Aggiorna schema directory verificare che tutte le foreste siano selezionate e fare clic su Avanti.
  5. Al termine, chiudere la procedura guidata.

Screenshot dello schema della directory di aggiornamento nella procedura guidata di Connessione

Passaggio 3: Aggiungere l'attributo di origine allo schema Active Directory locale Connessione or

Questo passaggio è necessario solo se si esegue Connessione versione 1.3.21 o successiva. Se si usa la versione 1.4.18 o successiva, passare al passaggio 5.
Non tutti gli attributi di Microsoft Entra vengono importati nello spazio connettore Active Directory locale. Se si è scelto di usare un attributo non sincronizzato per impostazione predefinita, è necessario importarlo. Per aggiungere l'attributo di origine all'elenco degli attributi importati:

  1. Selezionare la scheda Connettori in Synchronization Service Manager.
  2. Fare clic con il pulsante destro del mouse sull'istanza di Active Directory Connector locale e scegliere Proprietà.
  3. Nella finestra di dialogo popup passare alla scheda Seleziona attributi.
  4. Verificare che l'attributo di origine che si è scelto di usare sia selezionato nell'elenco degli attributi. Se l'attributo non viene visualizzato, selezionare la casella di controllo Mostra tutto.
  5. Per salvare, selezionare OK.

Screenshot che mostra la finestra di dialogo Synchronization Service Manager and Properties con l'elenco

Passaggio 4: Aggiungere preferredDataLocation allo schema di Microsoft Entra Connessione or

Questo passaggio è necessario solo se si esegue Connessione versione 1.3.21 o successiva. Se si usa la versione 1.4.18 o successiva, passare al passaggio 5.
Per impostazione predefinita, l'attributo preferredDataLocation non viene importato nello spazio Connessione or di Microsoft Entra. Per aggiungerlo all'elenco di attributi importati:

  1. Selezionare la scheda Connettori in Synchronization Service Manager.
  2. Fare clic con il pulsante destro del mouse sul connettore Microsoft Entra e scegliere Proprietà.
  3. Nella finestra di dialogo popup passare alla scheda Seleziona attributi.
  4. Selezionare l'attributo preferredDataLocation nell'elenco.
  5. Per salvare, selezionare OK.

Screenshot di Synchronization Service Manager e della finestra di dialogo Proprietà

Passaggio 5: Creare una regola di sincronizzazione in ingresso

La regola di sincronizzazione in ingresso consente la trasmissione del valore dell'attributo dall'attributo di origine di Active Directory locale al metaverse.

  1. Avviare Synchronization Rules Editor (Editor delle regole di sincronizzazione) passando a START>Synchronization Rules Editor (Editor delle regole di sincronizzazione).

  2. Impostare il filtro di ricerca Direzione su In arrivo.

  3. Per creare una nuova regola in entrata, fare clic sul pulsante Aggiungi nuova regola.

  4. Nella scheda Descrizione, inserire la configurazione seguente:

    Attributo valore Details
    Nome Specificare un nome Ad esempio, "In entrata da AD - Utente PreferredDataLocation"
    Descrizione Fornire una descrizione personalizzata
    Connected System Selezionare l'istanza di Active Directory Connector locale
    Connected System Object Type Utente
    Metaverse Object Type Persona
    Tipo di collegamento Join.
    Precedenza Scegliere un numero compreso tra 1 e 99 I numeri compresi tra 1 e 99 sono riservati alle regole di sincronizzazione personalizzate. Non scegliere un valore usato da un'altra regola di sincronizzazione.

  5. Lasciare vuoto il campo Scoping filter (Filtro di ambito) per includere tutti gli oggetti. Potrebbe essere necessario modificare il filtro di ambito in base alla distribuzione di Microsoft Entra Connessione.

