Account e autorizzazioni di Microsoft Entra Connect
Informazioni sugli account usati e creati e sulle autorizzazioni necessarie per installare e usare Microsoft Entra Connessione.
Account usati per Microsoft Entra Connessione
Microsoft Entra Connessione usa tre account per sincronizzare le informazioni da Windows Server Active Directory (Windows Server AD) locale a Microsoft Entra ID:
Account del Connessione or di Active Directory Domain Services: usato per leggere e scrivere informazioni in Windows Server AD tramite Dominio di Active Directory Services (AD DS).
Account del servizio ADSync: usato per eseguire il servizio di sincronizzazione e accedere al database di SQL Server.
Account microsoft Entra Connessione or: usato per scrivere informazioni nell'ID Microsoft Entra.
Sono necessari anche gli account seguenti per installare Microsoft Entra Connessione:
Account Amministrazione istrator locale: l'amministratore che sta installando Microsoft Entra Connessione e che dispone delle autorizzazioni Amministrazione istrator locali nel computer.
Account di Active Directory Domain Services Enterprise Amministrazione istrator: facoltativamente usato per creare l'account di Connessione or di Active Directory Domain Services richiesto.
Account microsoft Entra Global Amministrazione istrator: usato per creare l'account microsoft Entra Connessione or e per configurare l'ID Microsoft Entra. È possibile visualizzare gli account di Amministrazione istrator e identità ibrida Amministrazione istrator nell'interfaccia di amministrazione di Microsoft Entra. Vedere Elencare le assegnazioni di ruolo di Microsoft Entra.
Account SA SQL (facoltativo): usato per creare il database ADSync quando si usa la versione completa di SQL Server. L'istanza di SQL Server può essere locale o remota all'installazione di Microsoft Entra Connessione. Questo account può essere lo stesso account dell'account Enterprise Amministrazione istrator.
Il provisioning del database può ora essere eseguito fuori banda dall'amministratore di SQL Server e quindi installato dall'amministratore di Microsoft Entra Connessione se l'account dispone di autorizzazioni di proprietario del database (DBO). Per altre informazioni, vedere Installare Microsoft Entra Connessione usando autorizzazioni di amministratore delegato SQL.
Importante
A partire dalla build 1.4.##.#.#, non è più possibile usare un account Enterprise Amministrazione istrator o un account domain Amministrazione istrator come account Connessione or di Active Directory Domain Services. Se si tenta di immettere un account enterprise Amministrazione istrator o domain Amministrazione istrator per Usa account esistente, la procedura guidata visualizza un messaggio di errore e non è possibile procedere.
Nota
È possibile gestire gli account amministrativi usati in Microsoft Entra Connessione usando un modello di accesso aziendale. Un'organizzazione può usare un modello di accesso aziendale per ospitare account amministrativi, workstation e gruppi in un ambiente con controlli di sicurezza più avanzati rispetto a un ambiente di produzione. Per altre informazioni, vedere Modello di accesso aziendale.
Il ruolo global Amministrazione istrator non è necessario dopo l'installazione iniziale. Dopo l'installazione, l'unico account necessario è l'account del ruolo Account di sincronizzazione directory. Anziché rimuovere l'account con il ruolo Global Amministrazione istrator, è consigliabile modificare il ruolo in un ruolo con un livello inferiore di autorizzazioni. Se è necessario eseguire di nuovo la procedura guidata, rimuovere completamente l'account potrebbe presentare problemi. È possibile aggiungere le autorizzazioni se è necessario usare di nuovo la procedura guidata di Microsoft Entra Connessione.
Installazione di Microsoft Entra Connessione
L'installazione guidata di Microsoft Entra Connessione offre due percorsi:
- Impostazioni rapide: in Microsoft Entra Connessione impostazioni rapide, la procedura guidata richiede più autorizzazioni per poter configurare facilmente l'installazione. La procedura guidata crea utenti e configura le autorizzazioni in modo che non sia necessario.
- Impostazioni personalizzate: in Microsoft Entra Connessione impostazioni personalizzate sono disponibili più opzioni e opzioni nella procedura guidata. Tuttavia, per alcuni scenari, è importante assicurarsi di avere le autorizzazioni corrette.
