Gestire utenti e gruppi cloud di cui è stato effettuato il provisioning da Active Directory usando Microsoft Entra Connect Sync
Scenario: Gestire utenti e gruppi cloud di cui è stato effettuato il provisioning da Active Directory usando la sincronizzazione di Microsoft Entra connect.
Prerequisiti
- Un computer con Hyper-V installato. Ti consigliamo di installare Hyper-V su un computer Windows 10 o Windows Server 2016.
- Una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
- Una scheda di rete esterna , in modo che la macchina virtuale possa connettersi a Internet.
- Copia di Windows Server 2016.
Nota
Questa esercitazione usa script di PowerShell per creare rapidamente l'ambiente dell'esercitazione. Ogni script usa variabili dichiarate all'inizio dello script. Assicurarsi di modificare le variabili in modo che riflettano l'ambiente.
Gli script dell'esercitazione creano un ambiente Windows Server Active Directory (Windows Server AD) generale prima di installare Microsoft Entra Connect. Gli script vengono usati anche nelle esercitazioni correlate.
Gli script di PowerShell usati in questa esercitazione sono disponibili in GitHub.
Creare una macchina virtuale
Per creare un ambiente di gestione delle identità ibride, la prima attività consiste nel creare una macchina virtuale da usare come server Windows Server AD locale.
Nota
Se non è mai stato eseguito uno script in PowerShell nel computer host, prima di eseguire script, aprire Windows PowerShell ISE come amministratore ed eseguire Set-ExecutionPolicy remotesigned. Nella finestra di dialogo Modifica dei criteri di esecuzione, selezionare Sì.
Per creare la macchina virtuale:
Aprire Windows PowerShell ISE come amministratore.
Eseguire lo script seguente:
#Declare variables $VMName = 'DC1' $Switch = 'External' $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso' $Path = 'D:\VM' $VHDPath = 'D:\VM\DC1\DC1.vhdx' $VHDSize = '64424509440' #Create a new virtual machine New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch #Set the memory to be non-dynamic Set-VMMemory $VMName -DynamicMemoryEnabled $false #Add a DVD drive to the virtual machine Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia #Mount installation media $DVDDrive = Get-VMDvdDrive -VMName $VMName #Configure the virtual machine to boot from the DVD Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
Installare il sistema operativo
Per completare la creazione della macchina virtuale, installare il sistema operativo:
- In Hyper-V Manager fare doppio clic sulla macchina virtuale.
- Selezionare Avvia.
- Al prompt, premere un tasto qualsiasi per l'avvio da CD o DVD.
- Nella finestra di avvio di Windows Server selezionare la lingua e quindi selezionare Avanti.
- Selezionare Installa ora.
- Immettere il codice di licenza e selezionare Avanti.
- Selezionare la casella di controllo Accetto le condizioni di licenza e selezionare Avanti.
- Selezionare Personalizzato: Installa solo Windows (avanzato).
- Selezionare Avanti.
- Al termine dell'installazione, riavviare la macchina virtuale. Accedere e quindi selezionare Windows Update. Installare tutti gli aggiornamenti per assicurarsi che la macchina virtuale sia completamente up-to-date.
Installare i prerequisiti di Windows Server AD
Prima di installare Windows Server AD, eseguire uno script che installa i prerequisiti:
Aprire Windows PowerShell ISE come amministratore.
Eseguire
Set-ExecutionPolicy remotesigned. Nella finestra di dialogo Modifica criteri di esecuzione, selezionare Sì a Tutti.Eseguire lo script seguente:
#Declare variables $ipaddress = "10.0.1.117" $ipprefix = "24" $ipgw = "10.0.1.1" $ipdns = "10.0.1.117" $ipdns2 = "4.2.2.2" $ipif = (Get-NetAdapter).ifIndex $featureLogPath = "c:\poshlog\featurelog.txt" $newname = "DC1" $addsTools = "RSAT-AD-Tools" #Set a static IP address New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw # Set the DNS servers Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2) #Rename the computer Rename-Computer -NewName $newname -force #Install features New-Item $featureLogPath -ItemType file -Force Add-WindowsFeature $addsTools Get-WindowsFeature | Where installed >>$featureLogPath #Restart the computer Restart-Computer
Creare un ambiente Windows Server AD
Installare e configurare Active Directory Domain Services per creare l'ambiente:
Aprire Windows PowerShell ISE come amministratore.