  6. Passare alla scheda Trasformazione e implementare la regola di trasformazione seguente:

    Tipo di flusso Attributo di destinazione Origine Applicare una sola volta Tipi di unione
    Diretto preferredDataLocation Selezionare l'attributo di origine Non selezionato Aggiornamento

  7. Per creare la regola in entrata, selezionare Aggiungi.

Screenshot della pagina di creazione regola di sincronizzazione in ingresso

Passaggio 6: Creare una regola di sincronizzazione in uscita

La regola di sincronizzazione in uscita consente al valore dell'attributo di passare dal metaverse all'attributo preferredDataLocation in Microsoft Entra ID:

  1. Passare all'editor delle regole di sincronizzazione.

  2. Impostare il filtro di ricerca Direzione da In uscita.

  3. Selezionare Aggiungi nuova regola.

  4. Nella scheda Descrizione, inserire la configurazione seguente:

    Attributo valore Details
    Nome Specificare un nome Ad esempio, "Out to Microsoft Entra ID – User preferredDataLocation"
    Descrizione Inserire una descrizione
    Connected System Selezionare microsoft Entra Connessione or
    Connected System Object Type Utente
    Metaverse Object Type Persona
    Tipo di collegamento Join.
    Precedenza Scegliere un numero compreso tra 1 e 99 I numeri compresi tra 1 e 99 sono riservati alle regole di sincronizzazione personalizzate. Non scegliere un valore usato da un'altra regola di sincronizzazione.

  5. Passare alla scheda Scoping filter (Filtro di ambito) e aggiungere un singolo gruppo di filtri di ambito con le due clausole:

    Attributo Operatore Valore
    sourceObjectType EQUAL User
    cloudMastered NOTEQUAL Vero

    Il filtro di ambito determina a quali oggetti Microsoft Entra viene applicata questa regola di sincronizzazione in uscita. In questo esempio viene usato lo stesso filtro di ambito da "Out to Microsoft Entra ID – User Identity" regola di sincronizzazione OOB (out-of-box). Impedisce l'applicazione della regola di sincronizzazione agli oggetti Utente non sincronizzati da un Active Directory locale. Potrebbe essere necessario modificare il filtro di ambito in base alla distribuzione di Microsoft Entra Connessione.

  6. Passare alla scheda Trasformazione e implementare la regola di trasformazione seguente:

    Tipo di flusso Attributo di destinazione Origine Applicare una sola volta Tipi di unione
    Diretto preferredDataLocation preferredDataLocation Non selezionato Aggiornamento

  7. Fare clic su Aggiungi per creare la regola in uscita.

Screenshot della pagina di creazione regola di sincronizzazione in uscita

Passaggio 7: Eseguire il ciclo di sincronizzazione completo

In generale, un ciclo di sincronizzazione completo è necessario. Questo avviene perché sono stati aggiunti nuovi attributi sia allo schema di Active Directory che a Microsoft Entra Connessione or e sono state introdotte regole di sincronizzazione personalizzate. Verificare le modifiche prima di esportarle in Microsoft Entra ID. È possibile usare la procedura seguente per controllare le modifiche, eseguendo al contempo manualmente i passaggi che compongono il ciclo di sincronizzazione completo.

  1. Eseguire un'importazione completa nell'istanza di Active Directory Connector locale:

    1. Passare alla scheda Connettori in Synchronization Service Manager.

    2. Fare clic con il pulsante destro del mouse sull'istanza di Active Directory Connector locale e scegliere Esegui.

    3. Nella finestra di dialogo selezionare Importazione completa e fare clic su OK.

    4. Attendere il completamento dell'operazione.

      Nota

      È possibile ignorare l'importazione completa in Active Directory Connector locale se l'attributo di origine è già incluso nell'elenco degli attributi importati. In altre parole, non è necessario apportare modifiche durante il passaggio 2 in precedenza in questo articolo.

  2. Eseguire l'importazione completa in Microsoft Entra Connessione or:

    1. Fare clic con il pulsante destro del mouse sul Connessione or Microsoft Entra e scegliere Esegui.
    2. Nella finestra di dialogo selezionare Importazione completa e fare clic su OK.
    3. Attendere il completamento dell'operazione.