Impostazioni rapide
Nelle impostazioni rapide immettere queste informazioni nell'installazione guidata:
- Le credenziali amministratore dell'organizzazione AD DS
- Credenziali di Microsoft Entra Global Amministrazione istrator
Le credenziali amministratore dell'organizzazione AD DS
L'account di Active Directory Domain Services Enterprise Amministrazione istrator viene usato per configurare Windows Server AD. Queste credenziali vengono usate solo durante l'installazione. Enterprise Amministrazione istrator, non domain Amministrazione istrator, deve assicurarsi che le autorizzazioni in Windows Server AD possano essere impostate in tutti i domini.
Se si esegue l'aggiornamento da DirSync, le credenziali di Active Directory Domain Services Enterprise Amministrazione istrator vengono usate per reimpostare la password per l'account usato da DirSync. Sono necessarie anche le credenziali di Microsoft Entra Global Amministrazione istrator.
Credenziali di Microsoft Entra Global Amministrazione istrator
Le credenziali per l'account microsoft Entra Global Amministrazione istrator vengono usate solo durante l'installazione. L'account viene usato per creare l'account microsoft Entra Connessione or che sincronizza le modifiche apportate all'ID Microsoft Entra. L'account abilita anche la sincronizzazione come funzionalità in Microsoft Entra ID.
Per altre informazioni, vedere Global Amministrazione istrator.
Autorizzazioni necessarie per l'account del connettore di AD DS per le impostazioni rapide
L'account Connessione or di Active Directory Domain Services viene creato per leggere e scrivere in Windows Server AD. L'account dispone delle autorizzazioni seguenti quando viene creato durante l'installazione delle impostazioni rapide:
| Autorizzazione | Utilizzo |
|---|---|
| - Replicare le modifiche della directory - Replicare tutte le modifiche della directory |
Sincronizzazione dell'hash delle password |
| Lettura/scrittura di tutte le proprietà - Utente | Importazione ed Exchange ibrido |
| Lettura/scrittura di tutte le proprietà - iNetOrgPerson | Importazione ed Exchange ibrido |
| Lettura/scrittura di tutte le proprietà - Gruppo | Importazione ed Exchange ibrido |
| Lettura/scrittura di tutte le proprietà - Contatto | Importazione ed Exchange ibrido |
| Reimposta password | Preparazione per l'abilitazione del writeback delle password |
Procedura guidata Impostazioni rapide
In un'installazione rapida delle impostazioni, la procedura guidata crea automaticamente alcuni account e impostazioni.
La tabella seguente è un riepilogo delle pagine della procedura guidata impostazioni rapide, delle credenziali raccolte e delle relative funzioni:
| Pagina della procedura guidata | Credenziali raccolte | Autorizzazioni obbligatorie | Scopo |
|---|---|---|---|
| N/D | Utente che esegue l'installazione guidata. | Amministrazione istrator del server locale. | Usato per creare l'account del servizio ADSync usato per eseguire il servizio di sincronizzazione. |
| Stabilire la connessione a Microsoft Entra ID | Credenziali della directory Microsoft Entra. | Ruolo globale Amministrazione istrator in Microsoft Entra ID. | - Usato per abilitare la sincronizzazione nella directory Microsoft Entra. - Usato per creare l'account microsoft Entra Connessione or usato per le operazioni di sincronizzazione in corso in Microsoft Entra ID. |
| Connessione ad AD DS | Credenziali di Windows Server AD. | Membro del gruppo Enterprise Amministrazione s in Windows Server AD. | Usato per creare l'account Connessione or di Servizi di dominio Active Directory in Windows Server AD e concedere le autorizzazioni. Questo account creato viene usato per leggere e scrivere informazioni sulla directory durante la sincronizzazione. |
Impostazioni personalizzate
In un'installazione di impostazioni personalizzate sono disponibili più opzioni e opzioni nella procedura guidata.
Procedura guidata impostazioni personalizzate
La tabella seguente contiene un riepilogo delle pagine della procedura guidata delle impostazioni personalizzate, le credenziali raccolte e le informazioni usate per:
| Pagina della procedura guidata | Credenziali raccolte | Autorizzazioni obbligatorie | Scopo |
|---|---|---|---|
| N/D | Utente che esegue l'installazione guidata. | - Amministrazione istrator del server locale. - Se si usa un'istanza di SQL Server completa, l'utente deve essere System Amministrazione istrator (sysadmin) in SQL Server. |
Per impostazione predefinita, viene usato per creare l'account locale usato come account del servizio del motore di sincronizzazione. L'account viene creato solo quando l'amministratore non specifica un account. |
| Installare i servizi di sincronizzazione, opzione dell'account del servizio | Credenziali dell'account utente locale o di Windows Server AD. | L'utente e le autorizzazioni vengono concesse dall'installazione guidata. | Se l'amministratore specifica un account, quest'ultimo viene usato come account del servizio di sincronizzazione. |
| Stabilire la connessione a Microsoft Entra ID | Credenziali della directory Microsoft Entra. | Ruolo globale Amministrazione istrator in Microsoft Entra ID. | - Usato per abilitare la sincronizzazione nella directory Microsoft Entra. - Usato per creare l'account microsoft Entra Connessione or usato per le operazioni di sincronizzazione in corso in Microsoft Entra ID. |
| Connessione delle directory | Credenziali di Windows Server AD per ogni foresta connessa a Microsoft Entra ID. | Le autorizzazioni dipendono dalle funzionalità abilitate e disponibili in Creare l'account Connessione or di Active Directory Domain Services. | Questo account viene usato per leggere e scrivere informazioni sulla directory durante la sincronizzazione. |
| Server ADFS | Per ogni server nell'elenco, la procedura guidata raccoglie le credenziali quando le credenziali di accesso dell'utente che esegue la procedura guidata non sono sufficienti per la connessione. | Account domain Amministrazione istrator. | Usato durante l'installazione e la configurazione del ruolo del server Active Directory Federation Services (AD FS). |
| Server Proxy applicazione Web | Per ogni server nell'elenco, la procedura guidata raccoglie le credenziali quando le credenziali di accesso dell'utente che esegue la procedura guidata non sono sufficienti per la connessione. | Amministratore locale nel computer di destinazione. | Usato durante l'installazione e la configurazione del ruolo del server proxy applicazione Web (WAP). |
| Credenziali attendibilità proxy | Credenziali di attendibilità del servizio federativo (le credenziali usate dal proxy per la registrazione per un certificato di attendibilità dei servizi federativo (FS)). | Account di dominio che è un Amministrazione istrator locale del server AD FS. | Registrazione iniziale del certificato di attendibilità FS-WAP. |
| Pagina Account del servizio AD FS Usare un'opzione account utente di dominio | Credenziali dell'account utente di Windows Server AD. | Un utente di dominio. | L'account utente Microsoft Entra le cui credenziali vengono fornite viene usato come account di accesso del servizio AD FS. |
Creare l'account del connettore di AD DS
Importante
È stato introdotto un nuovo modulo di PowerShell denominato ADSyncConfig.psm1 con la build 1.1.880.0 (rilasciata ad agosto 2018). Il modulo include una raccolta di cmdlet che consentono di configurare le autorizzazioni di Windows Server AD corrette per l'account di Microsoft Entra Domain Services Connessione or.
Per altre informazioni, vedere Microsoft Entra Connessione: Configurare l'autorizzazione dell'account Connessione or di Active Directory Domain Services.
L'account specificato nella Connessione pagina delle directory deve essere creato in Windows Server AD come oggetto utente normale (VSA, MSA o gMSA) prima dell'installazione. Microsoft Entra Connessione versione 1.1.524.0 e successive ha la possibilità di consentire alla procedura guidata di Microsoft Entra Connessione di creare l'account Connessione or di Active Directory usato per connettersi a Windows Server AD.
L'account specificato deve avere anche le autorizzazioni necessarie. L'installazione guidata non verifica le autorizzazioni e vengono rilevati problemi solo durante il processo di sincronizzazione.
Le autorizzazioni necessarie dipendono dalle funzionalità facoltative abilitate. Se si dispone di più domini, le autorizzazioni devono essere concesse per tutti i domini nella foresta. Se non si abilita alcuna di queste funzionalità, le autorizzazioni utente di dominio predefinite sono sufficienti.
| Funzionalità | Autorizzazioni |
|---|---|
| funzionalità ms-DS-ConsistencyGuid | Autorizzazioni di scrittura per l'attributo ms-DS-ConsistencyGuid documentato in Concetti di progettazione - Uso di ms-DS-ConsistencyGuid come sourceAnchor. |
| Sincronizzazione dell'hash delle password | - Replicare le modifiche della directory - Replicare tutte le modifiche della directory |
| Distribuzione ibrida di Exchange | Autorizzazioni di scrittura per gli attributi documentati in Writeback della distribuzione ibrida Exchange per utenti, gruppi e contatti. |
| Cartelle pubbliche della posta di Exchange | Autorizzazioni di lettura per gli attributi documentati in Cartelle pubbliche della posta di Exchange per le cartelle pubbliche. |
| writeback delle password | Autorizzazioni di scrittura per gli attributi documentati in Introduzione alla gestione delle password per gli utenti. |
| Writeback dispositivi | Autorizzazioni concesse con uno script di PowerShell, come descritto in Writeback del dispositivo. |
| Writeback dei gruppi | Consente di eseguire il writeback Gruppi di Microsoft 365 in una foresta in cui è installato Exchange. |
Autorizzazioni necessarie per l'aggiornamento
Quando si esegue l'aggiornamento da una versione di Microsoft Entra Connessione a una nuova versione, sono necessarie le autorizzazioni seguenti:
| Entità di sicurezza | Autorizzazioni obbligatorie | Scopo |
|---|---|---|
| Utente che esegue l'installazione guidata | Amministratore del server locale | Usato per aggiornare i file binari. |
| Utente che esegue l'installazione guidata | Membro di ADSyncAdmins | Usato per apportare modifiche alle regole di sincronizzazione e ad altre configurazioni. |
| Utente che esegue l'installazione guidata | Se si usa un'istanza completa di SQL Server: DBO (o simile) del database del motore di sincronizzazione | Usato per apportare modifiche a livello di database, ad esempio l'aggiornamento di tabelle con nuove colonne. |
Importante
Nella build 1.1.484 è stato introdotto un bug di regressione in Microsoft Entra Connessione. Il bug richiede autorizzazioni sysadmin per aggiornare il database di SQL Server. Il bug viene corretto nella build 1.1.647. Per eseguire l'aggiornamento a questa compilazione, è necessario disporre delle autorizzazioni sysadmin. In questo scenario le autorizzazioni DBO non sono sufficienti. Se si tenta di aggiornare Microsoft Entra Connessione senza autorizzazioni sysadmin, l'aggiornamento ha esito negativo e Microsoft Entra Connessione non funziona più correttamente.
Dettagli degli account creati
Le sezioni seguenti forniscono altre informazioni sugli account creati in Microsoft Entra Connessione.
Account del connettore di AD DS
Se si usano le impostazioni rapide, viene creato un account usato per la sincronizzazione in Windows Server AD. L'account creato si trova nel dominio radice della foresta nel contenitore Users. Il nome dell'account è preceduto da MSOL_. L'account viene creato con una password lunga e complessa che non scade. Se si dispone di un criterio password nel dominio, assicurarsi che per questo account siano consentite password lunghe e complesse.
Se si usano impostazioni personalizzate, è necessario creare l'account prima di avviare l'installazione. Vedere Creare l'account del connettore di AD DS.