Eseguire lo script seguente:
#Declare variables $DatabasePath = "c:\windows\NTDS" $DomainMode = "WinThreshold" $DomainName = "contoso.com" $DomainNetBIOSName = "CONTOSO" $ForestMode = "WinThreshold" $LogPath = "c:\windows\NTDS" $SysVolPath = "c:\windows\SYSVOL" $featureLogPath = "c:\poshlog\featurelog.txt" $Password = "Pass1w0rd" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Install Active Directory Domain Services, DNS, and Group Policy Management Console start-job -Name addFeature -ScriptBlock { Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } Wait-Job -Name addFeature Get-WindowsFeature | Where installed >>$featureLogPath #Create a new Windows Server AD forest Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
Creare un utente di Windows Server AD
Creare quindi un account utente di test. Creare questo account nell'ambiente Active Directory locale. L'account viene quindi sincronizzato con Microsoft Entra ID.
Aprire Windows PowerShell ISE come amministratore.
Eseguire lo script seguente:
#Declare variables $Givenname = "Allie" $Surname = "McCray" $Displayname = "Allie McCray" $Name = "amccray" $Password = "Pass1w0rd" $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Create the user New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString #Set the password to never expire Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
Creare un tenant di Microsoft Entra
Se non ne hai uno, segui i passaggi nell'articolo Creare un nuovo tenant in Microsoft Entra ID per creare un nuovo tenant.
Creare un amministratore di identità ibrida in Microsoft Entra ID
L'attività successiva consiste nel creare un account di amministratore delle identità ibride. Questo account viene usato per creare l'account Microsoft Entra Connector durante l'installazione di Microsoft Entra Connect. L'account Microsoft Entra Connector viene usato per scrivere informazioni in Microsoft Entra ID.
Per creare l'account di amministratore delle identità ibride:
- Accedi al centro di amministrazione di Microsoft Entra.
- Passare a Identity>Utenti>Tutti gli utenti
- Selezionare Nuovo utente>Crea nuovo utente.
- Nel riquadro Crea nuovo utente inserire il Nome visualizzato e il Nome principale utente per il nuovo utente. Stai creando l'account di amministratore delle identità ibride per il cliente. È possibile visualizzare e copiare la password temporanea.
- In Assegnazioni, seleziona Aggiungi ruoloe seleziona Amministratore Identità Ibrida.
- Selezionare quindi Review + create>Create.
- In una nuova finestra del Web browser accedere a
myapps.microsoft.comusando il nuovo account di amministratore delle identità ibride e la password temporanea.
Scaricare e installare Microsoft Entra Connect
È ora possibile scaricare e installare Microsoft Entra Connect. Dopo l'installazione, si userà l'installazione rapida.
Scarica Microsoft Entra Connect.
Passare a AzureADConnect.msi e fare doppio clic per aprire il file di installazione.
In Benvenuto, seleziona la casella di controllo per accettare le condizioni di licenza e poi seleziona Continua.
In Impostazioni rapide, selezionare Usa impostazioni rapide.
In Collegati a Microsoft Entra IDe immetti il nome utente e la password per l'account amministratore di identità ibride di Microsoft Entra ID. Selezionare Avanti.
In Connetti ad AD DS, immettere il nome utente e la password per un account amministratore aziendale. Selezionare Avanti.
In Pronto per configurare, selezionare Installa.
Al termine dell'installazione, selezionare Esci.
Prima di usare Synchronization Service Manager o Synchronization Rule Editor, disconnettersi e quindi eseguire di nuovo l'accesso.
Verificare la presenza di utenti nel portale
Ora si verificherà che gli utenti nel tenant di Active Directory locale siano sincronizzati e si trovino ora nel tenant di Microsoft Entra. Il completamento di questa sezione potrebbe richiedere alcune ore.
Per verificare che gli utenti siano sincronizzati:
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di identità ibrida .
Vai a Identity>Utenti>Tutti gli utenti
Verificare che i nuovi utenti vengano visualizzati nel tenant.
Accedere con un account utente per testare la sincronizzazione
Per verificare che gli utenti del tenant di Windows Server AD siano sincronizzati con il tenant di Microsoft Entra, accedere come uno degli utenti:
Passare a https://myapps.microsoft.com.
Accedere con un account utente creato nel nuovo tenant.
Per il nome utente, usare il formato
user@domain.onmicrosoft.com. Usare la stessa password usata dall'utente per accedere ad Active Directory locale.
È stato configurato correttamente un ambiente di gestione delle identità ibrido che è possibile usare per testare e acquisire familiarità con le funzionalità offerte da Azure.