  3. Controllare le modifiche alle regole di sincronizzazione in un oggetto Utente esistente.

    L'attributo di origine di Active Directory locale e preferredDataLocation da Microsoft Entra ID sono stati importati in ogni rispettivo spazio connettore. Prima di procedere con il passaggio di sincronizzazione completa, è consigliabile eseguire un'operazione di anteprima su un oggetto Utente esistente nello spazio Active Directory Connector locale. L'attributo di origine dell'oggetto selezionato deve essere popolato. Un'anteprima corretta che mostra preferredDataLocation popolato nel metaverse indica che le regole di sincronizzazione sono state configurate correttamente. Per informazioni sull'esecuzione dell'anteprima, vedere Verificare la modifica.

  4. Eseguire una sincronizzazione completa nell'istanza di Active Directory Connector locale:

    1. Fare clic con il pulsante destro del mouse sull'istanza di Active Directory Connector locale e scegliere Esegui.
    2. Nella finestra di dialogo selezionare Sincronizzazione completa e fare clic su OK.
    3. Attendere il completamento dell'operazione.

  5. Verificare le esportazioni in sospeso in Microsoft Entra ID:

    1. Fare clic con il pulsante destro del mouse su Microsoft Entra Connessione or e selezionare Cerca spazio Connessione or.

    2. Nella finestra di dialogo Search Connector Space (Cerca spazio connettore:

      a. Impostare Ambito su Pending Export (Esportazione in sospeso).
      b. Selezionare tutte e tre le caselle di controllo, tra cui Aggiungi, Modifica ed Elimina.
      c. Selezionare Ricerca per ottenere l'elenco degli oggetti con le modifiche da esportare. Per esaminare le modifiche per un determinato oggetto, fare doppio clic sull'oggetto.
      d. Verificare le modifiche previste.

  6. Eseguire l'esportazione in Microsoft Entra Connessione or

    1. Fare clic con il pulsante destro del mouse sul Connessione or Microsoft Entra e scegliere Esegui.
    2. Nella finestra di dialogo Run Connector (Esegui connettore) selezionare Esporta e fare clic su OK.
    3. Attendere il completamento dell'operazione.

Nota

È possibile notare che i passaggi non includono il passaggio di sincronizzazione completo in Microsoft Entra Connessione or o il passaggio di esportazione nel Connessione or di Active Directory. I passaggi non sono necessari, perché i valori degli attributi vengono trasmessi da Active Directory locale solo a Microsoft Entra-only.

Passaggio 8: Riabilitare l'utilità di pianificazione della sincronizzazione

Riabilitare l'utilità di pianificazione della sincronizzazione predefinita:

  1. Avviare una sessione di PowerShell.
  2. Riabilitare la sincronizzazione pianificata eseguendo questo cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

Passaggio 9: Verificare il risultato

A questo punto è necessario verificare la configurazione e abilitarla per gli utenti.

  1. Aggiungere l'area all'attributo selezionato per un utente. L'elenco di aree geografiche disponibili è indicato in questa tabella.
    Screenshot dell'attributo AD aggiunto a un utente
  2. Attendere che l'attributo venga sincronizzato con Microsoft Entra ID.
  3. Usare il servizio PowerShell di Exchange Online per verificare che l'area della cassetta postale sia stata impostata correttamente.
    Screenshot di PowerShell per Exchange Online
    Supponendo che il tenant sia stato contrassegnato come in grado di usare questa funzionalità, la cassetta postale viene spostata nell'area geografica corretta. Per verificare che ciò avvenga, esaminare il nome del server in cui si trova la cassetta postale.

Passaggi successivi

Altre informazioni su Multi-Geo in Microsoft 365:

Altre informazioni sul modello di configurazione nel motore di sincronizzazione:

Argomenti generali: