Azure AD Connect: Account e autorizzazioni

Learn about accounts that are used and created and the permissions that are required to install and use Azure AD Connect.

Diagramma che mostra una panoramica degli account necessari di Azure AD Connect.

Account usati per Azure AD Connect

Azure AD Connect usa tre account per sincronizzare le informazioni dall'Windows Server Active Directory locale (Windows Server AD) ad Azure Active Directory (Azure AD):

  • Account del connettore di Active Directory Domain Services: usato per leggere e scrivere informazioni in Windows Server AD usando Active Directory Domain Services (AD DS).

  • Account del servizio ADSync: usato per eseguire il servizio di sincronizzazione e accedere al database SQL Server.

  • Account azure AD Connector: usato per scrivere informazioni in Azure AD.

Per installare Azure AD Connect, sono necessari anche gli account seguenti:

  • Account amministratore locale: l'amministratore che installa Azure AD Connect e che dispone delle autorizzazioni di amministratore locale nel computer.

  • Account amministratore dell'organizzazione di Active Directory Domain Services: usato facoltativamente per creare l'account del connettore di Active Directory Domain Services necessario.

  • Account amministratore globale di Azure AD: usato per creare l'account azure AD Connector e per configurare Azure AD. È possibile visualizzare gli account Amministratore globale e Amministratore identità ibrida nel portale di Azure. Vedere Elencare le assegnazioni di ruolo di Azure AD.

  • Account SA SQL (facoltativo): usato per creare il database ADSync quando si usa la versione completa di SQL Server. L'istanza di SQL Server può essere locale o remota all'installazione di Azure AD Connect. Questo account può essere lo stesso account dell'account amministratore dell'organizzazione.

    Il provisioning del database può ora essere eseguito fuori banda dall'amministratore SQL Server e quindi installato dall'amministratore di Azure AD Connect se l'account dispone di autorizzazioni di proprietario del database (DBO). Per altre informazioni, vedere Installare Azure AD Connect usando le autorizzazioni di amministratore con delega SQL.

Importante

A partire dalla build 1.4.##.#.#, non è più possibile usare un account amministratore dell'organizzazione o un account amministratore di dominio come account del connettore di Active Directory Domain Services. Se si tenta di immettere un account amministratore dell'organizzazione o amministratore di dominio per l'uso dell'account esistente, la procedura guidata visualizza un messaggio di errore e non è possibile procedere.

Nota

È possibile gestire gli account amministrativi usati in Azure AD Connect usando un modello di accesso aziendale. Un'organizzazione può usare un modello di accesso aziendale per ospitare account amministrativi, workstation e gruppi in un ambiente con controlli di sicurezza più avanzati rispetto a un ambiente di produzione. Per altre informazioni, vedere Modello di accesso aziendale.

Il ruolo Amministratore globale non è necessario dopo l'installazione iniziale. Dopo l'installazione, l'unico account necessario è l'account del ruolo Account di sincronizzazione directory. Invece di rimuovere l'account con il ruolo di amministratore globale, è consigliabile modificare il ruolo in un ruolo con un livello inferiore di autorizzazioni. Se è necessario eseguire di nuovo la procedura guidata, rimuovere completamente l'account potrebbe presentare problemi. È possibile aggiungere le autorizzazioni se è necessario usare di nuovo la procedura guidata di Azure AD Connect.

Installazione di Azure AD Connect

L'installazione guidata di Azure AD Connect offre due percorsi:

  • Impostazioni rapide: nelle impostazioni rapide di Azure AD Connect, la procedura guidata richiede più autorizzazioni per poter configurare facilmente l'installazione. La procedura guidata crea utenti e configura le autorizzazioni in modo che non sia necessario.
  • Impostazioni personalizzate: nelle impostazioni personalizzate di Azure AD Connect sono disponibili più opzioni e opzioni nella procedura guidata. Tuttavia, per alcuni scenari, è importante assicurarsi di disporre delle autorizzazioni corrette.

Impostazioni rapide

Nelle impostazioni rapide immettere queste informazioni nell'installazione guidata:

  • Le credenziali amministratore dell'organizzazione AD DS
  • Le credenziali amministratore globale di Azure AD

Le credenziali amministratore dell'organizzazione AD DS

L'account amministratore dell'organizzazione di Active Directory Domain Services viene usato per configurare Windows Server AD. Queste credenziali vengono usate solo durante l'installazione. L'amministratore dell'organizzazione, non l'amministratore di dominio, deve assicurarsi che le autorizzazioni in Windows Server AD possano essere impostate in tutti i domini.