ADSync service account (Account del servizio ADSync)
Il servizio di sincronizzazione può essere eseguito con account diversi, Può essere eseguito con un account del servizio virtuale (VSA), un account del servizio gestito del gruppo (gMSA), un servizio gestito autonomo (sMSA) o un account utente normale. Le opzioni supportate sono state modificate con la versione di aprile 2017 di Microsoft Entra Connessione quando si esegue una nuova installazione. Se si esegue l'aggiornamento da una versione precedente di Microsoft Entra Connessione, queste altre opzioni non sono disponibili.
| Tipo di account | Opzione di installazione | Descrizione |
|---|---|---|
| VSA | Rapida e personalizzata, aprile 2017 e versioni successive | Questa opzione viene usata per tutte le installazioni rapide delle impostazioni, ad eccezione delle installazioni in un controller di dominio. Per le impostazioni personalizzate, si tratta dell'opzione predefinita. |
| gMSA | Personalizzata, aprile 2017 e versioni successive | Se si usa un'istanza remota di SQL Server, è consigliabile usare un account del servizio gestito del gruppo. |
| Account utente | Rapida e personalizzata, aprile 2017 e versioni successive | Un account utente preceduto da AAD_ viene creato durante l'installazione solo quando microsoft Entra Connessione viene installato in Windows Server 2008 e quando viene installato in un controller di dominio. |
| Account utente | Rapida e personalizzata, marzo 2017 e versioni precedenti | Durante l'installazione viene creato un account locale con prefisso AAD_ . In un'installazione personalizzata è possibile specificare un account diverso. |
Se si usa Microsoft Entra Connessione con una build di marzo 2017 o versioni precedenti, non reimpostare la password nell'account del servizio. Windows elimina definitivamente le chiavi di crittografia per motivi di sicurezza. Non è possibile modificare l'account in qualsiasi altro account senza reinstallare Microsoft Entra Connessione. Se si esegue l'aggiornamento a una build di aprile 2017 o versione successiva, è possibile modificare la password nell'account del servizio, ma non è possibile modificare l'account usato.
Importante
È possibile impostare l'account del servizio solo alla prima installazione. Non è possibile modificare l'account del servizio al termine dell'installazione.
Nella tabella seguente vengono descritte le opzioni predefinite, consigliate e supportate per l'account del servizio di sincronizzazione.
Legenda:
- Grassetto= Opzione predefinita e, nella maggior parte dei casi, opzione consigliata.
- Corsivo = Opzione consigliata quando non è l'opzione predefinita.
- 2008 = Opzione predefinita se installata in Windows Server 2008
- Non grassetto = Opzione supportata
- Account locale = Account utente locale nel server
- Account di dominio = Account utente di dominio
- sMSA = account del servizio gestito autonomo
- gMSA = account del servizio gestito del gruppo
| Database locale Rapida |
Database locale/SQL Server locale Personalizzazione |
SQL Server remoto Personalizzazione |
|
|---|---|---|---|
| computer aggiunto a un dominio | VSA Account locale (2008) |
VSA Account locale (2008) Account locale Account di dominio sMSA, account del servizio gestito del gruppo |
gMSA Account di dominio |
| Controller di dominio | Account di dominio | gMSA Account di dominio sMSA |
gMSA Account di dominio |
VSA
Un vsa è un tipo speciale di account che non ha una password ed è gestito da Windows.
Il vsa è progettato per essere usato con scenari in cui il motore di sincronizzazione e SQL Server si trovano nello stesso server. Se si usa SQL Server remoto, è consigliabile usare un account del servizio gestito del gruppo anziché un vsa.
La funzionalità VSA richiede Windows Server 2008 R2 o versione successiva. Se si installa Microsoft Entra Connessione in Windows Server 2008, l'installazione esegue il fallback all'uso di un account utente anziché di un vsa.
gMSA
Se si usa un'istanza remota di SQL Server, è consigliabile usare un account del servizio gestito del gruppo. Per altre informazioni su come preparare Windows Server AD per l'account del servizio gestito del gruppo, vedere Panoramica degli account del servizio gestito di gruppo.
Per usare questa opzione, nella pagina Installa componenti necessari selezionare Usa un account del servizio esistente e quindi selezionare Account del servizio gestito.
In questo scenario è anche possibile usare un account del servizio gestito del servizio gestito . Tuttavia, è possibile usare un account sMSA solo nel computer locale e non esiste alcun vantaggio per l'uso di un account del servizio gestito del servizio gestito anziché del vsA predefinito.
La funzionalità sMSA richiede Windows Server 2012 o versione successiva. Se è necessario usare una versione precedente di un sistema operativo e si usa SQL Server remoto, è necessario usare un account utente.
Account utente
Un account del servizio locale viene creato dall'installazione guidata (a meno che non si specifichi nelle impostazioni personalizzate l'account da usare). L'account è preceduto da AAD_ e viene usato per l'esecuzione effettiva del servizio di sincronizzazione. Se si installa Microsoft Entra Connessione in un controller di dominio, l'account viene creato nel dominio. L'account del servizio AAD_ deve essere presente nel dominio se:
- Si usa un server remoto che esegue SQL Server.
- Si usa un proxy che richiede l'autenticazione.
L'account del servizio AAD_ viene creato con una password lunga e complessa che non scade.
Questo account viene usato per archiviare in modo sicuro le password per gli altri account. Le password vengono archiviate crittografate nel database. Le chiavi private per le chiavi di crittografia sono protette con la crittografia della chiave privata dei servizi di crittografia tramite l'API Protezione dati di Windows (DPAPI).
Se si usa un'istanza completa di SQL Server, l'account del servizio è l'oggetto DBO del database creato per il motore di sincronizzazione. Il servizio non funzionerà come previsto con altre autorizzazioni. Viene creato anche un account di accesso di SQL Server.
All'account vengono concesse anche autorizzazioni per file, chiavi del Registro di sistema e altri oggetti correlati al motore di sincronizzazione.
Account microsoft Entra Connessione or
Viene creato un account in Microsoft Entra ID per il servizio di sincronizzazione da usare. È possibile identificare questo account in base al nome visualizzato.
Il nome del server in cui viene usato l'account può essere identificato nella seconda parte del nome utente. Nella figura precedente il nome del server è DC1. Se si dispone di server di gestione temporanea, ogni server avrà il proprio account.
Viene creato un account server con una password lunga e complessa che non scade. All'account viene concesso un ruolo speciale Account di sincronizzazione directory con autorizzazioni per eseguire solo le attività di sincronizzazione della directory. Questo ruolo predefinito speciale non può essere concesso all'esterno della procedura guidata di Microsoft Entra Connessione. L'interfaccia di amministrazione di Microsoft Entra mostra questo account con il ruolo Utente.
Microsoft Entra ID ha un limite di 20 account del servizio di sincronizzazione.
Per ottenere l'elenco degli account del servizio Microsoft Entra esistenti nell'istanza di Microsoft Entra, eseguire il comando seguente:
$directoryRoleId = Get-MgDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} Get-MgDirectoryRoleMember -DirectoryRoleId $directoryRoleId.Id | Select -ExpandProperty AdditionalPropertiesPer rimuovere gli account del servizio Microsoft Entra inutilizzati, eseguire il comando seguente:
Remove-MgUser -UserId <Id-of-the-account-to-remove>
Nota
Prima di poter usare questi comandi di PowerShell, è necessario installare il modulo PowerShell di Microsoft Graph e connettersi all'istanza di Microsoft Entra ID usando Connessione-MgGraph.
Per altre informazioni su come gestire o reimpostare la password per l'account microsoft Entra Connessione, vedere Gestire l'account microsoft Entra Connessione.
Articoli correlati
Per altre informazioni su Microsoft Entra Connessione, vedere questi articoli:
| Argomento | Collegamento |
|---|---|
| Scaricare Microsoft Entra Connessione | Scaricare Microsoft Entra Connessione |
| Eseguire l'installazione usando le impostazioni rapide | Installazione rapida di Microsoft Entra Connessione |
| Eseguire l'installazione usando impostazioni personalizzate | Installazione personalizzata di Microsoft Entra Connect |
| aggiornamento da DirSync | Eseguire l'aggiornamento dallo strumento di sincronizzazione di Azure AD (DirSync) |
| Dopo l'installazione | Verificare l'installazione e assegnare le licenze |
Passaggi successivi
Altre informazioni sull'integrazione delle identità locali con Microsoft Entra ID.