Se si esegue l'aggiornamento da DirSync, le credenziali di amministratore dell'organizzazione di Active Directory Domain Services vengono usate per reimpostare la password per l'account usato da DirSync. Sono necessarie anche le credenziali di amministratore globale di Azure AD.

Le credenziali amministratore globale di Azure AD

Le credenziali per l'account amministratore globale di Azure AD vengono usate solo durante l'installazione. L'account viene usato per creare l'account di Azure AD Connector che sincronizza le modifiche in Azure AD. e per abilitare la sincronizzazione come funzionalità in Azure AD.

Per altre informazioni, vedere Amministratore globale.

Autorizzazioni necessarie per l'account del connettore di AD DS per le impostazioni rapide

L'account connettore di Active Directory Domain Services viene creato per leggere e scrivere in Windows Server AD. L'account dispone delle autorizzazioni seguenti quando viene creato durante l'installazione delle impostazioni rapide:

Autorizzazione Utilizzo
- Replicare le modifiche della directory
- Replicare tutte le modifiche della directory
Sincronizzazione dell'hash delle password
Lettura/scrittura di tutte le proprietà - Utente Importazione ed Exchange ibrido
Lettura/scrittura di tutte le proprietà - iNetOrgPerson Importazione ed Exchange ibrido
Lettura/scrittura di tutte le proprietà - Gruppo Importazione ed Exchange ibrido
Lettura/scrittura di tutte le proprietà - Contatto Importazione ed Exchange ibrido
Reimposta password Preparazione per l'abilitazione del writeback delle password

Procedura guidata Impostazioni rapide

In un'installazione rapida delle impostazioni, la procedura guidata crea automaticamente alcuni account e impostazioni.

Screenshot che mostra la pagina Impostazioni rapide in Azure AD Connect.

Nella tabella seguente è riportato un riepilogo delle pagine della procedura guidata delle impostazioni rapide, delle credenziali raccolte e degli elementi usati per:

Pagina procedura guidata Credenziali raccolte Autorizzazioni necessarie Scopo
N/D Utente che esegue l'installazione guidata. Amministratore del server locale. Usato per creare l'account del servizio ADSync usato per eseguire il servizio di sincronizzazione.
Connessione ad Azure AD Credenziali della directory di Azure AD. Ruolo di amministratore globale in Azure AD. - Usato per abilitare la sincronizzazione nella directory di Azure AD.
- Usato per creare l'account di Azure AD Connector usato per le operazioni di sincronizzazione in corso in Azure AD.
Connettersi ad AD DS Windows Server AD credenziali. Membro del gruppo Enterprise Admins in Windows Server AD. Usato per creare l'account del connettore di Active Directory Domain Services in Windows Server AD e concedere le autorizzazioni. Questo account creato viene usato per leggere e scrivere informazioni sulla directory durante la sincronizzazione.

Impostazioni personalizzate

In un'installazione di impostazioni personalizzate sono disponibili più opzioni e opzioni nella procedura guidata.

Screenshot che mostra la pagina Impostazioni rapide in Azure AD Connect, con il pulsante Personalizza evidenziato.

Creazione guidata impostazioni personalizzate

La tabella seguente include un riepilogo delle pagine della procedura guidata delle impostazioni personalizzate, le credenziali raccolte e le relative risorse:

Wizard page Credenziali raccolte Autorizzazioni necessarie Scopo
N/D L'utente che esegue l'installazione guidata. - Amministratore del server locale.
- Se si usa un'istanza di SQL Server completa, l'utente deve essere amministratore di sistema (sysadmin) in SQL Server.
Per impostazione predefinita, usata per creare l'account locale usato come account del servizio di sincronizzazione. L'account viene creato solo quando l'amministratore non specifica un account.
Installare i servizi di sincronizzazione, l'opzione dell'account del servizio Credenziali dell'account utente Windows Server AD o locale. Le autorizzazioni e l'utente vengono concesse dalla procedura guidata di installazione. Se l'amministratore specifica un account, quest'ultimo viene usato come account del servizio di sincronizzazione.
Connessione ad Azure AD Credenziali della directory di Azure AD. Ruolo amministratore globale in Azure AD. - Usato per abilitare la sincronizzazione nella directory di Azure AD.
- Usato per creare l'account di Azure AD Connector usato per le operazioni di sincronizzazione in corso in Azure AD.
Connessione delle directory Windows Server AD credenziali per ogni foresta connessa ad Azure AD. Le autorizzazioni dipendono dalle funzionalità abilitate e disponibili in Creare l'account del connettore Active Directory Domain Services. Questo account viene usato per leggere e scrivere informazioni sulla directory durante la sincronizzazione.
Server ADFS Per ogni server nell'elenco, la procedura guidata raccoglie le credenziali quando le credenziali di accesso dell'utente che esegue la procedura guidata non sono sufficienti per connettersi. Account amministratore di dominio. Usato durante l'installazione e la configurazione del ruolo del server Active Directory Federation Services (AD FS).
Server Proxy applicazione Web For each server in the list, the wizard collects credentials when the sign-in credentials of the user running the wizard are insufficient to connect. Amministratore locale nel computer di destinazione. Usato durante l'installazione e la configurazione del ruolo del server proxy applicazione Web (WAP).
Credenziali di attendibilità del proxy Credenziali di attendibilità del servizio federativo (le credenziali usate dal proxy per registrare un certificato di attendibilità dai servizi federatiri (FS)). L'account di dominio che è un amministratore locale del server AD FS. Registrazione iniziale del certificato di attendibilità FS-WAP.
Pagina Account del servizio AD FS Usare un'opzione account utente di dominio Credenziali dell'account utente Windows Server AD. Un utente di dominio. L'account utente di Azure AD di cui vengono specificate le credenziali viene usato come account di accesso del servizio AD FS.

Creare l'account del connettore di AD DS

Importante

Un nuovo modulo di PowerShell denominato ADSyncConfig.psm1 è stato introdotto con la build 1.1.880.0 (rilasciata nell'agosto 2018). Il modulo include una raccolta di cmdlet che consentono di configurare le autorizzazioni di Windows Server AD corrette per l'account Azure AD DS Connector.

Per altre informazioni, vedere Azure AD Connect: Configurare l'autorizzazione dell'account del connettore AD DS.

L'account specificato nella pagina Connetti le directory deve essere creato in Windows Server AD prima dell'installazione. Azure AD Connect versione 1.1.524.0 e versioni successive ha la possibilità di consentire alla procedura guidata azure AD Connect di creare l'account del connettore Active Directory Domain Services usato per connettersi a Windows Server AD.

L'account specificato deve avere anche le autorizzazioni necessarie. La procedura guidata di installazione non verifica le autorizzazioni e vengono rilevati problemi solo durante il processo di sincronizzazione.

Le autorizzazioni necessarie dipendono dalle funzionalità facoltative abilitate. Se si dispone di più domini, le autorizzazioni devono essere concesse per tutti i domini nella foresta. Se non si abilita alcuna di queste funzionalità, le autorizzazioni utente dominio predefinite sono sufficienti.

Funzionalità Autorizzazioni
funzionalità ms-DS-ConsistencyGuid Autorizzazioni di scrittura per l'attributo ms-DS-ConsistencyGuid documentato in Concetti di progettazione: uso di ms-DS-ConsistencyGuid come sourceAnchor.
Sincronizzazione dell'hash delle password - Replicare le modifiche della directory
- Replicare tutte le modifiche della directory
Distribuzione ibrida di Exchange Autorizzazioni di scrittura per gli attributi documentati in Writeback della distribuzione ibrida Exchange per utenti, gruppi e contatti.
Cartelle pubbliche della posta di Exchange Autorizzazioni di lettura per gli attributi documentati in Cartelle pubbliche della posta di Exchange per le cartelle pubbliche.
writeback delle password Autorizzazioni di scrittura per gli attributi documentati in Introduzione alla gestione delle password per gli utenti.
Writeback dispositivi Autorizzazioni concesse con uno script di PowerShell come descritto in Writeback del dispositivo.
Writeback dei gruppi Consente di eseguire il writeback Gruppi di Microsoft 365 in una foresta installata da Exchange.

Autorizzazioni necessarie per l'aggiornamento

Quando si aggiorna da una versione di Azure AD Connect a una nuova versione, è necessario avere le autorizzazioni seguenti:

Server principale Autorizzazioni necessarie Scopo
Utente che esegue la procedura guidata di installazione Amministratore del server locale Usato per aggiornare i file binari.
The user that's running the installation wizard Membro di ADSyncAdmins Usato per apportare modifiche alle regole di sincronizzazione e ad altre configurazioni.
The user that's running the installation wizard Se si usa un'istanza completa di SQL Server: DBO (o simile) del database del motore di sincronizzazione Usato per apportare modifiche a livello di database, ad esempio l'aggiornamento delle tabelle con nuove colonne.

Importante

Nella build 1.1.484 è stato introdotto un bug di regressione in Azure AD Connect. Il bug richiede autorizzazioni sysadmin per aggiornare il database SQL Server. Il bug viene corretto nella build 1.1.647. Per eseguire l'aggiornamento a questa compilazione, è necessario disporre delle autorizzazioni sysadmin. In questo scenario le autorizzazioni DBO non sono sufficienti. Se si tenta di aggiornare Azure AD Connect senza autorizzazioni sysadmin, l'aggiornamento non riesce e Azure AD Connect non funziona più correttamente.

Dettagli degli account creati

Le sezioni seguenti forniscono altre informazioni sugli account creati in Azure AD Connect.

Account del connettore di AD DS

Se si usano le impostazioni rapide, viene creato un account usato per la sincronizzazione in Windows Server AD. L'account creato si trova nel dominio radice della foresta nel contenitore Utenti. Il nome dell'account è preceduto da MSOL_. L'account viene creato con una password lunga e complessa che non scade. Se si dispone di criteri di password nel dominio, assicurarsi che siano consentite password lunghe e complesse per questo account.

Screenshot che mostra un account del connettore Active Directory Domain Services con il prefisso MSOL in Azure AD Connect.

Se si usano impostazioni personalizzate, si è responsabili della creazione dell'account prima di avviare l'installazione. Vedere Creare l'account del connettore Active Directory Domain Services.

Account del servizio ADSync

Il servizio di sincronizzazione può essere eseguito con account diversi, Può essere eseguito in un account del servizio virtuale (VSA), un account del servizio gestito del gruppo (gMSA), un servizio gestito autonomo (sMSA) o un account utente normale. Le opzioni supportate sono state modificate con la versione di aprile 2017 di Azure AD Connect quando si esegue una nuova installazione. Se si esegue l'aggiornamento da una versione precedente di Azure AD Connect, queste altre opzioni non sono disponibili.

Tipo di account Opzione di installazione Descrizione
VSA Rapida e personalizzata, aprile 2017 e versioni successive Questa opzione viene usata per tutte le installazioni di impostazioni rapide, ad eccezione delle installazioni in un controller di dominio. Per le impostazioni personalizzate, è l'opzione predefinita.
gMSA Personalizzata, aprile 2017 e versioni successive Se si usa un'istanza remota di SQL Server, è consigliabile usare un gMSA.
Account utente Rapida e personalizzata, aprile 2017 e versioni successive Un account utente preceduto da AAD_ viene creato durante l'installazione solo quando Azure AD Connect viene installato in Windows Server 2008 e quando viene installato in un controller di dominio.
Account utente Rapida e personalizzata, marzo 2017 e versioni precedenti Durante l'installazione viene creato un account locale con prefisso AAD_ . In un'installazione personalizzata è possibile specificare un account diverso.

Se si usa Azure AD Connect con una build da marzo 2017 o versioni precedenti, non reimpostare la password nell'account del servizio. Windows elimina le chiavi di crittografia per motivi di sicurezza. Non è possibile modificare l'account in qualsiasi altro account senza reinstallare Azure AD Connect. Se si esegue l'aggiornamento a una build da aprile 2017 o versioni successive, è possibile modificare la password nell'account del servizio, ma non è possibile modificare l'account usato.

Importante

È possibile impostare l'account del servizio solo per la prima installazione. Non è possibile modificare l'account del servizio al termine dell'installazione.

La tabella seguente descrive le opzioni predefinite, consigliate e supportate per l'account del servizio di sincronizzazione.

Legenda:

  • Grassetto= Opzione predefinita e, nella maggior parte dei casi, l'opzione consigliata.
  • Italic = Opzione consigliata quando non è l'opzione predefinita.
  • 2008 = Opzione predefinita quando installata in Windows Server 2008
  • Non grassetto = Opzione supportata
  • Account locale = Account utente locale nel server
  • Account di dominio = Account utente di dominio
  • sMSA = account del servizio gestito autonomo
  • gMSA = account del servizio gestito del gruppo
Database locale
Express
Database locale/SQL Server locale
Personalizzato
SQL Server remoto
Personalizzato
computer aggiunto a un dominio VSA
Account locale (2008)
VSA
Account locale (2008)
Account locale
Account di dominio
sMSA, gMSA
gMSA
Account di dominio
Controller di dominio Account di dominio gMSA
Account di dominio
sMSA
gMSA
Account di dominio

VSA

Un vsA è un tipo speciale di account che non ha una password ed è gestito da Windows.

Screenshot che mostra l'account del servizio virtuale.

VsA è destinato a essere usato con scenari in cui il motore di sincronizzazione e SQL Server si trovano nello stesso server. Se si usano SQL Server remoti, è consigliabile usare un gMSA anziché un'istanza di VsA.

La funzionalità VSA richiede Windows Server 2008 R2 o versione successiva. Se si installa Azure AD Connect in Windows Server 2008, l'installazione torna a usare un account utente anziché un vsA.

gMSA

If you use a remote instance of SQL Server, we recommend that you use a gMSA. Per altre informazioni su come preparare Windows Server AD per gMSA, vedere Panoramica degli account del servizio gestito del gruppo.

Per usare questa opzione, nella pagina Installa componenti necessari selezionare Usa un account del servizio esistente e quindi selezionare Account servizio gestito.

Screenshot che mostra la selezione dell'account del servizio gestito in Windows Server.

È anche possibile usare un sMSA in questo scenario. Tuttavia, è possibile usare un sMSA solo nel computer locale e non è possibile usare un sMSA anziché il vsA predefinito.

La funzionalità sMSA richiede Windows Server 2012 o versioni successive. Se è necessario usare una versione precedente di un sistema operativo e si usa SQL Server remoto, è necessario usare un account utente.

Account utente

Un account del servizio locale viene creato dalla procedura guidata di installazione (a meno che non si specifica in impostazioni personalizzate l'account da usare). L'account viene preceduto da AAD_ e viene usato per l'esecuzione effettiva del servizio di sincronizzazione. Se si installa Azure AD Connect in un controller di dominio, l'account viene creato nel dominio. L'account del servizio AAD_ deve essere presente nel dominio se:

  • Si usa un server remoto che esegue SQL Server.
  • Si usa un proxy che richiede l'autenticazione.

Screenshot che mostra l'account utente del servizio di sincronizzazione in Windows Server.

L'account del servizio AAD_ viene creato con una password lunga e complessa che non scade.

Questo account viene usato per archiviare in modo sicuro le password per gli altri account. Le password vengono archiviate crittografate nel database. Le chiavi private per le chiavi di crittografia sono protette con la crittografia della chiave privata dei servizi di crittografia usando l'API Protezione dati di Windows (DPAPI).

Se si usa un'istanza completa di SQL Server, l'account del servizio è l'oggetto DBO del database creato per il motore di sincronizzazione. Il servizio non funzionerà come previsto con altre autorizzazioni. Viene creato anche un account di accesso SQL Server.

L'account viene concesso anche le autorizzazioni per file, chiavi del Registro di sistema e altri oggetti correlati al motore di sincronizzazione.

Account del connettore di Azure AD

Viene creato un account in Azure AD per l'uso del servizio di sincronizzazione. È possibile identificare questo account in base al nome visualizzato.

Screenshot che mostra l'account Azure AD con il prefisso DC1.

Il nome del server in cui viene usato l'account può essere identificato nella seconda parte del nome utente. Nella figura precedente il nome del server è DC1. Se si dispone di server di gestione temporanea, ogni server avrà il proprio account.

Viene creato un account server con una password lunga e complessa che non scade. L'account viene concesso un ruolo speciale Account di sincronizzazione directory che dispone delle autorizzazioni per eseguire solo le attività di sincronizzazione della directory. Questo ruolo predefinito speciale non può essere concesso all'esterno della procedura guidata di Azure AD Connect. Il portale di Azure mostra questo account con il ruolo Utente.

Azure AD ha un limite di 20 account del servizio di sincronizzazione. Per ottenere l'elenco degli account del servizio Azure AD esistenti nell'istanza di Azure AD, eseguire il cmdlet di Azure AD PowerShell seguente: Get-AzureADDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} | Get-AzureADDirectoryRoleMember

Per rimuovere gli account del servizio Azure AD inutilizzati, eseguire il cmdlet di PowerShell per Azure AD seguente:Remove-AzureADUser -ObjectId <ObjectId-of-the-account-you-wish-to-remove>

Nota

Prima di poter usare questi comandi di PowerShell, è necessario installare il modulo PowerShell di Azure Active Directory per Graph e connettersi all'istanza di Azure AD usando Connect-AzureAD.

Per altre informazioni su come gestire o reimpostare la password per l'account Azure AD Connect, vedere Gestire l'account Azure AD Connect.

Per altre informazioni su Azure AD Connect, vedere questi articoli:

Argomento Collegamento
Scaricare Azure AD Connect Scaricare Azure AD Connect
Installare usando le impostazioni express Installazione rapida di Azure AD Connect
Installare usando impostazioni personalizzate Installazione personalizzata di Azure AD Connect
Aggiornamento da DirSync Aggiornamento dallo strumento di sincronizzazione di Azure AD (DirSync)
Dopo l'installazione Verificare l'installazione e assegnare le licenze

Passaggi successivi

Altre informazioni sull'integrazione delle identità locali con Azure Active Directory.